Može li izvršitelj obrade biti imenovan predstavnikom voditelja obrade?
19.1.2022.
Nastavno na Vaš dopis u kojem pitate može li izvršitelj obrade biti imenovan predstavnikom voditelja obrade, Agencija za zaštitu osobnih podataka se očituje kako slijedi:
Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka – Opća uredba o zaštiti podataka (dalje u tekstu: Opća uredba) je u cijelosti obvezujuća i izravno se primjenjuje u Republici Hrvatskoj od 25. svibnja 2018. godine te njezine odredbe moraju poštivati svi subjekti koji u sklopu svojih aktivnosti obrađuju osobne podatke fizičkih osoba u Europskoj uniji te u određenim slučajevima i subjekti izvan Europske Unije.
Dakle, sukladno njenom članku 3. stavku 2., Opća uredba se primjenjuje na obradu osobnih podataka ispitanika u Uniji koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji, ako su aktivnosti obrade povezane s nuđenjem robe ili usluga takvim ispitanicima u Uniji, neovisno o tome treba li ispitanik izvršiti plaćanje ili ako su aktivnosti obrade povezane s praćenjem njihova ponašanja dokle god se njihovo ponašanje odvija unutar Unije.
U prethodna dva slučaja, a sukladno članku 27. Opće uredbe, voditelj ili izvršitelj obrade mora pisanim putem imenovati predstavnika u Uniji, osim u slučaju povremene obrade, obrade koja ne uključuje u velikoj mjeri obradu posebnih kategorija podataka iz članka 9. stavka 1. ili obradu osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. te za koju nije vjerojatno da će prouzročiti rizik za prava i slobode pojedinca ili ako je voditelj obrade tijelo javne vlasti ili javno tijelo.
Nadalje, Opća uredba u uvodnoj odredbi 80 propisuje da bi predstavnik trebao djelovati u ime voditelja obrade ili izvršitelja obrade i da može mu se obratiti svako nadzorno tijelo. Voditelj obrade ili izvršitelj obrade trebao bi izričito, pisanim ovlaštenjem imenovati predstavnika da djeluje u njegovo ime s obzirom na obveze voditelja i izvršitelja obrade na temelju ove Uredbe. Imenovanje takvog predstavnika ne utječe na dužnost i predstavljanje voditelja obrade, odgovornost voditelja obrade ili izvršitelja obrade na temelju ove Uredbe.
Takav bi predstavnik svoje zadaće trebao obavljati u skladu s mandatom dobivenim od voditelja ili izvršitelja obrade, uključujući suradnji s nadležnom tijelom u vezi sa svakom radnjom poduzetom za osiguravanje poštovanja ove Uredbe. U slučaju da voditelj ili izvršitelj obrade krši pravila, imenovani predstavnik bi trebao podlijegati postupku izvršavanja zakonodavstva.
Voditelji obrade koji u EU-u nemaju poslovni nastan moraju poslovati s lokalnim nadzornim tijelima u svakoj državi članici u kojoj djeluju preko svojih lokalnih predstavnika, kako bi se poštovao mehanizam konzistentnosti i suradnje iz Opće uredbe.
Opća uredba u članku 4. stavku 1. točki 7. definira voditelja obrade kao fizičku ili pravnu osobu, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.
Izvršitelj obrade, prema članku 4. stavku 1. točki 8., jest fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje podatke u ime voditelja obrade.
Dakle, voditelj određuje svrhu obrade osobnih podataka i provodi odgovarajuće tehničke i organizacijske mjere, kako bi mogao dokazati da se obrada provodi u skladu s Uredbom, dok izvršitelj provodi obradu u ime voditelja. Opća uredba daje mogućnost voditelju obrade da povjeri izvršitelju obrade obavljanje samo nekih točno ugovorenih poslova u ime i za račun voditelja obrade, a ne nameće mu obvezu imenovati izvršitelja obrade.
Međutim, to što izvršitelj na temelju ugovornog odnosa izvršava određenu obradu podataka u ime i za račun voditelja ne znači da izmiče odgovornosti i načelima obrade iz Opće uredbe. Naime, izvršitelj obrade mora jamčiti zaštitu i povjerljivost obrade osobnih podataka te je dužan provoditi odgovarajuće mjere zaštite kako bi osigurao i mogao dokazati da se obrada provodi u skladu s Općom uredbom.
Nadalje, sukladno članku 28. stavku 10. Opće uredbe, ne dovodeći u pitanje članke 82., 83. i 84., ako izvršitelj obrade krši ovu Uredbu utvrđivanjem svrhe i načine obrade podataka, izvršitelj obrade smatra se voditeljem obrade u pogledu te obrade.
Sukladno članku 4. stavku 1. točki 17. predstavnik znači fizička ili pravna osoba s poslovnim nastanom u Uniji koju je voditelj obrade ili izvršitelj obrade imenovao pisanim putem u skladu s člankom 27., a koja predstavlja voditelja obrade ili izvršitelja obrade u pogledu njihovih obveza na temelju ove Uredbe.
