Jeste li voditelji obrade ili izvršitelji obrade prema GDPR-u?

Obveznike primjene Opća uredba o zaštiti osobnih podataka (u nastavku: GDPR) dijeli na voditelje obrade i izvršitelje obrade. Za organizacije koje su uključene u obradu osobnih podataka iznimno je bitno znati jesu li u pogledu te obrade voditelj obrade ili izvršitelj obrade. To može biti naročito važno u slučaju nastupa kakve povrede osobnih podataka, ali i prije toga, kako bi se znalo tko treba ispuniti koju obvezu iz GDPR-a, jer obveze nisu istovjetne za jedne i druge.

Definicije pojmova prema GDPR-u

Voditelj obrade znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka. U slučaju kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice (npr. poslodavac prema Zakonu o radu isplaćuje plaću i dužan je prikupljati određene podatke u tu svrhu).

S druge strane, izvršitelj obrade znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.

Sama činjenica što jedna organizacija pruža drugoj neku uslugu ne čini je nužno izvršiteljem obrade, jer ona može biti voditelj obrade po vlastitom pravu, ovisno o kontroli koju ima nad postupkom obrade.

Procjena statusa u slučaju nejasnoća

Budući da ponekad zna biti zbunjujuće definiranje svog statusa, u procjeni toga jesmo li prilikom kakve obrade osobnih podataka voditelj obrade ili izvršitelj obrade može nam pomoći davanje odgovora na sljedeća pitanja:

  1. Koja organizacija uopće prikuplja osobne podatke i temeljem koje (zakonite) osnove?
  2. Koji podaci se prikupljaju tj. sadržaj podataka?
  3. U koju svrhu se podaci koriste?
  4. O kojim ispitanicama se podaci prikupljaju?
  5. Dostavljaju li se trećim osobama, i ako da, kojim?
  6. Primjenjuju li se prava ispitanika ili neka od ograničenja?
  7. Koliko dugo se čuvaju podaci?

Navedene odgovore i odluke o ovim pitanjima može donijeti samo voditelj obrade, dok bi u okviru odnosa s voditeljem obrade, izvršitelj obrade mogao odlučivati o tehničkim pitanjima (npr. o tome kojim IT sustavom ili drugom metodom se prikupljaju podaci, kako se pohranjuju osobni podaci i kojim stupnjem sigurnosti, načinu prijenosa osobnih podataka iz jedne organizacije u drugu, načinu pridržavanja rasporeda u čuvanju osobnih podataka i/ili načinu brisanja ili zbrinjavanja osobnih podataka).

Primjer odnosa voditelja obrade i izvršitelja obrade

Uzmimo npr. da banka sklopi ugovor s IT tvrtkom ugovor za pohranu podataka u njeno ime. Banka i nadalje kontrolira kako i zašto se podaci koriste, te određuje koliko dugo će se isti čuvati. IT tvrtka će u okviru svoje profesionalne djelatnosti i stručnosti odrediti najbolji način pohrane podataka na siguran i pristupačan način. Unatoč toj slobodi, IT tvrtka nije voditelj obrade. To stoga što banka i nadalje zadržava kontrolu nad svrhom radi koje se podaci obrađuju i nad sadržajem podataka, ali ne i oko načina na koji se obrada odvija.

Neka organizacija ne može za istu obradu podataka biti istodobno voditelj obrade i izvršitelj obrade, već ili jedno ili drugo.

Ključno je dakle tko ima kontrolu nad sadržajem osobnih podataka, s tim da neka organizacija ne može za istu obradu podataka biti istodobno voditelj obrade i izvršitelj obrade, već ili jedno ili drugo.

No, kako u navedenom primjeru IT tvrtka ima svoje obveze i odgovornost za osobne podatke koje obrađuje npr. kao poslovni subjekt (npr. d.o.o. ili obrtnik) prema vlastitim zaposlenicima, svojim klijentima (od kojih je banka samo jedna od), dobavljačima i sl., tu se IT tvrtka nalazi u svojstvu voditelja obrade i Te obveze i odgovornosti ne tiču se obrade podataka koju IT tvrtka vodi kao izvršitelj obrade za banku.

Ugovor između voditelja obrade i izvršitelja obrade

Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice. U pravilu će biti potreban ugovor, za koji GDPR zahtijeva da bude sklopljen u pisanom obliku. Ugovor je bitan kako bi obje strane shvatile svoje obveze i odgovornosti, a njegov obvezni sadržaj propisan je u čl. 28. st. 3. Uredbe. U budućnosti mogu biti utvrđene standardne klauzule od strane Europske komisije ili nadzornih tijela, s tim da u trenutku objave ovog članka takve klauzule još nisu utvrđene.

Natrag