Zašto je to važno
GDPR je uveo izravne obveze i potencijalne kazne za izvršitelje obrade. Organizacije koje obrađuju podatke za klijente (SaaS tvrtke, pružatelji usluga u oblaku, agencije) moraju razumjeti svoje obveze. Prekoračenje uputa voditelja obrade automatski vas čini voditeljem za tu obradu — sa svim pripadajućim obvezama.
Obveze izvršitelja obrade
- Obrađivati podatke samo prema dokumentiranim uputama voditelja obrade
- Osigurati povjerljivost — osoblje mora biti obvezano na povjerljivost
- Implementirati odgovarajuće sigurnosne mjere — enkripcija, kontrola pristupa, redovito testiranje
- Ne angažirati podizvršitelje bez prethodnog odobrenja voditelja (općeg ili specifičnog)
- Pomagati voditelju sa zahtjevima ispitanika, DPIA procjenama, prijavom povreda i revizijama
- Izbrisati ili vratiti podatke po završetku obradnog odnosa
- Voditi evidenciju aktivnosti obrade (Članak 30(2))
- Obavijestiti voditelja bez odgode nakon saznanja o povredi podataka
Ugovor o obradi podataka
GDPR Članak 28. zahtijeva obvezujući ugovor između voditelja i izvršitelja koji mora specificirati:
- Predmet i trajanje obrade
- Prirodu i svrhu obrade
- Vrste osobnih podataka i kategorije ispitanika
- Obveze i prava voditelja
- Sigurnosne mjere
- Postupak odobrenja podizvršitelja
- Pravo revizije
- Brisanje ili povrat podataka po završetku
Podizvršitelji obrade
Kada izvršitelj angažira drugog izvršitelja (podizvršitelja), treba odobrenje voditelja. Izvršitelj ostaje potpuno odgovoran voditelju za rad podizvršitelja.
Ključna regulativa
- GDPR Članak 4(8) — definicija izvršitelja obrade
- GDPR Članak 28 — obveze izvršitelja i zahtjevi za ugovor
- GDPR Članak 30(2) — evidencija obrade izvršitelja
- GDPR Članak 82 — odgovornost izvršitelja za štetu