Ovaj post nije namijenjen čitateljima koji imaju dovoljno vlastitih briga i nije namijenjen ljudima slabog srca, jer ćemo u ovom podužem tekstu prikazati kako su tvorci GDPR-a zakomplicirali stvar.
Zasigurno mnogi laici u području zaštite osobnih podataka a ponekad i stručni pojedinci imaju velike dvojbe u određivanju uloga voditelja i izvršitelja za pojedinu obradu osobnih podataka, jer okolnosti nisu uvijek čiste, a od ključnog su značaja za pravilno usklađivanje s GDPR obvezama.
Nije tajna da postoje dvojbena tumačenja na koja nailazimo u pojedinim EU zemljama za pojedine specifične industrije, spomenut ćemo samo primjer prevoditeljskih agencija i podugovorenih prevoditelja i sudskih tumača, o kojima smo pisali početkom godine nakon izvršenog velikog projekta i dubinske analize stanja u drugim EU zemljama.
Nakon smjernica Radne skupine WP29 iz 2010. godine, zadnje smjernice EU tijela kojima se nastojalo ujednačiti tumačenja na razini svih EU zemalja objavljene su u studenom 2019. od strane nadzornog tijela za EU institucije - EDPS (European Data Protection Supervisor), dostupne na ovom linku, s referencom na drugu EU Uredbu koja se odnosi na EU institucije:
https://edps.europa.eu/sites/edp/files/publication/19-11-07_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.pdf
Sada je EDPB (European Data Protection Board) objavio prijedlog Smjernica i stavio ih na javnu raspravu:
https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020-concepts-controller-and-processor_en
u kojima naglašavaju da je od neupitne važnosti upravo raščistiti i precizirati ovu temu na razini EU i EEA.
Izdvojit ćemo najbitnije:
• uloga voditelja ili izvršitelja obrade uvijek se određuje za svaku pojedinu vrstu obrade, npr. pravna osoba može biti za neke obrade voditelj, a za neke izvršitelj obrade u ime nekog drugog voditelja
• prvenstveno je voditelj obrade (Data Controller) odgovoran za dokazivanje usklađenosti, izvršitelj obrade (Data Processor) je odgovoran u području GDPR obveza koje se tiču njega, dok su zajedno i voditelj i izvršitelj obrade podložni novčanim kaznama u slučaju njihovog kršenja GDPR-a kao što su obvezni i surađivati s nadzornim tijelom
• voditelj i izvršitelj obrade mogu biti i fizičke osobe ili skupina fizičkih osoba (npr. Jehovini svjedoci u slučaju C-25/17, ECLI:EU:C:2018:551, paragraph 75 pred EUCJ)
• u uvjerljivo najvećem broju slučajeva to su pravne osobe uključujući i udruge, javna tijela, agencije i ostala tijela
• često je uloga voditelja ili izvršitelja obrade definirana zakonima ili drugim propisima (npr. zdravstveno osiguranje, jedinice lokalne uprave za svrhe socijalne skrbi sugrađanima…)
VODITELJ OBRADE
• jasni primjeri voditelji obrade su poslodavci kada obrađuju podatke svojih zaposlenika ili udruženja kada obrađuju podatke svojih članova ili web portal kada obrađuje podatke svojih čitatelja
• primjer: tvrtka angažira odvjetnika za zastupanje u sudskom postupku, odvjetnik je taj koji apsolutno zna što je potrebno od osobnih podataka i što s njima činiti i kako ih koristiti bez uputa tvrtke koja ga je angažirala, što znači da odvjetnik određuje svrhu i načine obrade osobnih podataka
• često se unutar samih ugovora o poslovnoj suradnji može lako utvrditi tko je voditelj obrade, ako jedna od strana određuje ZAŠTO i KAKO se obrađuju osobni podaci, ta strana je voditelj ma što god pisalo u ugovoru
• čak i kada izvršitelj nudi usluga koje je sam definirao, ako druga stana odluči koristiti te usluge na temelju detaljnog opisa i pri tom može tražiti izmjene postupanja, tada je ta druga strana voditelj obrade
