Voditelj obrade- izvršitelj obrade- podizvršitelj- podpodizvršitelj... - nužne promjene Ugovora o obradi i dijeljenju podataka

Odnos voditelja i izvršitelja obrade - Mišljenje EDPB-a - nije dovoljno navesti samo podizvršitelje u Ugovorima o obradi i dijeljenju podataka. Pročitajte u kojem dijelu morate mijenjati/ dopunjavati ugovore.

Dana 9. listopada 2024., Europski odbor za zaštitu podataka (EDPB) izdao je mišljenje 22/2024, dajući smjernice o odnosu voditelja obrade, izvršitelja obrade i podizvršitelja. Evo bitnih zaključaka:

Ako vaša tvrtka djeluje kao voditelj obrade

1. Vi odlučujete - vaš izvršitelj može preporučiti korištenje određenog podizvršitelja, ali konačna odluka ostaje na vama. Vi ste odgovorni za osiguravanje dostatnih jamstava kod vašeg izvršitelja obrade kako biste osigurali da podizvršitelji obrade štite prava ispitanika prema članku 28(1).
2. Držite informacije pri ruci: Ako se vaš izvršitelj oslanja na podizvršitelje za obradu podataka za vas, morate imati detaljne informacije o njima spremne. To uključuje njihovo ime, adresu i osobu za kontakt. To nije samo za dobru praksu - potrebno je kako bi se osigurala usklađenost s člankom 28. stavkom 1. GDPR-a (tj. kako bi se osiguralo da imate potrebne informacije kada vam se obrati nadzorno tijelo ili ispitanik).
3. Imajte povjerenje, ali i provjerite: dopušteno vam je osloniti se na informacije od svojih izvršitelja obrade u vezi s podizvršiteljem bez provođenja vlastitog audita, ali kada obrada predstavlja veliki rizik za prava i slobode ispitanika — trebali biste još jednom provjeriti. To ne znači da trebate sustavno pregledavati sve ugovore o podobradi (iako možete utvrditi da je to potrebno), ali biste trebali procijeniti od slučaja do slučaja trebate li pregledati određene ugovore i informacije kako biste osigurali dostatna jamstva.
4. Međunarodni prijenosi podataka: Ako se osobni podaci šalju izvan Europskog gospodarskog prostora ("EGP") između dva podizvršitelja obrade, i dalje podliježete svojim dužnostima prema članku 28(1) kako biste osigurali da razina zaštite nije narušena međunarodnim prijenosom. Možete provesti provjeru više razine svojih podizvršitelja kako biste bili sigurni da su u skladu s člankom 28(1).

Ako vaša tvrtka djeluje kao izvršitelj

1. Budite proaktivni: Ako djelujete kao izvršitelj obrade, važno je informirati svoje klijente (voditelje obrade). Trebali biste im proaktivno pružiti sve relevantne informacije o svim podizvršiteljima koje koristite i jamstvima koja vam daju. Transparentnost pomaže u izgradnji povjerenja i osigurava da svi znaju kako se postupa s podacima. Na primjer, dobra je praksa periodično ažuriranje popisa podizvršitelj koji su dostupni voditeljima obrade.
2. Pitanja odgovornosti: Ako ugovor s podizvršiteljem obrade ne sadrži iste obveze zaštite podataka kao ugovor s voditeljem obrade, ostajete u potpunosti odgovorni voditelju obrade za propuste podizvršitelja obrade. To je jasno navedeno u članku 28(4) GDPR-a, stoga je ključno da vaši podizvršitelji slijede iste standarde zaštite podataka koje ste se dogovorili s voditeljem obrade.
3. Čuvajte dokumente: dužni ste svom voditelju obrade staviti na raspolaganje sve informacije potrebne za dokazivanje usklađenosti s GDPR-om prema članku 28. stavku 3. točki (h).

Izrada ugovora s voditeljima obrade, izvršiteljima obrade i podizvršiteljima obrade

1. Preporučeni nacrt EDPB-a: Prilikom sastavljanja ugovora između voditelja obrade i izvršitelja obrade, ključno je načelo da izvršitelj obrade može obrađivati ​​podatke samo u skladu s uputama koje je dao voditelj obrade, osim ako pravila Unije ili države članice ne određuju drugačije. EDPB preporučuje uključivanje riječi poput "osim ako to zahtijeva pravo Unije ili države članice" kako bi se osiguralo da je ugovor u skladu s GDPR-om.
2. Upravljanje s rizicima trećih zemalja: Ako dva ugovora s podizvršiteljima uključuju treće zemlje (izvan EGP-a), budite posebno oprezni. EDPB naglašava da neki zakoni izvan EGP-a možda ne zadovoljavaju visoke standarde GDPR-a. Stoga, prije sklapanja ugovora, procijenite mogu li zakoni trećih zemalja ugroziti zaštitu zajamčenu GDPR-om i osigurajte da ugovor odražava ta razmatranja.

Sažetak

Naposljetku, mišljenje EDPB-a 22/2024 ističe da su voditelji obrade odgovorni za osiguravanje usklađenosti izvršitelja i podizvršitelja s GDPR-om. Voditelji obrade moraju imati detaljne informacije o svojim izvršiteljima, provjeriti usklađenost u visokorizičnim situacijama i osigurati odgovarajuće zaštitne mjere za međunarodne prijenose podataka. Izvršitelji obrade, s druge strane, moraju biti transparentni s voditeljima obrade, osigurati da su usklađeni i sa standardima GDPR-a i sklopiti ugovor s podizvršiteljima pod istim uvjetima kao što su sklopili sa svojim voditeljem obrade.

Presido je posvećen pomaganju tvrtkama da se snađu u složenosti njihovih zahtjeva za zaštitu podataka, u EU, Ujedinjenom Kraljevstvu i globalno te pruža prilagođenu podršku kako bi tvrtke predvidjele i ispunile svoje obveze.

Ako želite znati više, pripremili smo sažetak Mišljenja EDPB 22/2024 kojeg možete dobiti (nenaplatno) popunjavanjem obrasca niže.