NOVE SMJERNICE: voditelj obrade – izvršitelj obrade – zajednički voditelji obrade
Europski odbor za zaštitu podataka (EDPB) izdao je konačnu verziju svojih smjernica 07/2020 o konceptima voditelja i izvršitelja obrade osobnih podataka.
Glavni cilj je objasniti značenje pojmova i pojasniti različite uloge i raspodjelu odgovornosti između njih.
Ovdje možete pronaći cijeli dokument:
https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf
Ako vas zanimaju razlike između prve i trenutne verzije, na ovom linku može pronaći dokument u kojem su označene promjene (dokument je izradio Dr. Wilfred Steenbruggen, nizozemski stručnjak za zaštitu podataka).
https://drive.google.com/file/d/1Kh7hTVuynlHYMJd0Vq6pSkpEdYfTHJaM/view?usp=sharing
Naglasak u novim smjernicama je na sljedećem: detaljna procjena uloga unutar svakog odnosa, koncept "zbližavanja odluka" kod zajedničkih voditelja te podsjetnik iz EDPB-a da „treće strane“ NISU voditelj obrade, izvršitelj obrade ili ispitanik.
Prema članku 4. GDPR-a, „voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.
„Izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.
Voditelj obrade je prvenstveno odgovoran za dokazivanje usklađenosti s GDPR-om, izvršitelj obrade je odgovoran u području GDPR obveza koje se tiču njega, dok su zajedno i voditelj i izvršitelj obrade izloženi novčanim kaznama u slučaju njihovog kršenja GDPR-a kao što su obvezni i surađivati s nadzornim tijelom.
I voditelj i izvršitelj obrade mogu biti i fizičke osobe ili skupina fizičkih osoba. No, u najvećem broju slučajeva to su pravne osobe.
Često je uloga voditelja ili izvršitelja obrade definirana zakonima ili drugim propisima.
Jasni primjeri voditelji obrade su poslodavci koji prikupljaju i obrađuju podatke svojih zaposlenika ili web shop koji prikuplja podatke svojih kupaca.
Zaposlenik koji u ime svog poslodavca obrađuje osobne podatke nije voditelj niti izvršitelj obrade, već je njegov poslodavac voditelj ili izvršitelj obrade.
Što se tiče ugovora o poslovnoj suradnji, ako nije jasno naznačeno, ona strana koja određuje zašto i kako se obrađuju osobni podaci je voditelj obrade. Izvršitelj obrade ponekad može odrediti kako će se prikupljati i obrađivati osobni podaci, ali on neće određivati svrhu obrade.
Voditelj uvijek određuje ključne elemente obrade podataka: vrste osobnih podataka koji se obrađuju („Koji će se podaci obrađivati?“), trajanje obrade („Koliko dugo će se obrađivati?“), kategorije primatelja („Tko će im imati pristup?“), kategorije ispitanika („Čiji se osobni podaci obrađuju?“).
Zajedno sa svrhom obrade, on također određuje je li obrada zakonita, potrebna i proporcionalna.
S druge strane, npr. određivanje softwarea ili hardwarea za određenu obradu osobnih podataka nije esencijalno za obradu, stoga to može određivati i izvršitelj obrade. U tom slučaju voditelj obrade mora biti upoznat s time te to mora odobriti. Također, nije ključno da voditelj obrade uvijek ima pristup osobnim podacima, bitno je da ima glavnu ulogu u određivanju svrhe obrade.
Voditelj obrade svakako ostaje odgovoran za provedbu odgovarajućih tehničkih i organizacijskih mjera kako bi se osiguralo i moglo dokazati da se obrada vrši u skladu s GDPR-om. Pritom voditelj obrade mora uzeti u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike za prava i slobode ispitanika. Iz tog razloga voditelj obrade mora biti u potpunosti informiran o tome koja sredstva se koriste kako bi mogao donijeti utemeljenu odluku u vezi toga. Da bi voditelj obrade mogao dokazati zakonitost obrade, preporučljivo je dokumentirati minimalne potrebne tehničke i organizacijske mjere u ugovoru ili drugom pravno obvezujućem instrumentu između voditelja obrade i izvršitelja obrade.
Izvršitelj obrade mora biti zaseban entitet u odnosu na voditelja i mora vršiti obradu u ime voditelja obrade. Jedna tvrtka unutar poslovne grupacije može biti izvršitelj drugoj članici grupe.
Ako ne postoji pisani ugovor iz članka 28. GDPR-a ili drugi pravni akt, to predstavlja kršenje GDPR-a koje je kažnjivo, ali odnos voditelj - izvršitelj i dalje postoji. EDPB predlaže da ugovor iz članka 28. GDPR-a bude u formi aneksa glavnom ugovoru o poslovnoj suradnji, odnosno, ili izdvojen iz glavnog ugovora.
Sadržaj ugovora ne smiju biti prepisane odredbe GDPR-a
Obvezan sadržaj ugovora mora uključivati vrstu obrade, trajanje, prirodu obrade i svrhu, kao i kategorije osobnih podataka i ispitanika i prava i obveze voditelja obrade. Izvršitelj može obrađivati podatke izvan pisanih uputa voditelja obrade samo kada to od njega zahtijevaju važeći zakoni. Voditelj obrade može specificirati mjere sigurnosti obrade. Voditelj obrade ima pravo provesti reviziju rada izvršitelja obrade. Izvršitelj obrade može izravno obavijestiti nadzorno tijelo i osobe čiji su osobni podaci kompromitirani, ako je dobio dozvolu voditelja obrade.