Predstavnik voditelja obrade, iz članka 27. Opće uredbe, dužan je obavljati svoje poslove pošteno i savjesno, odgovorno i nepristrano čuvajući vlastitu vjerodostojnost te vjerodostojnost voditelja obrade koga predstavlja, a u odnosu na ispitanike i nadzorno tijelo s kojima mora komunicirati u svim predmetnim stvarima u ime voditelja obrade.
Postoji bojazan da bi izvršitelj obrade stavljao svoje zadaće ispred predstavničkih zadaća nauštrb ispitanika i nadzornog tijela koji bi mu se obraćali sa svojim zahtjevima. Naime, izvršitelj na temelju ugovornog odnosa izvršava određenu obradu podataka u ime i za račun voditelja te predstavlja svojevrsnu produženu ruku voditelja obrade u tehničkom smislu obrade tih podataka. U tom smislu, kada bi izvršitelj obrade predstavljao voditelja obrade, postoji mogućnost nepristranog i nepouzdanog djelovanja u odnosu na ispitanike i nadzorno tijelo.
Slijedom navedenog, kako bi se osiguralo da izvršitelj obrade u ulozi predstavnika voditelja obrade ne bi bio u koliziji u smislu dvije dužnosti, bilo bi uputno uspostaviti procese i praksu u radnom okruženju koji će poticati učinkovitu kontrolu, upravljanje i rješavanje situacija sukoba interesa, stvoriti kulturu otvorene komunikacije i dijaloga koji se odnose na etičnost i trajno ju promicati te omogućiti edukaciju svojih zaposlenika o uspostavljenim standardima.
Međutim, smatramo da bi uspostavljanje navedenih procedura i prevelika kontrola izvršitelja obrade, u smislu predstavničke zadaće, u praksi mogla biti neprovediva i kontraproduktivna što bi rezultiralo nepovjerenjem u voditelja obrade.
Situacije u kojima sukob interesa postoji ili koje mogu dovesti do istog treba izbjegavati u što većoj mjeri. Treba uzeti u obzir činjenicu da kada se govori o sukobu interesa kao problematici, ne smatra se problematičnim samo stvarna zlouporaba u obavljanju poslova, već i sama mogućnost pojave određenog doloznog i nepoželjnog ponašanja. Iz toga razloga Agencija je mišljenja da sukob interesa treba prevenirati prije negoli do istog dođe.
Dakle, izvršitelj obrade koji bi predstavljao voditelja obrade bez poslovnog nastana, u odnosu na ispitanike bio bi interesno nejasan jer bi s jedne strane izvršavao obradu u ime voditelja obrade, a s druge strane predstavljao voditelja za tu istu obradu prema ispitanicima i nadzornom tijelu. U tom smislu do sukoba interesa posebno bi moglo doći kod utvrđivanja odgovornosti izvršitelja – predstavnika s jedne strane te voditelja obrade s druge strane.
Zaključno, predstavnik voditelja obrade služi kao polazišna točka za obradu osobnih podataka voditelja obrade bez poslovnog nastana u Europskoj Uniji. Imajući u obzir navedeno, predstavnik mora biti u stanju učinkovito komunicirati s ispitanicima o obradi osobnih podataka i surađivati s relevantnim nadzornim tijelima za zaštitu osobnih podataka.
Sukladno specifičnim zadaćama, obvezama i interesima predstavnika voditelja obrade i izvršitelja istog voditelja, Agencija smatra kako bi obnašanje dviju funkcija u istoj osobi bilo u koliziji i predstavljalo mogući sukob interesa.
Temeljne obveze voditelja obrade i izvršitelja obrade prema Općoj uredbi o zaštiti podataka br. 2016/679
19.04.2019.
Nastavno na Vaš općenit upit koji je zaprimila ova Agencija vezan za temeljne obveze voditelja i izvršitelja obrade osobnih podataka sukladno odredbama Opće uredbe o zaštiti podataka, iznosimo sljedeći načelan odgovor:
Prije svega ističemo kako se od 25. svibnja 2018., u svim državama članicama Europske unije izravno primjenjuje Opća uredba o zaštiti podataka – Uredba (EU) 2016/679 Europskog parlamenta i Vijeća, engl. GDPR (u daljnjem tekstu: Opća uredba) kojom se prije svega utvrđuju pravila povezana sa zaštitom pojedinca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka.
Naime, Općom uredbom štite se temeljna prava i slobode pojedinca (fizičkih osoba), a posebice njihovo pravo na zaštitu podataka. Ističemo kako se ovom Uredbom ne obuhvaća obrada podataka koji se tiču pravnih osoba, a osobito poduzetnika koji su ustanovljeni kao pravne osobe, uključujući naziv i oblik pravne osobe i kontakt podatke.
