Ponovno pišemo na temu izuzetno zamršenog određivanja uloge VODITELJA i IZVRŠITELJA obrade, iz razloga jer je EDPB (European Data Protection Board) 13.07.2021. javno objavio konačni dokument Smjernica o konceptima voditelja i izvršitelja obrade u GDPR-u, dostupne su ovdje:
Zasigurno mnogi laici u području zaštite osobnih podataka a često i stručni pojedinci imaju velike dvojbe u određivanju uloga voditelja i izvršitelja za pojedinu obradu osobnih podataka, jer okolnosti nisu uvijek sasvim jasne, a od ključnog su značaja za pravilno usklađivanje s GDPR obvezama, kao što su sada izrazito važne i za izradu i sklapanje Standard Contractual Clauses za većinu međunarodnih prijenosa osobnih podataka izvan EU/EEA, u pravilu u SAD, a koje vrši većina pravnih subjekata u RH i EU.
Izdvojit ćemo najbitnije iz Smjernica:
- prvenstveno je voditelj obrade (Data Controller) odgovoran za dokazivanje usklađenosti, izvršitelj obrade (Data Processor) je odgovoran u području GDPR obveza koje se tiču njega, dok su zajedno i voditelj i izvršitelj obrade izloženi novčanim kaznama u slučaju njihovog kršenja GDPR-a kao što su obvezni i surađivati s nadzornim tijelom
- voditelj i izvršitelj obrade mogu biti i fizičke osobe ili skupina fizičkih osoba (npr. Jehovini svjedoci u slučaju C-25/17, ECLI:EU:C:2018:551, paragraph 75 pred EUCJ)
- u uvjerljivo najvećem broju slučajeva to su pravne osobe uključujući i udruge, javna tijela, agencije i ostala tijela
- često je uloga voditelja ili izvršitelja obrade definirana zakonima ili drugim propisima (npr. zdravstveno osiguranje, jedinice lokalne uprave za svrhe socijalne skrbi sugrađanima…)
VODITELJ OBRADE
- jasni primjeri voditelji obrade su poslodavci kada obrađuju podatke svojih zaposlenika ili udruženja kada obrađuju podatke svojih članova ili web portal kada obrađuje podatke svojih čitatelja
- zaposlenik koji u ime svog poslodavca obrađuje osobne podatke nije voditelj niti izvršitelj obrade, već je organizacija u kojoj je zaposlen voditelj ili izvršitelj obrade
- ali ako zaposlenik svojevoljno postupa s osobnim podacima, tada zaposlenik postaje voditelj obrade
-------------------------------------------------
PRIMJER: tvrtka angažira odvjetnika za zastupanje u sudskom postupku, odvjetnik je taj koji apsolutno zna što je potrebno od osobnih podataka i što s njima činiti i kako ih koristiti bez uputa tvrtke koja ga je angažirala, što znači da odvjetnik određuje svrhu i načine obrade osobnih podataka i voditelj je obrade i nije ciljano angažiran za obrađivanje osobnih podataka u ime tvrtke
-------------------------------------------------
- često se unutar samih ugovora o poslovnoj suradnji može lako utvrditi tko je voditelj obrade, ako jedna od strana određuje ZAŠTO i KAKO se obrađuju osobni podaci, ta strana je voditelj ma što god pisalo u ugovoru
- čak i kada izvršitelj nudi usluge koje je sam definirao, ako druga strana odluči koristiti te usluge na temelju detaljnog opisa i pri tom može tražiti izmjene postupanja, tada je ta druga strana voditelj obrade
-------------------------------------------------
PRIMJER: Cloud provider pruža usluge pohrane dokumentacije i osobnih podataka prema vlastitim nepromjenjivim uvjetima. Tvrtka X odluči koristiti Cloud uluge tog providera i tamo pohranjivati osobne podatke svojih korisnika. Tvrtka X je voditelj obrade jer odlučuje koristiti Cloud servis za obradu osobnih podataka, a Cloud provider je izvršitelj obrade.