• izvršitelj obrade ne može nikako naknadno mijenjati načine obrade osobnih podataka bez prethodnog odobrenja voditelja obrade, to znači da voditelj obrade ima UTJECAJ, ali izvršitelj ima mogućnost u praksi donositi određene odluke kako bi se svrha njegovog angažmana ispunila
• voditelj obrade određuje ZAŠTO i KAKO postupati s osobnim podacima da bi se postigao cilj
• izvršitelj obrade NIKAD ne određuje svrhu obrade, odnosno, ZAŠTO, ali ponekad može odrediti KAKO
• kod određivanja KAKO, odnosno, načina obrade osobnih podataka, ključ je u utvrđivanju KLJUČNOG SREDSTVA ili NAČINA obrade, određivanje kojeg je u rukama voditelja obrade, npr. koji će se osobni podaci obrađivati, tko će imati pristup podacima, tko su ispitanici
• određivanje softwarea ili hardwarea za određenu obradu nije esencijalno odnosno nije KLJUČNO, i to može određivati izvršitelj obrade
• Primjer: Tvrtka A angažira tvrtku B da administrira plaće za tvrtku A. Tvrtka A određuje kome idu isplate, u kojem iznosu, s kojim datumom, preko koje banke, kako dugo se podaci spremaju, tvrtka A je svjesna svojih zakonskih obveza i da se isti podaci ne smiju koristiti za druge svrhe. Tvrtka B odlučuje koji će software koristiti i kakva računala te tko će imati pristup podacima unutar svoje tvrtke. Tvrtka A je voditelj. Tvrtka B je izvršitelj. U praksi je to standardni računovodstveni servis kod obračuna plaća za tvrtke koje to ne rade same.
• Primjer: Tvrtka A angažira Tvrtku B za obračun plaća, a Tvrtka B prenosi podatke o plaćama u Banku C radi isplate plaća zaposlenicima Tvrtke A. Banka C sama određuje svrhe i načine isplate plaća na račune zaposlenika Tvrtke A i kako dugo čuvati te podatke te Tvrtka A nema nikakav utjecaj na Banku C, čime je jasno da je Banka C također voditelj obrade, koja je dobila osobne podatke o računima zaposlenika Tvrtke A prijenosom podataka između dva voditelja.
• Primjer: Tvrtka A angažira revizorsku agenciju C za provođenje financijske revizije i u tu svrhu mora prenijeti dokumentaciju i osobne podatke vanjskom revizoru C. Revizor C jako dobro zna koje su mu zakonske obveze i da osobne podatke ne smije koristiti u druge svrhe, zna koje podatke treba i kako ih dugo držati. Revizorska agencija C je voditelj obrade, kao i Tvrtka A. Međutim, ako Tvrtka A angažira revizorsku agenciju C radi usluga za koje Tvrtka A definira posebne upute koje nisu utvrđene zakonskim obvezama za revizore, tada je revizor C izvršitelj obrade.
• Primjer: Tvrtka A angažira tvrtku D za hosting usluge radi spremanja podataka na njihove servere. Hosting tvrtka D ne određuje koje podatke treba pohraniti niti jesu li to osobni podaci, i ona je izvršitelj obrade. To je uobičajen slučaj kod Cloud usluga ili web hosting usluga. Hosting tvrtka D osigurava sve potrebne sigurnosne mjere da bi podaci Tvrtke A bili sigurni i ima obvezu javiti slučaj povrede podataka
• Kako izvršitelj obrade ima pravo određivati određene ne-ključne parametre obrade, voditelj obrade mora biti barem upoznat s njima, odobravati ih i moći određivati promjene istih
• NIJE NUŽNO da uvijek voditelj obrade ima pristup osobnim podacima, jednostavno, ako voditelj obrade angažira izvršitelja obrade za određenu uslugu a pri tom ima utjecaja u određivanju ZAŠTO i KLJUČNIH elemenata KAKO, taj je voditelj obrade
• Primjer: Tvrtka A želi istražiti koji tip klijenata bi mogao biti zainteresiran za njihove proizvode. i u tu svrhu angažira tvrtku B za istraživanje tržišta. Tvrtka A određuje ciljeve i za koje podatke je zainteresirana, određuje ZAŠTO, i određuje popis pitanja koja će se postaviti anketiranim pojedincima. Tvrtka A prima kao rezultat samo statistike i uopće nema pristup do osobnih podataka anketiranih pojedinca. Tvrtka B je izvršitelj obrade za SVRHU koju određuje Tvrtka A koja joj daje upute kao voditelj obrade.