Članak 4. Opće uredbe definira osobne podatke kao sve podatke koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
Obrada osobnih podataka znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje (članak 4. Opće uredbe).
Voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka (članak 4. Opće uredbe).
Primjeri voditelja obrade: trgovačka društva ili obrti koji obrađuju podatke svojih radnika; financijske institucije koje obrađuju osobne podatke svojih stranaka/klijenata; udruge koje obrađuju podatke svojih članova; škole ili fakulteti koji obrađuju osobne podatke učenika, studenata ili nastavnika/svojih radnika; bolnice koje obrađuju osobne podatke svojih pacijenata; državna tijela ili tijela jedinica lokalne/regionalne samouprave koja obrađuju osobne podatke građana.
Izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom (članak 4. Opće uredbe).
Primjeri izvršitelja obrade: knjigovodstveni servis koji obrađuje podatke o plaćama radnika za poslodavca; trgovačka društva ovlaštena za obavljanje privatne zaštite; agencije za naplatu potraživanja temeljem sklopljenog ugovora o poslovnoj suradnji.
Navodimo kako voditelj obrade nije u obvezi imati izvršitelja obrade. Naime Opća uredba daje mogućnost voditelju obrade da povjeri izvršitelju obrade obavljanje samo nekih točno ugovorenih poslova u ime i za račun voditelja obrade. Ugovorom ili drugim pravnim aktom potrebno je detaljno regulirati međusobna prava i obveze između voditelja obrade i izvršitelja obrade (članak 28. Opće uredbe).
Ističemo kako izvršitelj obrade mora jamčiti zaštitu i povjerljivost obrade osobnih podataka te provoditi odgovarajuće mjere zaštite kako bi osigurao i mogao dokazati da se obrada provodi u skladu sa Općom uredbom.
Nadalje, člankom 6., stavkom 1. Opće Uredbe propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha (članak 7. Opće uredbe);
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora (primjerice: ponuda);
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade (primjerice: obrada podataka kreditnih institucija sukladno Zakonu o sprječavanju pranja novca i financiranju terorizma, obrada podataka o radnicima u svrhu izvršavanja obveze poslodavca koje proizlaze iz Zakona o zdravstvenom osiguranju, Zakona o mirovinskom osiguranju i sl.);
(d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade (primjerice: obrada osobnih podataka od strane Porezne uprave, HZZO, HZMO, obrazovne ustanove, Državni zavod za statistiku i dr.);
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete (primjerice: praćenje rada zaposlenika putem GPS sustava ukoliko se rad obavlja izvan poslovnih prostorija poslodavca).
S obzirom na primjenu Opće uredbe skrećemo pozornost na sljedeće temeljne obveze voditelja obrade i izvršitelja obrade: pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava (članci 12. -21. Opće uredbe), provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite osobnih podataka ( članci 25. i 32. Opće uredbe), vođenje evidencija aktivnosti obrade (članci 30. Opće uredbe), imenovanje službenika za zaštitu podataka (članak 37. Opće uredbe), procjena učinka na zaštitu podataka (članak 35. Opće uredbe).
• Pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava (članak 13. i 14. Opće uredbe)
Vezano za pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava navodimo kako je poštujući načelo transparentnosti voditelj obrade dužan ispitaniku pružiti sve informacije o obradi njegovih osobnih podataka u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ga upoznati sa njegovim pravima koja mu pripadaju sukladno Općoj uredbi, a vezano za obradu njegovih osobnih podataka (pravo na informiranje, pravo na pristup, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i automatizirano donošenje odluka).
Dakle, voditelj obrade u trenutku prikupljanja osobnih podataka obvezan je ispitaniku pružiti informacije:
– o svom identitetu,
-o službeniku za zaštitu podataka (kontakt podaci službenika),
-upoznati sa svrhom i pravnom osnovom za obradu osobnih podataka,
-o primateljima ili kategorijama primatelja osobnih podataka,
-o prenošenju osobnih podataka trećoj zemlji ili međunarodnoj organizaciji (koje nisu članice
EU),
-o legitimnom interesu,
-o vremenskom roku pohrane osobnih podataka te kriterijima kojima se utvrđuje razdoblje pohrane,
-o postojanju prava da se od voditelja obrade zatraži pristup osobnim podacima, ispravak, brisanje osobnih podataka ili ograničavanje obrade koja se na njega odnose, prava na ulaganje prigovora na obradu takvih podataka te na prenosivost njegovih podataka drugom voditelju obrade,
– o pravu da se u bilo kojem trenutku povuče privola, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena,
-o pravu na podnošenje prigovora nadzornom tijelu (Agenciji za zaštitu osobnih podataka)
-da li je pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže,
-o postojanju automatiziranog donošenja odluka, što uključuje izradu profila te smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.
