Zašto je ugovor o obradi važan
Kad god jedna organizacija obrađuje osobne podatke u ime druge — primjerice pružatelj usluga u oblaku, računovodstveni servis, platforma za e-poštu ili agencija za naplatu — riječ je o odnosu voditelja i izvršitelja obrade. GDPR čl. 28. zahtijeva da takav odnos bude uređen pisanim ugovorom o obradi. Bez njega voditelj obrade krši Uredbu već samim angažiranjem izvršitelja, neovisno o tome je li došlo do povrede podataka.
Obvezni sadržaj prema GDPR čl. 28.
Ugovor o obradi mora, među ostalim, urediti:
- Predmet, trajanje, prirodu i svrhu obrade te vrstu osobnih podataka i kategorije ispitanika
- Obradu isključivo po dokumentiranim uputama voditelja obrade
- Obvezu povjerljivosti osoba ovlaštenih za obradu
- Tehničke i organizacijske mjere sigurnosti (čl. 32.)
- Uvjete angažiranja podizvršitelja (pisano odobrenje voditelja)
- Pomoć voditelju kod ostvarivanja prava ispitanika i prijave povreda
- Brisanje ili povrat podataka po isteku usluge
- Omogućavanje revizija i dokazivanje usklađenosti
Najčešće pogreške
- Oslanjanje na opće uvjete dobavljača bez provjere sadržaja iz čl. 28.
- Izostanak evidencije o podizvršiteljima (npr. dobavljači u trećim zemljama)
- Nepostojanje DPA-a s manjim, "neformalnim" pružateljima usluga
- Zanemarivanje obveza pri prijenosu podataka izvan EGP-a
Ključna regulativa
- Opća uredba o zaštiti podataka (GDPR), čl. 28. — obvezni sadržaj ugovora
- Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/2018) — hrvatski okvir, nadzor AZOP-a