Rijetko se kod nas događaju slučajevi da voditelj obrade, npr. neka tvrtka ili javno tijelo, odluči raskinuti ugovorni odnos s izvršiteljem obrade kao pružateljem usluga održavanja neke aplikacije, videonadzora, IT sustava, GPS sustava nadzora vozila i sl.
Tim više je rizik nastanka ozbiljnih sigurnosnih problema veći, jer voditelji obrade nemaju dovoljno iskustva i znanja o nužnim postupcima provođenja sigurnosnih mjera nad obrađivanim osobnim podacima na strani izvršitelja po raskidu ugovora.
Postojanje takvog značajnog rizika lako možemo uočiti već u samom tekstu Ugovora o obradi podataka prema članku 28. GDPR-a (ako je uopće sklopljen) između voditelja obrade i izvršitelja obrade, s obzirom da ugovorne strane prečesto zaborave definirati postupanje s osobnim podacima po raskidu ugovora.
Članak 28. GDPR-a u svom stavku 3. točki (g) nalaže obvezu da izvršitelj obrade po izboru voditelja obrade briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno zakonskoj obvezi postoji obveza pohrane osobnih podataka.
Stoga je jako važno na praktičan i nedvojben način unutar Ugovora o obradi podataka definirati postupanje s osobnim podacima na strani izvršitelja obrade nakon što voditelj obrade raskine ugovor s njim.
Na primjer, definirati brisanje ili ireverzibilnu anonimizaciju i rokove provođenja istog, rokove u kojima izvršitelj obrade mora vratiti sve obrađivane osobne podatke ili u kojima mora omogućiti voditelju obrade da sam skine osobne podatke sa sustava izvršitelja obrade prije konačnog brisanja i svih kopija osobnih podataka, sve uz jedinstven uvjet – prema odluci i zahtjevu voditelja obrade.
Naravno, stvari se dodatno pogoršavaju kada je, a takvih slučajeva je sve više, u obradu osobnih podataka uključen i podizvršitelj, odnosno, pružatelj Cloud usluga. Bezbroj je primjera kad su zaposlenicima voditelja obrade dostupne online poslovne aplikacije izvršitelja obrade koje nisu instalirane na serveru unutar organizacije već im se pristupa online na serveru pružatelja Cloud usluga kojeg je podugovorio izvršitelj obrade.
I izvršitelj obrade po raskidu ugovora s voditelje obrade izbriše baze podataka i svoje kopije sa svojih sustava, ali pri tom zaboravi izbrisati i podatke na sustavu podizvršitelja i onemogućiti pristup cloudu.
Istovremeno voditelj obrade zaboravi da ima podizvršitelja i da treba izmijeniti pristupne lozinke i onemogućiti račune za pristup podacima u Cloudu, kako hakeri ne bi ušli u bazu podataka na Cloudu nakon što se ista više ne koristi i dok još anonimizacija nije u cijelosti izvršena.
Takav slučaj dogodio se u Njemačkoj:
https://gdprhub.eu/index.php?title=LG_M%C3%BCnchen_I_-_5_O_5853/22&mtc=today
Image by master1305 on FreePik
#gdprcroatia