Također, ukoliko osobni podaci nisu dobiveni od ispitanika, voditelj obrade dužan je ispitaniku pružiti osim gore navedenih informacija i informacije o izvoru osobnih podataka (članak 14. Opće uredbe).
Osim toga, navodimo kako je u svrhu ostvarivanja zakonitosti i transparentnosti obrade osobnih podataka i pružanja informacija vezanih za obradu osobnih podataka, a time i ostvarivanja prava ispitanika: pravo pristupa podacima, prava na ispravak netočnih podataka, prava na brisanje podataka, prava na ograničenje obrade podataka, prava na prenosivost podataka i prava na ulaganje prigovora na obradu osobnih podataka voditelj obrade dužan detaljno objasniti koje vrste osobnih podataka se prikupljaju, u koju svrhu i po kojoj pravnoj osnovi, na koji način se koriste osobni podaci, odnosno tko koristi osobne podatke te koje mjere zaštite osobnih podataka se poduzimaju (izrada politika privatnosti).
Isto tako ukazujemo kako je potrebno usklađivanje internih akata vezanih uz radno-pravne odnose, odnosno uskladiti odredbe internih akata koje se odnose na zaštitu osobnih podataka u kojima će na sveobuhvatan i jasan način biti ugrađene informacije koje je voditelj obrade u trenutku prikupljanja osobnih podataka obvezan ispitaniku pružiti (standardi iz članka 13. i članka 14. Opće uredbe).
• Provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite osobnih podataka ( članci 25. i 32. Opće uredbe)
Nadalje, svaki voditelj i izvršitelj obrade dužan je poduzimati i provoditi odgovarajuće tehničke i organizacijske mjere zaštite koje imaju za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka, odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja osobnim podacima kao i tehničkoj opremi kojom se koriste voditelji i izvršitelji obrade. Provođenjem odgovarajućih mjera zaštite osigurava se da osobni podaci nisu automatski dostupni neograničenom broju osoba koje nisu ovlaštene za njihovu obradu. U vrijeme određivanja sredstava obrade i u vrijeme same obrade obveza je svakog voditelja obrade da ovisno o prirodi/naravi, opsegu i svrsi obrade osobnih podataka odredi mjere zaštite koje jamče sigurnu, poštenu i zakonitu obradu osobnih podataka te učinkovitu primjenu načela zaštite podataka (osobito uzimajući u obzir nužnost obrade podataka za svaku posebnu svrhu, smanjenje količine prikupljanih podataka kao i opsega podataka prilikom obrade, određivanje rokova čuvanja podataka, njihovu dostupnost i dr.).
Pa je tako preporuka Agencije u svezi navedenog da se dokumentacija u papirnatom obliku koja sadrži osobne podatke pohrani, primjerice u ormare ili ladice pod ključem koja će biti pod nadzorom ovlaštenih osoba voditelja obrade, da pristup osobnim podacima pohranjenim u elektroničkom obliku bude omogućen uporabom korisničkog imena i lozinke. Također, preporuka ove Agencije je izrada sigurnosnih kopija od strane ovlaštenih osoba, bilježenje pristupa podacima, potpisivanje izjava o povjerljivosti osoba koje su u obradi osobnih podataka, te pseudonimizacija ili enkripcija osobnih podataka- osobito ako se radi o posebnim kategorijama (primjerice: podataka o zdravlju). Ujedno ukazujemo kako obrazac Izjave o povjerljivosti možete pronaći na internet stranici ove Agencije https://azop.hr/info-servis/detaljnije/izjava-o-povjerljivosti.
• Evidencija aktivnosti obrade (članak 30. Opće uredbe)
Sukladno članku 30. Opće uredbe svaki voditelj obrade ili izvršitelj obrade, ako je primjenjivo, vodi evidenciju aktivnosti obrade za koju je odgovoran radi dokazivanja sukladnosti obrade sa Općom uredbom.
Evidencija aktivnosti obrade je formular (obrazac) koja služi kao dokaz da je obrada osobnih podataka zakonita. Ista mora sadržavati informacije iz članka 30. Opće uredbe te mora biti u pisanom obliku, uključujući elektronički oblik. Podaci sadržani u evidenciji obrade trebali bi biti na odgovarajući način zaštićeni (primjerice: centralizirana baza zapisa, uvođenje mjera autorizacije i kontrole pristupa).
Sadržaj evidencije aktivnosti obrade mora biti detaljno razrađen te mora sadržavati ime i kontakt podaci voditelja obrade (primjerice: naziv pravne osobe i kontakt), svrhu obrade (detaljno objašnjena), opis kategorije ispitanika (primjerice: podaci o radnicima, podaci o pacijentima) i kategorija osobnih podataka (primjerice: ime, prezime, adresa stanovanja itd.), kategorije primatelja (uključujući one u trećim zemljama ili međunarodne organizacije), prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama, rokovi za brisanje različitih kategorija podataka (rokovi čuvanja osobnih podataka, te naziv i odredbe zakona ako je ono određeno posebnim zakonom) te opis tehničkih i organizacijskih mjera zaštite osobnih podataka.
