U članku 28., točka 8. Opće uredbe o zaštiti podataka (Uredba ili GDPR) određuje se da nacionalno nadzorno tijelo može donijeti standardne ugovorne klauzule za pitanja koja se tiču ugovora o obradi podataka između voditelja i izvršitelja obrade.

U slučaju da se nacionalno nadzorno tijelo namjerava poslužiti tom mogućnošću, ono treba sastaviti nacrt odluke o donošenju standardnih ugovornih klauzula te zatim o tome obavijestiti Europski odbor za zaštitu podataka (Odbor). Odbor zatim daje svoje mišljenje o tome. Svrha ovog mišljenja je da se doprinese harmoniziranom pristupu što se tiče prekogranične obrade ili obrade koja bi mogla utjecati na slobodan protok osobnih podataka te na dosljednu primjenu Uredbe.

Ovdje je potrebno napomenuti da se standardne ugovorne klauzule iz članka 28. Uredbe, koje služe u svrhu sastavljanja ugovora o obradi podataka, razlikuju od standardnih klauzula o zaštiti podataka iz članka 46. Uredbe, koje voditelj ili izvršitelj obrade mogu predvidjeti kao odgovarajuće zaštitne mjere za prijenos podataka izvan EU.

Mogućnost da donese standardne ugovorne klauzule za ugovor o obradi podataka iskoristilo je dansko nadzorno tijelo Datatilsynette je Odbor 9.7.2019. donio svoje mišljenje.

Mišljenje odbora

Odbor u svom mišljenju navodi kako bilo koji skup standardnih ugovornih klauzula koji im se podnese mora konkretnije razraditi odredbe Uredbe koje se odnose na ugovor o obradi podataka (prvenstveno čl. 28. Uredbe) te koristiti precizne termine iz Uredbe (instruct, document, notify, transfer, state of art). U Mišljenju je objašnjeno da predložene klauzule, koje jednostavno ponavljaju ili na drugi način izražavaju odredbe Uredbe, nisu prikladne da čine standardne ugovorne klauzule.

Ugovor o obradi podataka trebao bi detaljnije odrediti i razjasniti kako će se odredbe Uredbe o ugovoru o obradi podataka provoditi (npr. razraditi rokove, obveze voditelja i izvršitelja obrade, obveze kod angažiranja pod-izvršitelja i prijenosa osobnih podataka izvan EU).

Odbor također podsjeća da, u skladu s člankom 28. točkom 6. Uredbe, upotreba standardnih ugovornih klauzula koje je usvojilo nacionalno nadzorno tijelo ne sprječava ugovorne strane da koriste druge klauzule ili dodatne mjere, pod uvjetom da ne protuslove, izravno ili neizravno, usvojenim ugovornim klauzulama ili štete temeljnim pravima i slobodama ispitanika.

Napomene

Mišljenje Odbora također je pružilo sljedeće napomene za ugovore o obradi podataka:

  1. Ugovor o obradi podataka upućuje, ovisno o okolnostima, na glavni ugovor između ugovornih strana (npr. utvrđuje da je glavni ugovor sklopljen ili nije sklopljen, utvrđuje je li ugovor o obradi može biti raskinut neovisno o glavnom ugovoru).
  2. Voditelj obrade može davati izvršitelju obrade dodatne upute izvan ugovora o obradi, ali takve upute moraju biti dokumentirane.
  3. U ugovoru o obradi podataka se mora ugovoriti jedan od dva izbora u odnosu na podizvršitelje – opće odobrenje za angažiranje podizvršitelja ili angažiranje podizvršitelja samo uz pisano odobrenje voditelja obrade te se preporuča navesti rokove za obavijest voditelju obrade o angažiranju podizvršitelja.
  4. Ugovor o obradi podataka mora sadržavati obvezu izvršitelja obrade da obavijesti voditelja obrade o povredi osobnih podataka te se ugovora rok u kojem je to obvezno napraviti.
  5. Vrste osobnih podataka, koje se obrađuju na temelju ugovora o obradi podataka, moraju biti što je detaljnije moguće opisane, nije dovoljno samo se pozvati na određeni članak glavnog ugovora ili Uredbe ili navesti kategorije osobnih podataka (npr. nije dovoljno samo navesti da se obrađuju posebne kategorije osobnih podataka, već navesti vrste osobnih podataka o kojima je riječ, kao što su ozljede na radu, politička i vjerska uvjerenja i sl.).

Preuzmite primjer ugovora o obradi podataka

Ovdje možete naći primjer ugovora o obradi podataka na hrvatskom jeziku.

Za sva daljnja pitanja, obratite nam se s povjerenjem.

Marija Bošković Batarelo, LL.M. Pravo i tehnologija