Temeljne obveze voditelja i izvrsitelja obrade


Temeljne obveze voditelja i izvrsitelja obrade


Nastavno na Vaš općenit upit koji je zaprimila ova Agencija vezan za temeljne obveze voditelja i izvršitelja obrade osobnih podataka sukladno odredbama Opće uredbe o zaštiti podataka, iznosimo sljedeći načelan odgovor:

Prije svega ističemo kako se od 25. svibnja 2018., u svim državama članicama Europske unije izravno primjenjuje Opća uredba o zaštiti podataka – Uredba (EU) 2016/679 Europskog parlamenta i Vijeća, engl. GDPR (u daljnjem tekstu: Opća uredba) kojom se prije svega utvrđuju pravila povezana sa zaštitom pojedinca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka.
Naime, Općom uredbom štite se temeljna prava i slobode pojedinca (fizičkih osoba), a posebice njihovo pravo na zaštitu podataka. Ističemo kako se ovom Uredbom ne obuhvaća obrada podataka  koji se tiču pravnih osoba, a osobito poduzetnika koji su ustanovljeni kao pravne osobe, uključujući naziv i oblik pravne osobe i kontakt podatke.
Članak 4. Opće uredbe definira osobne podatke kao sve podatke koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
Obrada osobnih podataka znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje (članak 4. Opće uredbe).
Voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka (članak 4. Opće uredbe).
Primjeri voditelja obrade: trgovačka društva ili obrti koji obrađuju podatke svojih radnika; financijske institucije koje obrađuju osobne podatke svojih stranaka/klijenata; udruge koje obrađuju podatke svojih članova; škole ili fakulteti koji obrađuju osobne podatke učenika, studenata ili nastavnika/svojih radnika; bolnice koje obrađuju osobne podatke svojih pacijenata; državna tijela ili tijela jedinica lokalne/regionalne samouprave koja obrađuju osobne podatke građana.
Izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo  koje obrađuje osobne podatke u ime voditelja obrade. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom (članak 4. Opće uredbe).
Primjeri izvršitelja obrade: knjigovodstveni servis koji obrađuje podatke o plaćama radnika za poslodavca;  trgovačka društva ovlaštena za obavljanje privatne zaštite; agencije za naplatu potraživanja temeljem sklopljenog ugovora o poslovnoj suradnji.

Navodimo kako voditelj obrade nije u obvezi imati izvršitelja obrade. Naime Opća uredba daje mogućnost voditelju obrade da povjeri izvršitelju obrade obavljanje samo nekih točno ugovorenih poslova u ime i za račun voditelja obrade.
Članak 28. Opće uredbe o zaštiti podataka, između ostalog, propisuje da ako se obrada provodi u ime voditelja obrade, voditelj obrade koristi se jedino izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz ove Uredbe i da se njome osigurava zaštita prava ispitanika (stavak 1.).

Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg pisanog odobrenja, izvršitelj obrade obavješćuje voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da uloži prigovor na takve izmjene (stavak 2.).
Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom (mora biti u pisanom obliku, uključujući i elektronički oblik) u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade. Tim se ugovorom ili drugim pravnim aktom osobito određuje da izvršitelj obrade:
a) obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade, među ostalim s obzirom na prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako to nalaže pravo Unije ili pravo države članice kojem podliježe izvršitelj obrade; u tom slučaju izvršitelj obrade izvješćuje voditelja obrade o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo izvješćivanje zbog važnih razloga od javnog interesa; b) osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti; c) poduzima sve potrebne mjere u skladu s člankom 32.; d) poštuje uvjete iz stavaka 2. i 4. za angažiranje drugog izvršitelja obrade; e) uzimajući u obzir prirodu obrade, pomaže voditelju obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju III. Opće uredbe o zaštiti podataka; f) pomaže voditelju obrade u osiguravanju usklađenosti s obvezama u skladu s člancima od 32. do 36., uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade; g) po izboru voditelja, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka; h) voditelju obrade stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih u ovom članku i koje omogućuju revizije, uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade, te im doprinose.
Izvršitelj obrade odmah obavješćuje voditelja obrade ako prema njegovu mišljenju određena uputa krši ovu Uredbu ili druge odredbe Unije ili države članice o zaštiti podataka. (stavak 3.).
Ako izvršitelj obrade angažira drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime voditelja obrade, iste obveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade iz stavka 3. nameću se tom drugom izvršitelju obrade ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, a osobito obveza davanja dostatnih jamstava za provedbu odgovarajućih tehničkih i organizacijskih mjera na način da se obradom udovoljava zahtjevima iz ove Uredbe. Ako taj drugi izvršitelj obrade ne ispunjava obveze zaštite podataka, početni izvršitelj obrade ostaje u cijelosti odgovoran voditelju obrade za izvršavanje obveza tog drugog izvršitelja obrade (stavak 4.).