Bitno je navesti kako je međutim svaki neovisno o broju zaposlenika voditelj obrade/izvršitelj dužan je voditi evidenciju obrade ukoliko je ispunjen jedan od sljedećih uvjeta:
-ako će obrada vjerojatno prouzročiti visoki rizik za prava i slobode ispitanika (primjerice: uvođenje novih tehnologija kao što su biometrijski čitači, prepoznavanje lica, IT servisa koji obrađuju osobne podatke)
-ako obrada nije povremena, odnosno ako je obrada stalna (primjerice: obrada osobnih podataka zaposlenika u svrhu isplate plaća od strane poslodavca), ako obrada uključuje posebne kategorije podataka (primjerice: zdravstveni podaci koje obrađuje bolnica, biometrijski podaci, genetski podaci)
-ako obrada uključuje osobne podatke u vezi s kaznenim osudama i kažnjivim djelima
Međutim, navedena obveza ne odnosi se na voditelja obrade/izvršitelja obrade ako ima manje od 250 zaposlenika te ako nije primjenjiv niti jedan od naprijed navedenih uvjeta.
Ističemo kako voditelji obrade prema Općoj uredbi o zaštiti podataka nemaju obvezu dostave navedenih evidencija aktivnosti obrade Agenciji za zaštitu osobnih podataka (dosadašnji Središnji registar evidencija o zbirkama osobnih podataka), već evidencije aktivnosti obrade vode kod sebe u pisanom obliku, uključujući elektronički oblik te su istu dužni dati na uvid na zahtjev nadzornog tijela (Agenciji za zaštitu osobnih podataka).
• Službenik za zaštitu podataka (članci 37.-39. Opće uredbe )
Voditelj obrade i izvršitelj obrade sukladno članku 37. Opće uredbe dužni su imenovati službenika za zaštitu podataka u sljedećim slučajevima:
-ako obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti
-ako se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od postupaka obrade koji zbog svoje prirode, opsega ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri
– ako se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od opsežne obrade posebnih kategorija podataka (članak 9. Opće uredbe) i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima (članak 10. Opće uredbe ).
Dakle, proizlazi kako je neovisno o broju zaposlenika voditelj obrade/izvršitelj dužan imenovati službenika za zaštitu podataka ukoliko je ispunjen jedan od gore navedenih uvjeta iz članka 37. Opće uredbe.
Prilikom imenovanja službenika potrebno je voditi računa da ne postoji sukob interesa (voditi računa da takva osoba ne sudjeluje u donošenju odluka kojima se utvrđuje svrha i način obrade osobnih podataka).
Važno je istaknuti kako službenik za zaštitu podataka može biti zaposlenik organizacije (voditelja obrade ili izvršitelja obrade ) u kojoj je imenovan, ali službenikom može biti imenovana i osoba koja nije zaposlenik organizacije temeljem ugovora o djelu (vanjski službenik). Također, voditelj obrade može imenovati jednog službenika za zaštitu podataka pod uvjetom da je isti lako dostupan iz svakog poslovnog nastana.
Voditelj obrade/izvršitelj obrade dužan je donijeti Odluku o imenovanju službenika sukladno Općoj uredbi vodeći računa o stručnim kvalifikacijama (stručnom znanju i praksi iz područja zaštite osobnih podataka) te su dužni objaviti kontaktne podatke službenika za zaštitu podataka (npr. generička e-mail adresa, službeni broj telefona, nema obveze navođenja imena i prezimena službenika) i priopćiti ih nadzornom tijelu (Agenciji za zaštitu osobnih podataka uz navođenje imena i prezimena). Također, ističemo kako se sve odluke o imenovanju službenika donesene na temelju Zakona o zaštiti osobnih podataka trebaju uskladiti sa Općom uredbom.
U vezi imenovanja službenika za zaštitu podataka navodimo kako detaljnije informacije možete pronaći na Internet stranici ove Agencije https://azop.hr/zbirke-osobnih-podataka/detaljnije/registar-sluzbenika-za-zastitu-osobnih-podataka.
Razgraničenje uloge voditelja obrade i izvršitelja obrade
Nastavno na Vaš upit vezan uz razgraničenje uloge voditelja obrade i izvršitelja obrade, Agencija se očituje kako slijedi:
Člankom 4. stavkom 7. Opće uredbe voditelj obrade je definiran kao fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka te je naznačeno da u situaciji kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.
Nadalje, uvodnim odredbama 74, 80-86 te 94 kao i člankom 24. Opće uredbe propisane su obveze voditelja obrade koje nalažu voditelju obrade provođenje odgovarajućih i djelotvornih tehničkih i organizacijskih mjera. Naime, navedenim odredbama propisano je da je voditelj obrade odgovoran za poštivanje predmetne Uredbe te mora biti u mogućnosti dokazati da postupa u skladu s istom.