-------------------------------------------------
- voditelj obrade određuje ZAŠTO i KAKO postupati s osobnim podacima da bi se postigao cilj
- izvršitelj obrade NIKAD ne određuje svrhu obrade, odnosno, ZAŠTO, ali ponekad može odrediti KAKO
- kod određivanja KAKO, odnosno, načina obrade osobnih podataka, ključ je u utvrđivanju KLJUČNOG SREDSTVA ili NAČINA obrade, određivanje kojeg je u rukama voditelja obrade, npr. koji će se osobni podaci obrađivati, tko će imati pristup podacima, tko su ispitanici
- određivanje softwarea ili hardwarea za određenu obradu nije esencijalno odnosno nije KLJUČNO, i to može određivati izvršitelj obrade
-------------------------------------------------
PRIMJER: Tvrtka A angažira tvrtku B da administrira plaće za tvrtku A. Tvrtka A određuje kome idu isplate, u kojem iznosu, s kojim datumom, preko koje banke, kako dugo se podaci spremaju, tvrtka A je svjesna svojih zakonskih obveza i da se isti podaci ne smiju koristiti za druge svrhe. Tvrtka B odlučuje koji će software koristiti i tko će imati pristup podacima unutar svoje tvrtke. Tvrtka A je voditelj. Tvrtka B je izvršitelj. U praksi je to standardni računovodstveni servis kod obračuna plaća za tvrtke koje to ne rade same
-------------------------------------------------
PRIMJER: Tvrtka A angažira daje svojoj administraciji upute za obračun plaća i prijenos podataka o plaćama u Banku B radi isplate plaća zaposlenicima Tvrtke A. Banka B sama određuje svrhe i načine isplate plaća na račune zaposlenika Tvrtke A i kako dugo čuvati te podatke te Tvrtka A nema nikakav utjecaj na Banku B, čime je jasno da je Banka B također voditelj obrade, koja je dobila osobne podatke o računima zaposlenika Tvrtke A prijenosom podataka između dva voditelja obrade.
-------------------------------------------------
PRIMJER: Tvrtka A angažira revizorsku agenciju C za provođenje financijske revizije i u tu svrhu mora prenijeti dokumentaciju i osobne podatke vanjskom revizoru C. Revizor C jako dobro zna koje su mu zakonske obveze i da osobne podatke ne smije koristiti u druge svrhe, zna koje podatke treba i kako ih dugo držati. Revizorska agencija C je voditelj obrade, kao i Tvrtka A. Međutim, ako Tvrtka A angažira revizorsku agenciju C radi usluga za koje Tvrtka A definira posebne upute koje nisu utvrđene zakonskim obvezama za revizore, tada je revizor C izvršitelj obrade.
-------------------------------------------------
PRIMJER: Tvrtka A angažira tvrtku H za hosting usluge radi spremanja podataka na njihove servere. Hosting tvrtka H ne određuje koje podatke treba pohraniti niti jesu li to osobni podaci, i ona je izvršitelj obrade. To je uobičajen slučaj kod Cloud usluga ili web hosting usluga. Hosting tvrtka H osigurava sve potrebne sigurnosne mjere da bi podaci Tvrtke A bili sigurni i ima obvezu javiti slučaj povrede podataka
-------------------------------------------------
PRIMJER: Tvrtka X angažira Pozivni centar za pružanje usluga službe za korisnike. Pozivni centar dobiva od Tvrtke X podatke o kupnjama korisnika i njihove kontaktne podatke. Pozivni centar koristi vlastiti software i IT infrastrukturu za obradu osobnih podataka korisnika Tvrtke X. Tvrtka X je voditelj obrade a Pozivni centar izvršitelj obrade, unatoč tome što Pozivni centar određuje određene ne-esencijalne načine obrade podataka.
