Važnost GDPR ugovora s pružateljima IT podrške: Kazne mogu biti paprene!
U suvremenom poslovnom okruženju, gdje se osobni podaci sve više koriste i obrađuju, uloga IT tvrtki kao izvršitelja obrade postaje izuzetno važna za zaštitu privatnosti i usklađivanje s Općom uredbom o zaštiti podataka (GDPR). Potpisivanje ugovora o obradi osobnih podataka s IT tvrtkama jedan je od ključnih izazova s kojima se mnoge organizacije suočavaju u svom svakodnevnom radu.
Prema smjernicama Europskog odbora za zaštitu podataka (EDPB), pružatelji IT usluga se kategoriziraju kao izvršitelji obrade a svaki odnos između voditelja i izvršitelja obrade nužno je urediti u skladu s GDPR zahtjevima. Važno je napomenuti da je pri tome potrebno razlikovati vrstu ugovornog odnosa među stranama, primjerice između redovne (ugovorene) IT podrške i povremenog, jednokratnog pristupa računalu radi ispravljanja softverske pogreške ili kvara.
Svaka od ovih situacija zahtijeva specifičan pristup kako bi se odnos uskladio s GDPR.
Primjer 1: Opća informatička podrška
Jedan od najčešćih primjera u kojem se tvrtke oslanjaju na IT tvrtke kao izvršitelje obrade je kada trgovačko društvo angažira pružatelja informatičkih usluga za pružanje opće podrške za svoje informatičke sustave koji uključuju veliku količinu osobnih podataka. Iako pristup osobnim podatcima nije glavni predmet usluge podrške, pružatelj informatičkih usluga neizbježno ima pristup osobnim podatcima pri obavljanju usluge. U ovakvom slučaju EDPB pružatelja informatičkih usluga smatra izvršiteljem obrade. Stoga, kako bi se osigurala zaštita podataka i usklađenost s GDPR-om, potrebno je zaključiti ugovor o obradi osobnih podataka koji će jasno definirati obveze i ugovornih strana u skladu sa zahtjevima Opće uredbe.
Primjer 2: Informatički savjetnik ispravlja softversku grešku
Drugi primjer može biti situacija kada trgovačko društvo angažira informatičkog stručnjaka iz druge IT tvrtke da ispravi grešku u softveru kojim se trgovačko društvo koristi. U ovom slučaju, informatički savjetnik nije angažiran za obradu osobnih podataka, ali postoji mogućnost slučajnog pristupa tim podatcima, koji bi trebao biti vrlo ograničen. U ovom scenariju, trgovačko društvo zaključuje da informatički savjetnik nije izvršitelj obrade i da će poduzeti odgovarajuće mjere kako bi spriječilo neovlašteno obrađivanje osobnih podataka, poput potpisivanja izjave o povjerljivosti i drugih sigurnosnih mjera.
SIGURNOST PODATAKA U DIGITALNOM SVIJETU: Ključni koraci za uređenje odnosa s tvrtkom za IT podršku
Kako bi tvrtka voditelj obrade, koja koristi usluge izvršitelja obrade za pružanje IT podrške, i sam izvršitelj obrade osigurali usklađenost sa zahtjevima GDPR-a, ključno je urediti njihov odnos putem sklapanja posebnog ugovora o obradi osobnih podataka. Da bi se postigla pravednost i ravnoteža u ugovorima o obradi osobnih podataka, snažno se preporučuje primjena standardnih ugovornih klauzula utvrđenih Provedbenom odlukom Komisije EU 2021/915 od 4. lipnja 2021. o standardnim ugovornim klauzulama između voditelja i izvršitelja obrade. Primjenom ovih standardnih klauzula ostvaruje se jednak tretman i transparentnost u odnosima s različitim pružateljima usluga IT podrške.
Jedna od ključnih prednosti korištenja standardnih ugovornih klauzula je njihova neovisnost o preispitivanju nadzornih tijela. To znači da ugovori koji inkorporiraju ove klauzule neće biti podložni dodatnom preispitivanju nadzornog tijela u slučaju nadzora ili incidenta. Primjerice, zamislimo situaciju u kojoj hrvatska tvrtka, kao voditelj obrade, sklapa ugovor o obradi osobnih podataka s tvrtkom iz druge zemlje članice EU koja djeluje kao izvršitelj obrade. Ako se u tom ugovoru koriste standardne ugovorne klauzule, niti jedno nadzorno tijelo neće dodatno preispitivati taj ugovor u slučaju incidenta ili nadzora. Ovo pruža sigurnost i jasnoću za obje strane uključene u ugovorni odnos.
Važno je naglasiti da korištenje standardnih ugovornih klauzula također ima pozitivan utjecaj na ravnotežu snaga između strana. U mnogim situacijama, jedna strana može biti u podređenom položaju u odnosu na drugu stranu, što može rezultirati neravnotežom u pregovorima. Međutim, pristupanje standardnim ugovornim klauzulama pomaže spriječiti takvu neravnotežu te osigurava da su uvjeti ugovora fer i pravični za obje strane.
Važno je naglasiti da standardne ugovorne klauzule ne smiju se mijenjati, dopunjavati ili prepravljati na bilo koji način, već moraju ostati u potpunosti u skladu s onima koje je utvrdila Komisija EU. Ovo osigurava dosljednu primjenu i sprječava eventualne zloupotrebe ili nepravilnosti u obradi osobnih podataka.
Uređenje odnosa između voditelja obrade i izvršitelja obrade, kroz potpisivanje ugovora o obradi osobnih podataka ili pristupanje standardnim ugovornim klauzulama, nije samo pravna obveza već i ključni korak u izgradnji povjerenja, zaštiti privatnosti i sigurnosti podataka. Pružatelji IT usluga moraju biti svjesni svoje uloge, razumjeti rizike te prepoznati važnost zaštite osobnih podataka kako bi osigurali uspješno partnerstvo s klijentima. Nepridržavanje propisa GDPR-a može rezultirati visokim kaznama i negativnim posljedicama za obje uključene strane. Stoga je poštivanje GDPR zahtjeva i pravilno uređenje odnosa ne samo nužnost, već i odgovornost koja se ne smije zanemariti. U konačnici, usklađivanje s GDPR-om donosi pravnu sigurnost, ali također pokazuje predanost, profesionalnost i spremnost na suočavanje s potencijalnim rizicima kako bi se zaštitili osobni podaci i očuvalo povjerenje klijenata.
Standardne ugovorne klauzule između voditelja i izvršitelja obrade možete preuzeti: OVDJE