Uzimajući u obzir obvezu izvršitelja obrade kojom mora osigurati da su se osobe ovlaštene za obradu osobnih podatatka obvezale na poštivanje povjerljivosti ili da podliježu zakonskim obvezama povjerljivosti, navodimo kako tom prilikom ne znači da izvršitelj obrade eventualno potpisane izjave o povjerljivosti svojih zasposlenika koji neposredno sudjeluju u obradi osobnih podataka, mora iste ako su potpisane dostavljati voditelju obrade s kojim se sklapa ugovor. Naime, njegova obveza je jamčiti da će se osobni podaci prema točno danim uputama voditelja obrade obrađivati, te je na taj način dužan osigurati povjerljivost u skladu s obvezama koje proizlaze iz ugovora.
Iz samog odnosa voditelja i izvršitelja obrade proizlazi da izvršitelj obrade poduzima određene radnje u obradi u ime i za račun voditelja obrade. Stoga, voditelj obrade može povjeriti pojedine poslove i obveze koje proizlaze iz Opće uredbe o zaštiti podataka konkretnom izvršitelju obrade, pa tako izvršitelj obrade može primjerice prikupljati i obrađivati osobne podatke u točno određenu svrhu, prema danim uputama voditelja obrade. Upravo iz tog razloga za postojanje pravne osnove i zakonite svrhe (članak 5. i 6. Opće uredbe o zaštiti podataka) prilikom obrade osobnih podataka odgovoran je voditelj obrade, dok izvršitelj obrade samo obrađuje podatke u njegovo ime i za njegov račun. Ističemo kako izvršitelj obrade mora jamčiti zaštitu i povjerljivost obrade osobnih podataka te provoditi odgovarajuće mjere zaštite kako bi osigurao i mogao dokazati da se obrada provodi u skladu sa Općom uredbom.
Pa tako primjerice, kada poslodavac u svrhu izvršavanja svoje pravne obveze, koja proizlazi iz članka 6. stavka 1. točke (c) Opće uredbe o zaštiti podataka obrađuje podatke o radnicima u svrhu izvršavanja obveze poslodavca koje proizlaze iz npr. Zakona o zdravstvenom osiguranju, Zakona o mirovinskom osiguranju za navedenu obradu podataka ne treba prikupljati privolu. U opisanom slučaju kada voditelj obrade poslove obračuna plaće povjeri knjigovodstvenom servisu kao izvršitelju obrade, također nije potrebno traženje privola obzirom da ne dolazi do prijenosa podataka drugom primatelju, jer izvršitelj obrade djeluje u ime i za račun voditelja obrade, koji utvrđuje svrhe i sredstva obrade osobnih podataka.

S obzirom na primjenu Opće uredbe skrećemo pozornost na sljedeće temeljne obveze voditelja obrade i izvršitelja obrade: pružanje informacija  ispitanicima u svrhu ostvarivanja  njihovih prava (članci 12. -21. Opće uredbe), provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite  osobnih podataka ( članci  25. i 32. Opće uredbe), vođenje evidencija aktivnosti obrade (članci 30. Opće uredbe), imenovanje službenika za zaštitu podataka (članak 37. Opće uredbe), procjena učinka na zaštitu podataka (članak 35. Opće uredbe).
• Pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava (članak 13. i 14. Opće uredbe)
Vezano za pružanje informacija  ispitanicima u svrhu ostvarivanja  njihovih prava navodimo kako je poštujući načelo transparentnosti voditelj obrade dužan ispitaniku pružiti sve informacije o obradi njegovih osobnih podataka u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ga upoznati sa njegovim pravima koja mu pripadaju sukladno Općoj uredbi, a vezano za obradu njegovih osobnih podataka (pravo na informiranje, pravo na pristup, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i automatizirano donošenje odluka).
Dakle, voditelj obrade u trenutku prikupljanja osobnih podataka obvezan je ispitaniku pružiti informacije:
- o svom identitetu,
-o službeniku za zaštitu podataka (kontakt podaci službenika),
-upoznati sa  svrhom i pravnom osnovom za obradu osobnih podataka,
-o primateljima ili kategorijama primatelja osobnih podataka,
-o prenošenju osobnih podataka trećoj zemlji ili međunarodnoj organizaciji (koje nisu članice
EU),
-o legitimnom interesu,
-o vremenskom roku pohrane osobnih podataka te kriterijima kojima se utvrđuje razdoblje pohrane,
-o postojanju prava da se od voditelja obrade zatraži pristup osobnim podacima, ispravak, brisanje osobnih podataka ili ograničavanje obrade koja se na njega odnose, prava na ulaganje prigovora na obradu takvih podataka te na prenosivost njegovih podataka drugom voditelju obrade,
- o pravu da se u bilo kojem trenutku povuče privola, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena,
-o pravu na podnošenje prigovora nadzornom tijelu (Agenciji za zaštitu osobnih podataka)
-da li je pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže,
-o postojanju automatiziranog donošenja odluka, što uključuje izradu profila te smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.