Uvodnom odredbom 81 izričito je navedeno da bi voditelj obrade trebao angažirati samo izvršitelje obrade koji u zadovoljavajućoj mjeri jamče, osobito u pogledu stručnog znanja, pouzdanosti i resursa, provedbu mjera koje udovoljavaju zahtjevima iz Opće uredbe.
Međutim, to što izvršitelj na temelju ugovornog odnosa izvršava određenu obradu podataka u ime i za račun voditelja ne znači da izmiče odgovornosti i načelima obrade iz Opće uredbe.
Naime, izvršitelj obrade mora jamčiti zaštitu i povjerljivost obrade osobnih podataka te je dužan provoditi odgovarajuće mjere zaštite kako bi osigurao i mogao dokazati da se obrada provodi u skladu s Općom uredbom.
Nadalje, sukladno članku 28. stavku 10. Opće uredbe, ne dovodeći u pitanje članke 82., 83. i 84., ako izvršitelj obrade krši ovu Uredbu utvrđivanjem svrhe i načine obrade podataka, izvršitelj obrade smatra se voditeljem obrade u pogledu te obrade.
S druge strane, člankom 4. točkom 8. propisano je da je izvršitelj obrade fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade dok je člankom 28. te uvodnim recitalima broj 80-83 propisana uloga te obveze izvršitelja obrade. Naime, izvršitelj obrade obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade te po izboru voditelja obrade briše, čuva ili vraća navedene osobne podatke nakon dovršetka pružanja usluge vezanih za obradu.
Osim toga, Radna skupina iz članka 29. Direktive u svom je mišljenju broj 1/2010 iz veljače 2010. godine razgraničila pojam voditelja i izvršitelja obrade na način da je voditelja odredila kao pravnu ili fizičku osobu koja determinira svrhu i sredstva obrade. Dva osnovna uvjeta za kvalifikaciju izvršitelja obrade su da se, s jedne strane, radi o odvojenoj pravnoj osobi u odnosu na voditelja obrade te da, s druge strane, izvršitelj obrade obrađuje osobne podatke u ime voditelja obrade. Određenje svrhe u svakom slučaju kvalificira voditelja obrade, a određenje sredstava obrade implicira kontrolu samo kada se odnosi na esencijalne elemente sredstava.
Uzimajući u obzir navedene odredbe Agencija smatra kako bi se prilikom određivanja određenog subjekta kao voditelja ili izvršitelja obrade prvenstveno trebao uzeti u obzir kriterij utvrđivanja svrhe predmetne obrade osobnih podataka. Kako bi se pravilno determinirala svrha obrade odnosno subjekt koji istu određuje potrebno je utvrditi iz kojeg se razloga obrađuju pojedini osobni podaci, tko ima pristup podacima, kada će podaci biti izbrisani, koja je uloga povezanih subjekata obrade te u svakom slučaju postoji li zakonska osnova za obradu sukladno članku 6. Opće uredbe. Tek nakon utvrđenja svrhe prikupljanja i obrade osobnih podataka moguće je razmotriti drugi kriterij definiranja subjekta kao voditelja u smislu određivanja sredstva obrade.
U tom kontekstu potrebno je napomenuti kako sama činjenica da određeni subjekt određuje pojedine segmente sredstva obrade ne znači nužno da se isti ima smatrati voditeljem, osobito u slučajevima kada je svrha obrade toliko jasno naznačena da ona sama može predstavljati jasnu uputu te sadrži bitne elemente putem kojih je moguće odrediti sredstva obrade.
Iako je moguće da je ugovorom između stranaka naznačeno da je jedna stranka voditelj obrade, a druga izvršitelj obrade te da imenovanje stranaka voditeljem odnosno izvršiteljem obrade može otkriti relevantne informacije o pravnom statusu stranaka ugovora, takvo ugovorno određenje nije odlučujuće u determiniranju njihovog stvarnog statusa, već isti mora biti temeljen na konkretnim okolnostima slučaja.
Uzimajući u obzir prethodno naznačene odredbe Opće uredbe kao i mišljenje Radne skupine, Agencija smatra kako činjenica da pružatelji poštanskih usluga posluju u skladu s posebnim propisima koji reguliraju njihovu djelatnost isporuke pošiljaka i općim uvjetima poslovanja kojima je razrađen način odašiljanja istih, nužno ne kvalificira navedena društva kao voditelje obrade u konkretnom slučaju. Naime, izvršitelj obrade može poslovati prema svojim vlastitim propisima i pravilima te prema općim smjernicama danim od strane voditelja obrade koji je jasno naznačio svrhu obrade.
