Početna Blog Mišljenje EDPB-a o odgovornostima voditelja obrade i izvršitelja obrade

Mišljenje EDPB-a o odgovornostima voditelja obrade i izvršitelja obrade

Svi članci
20.01.2025.

Vječito pitanje i nedoumica mnogima je posluje li sa društvom koje je u ulozi izvršitelja obrade, zajedničkog voditelja obrade ili se radi o samostalnom voditelju obrade?

Ne pomaže gatanje već samo činjenice i temeljni ugovorni odnos.

Danski DPA postavio je nekoliko pitanja EDPB-u, usredotočujući se na scenarije u kojima voditelj obrade angažira izvršitelja obrade, koji pak zatim angažira druge (pod)izvršitelje obrade prema članku 28. GDPR-a. Pitanja su se odnosila na različite aspekte takvih lanaca (pod)obrade.

Mišljenje je izdano bez uobičajene javne rasprave koja prethodi donošenju Smjernica EDPB-a jer ona nije potrebna za mišljenja koja daje EDPB prema članku 64. GDPR-a.

Čime se bavi EDPB

Mišljenje se bavi mjerom u kojoj izvršitelji obrade moraju otkriti sve podizvršitelje obrade uključene u lanac obrade prema zahtjevu, između ostalog, za dobivanje posebnog ili općeg odobrenja za podizvršitelje obrade u članku 28. stavku 2. GDPR-a. Ovo se svodi na pitanje je li dovoljno otkriti samo prvi red podobrađivača ili je potrebno otkriti i podobrađivače podizvršitelja/ podobrađivača  (i tako dalje niz lanac). Je li potrebno specifično ili opće odobrenje?

Na prvi pogled (što nije iznenađujuće) EDPB zauzima prilično strog stav, navodeći da bi 'izvršitelj obrade trebao voditelju obrade proaktivno pružiti sve informacije o identitetu svih (pod) izvršitelja obrade, (pod) podizvršitelja obrade itd. koji obrađuju podatke u ime voditelja obrade, te treba stalno ažurirati ove informacije o svim uključenim podobrađivačima.'

U praksi to u biti znači da EDPB očekuje da identitet svih izvršitelja obrade u lancu obrade mora biti dostupan voditelju obrade (u svakom trenutku). Međutim, EDPB priznaje da je  moguće u odnosu na voditelja obrade i izvršitelja obrade da se međusobno dogovore kako i u kojem formatu te informacije mogu (će) biti dostupne, što ostavlja određeni prostor za fleksibilnost u ispunjavanju ovog zahtjeva.

Tko je odgovoran za što?
Europski odbor za zaštitu podataka (EDPB) usvojio je mišljenje o podjeli odgovornosti voditelja i izvršitelja obrade (22/2024). To odražava, uglavnom, pristup koji odgovara svima, sa zahtjevima koji se primjenjuju bez obzira na to uključuje li aranžman dugotrajnu obradu osobnih podataka velikih razmjera ili je obrada manjih opsega.

U Mišljenju se naglašava da su voditelji obrade u konačnici odgovorni za niz obveza (niša novo), od kojih je većina pod svakodnevnom kontrolom njihovih izvršitelja obrade i podizvršitelja. To će zahtijevati od voditelja obrade razmatranje načina na koji upravljaju svojim dobavljačima odnosno izvršiteljima obrade u budućnosti s obzirom na fokus EDPB-a na nadzor obrade kroz lanac od strane voditelja obrade te će zahtijevati proaktivniji angažman i provjeru usklađenosti izvršitelja (i podizvršitelja). Također, adekvatna provjera izvršitelja će imati dodatni učinak u drugim područjima, kao što su obavijesti o privatnosti i evidencijama obrade, s obzirom na to da EDPB pojašnjava da bi svi oni koji obrađuju osobne podatke (tj. cijelim nizom u lancu) trebali biti navedeni kao „primatelji ” osobnih podataka.


Tržišna praksa ustalila se u pristupu uključivanja obveznih uvjeta/ obveza izvršitelja iz članka 28. stavka 3. GDPR-a

Prema članku 28. stavak 1. GDPR-a, voditelji obrade moraju angažirati izvršitelje obrade koji pružaju „dovoljna jamstva” za provedbu odgovarajućih mjera kako bi se osigurala usklađenost s GDPR-om i zaštitila prava ispitanika, bez obzira na razinu rizika povezanu s relevantnim aktivnostima obrade. Međutim, EDPB priznaje da će opseg potrebne provjere varirati, ovisno o razini uključenog rizika i, prema tome, prirodi potrebnih tehničkih i organizacijskih mjera.

