„izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade."
Članak 4. stavak 1 točka 8 GDPR
Izvršitelj obrade obrađuje osobne podatke u ime voditelja obrade i nije potrebno da pritom i prikuplja podatke.
Ponekad to radi voditelj obrade, ponekad Izvršitelj obrade, a ponekad se podaci dobivaju od nekog drugog ugovornog partnera. Obrada koju provodi izvršitelj obrade potrebno je da se uređuje ugovorom ili drugim aktom. Isto pri tome ne znači sklapanje "ugovora o obradi osobnih podataka" već da je odnos između voditelja i izvršitelja uređen pisanim putem na priznati način a unutar kojeg je kao sastavni ili dodani, uređeno pitanje osobnih podataka.
Primjer izvršitelja obrade:
- Knjigovodstveni servis koji obrađuje podatke o plaćama radnika za poslodavca;
- trgovačka društva ovlaštena za obavljanje privatne zaštite;
- agencije za naplatu potraživanja temeljem sklopljenog ugovora o poslovnoj suradnji.
Valja imati na umu da sama činjenica što jedna organizacija pruža drugoj neku uslugu ne čini je nužno izvršiteljem obrade, ona može biti voditelj obrade po vlastitom pravu, ovisno o kontroli koju ima nad postupkom obrade. Stoga je u svim onim slučajevima gdje nisu jasne funkcije voditelja i izvršitelja, od velike važnosti utvrditi tko ima kontrolu nad sadržajem osobnih podataka.
Primjer, izvršitelji obrade nisu: odvjetnici, liječnici, specijalisti ili savjetnici.
Radna skupina iz članka 29 je mišljenja da kako pružatelj usluge ima „tradicionalnu ulogu i stručno znanje“ koja od njega zahtijeva da utvrdi svrhe i sredstva obrade, to neovisno stručno znanje dovodi ponuditelja usluge u ulogu voditelja obrade.
Npr. kada odvjetnik zastupa svoju stranku na sudu i u vezi s tim poslom obrađuje osobne podatke na temelju zahtjeva stranke, odvjetnik je voditelj obrade. Polazi se od toga da za upute koje stranka daje svojem odvjetniku, isti ne mora nužno i obraditi te podatke, već samostalno o tome odlučuje zastupajući interese klijenta pred sudom. Budući je obrada podataka pomoćna funkcija, koja je u cijelosti (ili djelomično) određena od strane odvjetnika, neovisno o klijentu, obrada podataka treba biti konceptirana kao kod voditelja obrade navodi Radna skupina iz članka 29.
Podizvršitelji obrade
Izvršitelj obrade uz suglasnost voditelja obrade, može angažirati drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime voditelja, uz iste one obaveza za zaštitu osobnih podataka koje su navedene u ugovoru ili drugom aktu između voditelja i izvršitelja obrade.
Izvršitelj obrade u cijelosti odgovara za postupanje podizvršitelja obrade u zaštiti osobnih podataka.
Odgovornost
VODITELJ OBRADE ODGOVARA
za svaku štetu prouzročenu obradom kojom se krši GDPR;
IZVRŠITELJ OBRADE ODGOVORA
samo za štetu prouzročenu obradom:
- ako nije poštovao obveze iz GDPR koje su posebno namijenjene izvršiteljima obrade;
- ako je djelovao izvan zakonitih uputa voditelja obrade ili protivno njima;
- odgovara voditelju obrade za Podizvršitelja u slučaju da isti ne ispunjava obveze vezane za zaštitu podatakaKao što je vidljivo iz navedenog
Voditelj obrade uvijek je taj koji odgovara za svaku obradu koja se vrši pod njegovim vodstvom. Naravno, da onda kada Izvršitelj obrade nije poštovao obveze GDPR koje su posebno namijenjene izvršiteljima ili ako je djelovao izvan uputa voditelja ili protivno njima, kao i za svoje podizvršitelje da isti tada odgovara no ne zaboravimo činjenicu da će i dalje ispitanik podnijeti zahtjev za ostvarivanje svojih prava, uključujući i naknadu štete u prvom redu protiv voditelja obrade. On može ići direktno i protiv izvršitelja obrade ali u osnovi ići će protiv voditelja obrade a voditelj obrade će tada u drugom postupku rješavati svoju stvar s izvršiteljem obrade i rješavati pitanje regresne naplate i ostalo.
Upravo zbog toga potrebno je da je Voditelj obade svjestan svoje odgovornosti i da se u odnosu s izvršiteljem zaštiti na način na koji će u predmetnim slučajevima na što lakši način ostvariti svoja prava u pitanju regresne odgovornosti ali i zaštiti se od svakog neodgovornog postupanja izvršitelja obrade ili njegovih podizvršitelja.
Iz navedenog je vidljivo da je voditelju obrade zbog propisane obveze uređivanja odnosa i odgovornosti za štetu, vrlo važno sa sigurnošću utvrditi sve izvršitelje obrade i sa njima primjereno urediti odnos u dijelu zaštite osobnih podataka u skladu sa zahtjevima Opće uredbe o zaštiti podataka.