Europski odbor za zaštitu podataka (EDPB) usvojio je dana 09.10.2024. godine mišljenje o određenim obvezama koje proizlaze iz odnosa prema izvršiteljima i podizvršiteljima obrade sukladno članku 64(2) GDPR. Zahtjev je postavljen Odboru od strane Danskog tijela za zaštitu podataka.
Mišljenje se bavi pitanjima tumačenja određenih dužnosti voditelja obrade koji se oslanjaju na izvršitelje obrade i podizvršitelje obrade, kao i tekst ugovora između voditelja obrade i izvršitelja obrade, koji proizlaze posebno iz čl. 28 GDPR.
U Mišljenju se objašnjava da voditelji obrade trebaju uvijek imati dostupne informacije o identitetu (tj. ime, adresa, kontakt osoba) svih izvršitelja obrade i podizvršitelja obrade, kako bi mogli na najbolji način ispuniti svoje obveze iz čl. 28 GDPR. Osim toga, obveza voditelja obrade da provjeri daju li (pod)izvršitelji obrade „dostatna jamstva” trebala bi se primjenjivati bez obzira na rizik za prava i slobode ispitanika, iako sam opseg takve provjere može varirati.
EDPB smatra da prema GDPR-u voditelj obrade nema obvezu sustavno tražiti ugovore o podobradi kako bi provjerio jesu li obveze zaštite podataka prenesene niz lanac obrade. Voditelj obrade trebao bi procijeniti je li traženje kopije takvih ugovora ili njihov pregled potreban kako bi mogao dokazati usklađenost s GDPR-om.
U nastavku dajemo kratki pregled mišljenja po osnovnim točkama
1. Odgovornost voditelja obrade: Voditelj obrade ima ključnu ulogu u osiguravanju usklađenosti sa Općom uredbom o zaštiti podataka (GDPR), čak i kada angažira izvršitelje obrade podataka. To znači da voditelj obrade mora biti odgovoran za to kako se podaci obrađuju i za osiguravanje sigurnosti tih podataka, bez obzira na to tko stvarno vrši obradu. Članak 28(1) GDPR-a nalaže da voditelj obrade mora osigurati da su izvršitelji obrade implementirali odgovarajuće tehničke i organizacijske mjere kako bi se osigurala zaštita prava ispitanika. Nadalje, voditelj obrade mora biti u mogućnosti dokazati da izvršitelji obrade pružaju dovoljno jamstava za poštivanje pravila GDPR-a. Ovdje je od ključne važnosti formalizacija odnosa između voditelja i izvršitelja obrade putem ugovora, u kojem se detaljno navode prava i obveze obiju strana.
2. Odabir izvršitelja obrade i angažman podizvršitelja: Voditelj obrade mora pažljivo birati izvršitelje obrade i redovito provjeravati njihovu usklađenost s GDPR-om. Izvršitelj obrade mora informirati voditelja o svim podizvršiteljima koje angažira, uključujući njihov identitet, prirodu obrade koju obavljaju i tehničke mjere koje primjenjuju za zaštitu podataka. Važno je naglasiti da ugovor između voditelja i izvršitelja obrade mora uključivati pisane ovlasti za angažman podizvršitelja. Voditelj obrade mora imati pravo usprotiviti se svakom novom podizvršitelju ako smatra da ne osigurava dovoljno zaštite. Ako izvršitelj obrade želi uključiti nove podizvršitelje, mora dobiti prethodnu suglasnost voditelja obrade.
3. Procjena rizika u obradi podataka: Voditelj obrade mora uzeti u obzir sve rizike povezane s obradom podataka, osobito ako se radi o osjetljivim podacima ili opsežnim obradama koje mogu predstavljati visoki rizik za prava i slobode ispitanika. Što je veći rizik za ispitanike, to je veća odgovornost voditelja obrade da osigura da su implementirane jače tehničke i organizacijske mjere zaštite. U slučaju obrade visokorizičnih podataka, potrebno je provesti dodatne provjere, a voditelj obrade mora osigurati da izvršitelji i svi podizvršitelji primjenjuju potrebne mjere za ublažavanje rizika. Voditelj obrade mora redovito procjenjivati je li odgovarajuća razina zaštite podataka implementirana kroz cijeli lanac obrade.
4. Prijenosi podataka u treće zemlje: Kada je riječ o prijenosu podataka u treće zemlje (izvan EU-a), voditelj obrade ima posebnu odgovornost osigurati da se ti prijenosi obavljaju u skladu s GDPR-om. Ovo uključuje osiguranje da treće zemlje pružaju odgovarajuću razinu zaštite ili da postoje zaštitne mjere koje osiguravaju usklađenost s GDPR-om (npr. standardne ugovorne klauzule, obvezujuća korporativna pravila). Izvršitelji obrade koji djeluju kao izvoznici podataka također imaju obvezu pridržavati se odredbi Poglavlja V GDPR-a tijekom prijenosa podataka u treće zemlje. Voditelj obrade mora biti svjestan svih prijenosa i mora imati dokumentirane dokaze o usklađenosti s GDPR-om.
5. Ugovorni odnosi između voditelja i izvršitelja obrade: Ugovor između voditelja i izvršitelja obrade mora jasno definirati ovlasti i obveze izvršitelja. To uključuje iznimke kada izvršitelj obrade može djelovati mimo uputa voditelja, primjerice kada se od njega zahtijeva postupanje prema zakonskim obvezama. Međutim, ove situacije moraju biti precizno definirane kako bi se izbjeglo kršenje prava ispitanika. Ugovor također mora predvidjeti mehanizme za obavještavanje voditelja obrade o bilo kakvim problemima ili incidentima vezanim za sigurnost podataka.
6. Odgovornost za usklađenost i upravljanje incidentima: Voditelj obrade zadržava krajnju odgovornost za sve podatke obrađene u njegovo ime, uključujući aktivnosti izvršitelja obrade i podizvršitelja. U slučaju povrede podataka ili bilo kojeg incidenta koji bi mogao utjecati na prava ispitanika, voditelj obrade mora preuzeti odgovornost za obavještavanje nadležnih tijela i ispitanika, čak i ako je povredu uzrokovao izvršitelj obrade. Izvršitelj obrade je dužan odmah obavijestiti voditelja obrade o bilo kakvim incidentima kako bi se pravodobno moglo poduzeti potrebne mjere.
7. Tehničke i organizacijske mjere zaštite: GDPR zahtijeva da se osobni podaci obrađuju u skladu s odgovarajućim tehničkim i organizacijskim mjerama zaštite kako bi se osigurala povjerljivost, integritet i dostupnost podataka. Voditelj obrade mora osigurati da izvršitelji obrade primjenjuju odgovarajuće mjere, poput pseudonimizacije, enkripcije i redovitih sigurnosnih procjena. Nadalje, izvršitelji obrade moraju osigurati kontinuirani pristup podacima, čak i u slučaju tehničkih problema, te moraju redovito testirati svoje sigurnosne sustave kako bi osigurali učinkovitu zaštitu podataka.
8. Informiranje ispitanika i ostvarenje njihovih prava: Ispitanici moraju biti jasno informirani o tome tko je voditelj obrade, koji izvršitelji obrađuju njihove podatke i koja su njihova prava. Voditelj obrade ima obvezu osigurati da se ispitanici mogu koristiti svojim pravima, poput prava na pristup, ispravak, brisanje i prigovor, u skladu s GDPR-om. Osim toga, voditelj obrade mora osigurati da su svi postupci za ostvarenje prava ispitanika jasno definirani i dostupni.
(dana 08.11.2024., Dominik Filipović & Igor Dlačić)