Agencija je mišljenja kako sama činjenica da voditelj obrade nije detaljno naznačio sredstva obrade ne smije dovoditi do zaključka da se stranka s kojom je isti sklopio Ugovor treba smatrati voditeljem, uz uvjet da je naznačena svrha jasna smjernica za odabir sredstva obrade. Moguće je dakle, da sama svrha predstavlja i sredstvo obrade pri čemu sredstvo obrade predstavlja razumne mjere koje je potrebno poduzeti kako bi se ostvarila određena svrha.
Nadalje, važno je istaknuti kako pružatelji poštanskih usluga bez sklopljenog Ugovora ne bi imali pravni temelj za obradu osobnih podataka sukladno članku 6. Opće uredbe te upravo Ugovor kojim je određena svrha, te u bitnome sredstva obrade, predstavlja osnovu za zakonitost obrade osobnih podataka ispitanika od strane spomenutih društava. Obrada osobnih podataka od strane tih društava temelji se na jasnoj instrukciji voditelja obrade odnosno na Ugovoru.
Slijedom svega iznesenog, smatramo kako je s pojedinim pružateljima poštanskih usluga potrebno sklopiti ugovor, koji će, u smislu članka 28. stavka 3. Opće uredbe, sadržavati podatke o predmetu i trajanju obrade, prirodi i svrsi obrade, vrsti osobnih podataka i kategorijama ispitanika te o pravima i obvezama voditelja obrade.
Dodatno pojašnjavamo kako je voditelj obrade, neovisno o ulozi pružatelja poštanskih usluga, dužan ustrojiti evidenciju aktivnosti obrade za koje je odgovoran, te navedena evidencija, sukladno članku 30. stavku 1. Opće uredbe, mora između ostaloga sadržavati informacije o kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama i međunarodne organizacije.
S druge strane, Agencija naglašava da kvalificiranje pružatelja poštanskih usluga kao izvršitelja obrade nije apsolutno već ovisi o konkretnom slučaju. Primjerice, privatni korisnik koji odašilje određeno pismeno putem pružatelja poštanskih usluga nije u mogućnosti ugovorom precizno odrediti svrhu te sredstva obrade već isti samo pristupa odnosno prihvaća u cijelosti sredstva obrade koja su propisana internim općim uvjetima te propisima pružatelja poštanskih usluga te bi se stoga pružatelj usluga u navedenom slučaju trebao smatrati voditeljem obrade. Osim toga, pretpostavka je da je općim uvjetima ili pravilima postupanja navedenih društava detaljno propisano postupanje s pošiljkama te da privatni korisnik nije u mogućnosti izabrati sredstvo obrade niti u njegovim bitnim elementima.
Zaključno, Agencija ističe kako ne postoji općenito stajalište o tome smatra li se pružatelj poštanskih usluga voditeljem ili izvršiteljem obrade već se takvo kvalificiranje nužno mora provoditi ovisno o okolnostima svakog pojedinog slučaja, a uzimajući u obzir kriterije naznačene u gornjem tekstu kao i kriterije utvrđene Općom uredbom.
Definiranje pojma izvršitelja i voditelja obrade
7.6.2019.
Nastavno na Vaš upit vezan uz razgraničenje pojma izvršitelja i voditelja obrade, Agencija se očituje kako slijedi:
Člankom 4. stavkom 7. Opće uredbe voditelj obrade je definiran kao fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka te je naznačeno da u situaciji kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.
Nadalje, uvodnim odredbama 74, 80-86 te 94 kao i člankom 24. Opće uredbe propisane su obveze voditelja obrade koje nalažu voditelju obrade provođenje odgovarajućih i djelotvornih tehničkih i organizacijskih mjera. Naime, navedenim odredbama propisano je da je voditelj obrade odgovoran za poštivanje predmetne Uredbe te mora biti u mogućnosti dokazati da postupa u skladu s istom.
Uvodnom odredbom 81 izričito je navedeno da bi voditelj obrade trebao angažirati samo izvršitelje obrade koji u zadovoljavajućoj mjeri jamče, osobito u pogledu stručnog znanja, pouzdanosti i resursa, provedbu mjera koje udovoljavaju zahtjevima iz Opće uredbe.
Međutim, to što izvršitelj na temelju ugovornog odnosa izvršava određenu obradu podataka u ime i za račun voditelja ne znači da izmiče odgovornosti i načelima obrade iz Opće uredbe.
Naime, izvršitelj obrade mora jamčiti zaštitu i povjerljivost obrade osobnih podataka te je dužan provoditi odgovarajuće mjere zaštite kako bi osigurao i mogao dokazati da se obrada provodi u skladu s Općom uredbom.
Nadalje, sukladno članku 28. stavku 10. Opće uredbe, ne dovodeći u pitanje članke 82., 83. i 84., ako izvršitelj obrade krši ovu Uredbu utvrđivanjem svrhe i načine obrade podataka, izvršitelj obrade smatra se voditeljem obrade u pogledu te obrade.
