Zašto je to važno
Razumijevanje je li vaša organizacija voditelj obrade ili izvršitelj obrade jedno je od najvažnijih pitanja u GDPR usklađenosti. Pogrešna klasifikacija znači pogrešnu raspodjelu odgovornosti, pogrešne ugovore i potencijalne kazne za obveze za koje niste ni znali da ih imate.
Voditelj obrade snosi primarnu odgovornost za usklađenost — mora osigurati zakonitu obradu, odgovoriti na zahtjeve ispitanika, prijaviti povrede i dokazati usklađenost regulatoru.
Voditelj obrade vs izvršitelj obrade
| Voditelj obrade | Izvršitelj obrade | |
|---|---|---|
| Odlučuje | Zašto i kako se podaci obrađuju | Ne odlučuje — slijedi upute voditelja |
| Odgovornost | Primarna — odgovoran za usklađenost | Sekundarna — odgovoran za sigurnost |
| Ugovor | Mora dati dokumentirane upute | Mora imati Ugovor o obradi podataka |
| Prijava povreda | Mora obavijestiti AZOP u 72 sata | Mora obavijestiti voditelja bez odgode |
| Primjeri | Poslodavac koji obrađuje podatke zaposlenika | Cloud pružatelj koji hostira podatke |
Ključne obveze voditelja obrade
- Odrediti i dokumentirati pravnu osnovu za svaku aktivnost obrade
- Osigurati transparentnost — informirati ispitanike o obradi putem politika privatnosti
- Implementirati odgovarajuće sigurnosne mjere (tehničke i organizacijske)
- Odgovarati na zahtjeve ispitanika (pristup, brisanje, prenosivost) u roku od mjesec dana
- Prijaviti povrede AZOP-u u roku od 72 sata
- Provoditi DPIA za obrade visokog rizika
- Voditi evidenciju aktivnosti obrade (Članak 30.)
Zajedničko vođenje obrade
Kada dvije ili više organizacija zajedno određuju svrhe i sredstva obrade, one su zajednički voditelji obrade (Članak 26.). Moraju transparentno odrediti svoje odgovornosti kroz dogovor i učiniti bit tog dogovora dostupnom ispitanicima.
Ključna regulativa
- GDPR Članak 4(7) — definicija voditelja obrade
- GDPR Članci 24–31 — obveze voditelja obrade
- GDPR Članak 26 — zajednički voditelji obrade