Voditelj obrade ili izvršitelj obrade

Što je voditelj obrade podataka?

Voditelj obrade podataka određuje svrhe i načine obrade osobnih podataka. Drugim riječima, voditelj obrade podataka odlučuje kako i zašto postupak obrade podataka. Voditelj obrade podataka može biti pravna osoba, na primjer poduzeće, MSP, javno tijelo, agencija ili drugo tijelo.

U određenim slučajevima svrhe i sredstva obrade osobnih podataka, kao i voditelj obrade, mogu se odrediti pravom EU-a ili pravom države članice.

Što su zajednički voditelj obrade ?

Ako postoje dva ili više voditelja obrade podataka koji zajednički određuju svrhu i načine obrade, smatraju se zajedničkim voditeljima obrade. Zajednički odlučuju obrađivati osobne podatke u zajedničku svrhu. Zajedničko vođenje obrade može biti u mnogim oblicima, a sudjelovanje različitih voditelja obrade može biti nejednako. Zajednički voditelji obrade stoga moraju utvrditi svoje odgovornosti za usklađenost s Općom uredbom o zaštiti podataka.

Koje su odgovornosti voditelja obrade ili zajedničkog voditelja obrade?

Prilikom odlučivanja o svrhama i načinima obrade osobnih podataka, voditelj obrade ili zajednički voditelji obrade moraju osigurati zaštitu osobnih podataka pojedinaca. 

Kako bi se to postiglo, voditelj obrade ili zajednički voditelji obrade moraju uspostaviti mjere za zaštitu osobnih podataka i omogućiti pojedincima da ostvare svoja prava.

Za više informacija pogledajte „Kontrolni popis odgovornosti voditelja obrade /zajedničkih  voditelja obrade”

Što je izvršitelj obrade ?

Izvršitelj obrade djeluje samo prema uputama voditelja obrade obradom osobnih podataka u ime voditelja obrade.
Kao i voditelj obrade podataka ili zajednički voditelj obrade, izvršitelj obrade može biti pravna osoba, na primjer poduzeće, MSP, javno tijelo, agencija ili druga tijela.

Što je podizvršitelj?

Podizvršitelj obrade djeluje prema uputama izvršitelja obrade, što znači da može obrađivati osobne podatke pojedinaca u ime izvršitelja obrade. Podizvršitelj obrade može biti pravna osoba, na primjer poduzeće, MSP, javno tijelo, agencija ili drugo tijelo.
Treba napomenuti da podizvršitelj obrade može biti imenovan samo ako ga voditelj obrade ili zajednički voditelj obrade ovlasti u pisanom obliku. Ako je to slučaj, izvršitelj obrade mora sastaviti obvezujući ugovor s podizvršiteljem obrade u kojem se navode odgovornosti podizvršitelja obrade. Tim ugovorom izvršitelja obrade i podizvršitelja obrade mora se osigurati ista zaštita osobnih podataka pojedinaca kao i prvotni ugovor ugovaratelja i izvršitelja obrade.

Koje su odgovornosti izvršitelja obrade?

Iako je opća odgovornost općenito na voditelju obrade podataka, izvršitelji obrade također imaju određene odgovornosti u skladu s Općom uredbom o zaštiti podataka. Izvršitelji obrade moraju provoditi postupke obrade odgovarajućim tehničkim i organizacijskim mjerama koje je uputio voditelj obrade podataka ili zajednički voditelj obrade. Pritom obrađivač pomaže voditelju obrade u usklađivanju s Općom uredbom o zaštiti podataka.

Odnos između voditelja obrade i izvršitelja obrade, uključujući odgovornosti izvršitelja obrade, mora biti uređen ugovorom u kojem se dokumentiraju postupci obrade i načini obrade osobnih podataka.

Za više informacija pogledajte „Kontrolni popis odgovornosti izvršitelja obrade”.

 

Što uključiti u ugovor između voditelja obrade i izvršitelja obrade?

