Ugovor iz naslova stroga je obveza koja proizlazi iz članka 28. GDPR-a i svakim danom je razumijevanje o toj obvezi u Hrvatskoj sve bolje, možemo to potvrditi.
Međutim, kako poslovni subjekti, bili u poziciji voditelja ili izvršitelja obrade, sami izrađuju takve ugovore ili dodatke postojećim ugovorima o pružanju ugovorenih usluga koje uključuju i obrade osobnih podataka voditelja obrade, često dolazi do konflikata između želja i potreba ugovornih strana s jedne strane, i obveznih ugovornih odredbi s druge strane.
Nije tajna da voditelji ili izvršitelji obrada ponekad kroz takve ugovore o zaštiti podataka pokušavaju "ugurati" i neke dodatne obveze drugoj strani, koje nisu izričito tražene kroz članak 28. GDPR-a.
Najčešće su to odredbe o iznosima kazni za kršenje ugovora, dozvoljene ili dogovorene učestalosti inspekcije voditelja obrade nad načinima provođenja obrade na strani izvršitelja obrade, obveze prethodne najave, ali često viđamo da i izvršitelji obrada žele kroz takve ugovore o zaštiti podataka nametnuti i definirati i određene obveze voditeljima obrade.
Važno se držati odredbe članka 28. stavka 3. GDPR-a koji utvrđuje da se ugovorom o zaštiti podataka, citiramo:
"…izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade."
Također, kako smo već i pisali o tome, nailazimo i na česte slučajeve da iz ugovora o zaštiti podataka izostanu obveze izvršitelja obrade o izvješćivanju voditelja obrade u slučaju povrede osobnih podataka na strani izvršitelja obrade, kako to iziskuje članak 33. stavak 2. GDPR-a, ili obveze davanja podrške voditelju obrade u slučaju provođenja Procjene učinka na zaštitu podataka iz članka .
Slovensko nadzorno tijelo u području zaštite osobnih podataka, Informacijski Pooblaščenec, vjerojatno temeljem sličnih nalaza i nedostataka u praksi, iskoristilo je svoje pravo iz članka 28. stavka 8. GDPR-a i izradilo je standardne ugovorne klauzule i dostavilo ih središnjem EU tijelu za zaštitu podataka (EDPB) na provjeru i odobrenje.
Na taj način osigurava se skup obvezujućih ugovornih odredbi između voditelja i izvršitelja obrade s konačnim ciljem zaštite pojedinaca i umanjenja rizika za temeljna prava fizičkih osoba.
Detalji o odobrenju EDPB-a nalaze se na ovom linku:
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_opinion_202017_art28sccs_si_en.pdf
Kao što i EDPB u svom dokumentu obrazlaže, slovensko nadzorno tijelo željelo je na opisan način riješiti otvorena pitanja koja nastaju u praktičnoj primjeni u stvarnom životu, posebice s aspekta nemogućnosti usuglašavanja stavova između voditelja i izvršitelja obrade.
Dakako, voditelj i izvršitelj obrade, kao ugovorne strane, mogu dodavati odredbe ugovoru o zaštiti podataka, ali na način da iste nisu ni na koji način u suprotnosti sa Standardnim ugovornim klauzulama.
EDPB podržava opciju da se izvršitelju obrade nametne obveza vođenja Evidencije kategorija aktivnosti obrada iz članka 30. stavka 2. GDPR-a, naravno, ako je isti obvezan voditi takvu evidenciju.
Naglašava se da se unutar Ugovora o zaštiti podataka treba izbjegavati utvrđivati nadležnost isključivo domaćeg nacionalnog nadzornog tijela, s obzirom da se nadležnost utvrđuje isključivo prema odredbama GDPR-a, ovisno o kakvoj se obradi podataka radi.
EDPB, također, daje pravo ugovornim stranama da samostalno odrede koja će strana preuzeti troškove provođenja inspekcija voditelja obrade nad izvršiteljem obrade.
Posebno se ističe potreba da se konkretna obrada koju vrši izvršitelj obrade u ime voditelja obrade što detaljnije opiše.
