Ovaj dugi post prvenstveno je namijenjen svim profesionalcima u GDPR području i svim poslovnim subjektima koji su uz njihovu pomoć ili samostalno usklađivali svoj poslovanje s GDPR obvezama, kako bi na načelima "cjeloživotnog učenja" provjerili jesu li dobro primijenili temeljne postavke modela usklađivanja.

Naime, iskustvo na terenu nas svakodnevno uvjerava da pojam Voditelja obrade (Data Controller ili Controller) ili Izvršitelja obrade (Data Processor ili Processor) nije jasan i pogrešno se primjenjuje. Dapače, vrlo često viđamo situacije kada tvrtka u svojoj dokumentaciji odredi da je Voditelj obrade direktor tvrtke, a pojedini zaposlenici Izvršitelji obrade, što svakako nije ispravno.

Ovaj post će, dakle, koristiti i svim onim organizacijama koje su usklađivanje "izvršile" u kupnjom paketa kopiranih dokumenata, da sami uvide koliko su blizu ili daleko od pravo usklađivanja.

Tko je Voditelj obrade?

Voditelj obrade je, kolokvijalnim i razumljivijim jezikom bez kopiranja GDPR termina, strana koja određuje svrhe i načine obrade osobnih podataka.

U pravilu su Voditelji obrade organizacije, tvrtke, institucije, udruge, agencije, obrti, ustanove i sl. koji moraju ili žele obrađivati osobne podatke za neku svrhu, znaju kako ih obrađivati, što će činiti s njima, a same obrade rade samostalno ili angažiraju vanjsku pomoć.

Ključno je prepoznati da Voditelj obrade je ta strana koja ima moć odlučivanja nad procesom obrade osobnih podataka.

Voditelj obrade donosi odluke, na način da određuje potrebu za obradom, inicira obradu i zna posljedice obrade.

Prije svega, Voditelj obrade odgovoran je osigurati zakonitost obrade osiguranjem valjanog pravnog temelja za obradu.

Stvar je potpuno i izričito jasna da je poslovni subjekt Voditelj obrade kada mora prema zakonskim obvezama obračunati i isplatiti plaće zaposlenicima ili voditi evidencije o njima, ili kada udruga mora voditi evidencije o svom članstvu, škola o svojim učenicima a banka ili telekom o svojim korisnicima.

Međutim, postoje i implicitne okolnosti koje određuju da je određena organizacija Voditelj obrade, kada je korisno upotrijebiti kriterije "ZAŠTO" i "KAKO", odnosno, svrhu i način obrade.

Definitivno je Voditelj obrade ona strana koja određuje svrhu "ZAŠTO".

A što se tiče "KAKO", odnosno, načina obrade, Voditelj obrade određuje ključne parametre, kao npr.
- koje kategorije osobnih podataka treba obrađivati,
- na koji rok se zadržavaju,
- na koje kategorije ispitanika se odnose,
- tko će imati prava pristupa podacima,
- kome će se podaci prosljeđivati i sl.

Iz navedenog vidimo da Voditelj obrade ne mora znati niti definirati sve detalje načina obrade podataka, jer određene detalje načina obrade može određivati i Izvršitelj obrade.

℗ PRIMJER:
Računovodstveni servis obračunava plaće zaposlenika tvrtke kao svog klijenta. Tvrtka, odnosno, klijent računovodstvenog servisa, je Voditelj obrade jer određuje svrhu obrade - obračun plaća, određuje kategorije ispitanika (vlastiti zaposlenici), određuje rokove pohrane podataka (prema propisima), određuje tko ima pristup do tih podataka. A računovodstveni servis u ulozi Izvršitelja obrade postupa prema uputama Voditelja obrade, obrađuje osobne podatke zaposlenika Voditelja obrade i obračunava plaće. Pri tom Voditelj obrade ne određuje računovodstvenom servisu koji će software ili aplikaciju za obračun plaća koristiti. To si računovodstveni servis sam određuje, kao što i određuje tko će unutar računovodstvenog servisa raditi taj obračun plaća i gdje će ih čuvati.

℗ PRIMJER:
Ustanova je odlučila angažirati vanjsku tvrtku za svrhe fizičke zaštite, i osim te svrhe odredila je potrebu za neprekidnim prisustvom 2 zaštitara 24/7. Ustanova je Voditelj obrade podataka o posjetiteljima njihove zgrade, a zaštitarska tvrtka je u tu svrhu Izvršitelj obrade pri čemu prikupljaju i obrađuju podatke posjetitelja u ime Ustanove. Istovremeno, zaštitarska tvrtka je Voditelj obrade za svrhu vođenja evidencija o vlastitim zaposlenicima, konkretno, zaštitarima, i u svrhe ocjenjivanja njihove kvalitete rada. Pri potonjem, zaštitarska tvrtka može tražiti i mišljenja Ustanove o kvaliteti rada pojedinog zaštitara, pri čemu zaštitarska tvrtka i Ustanova nisu zajednički voditelji obrade, jer je zaštitarska tvrtka jedina odlučila o svrhi i odredila je - ocjenjivanju rada zaštitara.

Tko je Izvršitelj obrade?

Izvršitelj obrade obrađuje osobne podatke u ime Voditelja obrade.

