Prema članku 28. stavku 3. točki h. GDPR-a, svaki izvršitelj obrade je obvezan voditelju obrade dokazivati poštovanje obveza koje je preuzeo takvom svojom ulogom i omogućiti revizije i inspekcije od strane voditelja obrade ili neovisnog revizora kojeg voditelj obrade angažira i ovlasti.
Kako je danas praktički nemoguće zamisliti voditelja obrade koji nema nijednog izvršitelja obrade, jasno je da je danas gotovo svaka organizacija u svojstvu voditelja obrade obvezna provoditi obveze iz prethodno navedene odredbe GDPR-a.
I mi smo za kraj tijekom mjeseca studenog provodili takve provjere izvršitelja obrade u ime voditelja obrade za koje obavljamo ulogu Službenika za zaštitu podataka, kao što nam i za organizacije koje su nas kao izvršitelji obrade angažirali, redovito osiguravamo ispunjenje obveza koje smo spomenuli na početku ovog posta.
A kako provoditi takve revizije i inspekcije izvršitelja obrade?
Dansko nadzorno tijelo pojašnjava postupak na detaljan način. Ovdje ga prikazujemo u kratkim crtama:
..................................................................
Kontrolori podataka i procesori podataka
Prilikom prikupljanja i obrade osobnih podataka, voditelj obrade koji je odgovoran za obradu osobnih podataka (npr. privatne tvrtke, tijela ili institucije) u praksi će uvijek povjeravati osobne podatke izvršiteljima obrade. Izvršitelj obrade obrađuje osobne podatke u ime jednog ili više voditelja obrade i na njih se primjenjuju upute (npr. pružatelji Cloud usluga ili aplikacija). Kada povjerava osobne podatke izvršitelju obrade podataka, voditelj obrade odgovoran je za osiguravanje da se osobni podaci obrađuju na odgovarajući način i u skladu s Općom uredbom o zaštiti podataka (Uredba (EU) 2016/679) („GDPR”).
Kako bi se osigurala takva usklađenost s GDPR-om, strane moraju sklopiti sporazum o obradi podataka u skladu s člankom 28. GDPR-a. Iako to nije izričito navedeno u GDPR-u, voditelj obrade mora osigurati odgovarajuću razinu sigurnosti prilikom povjeravanja osobnih podataka izvršitelju obrade. To je preduvjet sposobnosti voditelja obrade da se drži osnovnih načela odgovornosti iz članka 5. stavka 1. GDPR-a i GDPR-a općenito.
Slijedom toga, voditelj obrade mora redovito provoditi odgovarajuće revizije svojih izvršitelja obrade kako bi osigurao usklađenost aktivnosti obrade.
..................................................................
Sporazumi o obradi podataka
Priroda odgovarajuće revizije ovisi o razini rizika povezanog s određenom aktivnosti obrade. Procjena rizika uvijek se mora temeljiti na riziku ispitanika, a ne na riziku voditelja obrade podataka ili drugih trećih strana.
Prilikom povjeravanja obrade osobnih podataka izvršitelju obrade voditelj obrade mora razmotriti i procijeniti koliko je vjerojatno da će obrada ugroziti ispitanika i koje bi posljedice mogle biti povezane s identificiranim rizicima. Voditelj obrade mora očekivati da što veći rizik bude - veći zahtjevi u pogledu razine nadzora nastaju.
U praksi, voditelj obrade i izvršitelj obrade zajednički utvrđuju koje mjere predstavljaju odgovarajuću razinu sigurnosti na temelju procjene rizika prilikom sklapanja sporazuma o obradi podataka. U sporazumu o obradi podataka trebalo bi dogovoriti posebne sigurnosne mjere. Tako sporazum o obradi podataka predstavlja okvir i osnovu za nadzor te određuje poštuje li izvršitelj obrade dogovorenu razinu sigurnosti i obveze iz sporazuma i članka 28. GDPR-a.
Stoga je prvi korak osigurati:
- voditelj obrade podataka sklopio je potrebni i obvezni sporazum o obradi podataka;
- uključene strane provele su procjenu rizika; i
- na temelju te procjene uključene strane dogovorile su se o sigurnosnim mjerama potrebnim za osiguranje odgovarajuće razine zaštite.
Drugim riječima, sporazum o obradi podataka temelj je revizije procesora podataka.
..................................................................
Uvođenje bodovne ljestvice za procjene rizika
Kako bi se utvrdilo kako nadzirati izvršitelje obrade, uvedena je skala točaka koja uključuje četiri jednostavna pitanja. Ovisno o odgovoru na ta pitanja, voditelj obrade daje izvršitelju ukupnu ocjenu od nule do deset bodova. Ukupni rezultat pomaže voditelju obrade da odredi odgovarajuću razinu kontrole.