-------------------------------------------------
- Kako izvršitelj obrade ima pravo određivati određene ne- esencijalne parametre obrade, voditelj obrade mora biti barem upoznat s njima, odobravati ih i moći određivati promjene istih
- NIJE NUŽNO da uvijek voditelj obrade ima pristup osobnim podacima, jednostavno, ako voditelj obrade angažira izvršitelja obrade za određenu uslugu a pri tom ima utjecaja u određivanju ZAŠTO i KLJUČNIH elemenata KAKO, taj je voditelj obrade
-------------------------------------------------
PRIMJER: Tvrtka ABC želi istražiti koji tip klijenata bi mogao biti zainteresiran za njihove proizvode i u tu svrhu angažira tvrtku XYZ za istraživanje tržišta. Tvrtka ABC određuje ciljeve i za koje rezultate je zainteresirana, određuje ZAŠTO i određuje popis pitanja koja će se postaviti anketiranim pojedincima. Tvrtka ABC prima kao rezultat samo statistike i uopće nema pristup do osobnih podataka anketiranih pojedinca. Tvrtka XYZ je izvršitelj obrade za SVRHU koju određuje Tvrtka ABC koja joj daje upute kao voditelj obrade.
-------------------------------------------------
PRIMJER: Tvrtka ABC želi istražiti koji tip klijenata bi mogao biti zainteresiran za njihove proizvode i u tu svrhu angažira tvrtku XYZ za istraživanje tržišta. Pri tom TVRTKA XYZ samostalno vrši istraživanje tržišta svojim metodama i svojim pitanjima, prikuplja rezultate s terena i analizira ih bez utjecaja Tvrtke ABC. Po analizama isporučuje Tvrtki ABC statističke podatke, bez ikakvih uputa Tvrtke ABC koje osobne podatke mora istraživati i kako. Istraživačka tvrtka XYZ je samostalni voditelj obrade. Tvrtka ABC nije voditelj obrade jer ni na koji način ne dobiva niti ne obrađuje osobne podatke, već samo statistike.
-------------------------------------------------
ZAJEDNIČKI VODITELJI OBRADE
- Definicija zajedničkih voditelja specifična je i odnosi se na slučaj kada su dva ili više voditelja komplementarna i neophodna u definiranju svrhe i načina da bi obrada mogla krenuti.
- Zanimljiv primjer je EUCJ sudske prakse, kojom je zajednica Jehovinih svjedoka zajedno s njenim članovima - propovjednicima definirana kao zajednički voditelji obrade.
- Zajednički voditelji jesu zajednički s drugima samo u odnosu na aktivnosti koje zajedno utvrđuju, odnosno, ZAŠTO i KAKO. Ako jedan voditelj odluči samostalno vršiti neku posebnu aktivnost, tada je on samostalni voditelj obrade
- Ako neki od zajedničkih voditelja nema pristup osobnim podacima, to ga ne isključuje iz uloge zajedničkih voditelja, ključno je da zajedno određuju svrhe i načine iste obrade podataka
-------------------------------------------------
PRIMJER: Facebook i vlasnik Facebook stranice zajedno utvrđuju svrhu prikupljanja statistika posjeta stranici, svaka od ovih strana ima svoje interese ali zajedno određuju ZAŠTO i zajednički su voditelji, a pri tom vlasnik stranice određuje i kriterije odabira ciljane publike
-------------------------------------------------
PRIMJER: Putnička agencija šalje osobne podatke svojih klijenata avio-kompaniji i hotelskom lancu radi rezervacije. Avio kompanija i hotelski lanac potvrđuju slobodna mjesta, a putnička agencija izdaje vouchere svojim klijentima. Svaka strana radi svoje aktivnosti i obrade i svaka je samostalni voditelj obrade. No ako se sve tri strane dogovore da će zajedno uspostaviti web stranicu za prodaju paket aranžmana, pri tom svi zajedno određuju skupove osobnih podataka, kako će se rezervacije odrađivati, tko će ih moći vidjeti i međusobno dijele informacije za zajedničke marketinške aktivnosti. Tada su zajednički voditelji obrade
-------------------------------------------------
PRIMJER: nekoliko istraživačkih instituta se udružilo na zajedničkom projektu i koriste platformu jednog od instituta, ali svi instituti unose u platformu svoje osobne podatke, čime su zajednički voditelji
-------------------------------------------------
PRIMJER: Tvrtka A i Tvrtka B pokrenule su zajednički brendiranu uslugu C i žele organizirati javno događanje radi promocije usluge C. Međusobno dijele popise klijenata i uzvanika i dogovaraju kako će slati pozivnice i povratne dojmove uzvanika. Zajednički su voditelji.