Provjera ugovora s podizvršiteljima: početni izvršitelj obrade treba predložiti samo one podizvršitelje obrade koji nude dostatna jamstva u pogledu tehničkih i organizacijskih mjera. Međutim, krajnja odgovornost za provjeru ovih jamstava leži na voditelju obrade. Voditelj obrade mora biti u mogućnosti dokazati da je provjerio dostatnost jamstava koje su dali njegovi (pod)izvršitelji obrade. Nadalje, treba povećati razinu verifikacije za visokorizičnu obradu.

Ono što je ključno, EDPB navodi da voditelji obrade ne moraju sustavno tražiti svaki ugovor o podobradi kako bi provjerili jesu li obveze zaštite podataka iz njihovog početnog ugovora s izvršiteljem obrade izvršene. Zahtjeve treba procijeniti od slučaja do slučaja. Umjesto navedenoga, voditelj obrade može se osloniti na informacije koje je dostavio početni izvršitelj obrade ako informacije koje je dostavio izvršitelj obrade stvarno pokazuju usklađenost.

Ključne promjene koje se moraju odraziti i koje se očekuju u praksi uključuju sljedeće.

Podizvršitelji

  • Ako voditelj obrade prihvati određene podizvršitelje u trenutku sklapanja ugovora, oni bi trebali biti navedeni u ugovoru.
  • Izvršitelji obrade moraju proaktivno obavještavati voditelje obrade o identitetu i aktivnostima obrade podizvršitelja obrade (i onih koji su niže u lancu) – to uključuje naziv i adresu organizacija i pojedinosti relevantne osobe za kontakt u svakoj od njih.
  • Ako voditelj obrade daje opće ovlaštenje za imenovanje podizvršitelja obrade, izvršitelj obrade mora voditelju obrade dati priliku da odobri njihov popis u trenutku sklapanja ugovora. U ugovoru se također moraju utvrditi kriteriji koje će izvršitelj obrade koristiti pri budućem odabiru podizvršitelja.

Međunarodni transferi

  • Prije međunarodnog prijenosa izvršitelji obrade (i podizvršitelji) trebaju voditelju obrade dostaviti kopiju procjene rizika prijenosa i ispunjene standardne ugovorne klauzule. Voditeljima obrade također je potrebna mogućnost traženja dodatnih informacija ako nakon pregleda tih materijala ne smatraju da su dostatni.
  • Ako se (pod)izvršitelj obrade oslanja na odluku o primjerenosti, mora o tome obavijestiti voditelja obrade kako bi voditelj mogao provjeriti pokriva li odluka o primjerenosti relevantni prijenos.

Voditelji obrade i dalje su odgovorni za osiguravanje dovoljnih jamstava da će osobni podaci biti zaštićeni kada se podaci prenose izvan EGP-a između izvršitelja obrade (čak i ako se početni izvršitelj obrade kojeg je angažirao voditelj obrade nalazi u EGP-u). To uključuje provođenje procjene utjecaja prijenosa (TIA) za procjenu pravnih i praktičnih implikacija takvih daljnjih prijenosa. U praktičnom smislu, to znači da izvršitelj obrade izvoznik treba pomoći kontroloru pripremom relevantne dokumentacije, koju kontrolor može procijeniti i na koju se može osloniti za potrebe vlastitog TIA-a.

Kopije ugovora o podizvršitelju

  • Voditelji obrade imaju pravo zahtijevati kopije ugovora o podizvršitelju kako bi mogli, ako je potrebno, osigurati da su obveze prenesene svima u lancu te da se poštuju.

Ugovorni jezik o dokumentiranim uputama

EDPB raspravlja o zahtjevu za izvršitelje obrade da obrađuju osobne podatke samo u skladu s dokumentiranim uputama voditelja obrade, osim ako se to „zahtijeva prema zakonu Unije ili države članice kojem podliježe izvršitelj obrade” (čl. 28. (3)(a) GDPR). Iako se visoko preporučuje uključivanje termina i odredbi koji/koje odražava ovaj zahtjev, to nije obavezno i ​​strane zadržavaju slobodu prilagođavanja ugovora voditelja i izvršitelja obrade, prema potrebi u okviru ograničenja članka 28. stavka 3. GDPR-a.

