Nedavna odluka belgijskog nadzornog tijela za zaštitu podataka istaknula je važnost postojanja sporazuma o obradi i dijeljenju podataka kojim se regulira obrada podataka i to od početka same obrade.
Slučaj
Dana 20. svibnja 2020. Ispitanik je primio kaznu za parkiranje od općine, voditelja obrade podataka, za prekršaj parkiranja. Dana 6. srpnja 2020. ispitanik je zatražio dokaze o predmetnom prekršaju parkiranja i primio nekoliko fotografija svog vozila. Također je tražio informacije o tome kako se obrađuju njegovi osobni podaci te je želio dobiti ugovor sklopljen između općine (voditelj obrade) i usluge treće strane (izvršitelj obrade) korišten za utvrđivanje i naplatu naknade. Nakon njihovog zahtjeva, ispitanik je utvrdio da u vrijeme događaja nije postojao ugovor o obradi podataka iako je obrada podataka povjerena vanjskim pružateljima usluga. Općina je ugovorila suradnju s tvrtkom krajem 2016., ali je ugovor o obradi podataka sklopljen tek 27. srpnja 2020., nakon što su podaci tog ispitanika obrađeni u svibnju te godine.
Dana 4. rujna 2020. ispitanik je podnio pritužbu protiv voditelja obrade i izvršitelja obrade zbog kršenja članka 28. stavka 3. GDPR-a, koji obvezuje voditelje obrade na provedbu ugovora o obradi podataka. DPA je 20. studenog 2020. otvorila istragu i proslijedila slučaj Inspekcijskoj službi (SI). 11. svibnja 2021. istraga SI-a je zatvorena, a slučaj je vraćen natrag DPA-u. SI je utvrdio da je ugovor o obradi između voditelja obrade i izvršitelja obrade sklopljen tek 27. srpnja 2020. Istragom je utvrđeno da u vrijeme obrade podataka ispitanika nije postojao ugovor. Međutim, ugovor od 27. srpnja 2020. uključivao je klauzulu o retroaktivnosti.
Odluka
Belgijsko tijelo za zaštitu podataka reklo je da je, radi usklađivanja sa zahtjevima GDPR-a, ugovor o obradi i dijeljenju podataka trebao biti na snazi najkasnije 24. svibnja 2018. – dan prije stupanja zakona na snagu. Važna svrha ugovora o obradi i dijeljenju podataka je pružiti ugovorni okvir za zaštitu prava ispitanika prema zakonu o zaštiti podataka. U tom kontekstu, belgijsko tijelo smatralo je da općina i tvrtka za računalni inženjering nisu mogli samo odlučiti retroaktivno primijeniti ugovor o obradi podataka od 27. srpnja 2020., tako da se primjenjuje na obradu koja se dogodila prije tog datuma –uključujući obradu na koju se ispitanik žali u ovom slučaju.
U važnom upozorenju svim tvrtkama koje sklapaju ugovore o obradi i dijeljenju podataka, bilo da su u ulozi voditelja obrade ili izvršitelja prema GDPR-u, belgijsko nadležno tijelo reklo je da postoji odgovornost i općine kao voditelja obrade i tvrtke za računalni inženjering kao izvršitelja obrade, odnosno da su obje strane trebale osigurati da je pismeni ugovor o obradi podataka na snazi u relevantno (pravo) vrijeme. Općina i tvrtka su ukoreni zbog kršenja zahtjeva GDPR-a u vezi s ugovorima o obradi i dijeljenju podataka, kao i zbog kršenja drugih zahtjeva u vezi s otkrivanjem informacija koje se odnose na obradu podataka ispitanika.
Zaključak
Iako izvršitelji imaju „znatno manje“ obveza od voditelja obrade prema GDPR-u, oni dijele odgovornost za osiguravanje sklapanja ugovora o obradi podataka prije nego što dogovori o obradi podataka stupe na snagu - uključujući, gdje je to relevantno, u svim ugovorima o pod/obradi. GDPR je jasan da svaka osoba koja djeluje pod ovlaštenjem izvršitelja obrade, a koja ima pristup osobnim podacima, ne smije obrađivati te podatke osim prema uputama voditelja obrade.
Izvršitelji obrade također se suočavaju s dodatnim obvezama, uključujući zahtjev za vođenje evidencije o svim kategorijama obrade koje provode u ime voditelja obrade. Nadalje, moraju provoditi politiku informacijske sigurnosti koja opisuje i provodi tehničke i organizacijske mjere koje im omogućuju da osiguraju razinu sigurnosti podataka primjerenu riziku, te bez nepotrebnog odgađanja obavijestiti voditelja obrade kada postanu svjesni povrede osobnih podataka.
Uz sve izvršitelji obrade također mogu biti obvezni imenovati službenika za zaštitu podataka, pridržavati se pravila koja uređuju međunarodnu prijenos osobnih podataka, te surađivati s tijelima za zaštitu podataka u obavljanju njihovih zadaća.
