Page contents Page contents Odgovor Netko drugi (fizička ili pravna osoba ili bilo koje drugo tijelo) može obrađivati osobne podatke za vas pod uvjetom da postoji ugovor ili drugi pravni akt. Važno je da izvršitelj obrade kojega imenujete u dovoljnoj mjeri jamči provedbu odgovarajućih tehničkih i organizacijskih mjera koje jamče da će obrada biti u skladu sa standardima Opće uredbe o zaštiti podataka (OUZP) te jamče zaštitu prava pojedinaca. Imenovani izvršitelj obrade ne može naknadno imenovati drugog izvršitelja obrade bez vašeg prethodnog posebnog ili općeg pisanog odobrenja. Ugovor ili pravni akt između vas i izvršitelja obrade treba uključivati sljedeće elemente : obrada se može odvijati samo prema zabilježenim uputama voditelja obrade; izvršitelj obrade osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti; izvršitelj obrade mora ponuditi minimalnu razinu sigurnosti koju definira voditelj obrade; izvršitelj obrade mora vam pomagati u osiguravanju usklađenosti s OUZP-om. Primjeri Građevinsko društvo ima podugovaratelja za određeni građevinski posao te mu daje kontaktne pojedinosti klijenata na mjestu gdje treba obaviti posao. Podugovaratelj dalje upotrebljava podatke kako bi klijentima slao marketinški materijal. U tom slučaju podugovaratelj ne zadovoljava samo uvjete za „izvršitelja obrade” prema OUZP-u jer podugovaratelj ne obrađuje samo osobne podatke u ime građevinskog društva, već ih i dalje dodatno obrađuje u vlastite svrhe. Podugovaratelj stoga ima ulogu „voditelja obrade”. Društvo ste koje se bavi maloprodajom i koje je odlučilo na poslužitelj u oblaku pohraniti sigurnosnu verziju baze podataka klijenta. U tom smislu sklapate ugovor s pružateljem oblaka koji je poznat po svojim standardima zaštite podataka te koji također ima certificirani sustav enkripcije podataka. Pružatelj oblaka vaš je izvršitelj obrade jer će pohranjivanjem osobnih podataka vaših klijenata na svojim poslužiteljima u vaše ime obrađivati osobne podatke. Upućivanja Članak 28. i Uvodna izjava (81) OUZP-a Examples A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’. You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf. References Article 28 and Recital (81) of the GDPR
