U GDPR terminologiji, izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.

Kada taj izraz prevedemo u poslovanje, izvršitelj obrade može biti poslovni partner, suradnik ili bilo koji drugi poslovni subjekt kojeg tvrtka ugovori za izvršavanje određene usluge a koja uključuje osobne podatke u vlasništvu tvrtke. Takvi osobni podaci najčešće uključuju podatke korisnika usluga ili proizvoda te tvrtke primjerice, tvrtke koje pružaju razna IT rješenja za lakše vođenje poslovanja, ali to mogu biti i podaci njihovih zaposlenika kao primjerice, u slučaju angažiranja vanjskog knjigovodstvenog ureda.

Poslovni odnos između voditelja i izvršitelja obrade nije u skladu sa zahtjevima GDPR-a ako ne sadrži sporazum, ugovor ili drugi akt u papirnatom i elektronskom obliku kojim se posebno regulira obrada osobnih podataka koje međusobno razmjenjuju. Takva regulacija može biti i sastavni dio komercijalnog ugovora ili drugog poslovnog dokumenta između ugovorenih strana. Njime se izvršitelj obrade, između ostalog, obvezuje na slijedeće:

• obrada osobnih podataka samo prema pismenim uputama tvrtke
• osobe koje su ovlaštene za rad s osobnim podacima tvrtke su se obvezale na povjerljivost
• provođenje tehničkih i organizacijskih mjera kako bi se postigla potrebna razina sigurnosti s obzirom na rizik obrade
• odobrenje od voditelja obrade za angažiranje daljnjih partnera/podizvođača izvršitelja obrade u obradi osobnih podataka voditelja obrade
• pomaže voditelju obrade u ostvarivanju sigurnosti obrade, provođenju procjene učinka na zaštitu podtaka te u slučaju povrede osobnih podataka uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade
• pomaže voditelju obrde u ostvarivanju prava ispitanika u svom krugu odgovornosti
• po izboru voditelja, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno zakonskim normama postoji obveza pohrane osobnih podataka
• voditelju obrade stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih u GDPR i koje omogućuju revizije, uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade, te im doprinose.

Premda su takvi dokumenti, popularno nazvani GDPR sporazumi, u očima stručnjaka za privatnost izgledali kao mehanizmi za jačanje povjerenja, značajan broj tvrtki uveo ga je samo kao formalno ispunjavanje regulatornih obveza bez šire predožbe kakav sve utjecaj može imati za njihovo poslovanje.

Naime, ukoliko Nadzorno tijelo utvrdi nepravilnosti ili kršenje GDPR kod izvršitelja obrade, a koji uključuje osobne podatke voditelja obrade, Nadzorno tijelo će preispitati   da li je sklopljen valjan GDPR sporazum kojim se reguliraju sva pitanja u odnosu izvršitelj-voditelj obrade sukladno odrebama GDPR te da li sporazum odgovara praksi u poslovanju.

Najčešće situacije gdje dolazi do izražaja važnost GDPR sporazuma između voditelja i izvršitelja obrade su prilikom:

• ostvarivanja nekog od prava pojedinaca (npr. zahtjev za brisanjem, ispravkom ili pristupom vlastitim osobnim podacima)
• incidenta (gubitka, povrede ili krađe) osobnih podataka

Zaključno, potpisivanjem GDPR sporazuma tvrtka se nije ogradila od vlastite odgovornosti kod obrade osobnih podataka kod izvršitelja obrade. Njena odgovornost za obradu vlastitih podataka kod izvršitelja traje cijelo vrijeme njihovog poslovnog odnosa.

Uz sve navedeno, treba naglasiti da postoje i segmenti u isključivoj odgovornosti izvršitelja obrade, a to su:

• nepoštivanje GDPR obveza isključivo vezane za izvršitelje obrade
• ako djeluje izvan dogovorenih uputa voditelja obrade
• u slučaju angažmana podizvođača bez odobrenja tvrtke u daljnjoj obradi osobnih podataka tvrtke.

Kako bi tvrtka koja je voditelj obrade postigla što veću razinu sigurnosti za vlastito poslovanje preporuka je:

• detektirati poslovne procese u kojima su GDPR sporazumi obvezni
• sukladno zahtjevima GDPR prije sklapanja Sporazuma o obradi osobnih podataka preispitati usklađenost izvršitelja obrade sa GDPR te utvrditi da li u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima GDPR i da se njome osigurava zaštita prava ispitanika
• periodički revidirati postojeću bazu izvršitelja obrade
• sukladno zahtjevima GDPR periodički preispitati da li Sporazum sa izvršiteljem obrade i njegove utvrđene tehničke i organizacijske mjere zaštite odražavaju stvarno stanje te ih revidirati u skladu s utvrđenim

Na opisani način, tvrtka u bilo kakvoj situaciji koja može predstavljati rizik , pokazuje visoku razinu brige i provjera u cilju osiguranja vlastitog poslovanja prema GDPR-u, što rezultira izostankom ili svođenjem regulatornog rizika na najmanju moguću mjeru.

www.feralis.hr

Tko je Centar Feralis?

Hrvatski centar za zaštitu podataka Feralis je organizacija koja je aktivna u području zaštite prava i sloboda građana (ispitanika) s obzirom na zaštitu njihovih osobnih podataka te pomaže poslovnim subjektima u organizaciji poslovanja u skladu s Općom uredbom.

Kao predstavnik Hrvatske u Europskoj federaciji službenika za zaštitu podataka (EFDPO) pored ostalih aktivnosti, član je nekoliko odbora za zaštitu osobnih podataka od kojih izdvajamo Artificial Intelligence (AI), zdravstveni sektor i Članak 39. Opće uredbe za sprječavanje restrikcija nacionalnih zakonodavstva u pitanju pravnog savjetovanja službenika za zaštitu podatka u svezi zaštite osobnih podataka.

Povezane vijesti

• Prvo veliko kršenje osobnih podataka ZAPOSLENIH I U JAVNOM SEKTORU GRADA PULE I POREČA
• Ines Bolkovac, direktorica hrvatskog Centra za zaštitu osobnih podataka "Feralis": POLITIČARI NISU JEDNAKO ZAŠTIĆENI KAO DRUGI GRAĐANI
• Mini vodič za samostalno uređenje web stranice U SKLADU S GDPR-om