VODITELJ I IZVRŠITELJ OBRADE
Osobne podatke obrađuju voditelji i izvršitelji obrade odnosno to mogu biti fizičke ili pravne osobe, tijelo javne vlasti, društvo, organizacija, poduzeća.
VODITELJ OBRADE je fizička ili pravna osoba koja određuje svrhe i sredstva obrade osobnih podataka.
IZVRŠITELJ OBRADE obrađuje osobne podatke u ime voditelja obrade. Obrada koju provodi izvršitelj obrade uređuje se ugovorom s voditeljem obrade ili drugim pravnim aktom.
Primjeri voditelja obrade: trgovačka društva ili obrti koji obrađuju podatke svojih radnika i/ili klijenata tj. korisnika usluga; financijske institucije koje obrađuju osobne podatke svojih stranaka/klijenata; udruge koje obrađuju podatke svojih članova; škole ili fakulteti koji obrađuju osobne podatke učenika, studenata ili nastavnika/svojih radnika; bolnice koje obrađuju osobne podatke svojih pacijenata; državna tijela ili tijela jedinica lokalne/regionalne samouprave koja obrađuju osobne podatke građana. Voditelji obrade mogu biti i fizičke osobe, primjerice iznajmljivači apartmanskog smještaja.
Primjeri izvršitelja obrade: knjigovodstveni servis koji obrađuje podatke o plaćama radnika za poslodavca; trgovačka društva ovlaštena za obavljanje privatne zaštite.
„primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana.
„treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade
Ugovor između voditelja i izvršitelja obrade (članak 28. Opće uredbe o zaštiti podataka)
- voditelj i izvršitelj obrade moraju regulirati međusobna prava i obveze (ugovorom ili drugim pravnim aktom)
- u pravilu je to ugovor, koji sukladno Općoj uredbi o zaštiti podataka, mora biti sklopljen u pisanom obliku (preporuka je u tu svrhu koristiti Standardne ugovorne klauzule Europske komisije temeljene na Provedbenoj odluci Komisije (EU) 2021/915 od 4. lipnja 2021. o standardnim ugovornim klauzulama između voditelja obrade i izvršitelja obrade iz članka 28. stavka 7. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća i članka 29. stavka 7. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća)
- Standardne ugovorne klauzule za voditelje i izvršitelje obrade Europske Komisije dostupne su na poveznici: https://azop.hr/wp-content/uploads/2024/09/HR-Annex-Standard-Contractual-Clauses-EU-EEA.docx
- Također, Agencija je izradila predložak ugovora u smislu članka 28. Opće uredbe o zaštiti podataka koji mogu voditelji i izvršitelji obrade mogu prilagoditi svojim okolnostima i aktivnostima obrade: https://azop.hr/wp-content/uploads/2023/03/Ugovor-o-obradi-podataka-izmedu-voditelja-obrade-i-izvrsitelja-obrade-prema-clanku-28-OUZP-template.docx
- ugovor je bitan kako bi obje strane bile u potpunosti svjesne svojih prava, obveza i odgovornosti
- izvršitelj obrade voditelju obrade mora jamčiti zaštitu i povjerljivost obrade osobnih podataka
- kako bi izvršitelj obrade mogao dokazati da obradu podataka provodi u skladu sa Općom uredbom o zaštiti podataka, dužan je provoditi odgovarajuće mjere zaštite
- VIše o odnosu između voditelja i izvršitelja obrade te kako izraditi ugovor voditelj-izvršitelj obrade možete saznati na web alatu Olivia, modul o voditeljima i izvršiteljima obrade
Napomene:
- sama činjenica da određeno društvo pruža drugom društvu uslugu ne čini ga nužno samo izvršiteljem obrade, jer to društvo može biti voditelj obrade po vlastitom pravu/obvezi, ovisno o kontroli koju ima nad postupkom obrade
- za istu obradu podataka društvo ne može biti istodobno voditelj obrade i izvršitelj obrade
- u slučaju propusta izvršitelja obrade voditelj će biti obvezan nadoknaditi štetu ispitaniku, ali u tom slučaju imat će mogućnost regresne naplate
Važno!
- voditelj obrade NIJE U OBVEZI imati izvršitelja obrade
- Opća uredba daje mogućnost voditelju obrade da povjeri izvršitelju obrade obavljanje samo nekih točno ugovorenih poslova u ime i za račun voditelja obrade
- ugovorom ili drugim pravnim aktom potrebno je detaljno regulirati međusobna prava i obveze između voditelja obrade i izvršitelja obrade
- izvršitelj obrade mora jamčiti zaštitu i povjerljivost obrade osobnih podataka
- izvršitelj obrade dužan je provoditi odgovarajuće mjere zaštite kako bi osigurao i mogao dokazati da se obrada provodi u skladu sa Općom uredbom o zaštiti podataka
- Kako bi točno odredile svoju ulogu u aktivnostima obrade osobnih podataka koju provode, Agencija preporuča svim organizacijama koje obrađuju osobne podatke proučiti Smjernice Europskog odbora za zaštitu podataka 07/2020 o pojmovima voditelja i izvršitelja obrade u Općoj uredbi o zaštiti podataka
ZAJEDNIČKI VODITELJI OBRADE
Pojam zajedničkih voditelja obrade odnosi se na dva ili više voditelja koja su neophodna u definiranju svrhe i načinu obrade osobnih podataka.
Ukoliko obradu nije moguće vršiti bez sudjelovanja svih “zajedničkih” voditelja, tada oni jesu zajednički voditelji, bez obzira ako i neki od njih nema pristup osobnim podacima (najvažnije je da se njihov odnos provjerava na temelju činjeničnih okolnosti njihovog odnosa).
Dakle, može se raditi o zajedničkim voditeljima obrade ukoliko dvije različite stranke određuju ili svrhu ili barem načine obrade.
Svrhe zajedničkih voditelja ne moraju uvijek biti identične, ali ako su međusobno povezane i komplementarne, tada jesu zajednički voditelji ako imaju utjecaja na donošenje odluka.
Pravne osnova za obradu bi se trebale podudarati, odnosno trebaju biti istovjetne kod zajedničkih voditelja obrade.
Primjer zajedničkih voditelja obrade
Putnička agencija šalje osobne podatke svojih klijenata aviokompaniji i hotelskom lancu radi rezervacije. Avio kompanija i hotelski lanac potvrđuju slobodna mjesta, a putnička agencija izdaje vouchere. Svaka strana radi svoje aktivnosti i obrade i svaka je samostalni voditelj obrade. No, ako se sve tri strane dogovore da će zajedno uspostaviti web stranicu za prodaju putničkih aranžmana, a pritom svi zajedno određuju skupove osobnih podataka, kako će se rezervacije odrađivati, tko će ih moći vidjeti i međusobno dijele informacije za zajedničke marketinške aktivnosti, u navedenom slučaju su zajednički voditelji obrade.