EDPB zaključuje da alternativna formulacija kao što je "osim ako to zahtijeva zakon ili obvezujući nalog državnog tijela" ne krši članak 28. GDPR -a, ali ne oslobađa voditelja obrade i izvršitelja obrade njihovih obveza prema GDPR-u. Nadalje, ovaj alternativni tekst ne može se tumačiti kao dokumentirana uputa voditelja obrade podataka.

Kakav je praktični učinak EDPB mišljenja?

Mišljenje EDPB- a nije nacrt i odmah se primjenjuje. Međutim, on nije pravno obvezujući i umjesto toga pruža smjernice o tome kako bi se GDPR trebao primjenjivati ​​prema mišljenju tijela EU-a za zaštitu podataka.

Nacionalna tijela za zaštitu podataka razmotrit će ovo mišljenje prilikom primjene GDPR-a, primjerice tijekom nadzornih aktivnosti. Slijedom toga, i voditelji i izvršitelji obrade trebali bi uzeti u obzir stajališta koja je izrazio EDPB kao dio svojih sustava upravljanja zaštitom podataka i napora za usklađivanje s GDPR-om. Ključne točke koje treba razmotriti navedene su u nastavku.

Identifikacija podizvršitelja

Tvrtke bi trebale obratiti posebnu pozornost na zahtjev EDPB-a da voditelji obrade mogu identificirati sve izvršitelje obrade uključene u lanac (pod)obrade u bilo kojem trenutku.

Na prvi pogled, to bi se moglo shvatiti kao dodavanje novog sloja odgovornosti za voditelje obrade za vođenje evidencije o njihovim cjelokupnim lancima (pod)obrade. Međutim, Mišljenje dopušta određeni stupanj diskrecije u načinu na koji su voditelji obrade i izvršitelji obrade ispunili te zahtjeve.

Voditelji obrade bi prvo trebali procijeniti na koji način njihovi trenutni ugovori s izvršiteljima obrade podržavaju usklađenost s ovim zahtjevom. Ako postojeća praksa ne uspije, trebali bi uspostaviti novi mehanizam za pristup potrebnim informacijama i odgovarajućoj razini detalja (tj. navođenje imena, adrese, osobe za kontakt i opisa obrade za svakog (pod)obrađivača u lanac).

Iako se u Mišljenju odgovornost definira kao odgovornost voditelja obrade, njihova sposobnost usklađenosti ovisi o informacijama koje dostavlja izvršitelj(i). Stoga bi izvršitelji obrade i podizvršitelji trebali kreativno razmotriti način na koji dokumentiraju identitet svojih vlastitih podizvršitelja i održavati učinkovite mehanizme za dijeljenje ažuriranih popisa s voditeljima obrade na zahtjev.

Postupci provjere

Voditelji obrade bi, također, trebali pregledati svoje postupke provjere kako bi osigurali da imaju odgovarajuće provjere i ravnoteže odnsono da imaju uspostavljene odgovarajuće mehanizme provjere. Trebao bi postojati dokaz o postupku provjere izvršitelja obrade kako bi se nadzornim tijelima pokazala usklađenost s GDPR-om.

Due diligence mora biti jasan za sve obrade, s pojačanim nadzorom za visokorizične aktivnosti obrade. Voditelji obrade mogu se osloniti na informacije o podizvršitelju koje je dostavio izvršitelj obrade, ali su odgovorni za provjeru svih nepotpunih ili netočnih informacija. U konačnici voditelj obrade snosi odgovornost za dokazivanje da svaki podizvršitelj obrade pruža dostatna jamstva.

Zaključak

Iako Mišljenje nije pravno obvezujuće kako je i ranije napisano, značajno će utjecati na očekivanja koja se postavljaju voditeljima obrade u vezi s njihovim lancima (pod)obrade. Ovo mišljenje služi kao podsjetnik za voditelje obrade da uspostave jasne procedure te dobiju dogovore koji će im omogućiti identificiranje i provjeru jamstava koja daje svaki pravni subjekt u lancu.

Izvršitelji obrade bi pak trebali osigurati da su informacije koje daju voditeljima obrade točne, ažurne i dovoljno detaljne. Kao rezultat toga, tvrtke mogu predvidjeti pojačani fokus na ove mehanizme i postrožiti ugovorni jezik u budućim ugovorima između voditelja obrade i izvršitelja obrade.

 

 

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.