Voditelj obrade – izvršitelj obrade – podizvršitelj obrade – zajednički voditelji – kako se klasificirati?

Odredbe Opće uredbe o zaštiti osobnih podataka uređuju pravila ponašanja voditelja i izvršitelja obrade, neovisno da li se sami nalaze unutar Europske unije ili samo obrađuju podatke u Europskoj uniji. U svakom slučaju ukoliko se ispitanik nalazi u Europskoj uniji odredbe Uredbe se uvijek primjenjuju na bilo kojeg voditelja ili izvršitelja obrade, te na podizvršitelje obrade.

Voditelj određuje svrhu i sredstva obrade a izvršitelj radi po uputama i nalozima Voditelja te može nastupati i raditi u ime Voditelja. Ponekad je teško razlikovati uloge, no zakon daje sljedeću definiciju uloga:

Voditelj obrade znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.

Izvršitelj obrade znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.

Odnos voditelja i izvršitelja ponekad je složen te je teško jasno definirati i odvojiti uloge.

 

Uredba precizira i pojam zajedničkih voditelja obrade, koji postoje ako zajednički odrede svrhe i načine obrade. Oni na transparentan način određuju svoje odgovornosti za poštovanje obveza osobito s obzirom na ostvarivanje prava ispitanika i svojih dužnosti u pogledu pružanja informacija ispitanicima te to čine međusobnim dogovorom. Dogovorom između zajedničkih voditelja se može odrediti kontaktna točka za ispitanike, ali odgovornost prema ispitanicima je solidarna.

Obrada koju provodi izvršitelj obrade u ime voditelja obrade uređuje se ugovorom ili drugim pravnim aktom, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade. Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade (tzv. podizvršitelj) bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. Ukoliko određena osoba nema u posjedu potpisan ugovor o obradi osobnih podataka (iako bi ugovor trebao postojati) isto ne znači da je ta osoba nužno voditelj obrade, već je moguće da radi i postupka prema nalozima druge osobe, te se time nalazi u ulozi izvršitelja obrade, sa specifičnim zakonskim obvezama.  

Odgovornost voditelja obrade šira je od odgovornosti izvršitelja, a što je vidljivo među ostalim i iz pravila o naknadi štete. Razlikovanje je također bitno za slučajeve povrede osobnih podataka, način postupanja i radi utvrđivanja odgovornosti u svezi s povredom osobnih podataka. Voditelj obrade mora moći vršiti kontrolu glede svrhe i načina obrade osobnih podataka, izvršitelj u pravilu nema takvu kontrolu.

Ukoliko osoba A isporučuje usluge osobi B, koja daje upute i naloge osobi A za postupanje, to automatski ne znači da je osoba A izvršitelj obrade. Najbolji primjer za to su odvjetnici, liječnici, specijalisti, savjetnici, računovođe i sl. , koji redovno predstavljaju Voditelje, a ne Izvršitelje obrade. Naime, te osobe odlučuju samostalno zašto i kako se određeni podaci obrađuju, među ostalim samostalno odlučuju koje podatke trebaju obrađivati, koje podatke mogu otkrivati, koliko ih dugo moraju čuvati i sl. Nadalje, dobar primjer tipičnog izvršitelja obrade je pružatelj usluga u oblaku (cloud services). Takvi pružatelji usluge podatke svojih stranaka u oblaku ne smiju koristiti u vlastite svrhe.

S druge strane Izvršitelji obrade najčešće se istodobno nalaze i u ulozi Voditelja obrade, kada ne obrađuju podatke u ime drugog Voditelja obrade, već obrađuju osobne podatke u svoje svrhe – npr. svojih radnika, svojih projekta i sl. Pritom je posebno važno utvrditi kako se prikupljaju odnosno od koga se dobivaju osobni podaci. Ponekad to radi voditelj obrade, a ponekad to radi Izvršitelj obrade, a ponekad se podaci dobivaju od nekog drugog ugovornog partnera – npr. drugog zajedničkog voditelja obrade, a ne direktno od ispitanika. (vidi članke 13 i 14 Uredbe)

 

(Sastavljeno i objavljeno 10.04.2018.)