Page contents Page contents Odgovor Druga oseba (fizična ali pravna oseba ali katero koli drugo telo) lahko obdeluje osebne podatke v vašem imenu, če tako določa pogodba ali drugi pravni akt. Pomembno je, da obdelovalec, ki ga imenujete, zagotavlja zadostna jamstva za izvajanje ustreznih tehničnih in organizacijskih ukrepov, da bo obdelava izpolnjevala standarde iz splošne uredbe o varstvu podatkov in da bo zagotovljeno varstvo pravic posameznikov. Imenovani obdelovalec ne sme naknadno imenovati drugega obdelovalca brez vašega predhodnega, posebnega ali splošnega pisnega dovoljenja. Pogodba ali pravni akt med vami in obdelovalcem mora vključevati določila, kot so: obdelava se lahko izvaja samo na podlagi dokumentiranih navodil upravljavca; obdelovalec zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon; obdelovalec mora zagotavljati minimalno raven varnosti, ki jo opredeli upravljavec; obdelovalec vam mora pomagati pri zagotavljanju skladnosti s splošno uredbo o varstvu podatkov. Primera Gradbeno podjetje ima podizvajalca za posebna gradbena dela, ki mu posreduje kontaktne podatke strank, pri katerih je treba ta dela izvajati. Podizvajalec ponovno uporabi te podatke za pošiljanje oglasnega gradiva strankam. Podizvajalec v tem primeru ni samo „obdelovalec“ v skladu s splošno uredbo o varstvu podatkov, saj ne izvaja zgolj obdelave podatkov v imenu gradbenega podjetja, temveč jih nadalje obdeluje za lastne namene. Deluje torej kot „upravljavec podatkov“. Vodite maloprodajno podjetje in se odločite, da boste shranili varnostno kopijo zbirke podatkov o svojih strankah na strežniku v oblaku. Zato sklenete pogodbo s ponudnikom storitev v oblaku, ki je znan po svojih standardih varstva podatkov in ki ima tudi certificiran sistem šifriranja podatkov. Ponudnik storitev v oblaku je vaš obdelovalec, saj bo s shranjevanjem osebnih podatkov vaših strank na svojem strežniku obdeloval osebne podatke v vašem imenu. Referenci Člen 28; uvodna izjava 81 Splošne uredbe o varstvu podatkov Examples A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’. You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf. References Article 28 and Recital (81) of the GDPR
