Dosadašnje iskustvo u GDPR usklađivanju niza poslovnih subjekata, državnih i privatnih tvrtki i regionalnih multinacionalnih korporacija, međunarodnih udruga, javnih ustanova, škola, dječjih vrtića i fakulteta, tehnoloških ili uslužnih kompanija, nedvojbeno nas dovodi do slijedećih pokazatelja:
 
- kultura poštivanja članka 28. GDPR-a, odnosno, ispunjenja obveza sklapanja ugovora između voditelja i izvršitelja obrade te izvršitelja i podizvršitelja obrade, nije dovoljno zaživjela kod nas
 
- još uvijek rijetko nalazimo na organizacije koje su sklopile ugovore iz članka 28. GDPR-a sa svim svojim voditeljima ili izvršiteljima ili podizvršiteljima, ovisno u kojoj se ulozi nalaze
 
- one organizacije koje poznaju obvezu sklapanja ugovora iz članka 28. GDPR-a koriste razne predloške, od onih koje su dobile ili preuzele od drugih do onih koje su same izradile
 
- voditelji obrade koji imaju velik broj izvršitelja obrade, ili još bolji primjer, izvršitelji obrade koji rade obrade za velik broj voditelja obrade, često se susreću s problemom neujednačenosti uvjeta, prava i obveza u raznim verzijama i oblicima ugovora iz članka 28. GDPR-a i voljeli bi imati ujednačene ali kvalitetne predloške ugovora koje će sve strane lako prihvatiti bez nepotrebnog pravničkog natezanja
 
Želja nam je ovim postom pomoći svima na najjednostavniji način - toplom preporukom.
 
Obrada koju provodi izvršitelj obrade u ime voditelja obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom EU ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a u kojem se navode elementi navedeni u članku 28. stavcima 3. i 4. GDPR-a. Taj ugovor ili akt mora biti u pisanom obliku, uključujući elektronički oblik
 
Europska komisija je u lipnju 2021. usvojila dva skupa Standardnih ugovornih klauzula (Standard Contractual Clauses, SCC):
1) za reguliranje odnosa između voditelja obrade prema izvršitelju obrade ili kaskadno prema njegovom podizvršitelju
2) za ozakonjenje prijenosa osobnih podataka u treće zemlje, izrađene modularno.
 
Fokusirajmo se na ove pod brojem 1), točnije na standardne ugovorne klauzule između voditeljâ obrade i izvršiteljâ obrade iz članka 28. stavka 7. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća i članka 29. stavka 7. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća.
 
Možemo ih u cijelosti skinuti ovdje na željenom službenom jeziku EU:
 
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32021D0915
 
Ove standardne ugovorne klauzule možemo u cijelosti iskoristiti za izradu vrlo kvalitetnog teksta Ugovora o obradi podataka iz članka 28. GDPR-a, ali ih možemo i djelomično iskoristiti u našim ugovorima.
 
Pri tom možemo iz teksta standardnih ugovornih klauzula izbaciti dijelove koji se tiču druge Uredbe (EU) 2018/1725 koja regulira područje zaštite osobnih podataka u tijelima EU.
 
Voditelj obrade i izvršitelj obrade mogu uključiti ove standardne ugovorne klauzule u širi ugovor, te dodati druge klauzule ili dodatne zaštitne mjere, pod uvjetom da one izravno ili neizravno ne proturječe standardnim ugovornim klauzulama te da ne dovode u pitanje temeljna prava ili slobode ispitanika.
 
Uglavnom, upotreba ovakvih standardnih ugovornih klauzula nije obvezna, ali je zaista toplo preporučamo s obzirom da obveza iz članka 28. GDPR itekako postoji.
 
I sami ih primjenjujemo u organizacijama kojima pomažemo u GDPR usklađivanju, organizacije su zadovoljne, pa zašto da to zadovoljstvo u dobroj vjeri ne podijelimo i s čitateljima GDPR Croatia i pomognemo ovom preporukom, za dobro svih zainteresiranih.