ZAJEDNIČKI VODITELJI OBRADE
• definicija zajedničkih voditelja specifična je i odnosi se na slučaj kada su dva ili više voditelja komplementarna i neophodna u definiranju svrhe i načina da bi obrada mogla krenuti. Ukoliko obradu nije moguće vršiti bez sudjelovanja svih "zajedničkih" voditelja, tada oni jesu zajednički voditelji, bez obzira ako i neki od njih nema pristup do osobnih podataka. Zanimljiv primjer je EUCJ sudske prakse, kojom je zajednica Jehovinih svjedoka zajedno s njenim članovima - propovjednicima definirana kao zajednički voditelji obrade.
• zajednički voditelji jesu zajednički s drugima samo u odnosu na aktivnosti koje zajedno utvrđuju, odnosno, ZAŠTO i KAKO. Ako jedan voditelj odluči samostalno vršiti neku posebnu aktivnost, tada je on samostalni voditelj obrade
• pri tom, svrhe zajedničkih voditelja ne moraju uvijek biti identične, ali ako su međusobno povezane i komplementarne, tada jesu zajednički voditelji ako imaju utjecaja na donošenje odluka
• Primjer: Facebook i vlasnik Facebook stranice zajedno utvrđuju svrhu prikupljanja statistika posjeta stranici, svaka od ovih strana ima svoje interese ali zajedno određuju ZAŠTO i zajednički su voditelji, a pri tom vlasnik stranica određuje i kriterije odabira ciljane publike
• Primjer: Putnička agencija šalje osobne podatke svojih klijenata avio-kompaniji i hotelskom lancu radi rezervacije. Avio kompanija i hotelski lanac potvrđuju slobodna mjesta, a putnička agencija izdaje vouchere. Svaka strana radi svoje aktivnosti i obrade i svaka je samostalni voditelj obrade. No ako se sve tri strane dogovore da će zajedno uspostaviti web stranicu za prodaju paket aranžmana, pri tom svi zajedno određuju skupove osobnih podataka, kako će se rezervacije odrađivati, tko će ih moći vidjeti i međusobno dijele informacije za zajedničke marketinške aktivnosti. Tada su zajednički voditelji obrade
• Primjer: nekoliko istraživačkih instituta se udružilo na zajedničkom projektu i koriste platformu jednog od instituta, ali svi instituti unose u platformu svoje osobne podatke, čime su zajednički voditelji
• Primjer: Tvrtka A i Tvrtka B pokrenule su zajednički brendiranu uslugu C i žele organizirati javno događanje radi promocije usluge C. Međusobno dijele popise klijenata i uzvanika i dogovaraju kako će slati pozivnice i povratne dojmove uzvanika. Zajednički su voditelji
• Razmjena istih osobnih podataka između više strana bez zajednički utvrđene svrhe je prijenos između samostalnih voditelja obrade
• Primjer: Tvrtka prikuplja i obrađuje podatke svojih zaposlenika radi isplate plaća i zdravstvenog osiguranja. Istovremeno, prema zakonu su dužni poslati iste podatke poreznoj upravi. Iako se radi o istim podacima, nisu zajednički odredili svrhe i nisu zajednički voditelji
• Primjer: Korporacija se sastoji od više tvrtki, i Tvrtke B i C koriste istu bazu podataka smještenu na infrastrukturi matične tvrtke A, koja je za takvu obradu izvršitelj. Tvrtka A i B pristupaju podacima samo svojih klijenata, sami određuju tko ima pristup i koji su rokovi pohrane kao i ispravke i brisanje podataka, i ne smiju koristiti podatke tuđih klijenata. Svaka Tvrtka je samostalni voditelj obrade