Ukupni rezultat ovisi o odgovorima na sljedeća četiri pitanja:
- Koliko izvršitelja obrade obrađuje osobne podatke?
- Obrađuje li izvršitelj obrade posebne kategorije osobnih podataka u skladu s člankom 9. GDPR-a?
- Obrađuje li izvršitelj obrad druge osobne podatke koji se moraju zaštititi (npr. povjerljivi osobni podaci)?
- Uključuje li obrada posebne aktivnosti obrade koje mogu ugroziti privatni život ispitanika?
..................................................................
Izbor kontrolnih koncepata
Uvodi se šest nadzornih koncepata koje treba odabrati ovisno o ukupnom rezultatu iz gore navedene procjene rizika (npr. ako je ukupni rezultat između tri i četiri boda, voditelj obrade može odabrati između koncepata nadzora dva do šest).
Koncepti nadzora uključuju:
- Koncept 1: Voditelj obrade provjerava izvršitelja obrade podataka samo na temelju sumnje da nešto u vezi s aktivnostima obrade nije u redu.
- Koncept 2: Izvršitelj obrade potvrđuje usklađenost sa svim obvezama iz sporazuma o obradi podataka.
- Koncept 3: Izvršitelj obrade obavlja i dokumentira godišnji status svih aktivnosti obrade koje se odnose na sporazum o obradi podataka.
- Koncept 4: Izvršitelj obrade donosi relevantnu i ažuriranu potvrdu ili kodeks ponašanja.
- Koncept 5: Neovisna treća strana obavlja revizije aktivnosti relevantnih za obradu osobnih podataka izvršitelja obrade.
- Koncept 6: Voditelj obrade revidira izvršitelja obrade samostalno ili zajedno s drugim voditeljima obrade.
Neovisno o konceptu, voditelj obrade uvijek mora osigurati da:
- Revizija uključuje aktivnosti obrade od strane izvršitelja obrade koje su relevantne za voditelja obrade ;
- Svrha revizije je usklađenost izvršitelja obrade sa sporazumom o obradi podataka;
- Revizija uključuje sve posebno dogovorene obveze navedene u sporazumu o obradi podataka; i
- Revizija uključuje osigurava li izvršitelj obrade sukladnost s podizvršiteljem.
.......................................
Učestalost revizija
Učestalost revizije ovisi o procjenama rizika koje provodi voditelj obrade u pogledu određenog izvršitelja obrade. Što je rizik veći, moraju se češće provoditi revizije. U nekim slučajevima može biti potrebno godišnje provjeravati procesore podataka; u drugim slučajevima dovoljna je manja učestalost.
Vodič sugerira da bi veća učestalost mogla biti potrebna ako je izvršitelj obrade imao problema u ispunjavanju sporazuma (ne samo sporazuma o obradi podataka), npr. ako je izvršitelj obrade doživio nekoliko ozbiljnih sigurnosnih povreda, česte promjene podizvršitelja, promjene vlasništva, spajanja ili radikalne promjene u strategiji obrade podataka, jer takvi događaji mogu značajno promijeniti strategiju i prioritete tvrtke i tako utjecati na sigurnost obrade. Osim toga, voditelj obrade mora biti svjestan svih elemenata koji govore u prilog dodatnog nadzora, uključujući pandemiju koja mijenja način rada zaposlenika i pristupa osobnim podacima. S druge strane, dugoročna suradnja sa stabilnim izvršiteljem obrade, koji nema ili ima malo neozbiljnih sigurnosnih povreda govori u prilog manjoj učestalosti.
.......................................
Revizije podprocesora
Naposljetku, vodič se bavi pitanjem revizije podizvršitelja. Ako je voditelj obrade odobrio korištenje podizvršitelja, izvršitelj obrade mora osigurati da podizvršitelj podliježe istim zahtjevima u pogledu zaštite podataka kao što su oni utvrđeni u sporazumu o obradi podataka između voditelja obrade i izvršitelja obrade. Izvršitelj obrade mora osigurati da svaki podizvršitelj ispunjava svoje obveze u pogledu zaštite podataka. Stoga izvršitelj obrade mora nadzirati podizvršitelja primjenjujući iste principe i metode koje se primjenjuju između voditelja i izvršitelja obrade.
Više o temi na:
https://www.dataguidance.com/opinion/denmark-datatilsynets-guide-data-processor-audits
Photo by fauxels from Pexels
