Donošenjem Opće uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu: Opća uredba), nastala je obveza voditelja obrade na sklapanje ugovora s izvršiteljima obrade.
Radi boljeg razumijevanja, voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka, a izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade, dok pojam osobnih podataka označava sve podatke koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi.
Ugovor o obradi i dijeljenju podataka (Data Processing Agreement) je pravno obvezujući dokument koji sklapaju voditelj obrade i izvršitelj obrade u pisanom ili elektroničkom obliku, a njime se regulira opseg i svrha obrade, kao i njihov međusobni odnos. Također, njime se utvrđuju tehnički zahtjevi koje voditelj i izvršitelj obrade moraju ispunjavati prilikom obrade podataka. Navedeno uključuje brigu o pohranjivanju, zaštiti, obradi, pristupanju i korištenju podataka. Vrlo je važan kako bi obje strane razumjele svoja prava, obveze i odgovornosti. U današnje vrijeme, kada informacije kolaju svuda oko nas, skoro je nemoguće razviti i voditi posao bez obrade osobnih podataka i njihove razmjene s drugim tvrtkama pa nastaje sve više ugovora o obradi i dijeljenju podataka. Dakle, bilo da tvrtka posluje s dobavljačima kojima daje osobne podatke klijenata ili ako nudi uslugu u kojoj prikuplja osobne podatke od trećih strana, potrebno je, u skladu s Općom uredbom, imati ugovor.
Temeljni faktori nužni za sklapanje ugovora su:
- Identifikacija odgovorne strane i izvršitelja
- Svrha izvršitelja obrade
- Aktivnost obrade i kategorija zahvaćenih podataka
- Pravo na informaciju vezanu uz prikupljanje podataka
Sastavni dio ugovora čine opće informacije o aktivnostima obrade, odnosno generalne klauzule koje govore o načinu na koji se osobni podaci koriste, strani koja je odgovorna za osiguravanje usklađenosti s Općom uredbom, trajanju obrade, vrsti podataka koji se obrađuju, kako i gdje se isti pohranjuju i uvjete raskida takvog ugovora.
Bitan faktor ugovora čini definiranje obveza ugovornih strana, odnosno voditelja i izvršitelja obrade. Glavne obveze voditelja obrade su uspostava preduvjeta za zakonitu obradu podataka, poštivanje i osiguravanje prava ispitanika, izdavanje uputa za obradu i diktiranje načina na koji izvršitelj treba obrađivati podatke. Izvršitelj obrade treba postupati s podacima isključivo na način na koji to od njega zahtijeva voditelj obrade. On mora imati adekvatnu informacijsku sigurnost, ne smije koristiti podizvršitelje bez odobrenja voditelja obrade, mora surađivati s vlastima u slučaju potrebe, mora prijaviti kršenje podataka voditelju čim sazna i upozoriti voditelja obrade ako su njegove upute za obradu podataka suprotne Općoj uredbi. Također, mora pomoći voditelju obrade u ostvarivanju prava ispitanika i u upravljanju posljedicama povrede podataka. U slučaju raskida ugovora, mora izbrisati ili vratiti sve osobne podatke koje zahtijeva voditelj obrade. Ako voditelj obrade odobri, izvršitelj može angažirati nekoliko podizvršitelja, ali mora s njima sklopiti ugovore o obradi podataka. Općenito, podizvršitelji obavljaju obradu podataka u ime izvršitelja.
Nadalje, potrebno je poduzeti odgovarajuće tehničke i organizacijske mjere kako bi se osigurala sigurnost svih podataka koji se obrađuju. Navedeno može uključivati pseudonimizaciju i šifriranje, mogućnost vraćanja pristupa osobnim podacima u slučaju incidenta, osiguravanje trajne povjerljivosti, dostupnosti i otpornosti sustava i usluga obrade te uspostavljanje procesa za redovito testiranje i procjenu učinkovitosti mjera. Također, ono na što voditelji obrade moraju obratiti pozornost prilikom sklapanja takvog ugovora je, imaju li izvršitelji dovoljna jamstva za zaštitu prenesenih podataka jer u slučaju povrede podataka, čak i ako je do nje došlo na strani izvršitelja, voditelj obrade može biti odgovoran. Upravo zbog toga je važno odabrati izvršitelje koji provode adekvatne mjere za smanjenje rizika od povrede podataka. Isto tako, potrebno je provjeriti namjerava li izvršitelj obrade koristiti podatke u vlastite svrhe jer mora postojati dovoljan stupanj sigurnosti da opseg ugovora o obradi nije širi od pravne osnove za obradu podataka.
Ugovor o obradi ne bi trebao ostaviti nikakve „sive zone“, zato je potrebno definirati što više stvari kako bi sve bilo razjašnjeno i kako se ne bi ostavljao prostor za pogrešno tumačenje. Naime, kako bi izvršitelji točno znali svoje obveze, ugovor može sadržavati vremenske okvire unutar koji izvršitelj mora obraditi zahtjeve za podacima i unutar kojih mora obavijestiti voditelja obrade o povredama podataka. Uz navedeno, ugovor bi mogao sadržavati i kontakt podatke izvršitelja obrade te informacije vezane uz reviziju poslovanja izvršitelja i tko će pokriti troškove iste.
Vezano uz međunarodne prijenose podataka, Europska unija poznaje ograničenja za takve prijenose u zemlje koje nemaju adekvatnu regulativu u tom području. Ako zemlja u koju podaci putuju ili se ondje trebaju pohraniti, ne udovoljava zahtjevima i uvjetima iz Opće uredbe, dolazi do rizičnog prijenosa koji može biti blokiran. S druge strane, model po kojem rade Sjedinjene Američke Države razlikuje se u odnosu na europski. Iako postoje određeni propisi koji po sektorima ili državama uspostavljaju standarde privatnosti, ne postoji zajednički standard na razini cijelog saveza. S obzirom na to, između Europske unije i SAD-a mogu se dogovoriti različiti ugovori o obradi i dijeljenju podataka. Nakon presude Schrems II., Europski odbor za zaštitu podataka donio je u lipnju 2021. SCC klauzule, odnosno nove standardne klauzule za prijenos podataka. O njima možete više vidjeti na: https://presido.hr/blog/nove-scc-klauzule-medunarodne-transfere-podataka-90/
U slučaju kršenja ugovora, može doći do neželjenih posljedica za voditelja i izvršitelja obrade, ovisno o okolnostima slučaja. Jedan primjer možete naći na našem blogu: https://www.akademija.hr/izvrsitelj-obrade-i-voditelj-obrade-kaznjeni-zbog-krsenja-odredbi-gdpr-a/