IZVRŠITELJ OBRADE
• izvršitelj obrade mora biti zaseban entitet u odnosu na voditelja i mora vršiti obradu u ime voditelja obrade
• jedna tvrtka unutar Korporativne grupacije može biti izvršitelj drugoj članici grupe
• zaposlenici ili privremeno zaposlene osobe u voditelju obrade nisu izvršitelji obrade
• izvršitelj ne određuje svrhu (ZAŠTO) već je dobiva, kao i KLJUČNE elemente načina obrade, ali može odrediti najprikladnije tehničke i organizacijske načine obrade osobnih podataka
• izvršitelj ne obrađuje osobne podatke u svoje ime
• Primjer: marketinška tvrtka pruža usluge direktnog marketinga za korisnike Tvrtke A kao izvršitelj obrade. Ako marketinška tvrtka odluči iskoristiti tu bazu korisnika za drugu svrhu, marketinška tvrtka postaje voditelj obrade i krši GDPR
• ako podugovorena strana pruža usluge koje nisu posebno ciljane na obradu osobnih podataka i nisu ključan element pruženih usluga, tada ta podugovorena strana bi mogla biti samostalni voditelj obrade
• Primjer: Taxi tvrtka je otvorila web platformu putem koje druge tvrtke mogu rezervirati prijevoz zaposlenika ili poslovnih partnera. Tvrtka A unosi ime svog zaposlenika kojeg treba pokupiti na aerodromu. Taxi tvrtka obrađuje osobne podatke zaposlenika Tvrtke A, ali ta obrada nije cilj usluge. Taxi tvrtka nije dobila nikakve upute od Tvrtke A i sama određuje koje osobne podatke treba za pružanje usluge. Taxi tvrtka je voditelj obrade, bez obzira što se obrada pokreće na zahtjev Tvrtke A.
• Primjer: Tvrtka A angažira Call centar u Tvtrki B koja ima pristup bazi klijenata Tvrtke A. Tvrtka B je izvršitelj obrade za Tvrtku A
• Primjer: Tvrtka A angažira Tvrtku B kao održavatelja IT usluga i pri tom ima pristup do velikih količina osobnih podataka. Taj pristup osobnim podacima NIJE glavni cilj pružanja usluge ali Tvrtka B ima neizbježan pristup osobnim podacima i htjela - ne htjela, obrađuje ih, tako da je Tvrtka B izvršitelj obrade. Na tom principu svi voditelji obrade kod angažiranja vanjskih održavatelja računalne opreme i IT sustava, pa i skenera i kopirnih aparata, angažiraju vanjske izvršitelje i mora se sklopiti ugovor s vanjskim izvršiteljem
• Primjer: Tvrtka A angažira IT specijalistu iz druge tvrtke da riješi problem u softwareu koji koristi Tvrtka A. IT specijalist nije angažiran da obrađuje osobne podatke te je pristup osobnim podacima slučajan i ograničen. IT specijalist nije ni voditelj ni procesor, a Tvrtka A mora osigurati ograničenje prava pristupa osobnim podacima
• Primjer: Jedinica lokalne uprave počinje koristiti Cloud usluge, uključujući i messaging usluge, videokonferenciju, pohranu dokumentacije, kalendar i sl. i omogućuje obradu osobnih podataka. Pružatelj Cloud usluga pruža usluge koje nudi globalno, pa pruža i ugovor o zaštiti podataka kojeg Jedinica lokalne uprave mora pregledati i osigurati da je u skladu s člankom 28. GDPR-a, kao i da se osobni podaci ne koriste za druge svrhe i da JLS upravlja brisanje podataka
