Tko-je-voditelj-a-tko-izvršitelj-obrade-feralis-rijeka

Voditelj i izvršitelj obrade

VODITELJ I IZVRŠITELJ OBRADE

Opća uredba o zaštiti podataka (GDPR) zahtjeva od voditelja obrade da sa svojim izvršiteljima, pisanim putem, uredi odnos u dijelu zaštite osobnih podataka. Pri tome se često javlja nesigurnost tko su sve izvršitelji obrade s kojima je potrebno na takav način urediti odnos. Naime, ponekad odnos između voditelja i izvršitelja može biti složen te je teško jasno definirati i odvojiti njihove uloge.


Voditelj obrade

“Svaka fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka.”

Voditelj obrade utvrđuje:

– svrhu osobnih podataka

– sredstva/način obrade osobnih podataka.

Stoga, ako društvo/organizacija odlučuje o tome „zašto” i „kako” se osobni podaci trebaju obrađivati, ono je voditelj obrade.

Primjeri voditelja obrade: trgovačka društva ili obrti koji obrađuju podatke svojih radnika; financijske institucije koje obrađuju osobne podatke svojih stranaka/klijenata; udruge koje obrađuju podatke svojih članova; škole ili fakulteti koji obrađuju osobne podatke učenika, studenata ili nastavnika/svojih radnika; bolnice koje obrađuju osobne podatke svojih pacijenata; državna tijela ili tijela jedinica lokalne/regionalne samouprave koja obrađuju osobne podatke građana.


Izvršitelj obrade

“Izvršitelji obrade osobnih podataka je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje na temelju ugovora ili drugog pravnog akta obrađuje osobne podatke u ime voditelja obrade.”

Izvršitelj obrade obrađuje osobne podatke u ime voditelja obrade i nije potrebno da izvršitelj pritom i prikuplja podatke. Ponekad to radi voditelj obrade, ponekad Izvršitelj obrade, a ponekad se podaci dobivaju od nekog drugog ugovornog partnera.

Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom.

Primjeri izvršitelja obrade: knjigovodstveni servis koji obrađuje podatke o plaćama radnika za poslodavca; trgovačka društva ovlaštena za obavljanje privatne zaštite; agencije za naplatu potraživanja temeljem sklopljenog ugovora o poslovnoj suradnji.

Valja imati na umu da sama činjenica što jedna organizacija pruža drugoj neku uslugu ne čini je nužno izvršiteljem obrade, ona može biti voditelj obrade po vlastitom pravu, ovisno o kontroli koju ima nad postupkom obrade. Stoga, u onim slučajevima gdje nam nisu jasne funkcije voditelja i izvršitelja, od velike važnosti je utvrditi tko ima kontrolu nad sadržajem osobnih podataka.

Slijedom navedenog, izvršitelji obrade nisu primjerice, vaši odvjetnici, liječnici, specijalisti ili savjetnici.

Radna skupina iz članka 29 je mišljenja da kako pružatelj usluge ima „tradicionalnu ulogu i stručno znanje“ koja od njega zahtijeva da utvrdi svrhe i sredstva obrade, to neovisno stručno znanje dovodi ponuditelja usluge u ulogu voditelja obrade.


Podizvršitelji obrade

Izvršitelj obrade uz suglasnost voditelja obrade, može angažirati drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime voditelja, uz iste one obaveza za zaštitu osobnih podataka koje su navedene u ugovoru ili drugom aktu između voditelja i izvršitelja obrade.

Izvršitelj obrade u cijelosti odgovara za postupanje podizvršitelja obrade u zaštiti osobnih podataka.


Odgovornost

Voditelj obrade odgovara – za svaku štetu prouzročenu obradom kojom se krši GDPR;
Izvršitelj obrade odgovora – samo za štetu prouzročenu obradom:

– ako nije poštovao obveze iz GDPR koje su posebno namijenjene izvršiteljima obrade;

– ako je djelovao izvan zakonitih uputa voditelja obrade ili protivno njima;

– odgovara voditelju obrade za Podizvršitelja u slučaju da isti ne ispunjava obveze vezane za zaštitu podataka.

Iz navedenog je vidljivo da je voditelju obrade zbog propisane obveze uređivanja odnosa i odgovornosti za štetu, vrlo važno sa sigurnošću utvrditi sve izvršitelje obrade i sa njima primjereno urediti odnos u dijelu zaštite osobnih podataka u skladu sa zahtjevima Opće uredbe o zaštiti podataka.