Ugovori o obradi podatka između voditelja obrade i izvršitelja obrade su propisani kao obveza u članku 28. Opće uredbe o zaštiti podataka (Uredba ili GDPR). Čl. 28. određuje obvezne sastojke takvog ugovora te uređuje da nacionalno nadzorno tijelo može donijeti standardne ugovorne klauzule za pitanja koja se tiču ugovora o obradi podataka između voditelja i izvršitelja obrade . Isti članak propisuje da Europska komisija može utvrditi standardne ugovorne klauzule za pitanja iz stavka 3. i 4. čl. 28. GDPR-a.

Standardne ugovorne klauzule – ugovor o obradi – voditelj obrade i izvršitelj obrade

Potrebno je na početku istaknuti da u ovom tekstu objašnjavamo standardne ugovorne klauzule za ugovore o obradi podatka između voditelja obrade i izvršitelj obrade, a ne o klauzulama koje se tiču prijenosa osobnih podataka u treće zemlje.

Standardne ugovorne klauzule za prijenos osobnih podataka se koriste kao zaštitna mjera u skladu s GDPR-om te se primjenjuju na ugovorne odnose voditelj obrade – voditelj obrade te voditelj obrade – izvršitelj obrade. U standardnim ugovornim klauzulama za prijenos osobnih podataka u treće zemlje smo već ranije pisali.

U ovom tekstu objašnjavamo standardne ugovorne klauzule koje se koriste u samom ugovoru o obradi podataka između voditelja obrade i izvršitelja obrade.

Standardne ugovorne klauzule – Dansko nadzorno tijelo

Čl. 28. GDPR-a predviđa mogućnost da nadzorno tijelo može sastaviti nacrt odluke o donošenju standardnih ugovornih klauzula te zatim o tome obavijestiti Europski odbor za zaštitu podataka (Odbor). Odbor zatim daje mišljenje. Ovu mogućnost je već iskoristilo dansko nadzorno tijelo za zaštitu podataka te smo već ranije pisali o tome. U Mišljenju Odbora je objašnjeno da predložene klauzule, koje jednostavno ponavljaju ili na drugi način izražavaju odredbe Uredbe, nisu prikladne da čine standardne ugovorne klauzule.

Ugovor o obradi podataka trebao bi detaljnije odrediti i razjasniti kako će se odredbe Uredbe o ugovoru o obradi podataka provoditi (npr. razraditi rokove, obveze voditelja i izvršitelja obrade, obveze kod angažiranja pod-izvršitelja i prijenosa osobnih podataka izvan EU).

Odbor također podsjeća da upotreba standardnih ugovornih klauzula koje je usvojilo nacionalno nadzorno tijelo ne sprječava ugovorne strane da koriste druge klauzule ili dodatne mjere. Pod uvjetom da ne protuslove, izravno ili neizravno, usvojenim ugovornim klauzulama ili štete temeljnim pravima i slobodama ispitanika. Ovdje možete naći primjer ugovora o obradi podataka na hrvatskom jeziku.

Standardne ugovorne klauzule – odluka Europske komisije

Europska komisija je 4.6.2021. također iskoristila mogućnost propisanu u čl. 28. GDPR te donijela provedbenu odluku o standardnim ugovornim klauzulama između voditelja obrade i izvršitelja obrade.

Isti skup standardnih ugovornih klauzula trebao bi se primjenjivati na odnos između voditeljâ obrade podataka i izvršiteljâ obrade podataka koji podliježu GDPR-u, kako bi se osigurao dosljedan pristup zaštiti osobnih podataka širom Unije i slobodno kretanje osobnih podataka u Uniji.

Kako bi se osiguralo poštovanje zahtjeva iz Uredbe pri povjeravanju aktivnosti obrade izvršitelju obrade, voditelj obrade trebao bi angažirati samo izvršitelje obrade koji u zadovoljavajućoj mjeri jamče, osobito u pogledu stručnog znanja, pouzdanosti i resursa, provedbu tehničkih i organizacijskih mjera koje udovoljavaju zahtjevima, među ostalim u pogledu sigurnosti obrade.

Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a u kojem se navode elementi navedeni u članku 28. stavcima 3. i 4. Uredbe. Taj ugovor ili akt mora biti u pisanom obliku, uključujući elektronički oblik.

Voditelj obrade i izvršitelj obrade mogu dogovoriti pojedinačni ugovor koji sadržava obvezne elemente iz članka 28. Uredbe. Mogu upotrijebiti, djelomično ili u cijelosti, standardne ugovorne klauzule koje je donijela Komisija u skladu s člankom 28. stavkom 7. Uredbe. Voditelj obrade i izvršitelj obrade mogu uključiti standardne ugovorne klauzule iz odluke u širi ugovor, te dodati druge klauzule ili dodatne zaštitne mjere, pod uvjetom da one izravno ili neizravno ne proturječe standardnim ugovornim klauzulama te da ne dovode u pitanje temeljna prava ili slobode ispitanika. Upotreba standardnih ugovornih klauzula ne dovodi u pitanje eventualne ugovorne obveze voditelja obrade i/ili izvršitelja obrade kojima je cilj osigurati poštovanje primjenjivih povlastica i imuniteta.

Treće strane trebale bi moći postati stranke u standardnim ugovornim klauzulama tijekom cijelog trajanja ugovora.

Naše edukacije

Za više informacija kako odrediti ulogu voditelj obrade i izvršitelj obrade te zaštitne mjere za prijenos osobnih podataka pogledajte naš jednostavan hodogram.

Na ove teme održavamo edukacije GDPR i ugovori, GDPR i prijenos osobnih podataka te imamo snimljen webinar koji je na akciji još samo do 31.8.2021.

Za sva daljnja pitanja oko ugovora o obradi podataka, obratite nam se s povjerenjem.

Marija Bošković Batarelo, LL.M. Pravo i tehnologija