Upravo smo dobili informaciju da neke organizacije u svojstvu voditelja obrade imaju dvojbe oko utvrđivanja uloge vanjskih tvrtki za čišćenje poslovnih prostora, odnosno, jesu li takve tvrtke prema GDPR-u izvršitelji obrade i potpadaju li pod obveze iz članka 28. GDPR-a.
 
Odmah ćemo reći, odgovor je NE.
 
U prilog tome ide i stajalište EDPB-a (European Data Protection Board) koji je u svojim Smjernicama o konceptu Voditelja i Izvršitelja obrade u GDPR-u naveo slijedeći konkretan primjer:
 
Primjer: usluge čišćenja
 
Tvrtka A sklapa ugovor s tvrtkom za čišćenje svojih ureda. Čistači ne bi smjeli pristupati ili na drugi način obrađivati osobne podatke.
 
Iako ponekad mogu doći u dodir s osobnim podacima i imati uvid u njih prilikom kretanja po uredu, oni mogu izvršiti svoj zadatak čišćenja bez pristupa osobnim podacima i ugovorno im je zabranjen pristup ili na drugi način obrada osobnih podataka koje tvrtka - Voditelj obrade, obrađuje.
 
Čistači nisu zaposleni u tvrtki A niti se smatra da su pod izravnim upravljanjem tvrtke A.
 
Prilikom angažmana tvrtke za čišćenje ne postoji namjera da ta tvrtka ili njezini zaposlenici obrađuju osobne podatke u ime tvrtke A.
 
Tvrtku za usluge čišćenja i njene zaposlenike stoga treba promatrati kao treću stranu i voditelj obrade mora osigurati odgovarajuće sigurnosne mjere kako bi se spriječilo da imaju pristup osobnim podacima i poslovnim tajnama i neophodno je osigurati visoku razinu povjerljivosti zaposlenika tvrtke za čišćenje u slučaju da slučajno naiđu na osobne podatke.
 
Jednostavnijim riječnikom rečeno - moramo voditi brigu da svu svoju poslovnu dokumentaciju s radnog stola prije napuštanja ureda pospremimo na sigurno i nedostupno mjesto (zaključane ladice i ormare, ključić obvezno van), a računala moraju biti ugašena ili zaključana kompleksnom lozinkom.
 
Jednostavno.
 
Isto tako je važno i provjeriti postoje li zaostali papiri na uredskim printerima, koje je netko od zaposlenika tijekom užurbanog dana zaboravio uzeti, a na njima se nalaze neke vrijedne strateške informacije ili popis djece zaposlenika za poklone ili doznaka za bolovanje.
 
Smjernice EDPB su ovdje:
 
https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf
 
 
 
 
Photo by Ivan Samkov from Pexels