S druge strane, člankom 4. točkom 8. propisano je da je izvršitelj obrade fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade dok je člankom 28. te uvodnim recitalima broj 80-83 propisana uloga te obveze izvršitelja obrade. Naime, izvršitelj obrade obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade te po izboru voditelja obrade briše, čuva ili vraća navedene osobne podatke nakon dovršetka pružanja usluga vezanih za obradu.
Osim toga, Radna skupina iz članka 29. Direktive u svom je mišljenju broj 1/2010 iz veljače 2010. godine razgraničila pojam voditelja i izvršitelja obrade na način da je voditelja odredila kao pravnu ili fizičku osobu koja determinira svrhu i sredstva obrade. Dva osnovna uvjeta za kvalifikaciju izvršitelja obrade su da se, s jedne strane, radi o odvojenoj pravnoj osobi u odnosu na voditelja obrade te da, s druge strane, izvršitelj obrade obrađuje osobne podatke u ime voditelja obrade. Određenje svrhe u svakom slučaju kvalificira voditelja obrade, a određenje sredstava obrade implicira kontrolu samo kada se odnosi na esencijalne elemente sredstava.
Uzimajući u obzir navedene odredbe Agencija smatra kako bi se prilikom određivanja određenog subjekta kao voditelja ili izvršitelja obrade prvenstveno trebao uzeti u obzir kriterij utvrđivanja svrhe predmetne obrade osobnih podataka. Kako bi se pravilno determinirala svrha obrade odnosno subjekt koji istu određuje potrebno je utvrditi iz kojeg se razloga obrađuju pojedini osobni podaci, tko ima pristup podacima, kada će podaci biti izbrisani, koja je uloga povezanih subjekata obrade te u svakom slučaju postoji li zakonska osnova za obradu sukladno članku 6. Opće uredbe. Tek nakon utvrđenja svrhe prikupljanja i obrade osobnih podataka moguće je razmotriti drugi kriterij definiranja subjekta kao voditelja u smislu određivanja sredstva obrade.
U tom kontekstu potrebno je napomenuti kako sama činjenica da određeni subjekt određuje pojedine segmente sredstva obrade ne znači nužno da se isti ima smatrati voditeljem, osobito u slučajevima kada je svrha obrade toliko jasno naznačena da ona sama može predstavljati jasnu uputu te sadrži bitne elemente putem kojih je moguće odrediti sredstva obrade.
Nadalje, člankom 26. stavkom 1. Opće uredbe propisano je sljedeće: „Ako dvoje ili više voditelja obrade zajednički odrede svrhe i načine obrade, oni su zajednički voditelji obrade. Oni na transparentan način određuju svoje odgovornosti za poštovanje obveza iz ove Uredbe, osobito s obzirom na ostvarivanje prava ispitanika i svojih dužnosti u pogledu pružanja informacija iz članaka 13. i 14., te to čine međusobnim dogovorom, osim ako su odgovornosti voditelja obrade utvrđene pravom Unije ili pravom države članice kojem voditelji obrade podliježu i u mjeri u kojoj su one utvrđene. Dogovorom se može odrediti kontaktna točka za ispitanike.
Razmatrajući navedene odredbe Opće uredbe kao i navode iz Vašeg upita, razvidno je kako bi Vi i liječnici medicine rada, u konkretnom slučaju predstavljali voditelje obrade. Naime, člankom 80. Zakona o zaštiti na radu (NN 71/2014, 118/2014, 154/2014, 94/2018 i 96/2018; u daljnjem tekstu Zakon o zaštiti na radu) propisana je obveza ugovaranja usluga medicine rada te je navedenim propisom jasno definirana svrha obrade osobnih podataka u tom kontekstu.
Osim toga, člankom 64. Zakona o zaštiti na radu definirani su zdravstveni pregledi radnika i osoba koje poslodavac namjerava zaposliti.
Nadalje, vezano uz ulogu revizorske kuće, pojašnjavamo kako će se isti također smatrati voditeljem obrade budući da su Zakonom o reviziji (NN 127/17) detaljno propisani svrha i način obrade osobnih podataka, kao i obveze revizora u pogledu izvršavanja svojih zadaća.
Imajući u vidu navedeno, smatramo kako s navedenim subjektima nije potrebno zaključivati posebne Ugovore budući da je odnos Vas i tih subjekata jasno definiran važećim propisima. Osim toga, u kontekstu odgovornosti svaki je voditelj obrade zasebno odgovoran za poštivanje svih odredbi Opće uredbe, pa tako i onih u pogledu organizacijsko tehničkih mjera zaštite.
Zaključno, Agencija ističe da se kvalificiranje određenog subjekta kao voditelja/ izvršitelja, odnosno zajedničkog voditelja nužno mora provoditi ovisno o okolnostima svakog pojedinog slučaja, a uzimajući u obzir kriterije naznačene u gornjem tekstu kao i kriterije utvrđene Općom uredbom.