Također, ukoliko osobni podaci nisu dobiveni od ispitanika, voditelj obrade dužan je ispitaniku pružiti  osim gore navedenih informacija i informacije o izvoru osobnih podataka (članak 14. Opće uredbe).

Osim toga, navodimo kako je u svrhu ostvarivanja zakonitosti i transparentnosti obrade osobnih podataka i pružanja informacija vezanih za obradu osobnih podataka, a time i ostvarivanja  prava ispitanika: pravo pristupa podacima, prava na ispravak netočnih podataka, prava na brisanje podataka, prava na ograničenje obrade podataka, prava na prenosivost podataka i prava na ulaganje prigovora na obradu osobnih podataka voditelj obrade dužan detaljno objasniti koje vrste osobnih podataka se prikupljaju, u koju svrhu i po kojoj pravnoj osnovi, na koji način se koriste osobni podaci, odnosno tko koristi osobne podatke te koje mjere zaštite osobnih podataka se poduzimaju (izrada politika privatnosti). 

Isto tako ukazujemo kako je potrebno usklađivanje internih akata vezanih uz radno-pravne odnose, odnosno uskladiti odredbe internih akata koje se odnose na zaštitu osobnih podataka u kojima će na sveobuhvatan i jasan način biti ugrađene informacije koje je voditelj obrade u trenutku prikupljanja osobnih podataka obvezan ispitaniku pružiti (standardi iz članka 13. i članka 14. Opće uredbe).


• Provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite  osobnih podataka ( članci 25. i 32. Opće uredbe)

Nadalje, svaki voditelj i izvršitelj obrade dužan je poduzimati i provoditi odgovarajuće tehničke i organizacijske mjere zaštite koje imaju za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka, odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja osobnim podacima kao i tehničkoj opremi kojom se koriste voditelji i izvršitelji obrade. Provođenjem odgovarajućih mjera zaštite osigurava se da osobni podaci nisu automatski dostupni neograničenom broju osoba koje nisu ovlaštene za njihovu obradu. U vrijeme određivanja sredstava obrade i u vrijeme same obrade obveza je svakog voditelja obrade da ovisno o prirodi/naravi, opsegu i svrsi obrade osobnih podataka odredi mjere zaštite koje jamče sigurnu, poštenu i zakonitu obradu osobnih podataka te učinkovitu primjenu načela zaštite podataka (osobito uzimajući u obzir nužnost obrade podataka za svaku posebnu svrhu, smanjenje količine prikupljanih podataka kao i opsega podataka prilikom obrade, određivanje rokova čuvanja podataka, njihovu dostupnost i dr.).

Pa je tako preporuka Agencije u svezi navedenog da se dokumentacija u papirnatom obliku koja sadrži osobne podatke pohrani, primjerice u ormare ili ladice pod ključem koja će biti pod nadzorom ovlaštenih osoba voditelja obrade, da pristup osobnim podacima pohranjenim u elektroničkom obliku bude omogućen uporabom korisničkog imena i lozinke. Također, preporuka ove Agencije je  izrada sigurnosnih kopija od strane ovlaštenih osoba, bilježenje pristupa podacima, potpisivanje izjava o povjerljivosti osoba koje su u obradi osobnih podataka, te pseudonimizacija ili enkripcija osobnih podataka- osobito ako se radi o posebnim  kategorijama (primjerice: podataka o zdravlju). Ujedno ukazujemo kako obrazac Izjave o povjerljivosti možete pronaći na internet stranici ove Agencije http://azop.hr/info-servis/detaljnije/izjava-o-povjerljivosti.