-------------------------------------------------
- Razmjena istih osobnih podataka između više strana bez zajednički utvrđene svrhe je prijenos između samostalnih voditelja obrade
-------------------------------------------------
PRIMJER: Tvrtka prikuplja i obrađuje podatke svojih zaposlenika radi isplate plaća i zdravstvenog osiguranja. Istovremeno, prema zakonu su dužni poslati iste podatke poreznoj upravi. Iako se radi o istim podacima, nisu zajednički odredili svrhe i nisu zajednički voditelji
-------------------------------------------------
PRIMJER: Korporacija se sastoji od više tvrtki, i Tvrtke B i C koriste istu bazu podataka smještenu na infrastrukturi matične tvrtke A, koja je za takvu obradu izvršitelj. Tvrtka A i B pristupaju podacima samo svojih klijenata, sami određuju tko ima pristup i koji su rokovi pohrane kao i ispravke i brisanje podataka, i ne smiju koristiti podatke tuđih klijenata. Svaka Tvrtka je samostalni voditelj obrade
-------------------------------------------------
IZVRŠITELJ OBRADE
- izvršitelj obrade mora biti zaseban entitet u odnosu na voditelja i mora vršiti obradu u ime voditelja obrade
- jedna tvrtka unutar poslovne grupacije može biti izvršitelj drugoj članici grupe
- zaposlenici ili privremeno zaposlene osobe u voditelju obrade nisu izvršitelji obrade
- izvršitelj ne određuje svrhu (ZAŠTO) već je dobiva kao i KLJUČNE elemente načina obrade, ali može odrediti najprikladnije tehničke i organizacijske načine obrade osobnih podataka
- izvršitelj ne obrađuje osobne podatke u svoje ime
-------------------------------------------------
PRIMJER: marketinška tvrtka pruža usluge direktnog marketinga za korisnike Tvrtke A kao izvršitelj obrade. Ako marketinška tvrtka odluči iskoristiti tu bazu korisnika za drugu svrhu, marketinška tvrtka postaje voditelj obrade i krši GDPR jer nema valjani pravni temelj za to
-------------------------------------------------
- ako podugovorena strana pruža usluge koje nisu posebno ciljane na obradu osobnih podataka i nisu ključan element pruženih usluga, tada ta podugovorena strana bi mogla biti samostalni voditelj obrade
-------------------------------------------------
PRIMJER: Taxi tvrtka je otvorila web platformu putem koje druge tvrtke mogu rezervirati prijevoz zaposlenika ili poslovnih partnera. Tvrtka A unosi ime svog zaposlenika kojeg treba pokupiti na aerodromu. Taxi tvrtka obrađuje osobne podatke zaposlenika Tvrtke A, ali ta obrada nije cilj usluge. Taxi tvrtka nije dobila nikakve upute od Tvrtke A i sama određuje koje osobne podatke treba za pružanje usluge. Taxi tvrtka je voditelj obrade, bez obzira što se obrada pokreće na zahtjev Tvrtke A.
-------------------------------------------------
PRIMJER: Tvrtka A angažira Pozivni centar Tvrtke B koja ima pristup bazi klijenata Tvrtke A. Tvrtka B je izvršitelj obrade za Tvrtku A
-------------------------------------------------
PRIMJER: Tvrtka A angažira Tvrtku B kao održavatelja IT usluga i pri tom ima pristup do velikih količina osobnih podataka. Taj pristup osobnim podacima NIJE glavni cilj pružanja usluge ali Tvrtka B ima neizbježan pristup osobnim podacima i htjela - ne htjela, obrađuje ih, tako da je Tvrtka B izvršitelj obrade. Na tom principu svi voditelji obrade kod angažiranja vanjskih održavatelja računalne opreme i IT sustava, pa i skenera i kopirnih aparata, angažiraju vanjske izvršitelje i mora se sklopiti ugovor s vanjskim izvršiteljem
-------------------------------------------------
PRIMJER: Tvrtka A angažira IT specijalistu iz druge tvrtke da riješi problem u softwareu koji koristi Tvrtka A. IT specijalist nije angažiran da obrađuje osobne podatke te je pristup osobnim podacima slučajan i ograničen. IT specijalist nije ni voditelj ni procesor, a Tvrtka A mora osigurati ograničenje prava pristupa osobnim podacima
-------------------------------------------------
PRIMJER: Jedinica lokalne uprave odluči koristiti usluge Cloud providera za razmjenu informacija sa školama. Cloud provider pruža usluge slanja poruka, video konferencije, pohrane dokumentacije, upravljanja kalendarom i sl. i obrađuje osobne podatke učenika i učitelja. Pri tom Cloud provider pruža svoje standardizirane usluge. Cloud service provider je izvršitelj obrade i mora poštivati rokove pohrane i zahtjeve za brisanje od strane jedinice lokalne uprave.