TREĆA STRANA
• treća strana nije voditelj obrade, nije izvršitelj obrade niti zaposlenik niti ispitanik
• Primjer: Tvrtka A je sklopila ugovor s tvrtkom B koja pruža usluge čišćenja poslovnih prostora. Nije očekivano da zaposlenici Tvrtke B imaju pristup osobnim podacima. Mogu eventualno slučajno doći u uvid osobnim podacima za vrijeme čišćenja iako im je zabranjeno imati pristup osobnim podacima. Tvrtka B je treća strana a Tvrtka A mora osigurati ograničenje prava pristupa osobnim podacima
• Primjer: Tvrtka A i Tvrtka B članice su Grupe tvrtki C i obrađuju podatke vlastitih zaposlenika. Tvrtka majka D odluči prikupiti osobne podatke svih zaposlenika svih tvrtki u Grupi radi statistika. Tvrtka D je treća stana za Tvrtku A i B, ali je voditelj obrade za statističke svrhe.
PRIMATELJ
• Primatelj je svaka strana koja prima podatke bez obzira je li treća strana, i može biti i voditelj obrade ako odredi vlastitu svrhu obrade podataka
• javna tijela ili tijela javne vlasti ne mogu biti primatelji jer ionako primaju osobne podatke temeljem zakona ili drugog propisa (npr. porezna uprava, financijske istrage…)
• Primjer: Putnička agencija A organizira putovanja na zahtjev klijenata. U sklopu usluga šalju njihove podatke avio-kompanijama, hotelu i organizatorima izleta, koji su svaki zasebno voditelji obrade. Ujedno su i primatelji osobnih podataka.
ODNOS VODITELJA I IZVRŠITELJA OBRADE
• ako ne postoji pisani ugovor iz članka 28. GDPR-a ili drugi pravni akt, krši se GDPR i kazna slijedi i voditelju obrade i izvršitelju obrade, ali odnos voditelj - izvršitelj i dalje postoji
• umjesto ugovora mogu se koristiti i Standardne ugovorne klauzule koje je odredila Europska komisija ili nadzorno tijelo
• uobičajeno je da jedna strana predlaže tekst ugovora iz članka 28. GDPR-a, često pružatelji usluga sami izrađuju standardne uvjete i ugovore o obradi podataka
• ako izvršitelj obrade izradi prijedlog ugovora, isto ne bi trebalo biti problematično
• obvezan sadržaj ugovora mora uključivati vrstu obrade, trajanje, prirodu obrade i svrhu, kao i kategorije osobnih podataka i ispitanika i prava i obveze voditelja obrade
• ako izvršitelj obrade prenosi osobne podatke izvan EU, ugovorom se moraju utvrditi zahtjevi na takve prijenose, uključujući i angažman drugih izvršitelja izvan EU
• izvršitelj može obrađivati podatke izvan pisanih uputa voditelja obrade samo kada to od njega zahtijevaju važeći zakoni
• voditelj obrade može specificirati detaljni skup mjera sigurnosti obrade
• voditelj obrade ima pravo raditi inspekciju ili reviziju rada drugog izvršitelja
• izvršitelj obrade MORA dati punu podršku voditelju obrade prilikom prijave povrede podataka, preporuka je da se u ugovoru navede broj sati u kojima se očekuje obavijest izvršitelja voditelju o povredi
• izvršitelj mora slijediti pisane upute voditelja obrade, ali iznad toga mora voditi brigu o usklađenosti s GDPR obvezama, pa ukoliko voditelj obrade traži obradu koja je neusklađena s GDPR-om, preporuča se da se u ugovoru navedu uvjeti raskida ugovora
Jao, zar ne?