Ugovorom između voditelja obrade ili zajedničkog voditelja obrade i izvršitelja obrade mora se utvrditi da izvršitelj obrade podataka:

  • obrađuje osobne podatke samo prema uputama voditelja obrade podataka, među ostalim u pogledu prijenosa osobnih podataka u zemlju izvan EGP-a;
  • osigurava da su se osobe ovlaštene za obradu podataka obvezale na poštovanje povjerljivosti ili da podliježu odgovarajućoj zakonskoj obvezi povjerljivosti;
  • osigurava sigurnost obrade;
  • ne smije angažirati drugog izvršitelja obrade podataka bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade podataka koji ima značajnu mogućnost prigovora;
  • pomaže voditelju obrade podataka u ispunjavanju obveza voditelja obrade podataka da odgovori na zahtjeve pojedinca za ostvarivanje njegovih prava;
  • pomaže voditelju obrade podataka u osiguravanju obrade, obavješćivanju o povredama podataka i izvršavanju DPIA-ova;
  • po izboru voditelja obrade, briše ili vraća sve osobne podatke voditelju obrade podataka nakon završetka pružanja usluga;
  • voditelju obrade podataka stavlja na raspolaganje sve potrebne informacije za dokazivanje usklađenosti s obvezama iz Opće uredbe o zaštiti podataka;
  • omogućuje i doprinosi revizijama, uključujući inspekcije koje provodi voditelj obrade podataka ili drugi revizor kojeg je ovlastio voditelj obrade podataka.

Što uključiti u ugovor izvršitelja obrade – podizvršitelja obrade?

Ugovor između izvršitelja obrade i podizvršitelja obrade mora sadržavati posebne odredbe kojima se jamči da će osobni podaci koji će se obrađivati biti zaštićeni na isti način kako je predviđeno ugovorom između voditelja obrade i izvršitelja obrade.

 

Tko je kome odgovoran?

Voditelj obrade ili zajednički voditelj obrade odgovoran je za vlastitu usklađenost s Općom uredbom o zaštiti podataka i za usklađenost odabranog izvršitelja obrade. Konkretno, ako izvršitelj obrade krši svoje obveze iz Opće uredbe o zaštiti podataka, voditelj obrade ili zajednički voditelj obrade mogli bi se smatrati odgovornima i podlijegati novčanim kaznama i drugim posljedicama ako je to primjenjivo.

Izvršitelj obrade odgovoran je za vlastitu usklađenost s Općom uredbom o zaštiti podataka i može biti odgovoran voditelju obrade za kršenje ugovora ugovaratelja i izvršitelja obrade. Izvršitelj obrade također može biti odgovoran voditelju obrade za povrede koje je uzrokovao podizvršitelj obrade. 
 

 

Kontrolni popis odgovornosti

Kontrolni popis odgovornosti voditelja obrade ili zajedničkog voditelja obrade

  • Usklađenost s načelima zaštite podataka iz članka 5. Opće uredbe o zaštiti podataka
  • Poštovanje prava pojedinaca na zaštitu podataka
  • Vođenje evidencije o postupcima obrade
  • Osiguravanje sigurnosti obrade
  • Odabir odgovarajućeg izvršitelja obrade 
  • Pojedinosti u obvezujućem ugovoru o odnosu između voditelja obrade i izvršitelja obrade
  • Obavješćivanje relevantnog tijela EGP-a za zaštitu podataka i pojedinaca, ako je primjenjivo, o povredama osobnih podataka
  • Odgovornost za postupke obrade, provođenje tehničke i integrirane zaštite podataka, provedba procjena učinka na zaštitu podataka kada je to potrebno
  • Imenovanje službenika za zaštitu podataka prema potrebi
  • Poštovanje obveza zaštite podataka pri međunarodnim prijenosima osobnih podataka
  • Suradnja s tijelima za zaštitu podataka

Kontrolni popis odgovornosti izvršitelja obrade

  • Slijediti  upute voditelja obrade
  • Vođenje evidencije o postupcima obrade
  • Osiguravanje sigurnosti obrade
  • Poštovati i pridržavati se ugovora između voditelja obrade i izvršitelja obrade
  • Dobiti odobrenje voditelja obrade prije angažiranja novog podizvršitelja obrade (i omogućiti voditelju obrade da uloži prigovor). Ako je primjenjivo, ugovor izvršitelja obrade i podizvršitelja obrade mora se sklopiti i izjednačiti s prvotnim ugovorom ugovaratelja i izvršitelja obrade.
  • Obavješćivanje voditelja obrade podataka o povredama osobnih podataka
  • Obavješćivanje voditelja obrade o kršenju Opće uredbe o zaštiti podataka
  • Odgovornost za postupke obrade: npr. tehnička i integrirana zaštita podataka
  • Imenovanje službenika za zaštitu podataka prema potrebi
  • Osiguravanje da voditelj obrade odobri međunarodne prijenose i da su u skladu s Općom uredbom o zaštiti podataka
  • Suradnja s tijelima za zaštitu podataka