Kada jedna tvrtka ili organizacija obavlja obradu osobnih podataka u ime drugog poslovnog subjekta (npr. vanjski knjigovodstveni ured ili ugovorena IT podrška), vrlo je važno sklopiti ugovor ili sporazum o obradi osobnih podataka koji će uključivati sve propisane elemente prema Općoj uredbi o zaštiti podataka (GDPR).
Takav ugovor ili sporazum prema članku 28. GDPR-a trebao bi uključivati sve propisane elemente kako bi se osigurali jasni i precizni uvjeti obrade, odgovornosti između voditelja i izvršitelja obrade, načine obrade, sigurnosne mjere, obavještavanje o povredama podataka te druge relevantne informacije. Sklapanje ovog ugovora ima ključni značaj za usklađivanje sa zahtjevima GDPR, uspostavu transparentne i odgovorne obrade osobnih podataka, čime se osigurava povjerenje korisnika i poslovnih partnera u zaštitu njihovih podataka. Stoga, tvrtke koje rade s izvršiteljima obrade trebaju posvetiti posebnu pažnju ovom zahtjevu.
Prilikom sklapanja takvih ugovora, uvijek je preporučljivo koristiti standardne ugovorne klauzule temeljene na Provedbenoj odluci Komisije (EU) 2021/915 od 4. lipnja 2021.
o standardnim ugovornim klauzulama između voditelja obrade i izvršitelja obrade iz članka 28. stavka 7. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća i članka 29. stavka 7. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća (dalje: SCC).
Zašto je to važno?
1.) Olakšava postupak uređenja odnosa s izvršiteljima obrade.
SCC pružaju standardizirani okvir za ugovaranje s izvršiteljima obrade, što olakšava postupak sklapanja ugovora i osigurava da su sve bitne odredbe uključene u dokumentu.
2) Korištenjem SCC osigurava se ravnoteža između ugovornih strana.
Ovo je posebno važno kada imamo situaciju da je jedna strana moćnija ili snažnija od druge, bilo da se radi o voditelju ili izvršitelju obrade. Standardne ugovorne klauzule osiguravaju da nijedna strana ne dominira i da se obje strane tretiraju na pošten način.
3) Standardne ugovorne klauzule (SCC) ne podliježu preispitivanju.
To znači da u slučaju nadzora, revizije ili bilo koje druge inspekcijske aktivnosti od strane nadzornih tijela (bilo domaćih ili stranih), takve klauzule neće biti predmetom dodatnog ispitivanja. Na primjer, ako vam je izvršitelj obrade u Italiji i njihovo nadzorno tijelo obavlja kontrolu tog subjekta, ispravnost standardnih ugovornih klauzula (SCC) neće biti upitna. S druge strane, ako sami pripremate ugovor o obradi osobnih podataka ili koristite predložak koji nije baziran na standardnim klauzulama, takav ugovor je podložan detaljnom pregledu i postoji rizik da određene ključne aspekte niste propisno i adekvatno regulirali.
Zbog toga je korištenje standardnih ugovornih klauzula (SCC) preporučena praksa koja osigurava pravnu sigurnost i usklađenost s GDPR-om pri obradi osobnih podataka s trećim stranama. Također, omogućava tvrtkama da se usredotočite na glavnu djelatnost, znajući da osobni podaci i suradnja s izvršiteljima obrade odgovaraju najvišim standardima zaštite podataka.