Definiranje pojma izvršitelja i voditelja obrade


Definiranje pojma izvršitelja i voditelja obrade


7.6.2019.

Nastavno na Vaš upit vezan uz razgraničenje pojma izvršitelja i voditelja obrade, Agencija se očituje kako slijedi:

Člankom 4. stavkom 7. Opće uredbe voditelj obrade je definiran kao fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka te je naznačeno da u situaciji kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.
Nadalje, uvodnim odredbama 74, 80-86 te 94 kao i člankom 24. Opće uredbe propisane su obveze voditelja obrade koje nalažu voditelju obrade provođenje odgovarajućih i djelotvornih tehničkih i organizacijskih mjera. Naime, navedenim odredbama propisano je da je voditelj obrade odgovoran za poštivanje predmetne Uredbe te mora biti u mogućnosti dokazati da postupa u skladu s istom.

Uvodnom odredbom 81 izričito je navedeno da bi voditelj obrade trebao angažirati samo izvršitelje obrade koji u zadovoljavajućoj mjeri jamče, osobito u pogledu stručnog znanja, pouzdanosti i resursa, provedbu mjera koje udovoljavaju zahtjevima iz Opće uredbe.

Međutim, to što izvršitelj na temelju ugovornog odnosa izvršava određenu obradu podataka u ime i za račun voditelja ne znači da izmiče odgovornosti i načelima obrade iz Opće uredbe. 

Naime, izvršitelj obrade mora jamčiti zaštitu i povjerljivost obrade osobnih podataka te je dužan provoditi odgovarajuće mjere zaštite kako bi osigurao i mogao dokazati da se obrada provodi u skladu s Općom uredbom.

Nadalje, sukladno članku 28. stavku 10. Opće uredbe, ne dovodeći u pitanje članke 82., 83. i 84., ako izvršitelj obrade krši ovu Uredbu utvrđivanjem svrhe i načine obrade podataka, izvršitelj obrade smatra se voditeljem obrade u pogledu te obrade.

S druge strane, člankom 4. točkom 8. propisano je da je izvršitelj obrade fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade dok je člankom 28. te uvodnim recitalima broj 80-83 propisana uloga te obveze izvršitelja obrade. Naime, izvršitelj obrade obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade te po izboru voditelja obrade briše, čuva ili vraća navedene osobne podatke nakon dovršetka pružanja usluga vezanih za obradu.

Osim toga, Radna skupina iz članka 29. Direktive u svom je mišljenju broj 1/2010 iz veljače 2010. godine razgraničila pojam voditelja i izvršitelja obrade na način da je voditelja odredila kao pravnu ili fizičku osobu koja determinira svrhu i sredstva obrade. Dva osnovna uvjeta za kvalifikaciju izvršitelja obrade su da se, s jedne strane, radi o odvojenoj pravnoj osobi u odnosu na voditelja obrade te da, s druge strane, izvršitelj obrade obrađuje osobne podatke u ime voditelja obrade. Određenje svrhe u svakom slučaju kvalificira voditelja obrade, a određenje sredstava obrade implicira kontrolu samo kada se odnosi na esencijalne elemente sredstava.

Uzimajući u obzir navedene odredbe Agencija smatra kako bi se prilikom određivanja određenog subjekta kao voditelja ili izvršitelja obrade prvenstveno trebao uzeti u obzir kriterij utvrđivanja svrhe predmetne obrade osobnih podataka. Kako bi se pravilno determinirala svrha obrade odnosno subjekt koji istu određuje potrebno je utvrditi iz kojeg se razloga obrađuju pojedini osobni podaci, tko ima pristup podacima, kada će podaci biti izbrisani, koja je uloga povezanih subjekata obrade te u svakom slučaju postoji li zakonska osnova za obradu sukladno članku 6. Opće uredbe. Tek nakon utvrđenja svrhe prikupljanja i obrade osobnih podataka moguće je razmotriti drugi kriterij definiranja subjekta kao voditelja u smislu određivanja sredstva obrade.

U tom kontekstu potrebno je napomenuti kako sama činjenica da određeni subjekt određuje pojedine segmente sredstva obrade ne znači nužno da se isti ima smatrati voditeljem, osobito u slučajevima kada je svrha obrade toliko jasno naznačena da ona sama može predstavljati jasnu uputu te sadrži bitne elemente putem kojih je moguće odrediti sredstva obrade.

Nadalje, člankom 26. stavkom 1. Opće uredbe propisano je sljedeće: „Ako dvoje ili više voditelja obrade zajednički odrede svrhe i načine obrade, oni su zajednički voditelji obrade. Oni na transparentan način određuju svoje odgovornosti za poštovanje obveza iz ove Uredbe, osobito s obzirom na ostvarivanje prava ispitanika i svojih dužnosti u pogledu pružanja informacija iz članaka 13. i 14., te to čine međusobnim dogovorom, osim ako su odgovornosti voditelja obrade utvrđene pravom Unije ili pravom države članice kojem voditelji obrade podliježu i u mjeri u kojoj su one utvrđene. Dogovorom se može odrediti kontaktna točka za ispitanike.

Razmatrajući navedene odredbe Opće uredbe kao i navode iz Vašeg upita, razvidno je kako bi Vi i liječnici medicine rada, u konkretnom slučaju predstavljali voditelje obrade. Naime, člankom 80. Zakona o zaštiti na radu (NN 71/2014, 118/2014, 154/2014, 94/2018 i 96/2018; u daljnjem tekstu Zakon o zaštiti na radu) propisana je obveza ugovaranja usluga medicine rada te je navedenim propisom jasno definirana svrha obrade osobnih podataka u tom kontekstu.

Osim toga, člankom 64. Zakona o zaštiti na radu definirani su zdravstveni pregledi radnika i osoba koje poslodavac namjerava zaposliti.

Nadalje, vezano uz ulogu revizorske kuće, pojašnjavamo kako će se isti također smatrati voditeljem obrade budući da su Zakonom o reviziji (NN 127/17) detaljno propisani svrha i način obrade osobnih podataka, kao i obveze revizora u pogledu izvršavanja svojih zadaća.

Imajući u vidu navedeno, smatramo kako s navedenim subjektima nije potrebno zaključivati posebne Ugovore budući da je odnos Vas i tih subjekata jasno definiran važećim propisima. Osim toga, u kontekstu odgovornosti svaki je voditelj obrade zasebno odgovoran za poštivanje svih odredbi Opće uredbe, pa tako i onih u pogledu organizacijsko tehničkih mjera zaštite.

Zaključno, Agencija ističe da se kvalificiranje određenog subjekta kao voditelja/ izvršitelja, odnosno zajedničkog voditelja nužno mora provoditi ovisno o okolnostima svakog pojedinog slučaja, a uzimajući u obzir kriterije naznačene u gornjem tekstu kao i kriterije utvrđene Općom uredbom.

 
 
  Natrag