• Evidencija aktivnosti obrade (članak 30. Opće uredbe)
Sukladno članku 30. Opće uredbe svaki voditelj obrade ili izvršitelj obrade, ako je primjenjivo, vodi evidenciju aktivnosti obrade  za koju je odgovoran radi dokazivanja sukladnosti obrade sa Općom uredbom.
Evidencija aktivnosti obrade je formular (obrazac) koja služi kao dokaz da je obrada osobnih podataka zakonita. Ista mora sadržavati informacije iz članka 30. Opće uredbe te mora biti u pisanom obliku, uključujući elektronički oblik. Podaci sadržani u evidenciji obrade trebali bi biti na odgovarajući način zaštićeni (primjerice: centralizirana baza zapisa, uvođenje mjera autorizacije i kontrole pristupa).
Sadržaj evidencije aktivnosti obrade mora biti detaljno razrađen te mora sadržavati  ime i kontakt podaci voditelja obrade (primjerice: naziv pravne osobe i kontakt), svrhu obrade (detaljno objašnjena), opis kategorije ispitanika (primjerice: podaci o radnicima, podaci o pacijentima) i kategorija osobnih podataka (primjerice: ime, prezime, adresa stanovanja itd.), kategorije primatelja (uključujući one u trećim zemljama ili međunarodne organizacije), prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama, rokovi za brisanje različitih kategorija podataka (rokovi čuvanja osobnih podataka, te naziv i odredbe zakona ako je ono određeno posebnim zakonom) te opis tehničkih i organizacijskih mjera zaštite osobnih podataka.
Bitno je navesti kako je svaki voditelj/izvršitelj obrade neovisno o broju zaposlenika dužan voditi evidenciju obrade, ukoliko je ispunjen jedan od sljedećih uvjeta:
-ako će obrada vjerojatno prouzročiti visoki rizik za prava i slobode ispitanika (primjerice: uvođenje novih tehnologija kao što su biometrijski čitači, prepoznavanje lica, IT servisa koji obrađuju osobne podatke)
-ako obrada nije povremena, odnosno ako je obrada stalna (primjerice: obrada osobnih podataka zaposlenika u svrhu isplate plaća od strane poslodavca), ako obrada uključuje posebne kategorije podataka (primjerice: zdravstveni podaci koje obrađuje bolnica, biometrijski podaci, genetski podaci)
Međutim, navedena obveza ne odnosi se na voditelja obrade/izvršitelja obrade ako ima manje od 250 zaposlenika, te ako nije primjenjiv niti jedan od gore navedenih uvjeta.
Ističemo kako voditelji obrade prema Općoj uredbi o zaštiti podataka nemaju obvezu dostave navedenih evidencija aktivnosti obrade Agenciji za zaštitu osobnih podataka (dosadašnji Središnji registar evidencija o zbirkama osobnih podataka), već evidencije aktivnosti obrade vode kod sebe u pisanom obliku, uključujući elektronički oblik te su istu dužni dati na uvid na zahtjev nadzornog tijela (Agenciji za zaštitu osobnih podataka).

• Službenik za zaštitu podataka (članci 37.-39. Opće uredbe )
Voditelj obrade i izvršitelj obrade sukladno članku 37. Opće uredbe dužni su imenovati službenika za zaštitu podataka u sljedećim slučajevima:
-ako obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti
-ako se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od postupaka obrade koji zbog svoje prirode, opsega ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri 
- ako se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od opsežne obrade posebnih kategorija podataka (članak 9. Opće uredbe) i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima (članak 10. Opće uredbe ).

Dakle, proizlazi kako je neovisno o broju zaposlenika voditelj obrade/izvršitelj dužan imenovati službenika za zaštitu podataka ukoliko je ispunjen jedan od gore navedenih uvjeta iz članka 37. Opće uredbe.
Prilikom imenovanja službenika potrebno je voditi  računa da ne postoji sukob interesa (voditi računa da takva osoba ne sudjeluje u donošenju odluka kojima se utvrđuje svrha i način obrade osobnih podataka).
Važno je istaknuti kako službenik za zaštitu podataka može biti zaposlenik organizacije (voditelja obrade ili izvršitelja obrade ) u kojoj je imenovan, ali službenikom može biti imenovana i osoba koja nije zaposlenik organizacije temeljem ugovora o djelu (vanjski službenik). Također, voditelj obrade može imenovati jednog službenika za zaštitu podataka pod uvjetom da je isti lako dostupan iz svakog poslovnog nastana.
Voditelj obrade/izvršitelj obrade dužan je donijeti Odluku o imenovanju službenika sukladno Općoj uredbi vodeći računa o stručnim kvalifikacijama (stručnom znanju i praksi iz područja zaštite osobnih podataka) te su dužni objaviti kontaktne podatke službenika za zaštitu podataka (npr. generička e-mail adresa, službeni broj telefona, nema obveze navođenja imena i prezimena službenika) i priopćiti ih nadzornom tijelu (Agenciji za zaštitu osobnih podataka uz navođenje imena i prezimena). Također, ističemo kako se sve odluke o imenovanju službenika donesene na temelju Zakona o zaštiti osobnih podataka trebaju uskladiti sa Općom uredbom.
U vezi imenovanja službenika za zaštitu podataka navodimo kako detaljnije informacije možete pronaći na Internet stranici ove Agencije http://azop.hr/zbirke-osobnih-podataka/detaljnije/registar-sluzbenika-za-zastitu-osobnih-podataka.
U slučaju daljnjih pitanja/nejasnoća stojimo Vam na raspolaganju.

 
 
  Natrag