Zajednički voditelji obrade
Ako dvoje ili više voditelja obrade zajednički odrede svrhe i načine obrade, oni su zajednički voditelji obrade. Oni na transparentan način određuju svoje odgovornosti za poštovanje obveza iz GDPR-a, osobito s obzirom na ostvarivanje prava ispitanika i svojih dužnosti u pogledu pružanja informacija, te to čine međusobnim dogovorom, osim ako su odgovornosti voditelja obrade utvrđene pravom Unije ili pravom države članice kojem voditelji obrade podliježu i u mjeri u kojoj su one utvrđene. Dogovorom se može odrediti kontaktna točka za ispitanike. Dogovor mora odražavati pojedinačne uloge i odnose zajedničkih voditelja obrade u odnosu na ispitanike. Bit dogovora mora biti dostupna ispitaniku. Bez obzira na uvjete dogovora ispitanik može ostvarivati svoja prava iz GDPR-a u vezi sa svakim voditeljem obrade, kao i protiv svakog od njih.
Zajedničko sudjelovanje u utvrđivanju svrha i sredstava podrazumijeva to da više od jednog entiteta ima presudan utjecaj na to odvija li se i kako se odvija obrada osobnih podataka. U praksi zajedničko sudjelovanje može imati nekoliko različitih oblika. Na primjer, zajedničko sudjelovanje može imati oblik zajedničkog odluke koju su donijeli dva ili više entiteta ili je rezultat konvergentnih odluka dvaju ili više entiteta u pogledu svrha i bitnih sredstava.
U nastavku vam donosimo neke primjere koje je naveo EDPB:
VODITELJ OBRADE
Taksi tvrtka nudi internetsku platformu koja drugim tvrtkama omogućuje rezerviranje taksija za prijevoz zaposlenika ili gostiju do i od zračne luke. Prilikom rezervacije taksija, tvrtka ABC navodi naziv zaposlenika kojeg treba pokupiti iz zračne luke kako bi vozač mogao potvrditi identitet zaposlenika u trenutku preuzimanja. U ovom slučaju taksi služba obrađuje osobne podatke zaposlenika kao dio usluge tvrtke ABC, ali obrada kao takva nije cilj usluge. Taksi usluga osmislila je platformu za internetske rezervacije kao dio razvoja vlastite poslovne aktivnosti za pružanje usluge prijevoza, bez ikakvih uputa tvrtke ABC. Taksi služba također samostalno određuje kategorije podataka koje prikuplja i koliko dugo ih čuva. Taksi služba stoga djeluje kao voditelj obrade, bez obzira na to što se obrada odvija nakon zahtjeva za uslugom od strane tvrtke ABC.
IZVRŠITELJ OBRADE
U ovom slučaju tvrtka A je voditelj, a tvrtka B izvršitelj obrade.
Tvrtka A angažira tvrtku B da administrira plaće za tvrtku A. Tvrtka A daje jasne upute kome idu isplate, u kojem iznosu, s kojim datumom, preko koje banke, kako dugo se podaci spremaj… Tvrtka B odlučuje koji će software koristiti i tko će imati pristup podacima unutar svoje tvrtke. U ovom slučaju obrada podataka provodi se u svrhu da tvrtka A isplati plaće svojim zaposlenicima, a tvrtka B ne smije koristiti podatke u bilo koju vlastitu svrhu. Način na koji tvrtka B treba provesti obradu je u osnovi jasno i strogo definirana. Ali tvrtka B može odlučiti o određenim detaljima obrade, poput kojih softver će se upotrijebiti, kako distribuirati pristup unutar vlastite organizacije itd. To ne mijenja njezinu ulogu kao izvršitelja obrade sve dok poštuje upute koje je dobila od tvrtke B.
ZAJEDNIČKI VODITELJI OBRADE
Tvrtka X pomaže tvrtki Y u zapošljavanju novog osoblja - tvrtka X traži prikladne kandidate i među životopisima koje je tvrtka Y izravno primila i među onima koje već ima u vlastitoj bazi podataka. Bazu podataka kreira i njome upravlja tvrtka X samostalno. To će osigurati tvrtki X poboljšanje poslovanja što će dovesti i do povećanja njezinih prihoda. Iako formalno nisu zajedno donijele odluku, tvrtke X i Y zajedno sudjeluju u obradi podataka u svrhu pronalaženja prikladnih kandidata na temelju konvergentne odluke: odluka o stvaranju baze podataka radi usluge koju nudi tvrtka X i odluka tvrtke Y da obogati bazu podataka životopisima koje izravno dobiva. Takve odluke međusobno se nadopunjuju, nerazdvojne su i neophodne. Stoga bi ih u ovom konkretnom slučaju trebalo smatrati zajedničkim voditeljima obrade. Međutim, tvrtka X jedini je voditelj obrade svoje baze podataka, a tvrtka Y jedini je voditelj naknadne obrade podataka u svrhu za zapošljavanje (organizacija intervjua, sklapanje ugovora i upravljanje HR podacima).