-------------------------------------------------
TREĆA STRANA
- treća strana nije voditelj obrade, nije izvršitelj obrade niti zaposlenik niti ispitanik
-------------------------------------------------
PRIMJER: Tvrtka A je sklopila ugovor s tvrtkom B koja pruža usluge čišćenja poslovnih prostora. Nije očekivano da zaposlenici Tvrtke B imaju pristup osobnim podacima. Mogu eventualno slučajno doći u uvid osobnim podacima za vrijeme čišćenja iako im je zabranjeno imati pristup osobnim podacima. Tvrtka B je treća strana a Tvrtka A mora osigurati ograničenje prava pristupa osobnim podacima
-------------------------------------------------
PRIMJER: Tvrtka A i Tvrtka B članice su Grupacije C i obrađuju podatke vlastitih zaposlenika. Tvrtka majka D odluči prikupiti osobne podatke svih zaposlenika svih tvrtki u Grupi radi statistika. Tvrtka D je treća stana za Tvrtku A i B, ali je voditelj obrade za statističke svrhe.
-------------------------------------------------
PRIMATELJ
- Primatelj je svaka strana koja prima podatke bez obzira je li treća strana, i može biti i voditelj obrade ako odredi vlastitu svrhu obrade podataka
- javna tijela ili tijela javne vlasti ne mogu biti primatelji jer ionako primaju osobne podatke temeljem zakona ili drugog propisa (npr. porezna uprava, financijske istrage…)
-------------------------------------------------
PRIMJER: Putnička agencija A organizira putovanja na zahtjev svojih klijenata. U sklopu usluga šalju njihove podatke avio-kompanijama, hotelu i organizatorima izleta, koji su svaki zasebno voditelji obrade. Ujedno su i primatelji osobnih podataka.
-------------------------------------------------
ODNOS VODITELJA I IZVRŠITELJA OBRADE
- ako ne postoji pisani ugovor iz članka 28. GDPR-a ili drugi pravni akt, krši se GDPR i kazna slijedi i voditelju obrade i izvršitelju obrade, ali odnos voditelj - izvršitelj i dalje postoji
- EDPB predlaže da ugovor iz članka 28. GDPR-a bude u formi Aneksa glavnom ugovoru o poslovnoj suradnji, odnosno, izdvojen iz glavnog ugovora
- uobičajeno je da jedna strana predlaže tekst ugovora iz članka 28. GDPR-a, često pružatelji usluga sami izrađuju standardne uvjete i ugovore o obradi podataka
- ako izvršitelj obrade izradi prijedlog ugovora, isto ne bi trebalo biti problematično
- obvezan sadržaj ugovora mora uključivati vrstu obrade, trajanje, prirodu obrade i svrhu, kao i kategorije osobnih podataka i ispitanika i prava i obveze voditelja obrade
- izvršitelj može obrađivati podatke izvan pisanih uputa voditelja obrade samo kada to od njega zahtijevaju važeći zakoni
- voditelj obrade može specificirati detaljni skup mjera sigurnosti obrade
- voditelj obrade ima pravo raditi inspekciju ili reviziju rada drugog izvršitelja
- izvršitelj obrade MORA dati punu podršku voditelju obrade prilikom prijave povrede podataka, preporuka je da se u ugovoru navede broj sati u kojima se očekuje obavijest izvršitelja voditelju o povredi
- izvršitelj obrade može također izravno obavijestiti nadzorno tijelo i kompromitirane osobe o povredi ako je dobio dozvolu voditelja obrade
