Kako se regulira odnos voditelja i izvršitelja obrade osobnih podataka?

Stručnjaci odgovaraju.

DATUM: 31.05.2018.

Prema Općoj uredbi o zaštiti osobnih podataka, voditelji obrade moraju osigurati da osobne podatke kojima raspolažu daju na obradu izvršiteljima obrade koji su usklađeni s Općom uredbom, odnosno koji „ u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera tako da je obrada u skladu sa zahtjevima iz ove Uredbe i da se njome osigurava zaštita prava ispitanika.“ (Članak 28 stavak 1 Opće uredbe).

Prvi korak u osiguravanju ove usklađenosti izvršitelja obrade jest da se odnos voditelja i izvršitelja uredi posebnim ugovorom koji je definiran u članku 3 Opće uredbe, a koji „izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade.“

Što ugovor s izvršiteljem obrade mora sadržavati prema GDPR-u?

Ugovor s izvršiteljem obrade, među ostalim, minimalno definira sljedeće stavke:

  1. Obvezu da Izvršitelj obrađuje osobne podatke isključivo na temelju uputa voditelja obrade. Ovo se osobito odnosi na situacije u kojima se mogu dogoditi prijenosi osobnih podataka trećoj zemlji ili međunarodnoj organizaciji.
  2. Stavku u kojoj se navodi da će se osobe koje će izvršavati obradu osobnih podataka obvezati na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti;
  3. Potvrdu da će izvršitelj poduzeti sve potrebne sigurnosne mjere uključujući one propisane na drugim mjestima u Uredbi (članak 32)
  4. Obvezu izvršitelja da će prije angažiranja trećih strana u obradi podataka (‘podugovarača’) za to dobiti privolu voditelja obrade
  5. Obvezu pružiti pomoć voditelju obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika
  6. Pomoći voditelju obrade u osiguravanju usklađenosti s obvezama propisanima u Općoj uredbi što uključuje i odgovarajuće mjere sigurnosti, postupanje u slučaju povrede osobnih podataka i drugo
  7. Po izboru voditelja, opciju brisanja ili povrata voditelju obrade svih osobnih podataka nakon dovršetka pružanja usluga vezanih za obradu te brisanja postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka;
  8. Obvezu da će voditelju obrade staviti na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih u ovom članku i koje omogućuju revizije, uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade, te im doprinose.