Radeći na nekoliko novih projekata usklađivanja s GDPR obvezama u poslovnim subjektima koji su samostalno nešto pokušali raditi na usklađivanju, u samo nekoliko dana pronašli smo neočekivano velik broj primjera kako su se pogrešno regulirali odnosi s njihovim vanjskim Izvršiteljima obrada.

Nailazimo na tzv. Izjave o povjerljivosti ili Potvrdnice, koje su pisali Izvršitelji obrada i jednostrano dostavili Voditelju obrade kao dokument obećanja da će vršiti obrade osobnih podataka, koje im Voditelj obrade povjeri, u skladu s GDPR-om, na "časnu riječ".

Moramo odmah jasno i glasno reći - ovo je potpuno pogrešan pristup i nije u skladu s GDPR obvezama.

Nemojte tako raditi.

U prilogu ovdje donosimo kopiju jednog takvog primjerka, konkretno u kojem je Izjava o povjerljivosti za zaposlenike voditelja obrade preinačena u "obećanje" izvršitelja obrade da će paziti prilikom izvršenja obrada osobnih podataka.

Članak 28. GDPR-a jasno uređuje pravila kako se mora urediti odnos između Voditelja i Izvršitelja obrade.

Prvo, Izvršitelj obrade mora jamčiti da djeluje u skladu s GDPR-om i Voditelj obrade mora to redovito provjeravati vlastitim inspekcijama.

Odnos između Voditelja obrade i Izvršitelja obrade mora se urediti pisanim UGOVOROM ili PRAVNIM AKTOM koji Izvršitelja obrade OBVEZUJE, i koji jasno definira:

- predmet obrade

- rokove obrade

- svrhu i prirodu obrade

- koje vrste osobnih podataka se obrađuju

- koji osobni podaci fizičkih osoba su predmet obrade

Istovremeno se pisanim Ugovorom moraju utvrditi obveze Izvršitelja obrade:

- da smije obrađivati podatke isključivo prema pisanim uputama Voditelja obrade, osim slučajeva kada je Izvršitelj obrade dužan vršiti dodatne obrade temeljem važećeg propisa (primjer: kada tvrtka ovlaštena za usluge zaštite na radu mora zadržati određene osobne podatke radi ispunjenja obveza iz propisa u tom području),

- da su se svi zaposlenici Izvršitelja obrade obvezali na povjerljivost - da su osigurane organizacijske i tehničke mjere sigurnosti

- da osigurava podršku u slučajevima ispunjenja prava pojedinaca iz članaka 15.-22. GDPR-a i u slučaju provođenja DPIA (Procjene učinka na zaštitu podataka)

- da briše ili vraća sve osobne podatke nakon završetka obrada

- da promptno javlja Voditelju obrade ukoliko uoči sumnju na moguću povredu podataka, odnosno, kompromitiranje osobnih podataka koji su mu povjereni,

- da upozori Voditelja obrade ukoliko je neki njegov zahtjev suprotan GDPR-u.

Da zaključimo ponavljanjem već rečenog - način prikazan u priloženom dokumentu je potpuno pogrešan i nije u skladu s GDPR obvezama.

Nemojte tako raditi. Riskirate previše.