Izvršitelj obrade uvijek ima dodir s osobnim podacima i obrađuje ih, dok nije nužno da će svaki Voditelj obrade imati doticaja s osobnim podacima i da će imati pristup njima.

Pri tom ne smijemo zaboraviti da se pod obradom podataka smatra svako postupanje s osobnim podacima, između ostalog, prikupljanje, pohrana, analitika, otkrivanje, prosljeđivanje, mijenjanje, kopiranje, uvid i ostalo.

Voditelj obrade određuje da li će sam obrađivati određene podatke, ili će sve obrade ili samo dio njih povjeriti Izvršitelju obrade.

Kako smo i naveli, Voditelj obrade određuje svrhu obrade, njezin smisao i cilj, kao i temeljne načine obrade (prava pristupa, rokovi pohrane, kategorije podataka, kategorije ispitanika…) dok Izvršitelj može određivati ostale manje esencijalne detalje. Štoviše, Izvršitelj može predložiti i esencijalne detalje obrade, ali o njima odlučuje samo Voditelj obrade.

Međutim, to ne znači da je Izvršitelj obrade poslovno podređen Voditelju obrade i da nije neovisna poslovna strana. Naprotiv.

Čija je odgovornost za usklađenost?

Voditelj obrade je primarno odgovoran i mora moći dokazati usklađenost u okviru načela pouzdanosti. Voditelj obrade koji je uključen u obradu odgovoran je za štetu prouzročenu obradom kojom se krši GDPR.

Izvršitelj obrade je odgovoran za štetu prouzročenu obradom samo ako nije poštovao obveze iz GDPR-a koje su posebno namijenjene izvršiteljima obrade ili je djelovao izvan zakonitih uputa Voditelja obrade ili protivno njima.

Međutim, ukoliko Izvršitelj obrade izađe iz okvira koji mu je Voditelj obrade odredio za pojedinu obradu i ukoliko sam odredi svrhu pojedine obrade i ključne parametre obrade (npr. sam odluči zadržati obrađene podatke izvan zadanih rokova, proslijedi osobne podatke trećoj strani bez naloga Voditelja obrade, iskoristi obrađene podatke u svrhu kontaktiranja  ispitanika bez takve upute Voditelja obrade), tada za takve vrste obrada Izvršitelj postaje Voditelj obrade i preuzima potpunu odgovornost za svoje postupanje, koje može biti nezakonito.

Tko je odgovoran za ispunjenje prava ispitanika?

Voditelj obrade odgovara na zahtjeve ispitanika za ostvarivanjem njihovih prava (pristup, brisanje, izmjene, prigovor, ograničenje, prijenos…), dok je Izvršitelj obvezan dati Voditelju punu podršku i pomoć. Samo u posebnim, vrlo rijetkim i iznimnim slučajevima je moguće da Voditelj obrade ugovorom prenese takve obveze na Izvršitelja.

Odgovornost Voditelja pri izboru Izvršitelja obrade

Isključivo Voditelj obrade određuje Izvršitelje obrade, i smije angažirati samo one koji jamče primjenu prikladnih tehničkih i organizacijskih mjera zaštite osobnih podataka, npr. mjere informacijske sigurnosti, educiranost, stručnost i povjerljivost zaposlenika Izvršitelja, njegovo upravljanje povredama podataka, pravila zaštite podataka i sl., i redovito provjeravati usklađenost Izvršitelja.

Nakon odabira Izvršitelja, mora se sklopiti ugovor iz članka 28. GDPR-a između Voditelja i Izvršitelja obrade, koji prema nacionalnom domaćem pravu može biti u više oblika (pogledajte članak 286. Zakona o obveznim odnosima), pri čemu GDPR zahtijeva da ugovor bude u pisanom obliku, uključujući i elektronički oblik.

Izvršitelj obrade mora vršiti obrade osobnih podataka isključivo u okviru sklopljenog ugovora, dokumentiranih uputa Voditelja obrade i eventualno ukoliko je izravno obvezan temeljem važećih propisa.

Kolika je odgovornost Izvršitelja obrade?

Zasigurno je ograničena u odnosu na odgovornost Voditelja obrade. Voditelj obrade je odgovoran za svaku povredu obveza iz GDPR-a, uključujući i one koje je Izvršitelj uzrokovao. Izvršitelj obrade je izravno odgovoran, u cijelosti ili djelomično, ukoliko je postupao izvan mandata danog mu od strane Voditelja obrade ili ukoliko nije poštivao obveze iz GDPR-a.

Sve navedeno može se lako iščitati u službenom i javno dostupnom dokumentu Smjernica "EDPS Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725", koji možete i sami pronaći na ovom linku:

https://edps.europa.eu/sites/edp/files/publication/19-11-07_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.pdf

Pri tom nek vas ne zbunjuje što su navedene Smjernice izrađene od strane EDPS (European Data Protection Supervisor) kao nadzornog tijela na razini EU ali koje brine u nadzoru usklađenosti u tijelima EU. Također, naziv Smjernica ne referira se na GDPR već na komplementarnu Uredbu koja uređuje zaštitu osobnih podataka u institucijama, tijelima, uredima i agencijama EU. Prvi je to dokument Smjernica na ovu temu u EU i apsolutno je primjenjiv i na sve ostale poslovne subjekte i organizacije - obveznike usklađivanja s GDPR obvezama.