Nedostupan dokument, obavezna prijava
Input:

GDPR poslovni sustavi

22.2.2018, , Izvor: Verlag Dashöfer

Pitanje:

Jedna od naših djelatnosti je implementacije i održavanje poslovnih sustava. Sa svim našim korisnicima imamo sklopljene ugovore za pružanje usluga održavanja njihovih poslovnih sustava. U tim ugovorima definirane su usluge, razina usluga, mjesečna naknada kao i obveza Naručitelja/našeg korisnika da nam osigura pristup do baze svog poslovnog sustava. Osiguravanje tog pristupa je ključni uvjet za pružanje ugovorenih usluga. Naravno sve usluge pružamo telefonskim ili telekomunikacijskim putem, spajanjem na poslužitelje naših Korisnika. Sastavni dio poslovnih sustava za koje pružamo usluge su i segmenti „Upravljanje kadrovima“ te „Obračun osobnih dohodaka“. Naravno ti segmenti sadrže podatke koji po odredbama GDPR uredbe spadaju u grupu „osobnih podataka“. Pretpostavljam da sa našim Korisnicima moramo sklopiti aneks ugovora u kojem će biti ugrađene odredbe kojima Naručitelj (naš korisnik) nama kao pružatelju ugovorenih usluga daje pravo uvida u osobne podatke svojih zaposlenika. Da li sam u pravu kada zaključujem da podaci poslovnih partnera (koji su sastavni dio poslovnog sustava naših korisnika) ne spadaju u grupu osobnih podataka. Ljubazno Vas molim da nam date upute što mi kao pružatelj usluga u kontekstu GDPR odredbi moramo poduzeti kako bi i nakon 25.5.18. mogli nastaviti pružati sve usluge našim Korisnicima, a da pri tome ne kršimo GDPR odredbe.

Odgovor:

UREDBOM (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka - eng. General Data Protection Regulation – u daljnjem tekstu: Uredba) utvrđuju se pravila povezana sa zaštitom pojedinaca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka. Predmetna Uredba je donesena kako bi se osiguralo da razina zaštite prava i sloboda pojedinaca u vezi s obradom podataka bude jednaka u svim državama članicama Europske unije.

 

Ova Uredba će se, sukladno članku 99. Uredbe, primjenjivati od 25. svibnja 2018. godine. S obzirom da je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama počevši od dana 25. svibnja 2018. godine, svi subjekti na koje se odnosi imati će obvezu postupati po samoj Uredbi od 25. svibnja 2018. godine, a ukoliko ne budu postupali po Uredbi, prijete im sankcije u obliku visokih novčanih kazni (članak 83. Uredbe) i ostalih mjera, poput izdavanja upozorenja i opomena voditelju obrade osobnih podataka ili izvršitelju obrade osobnih podataka, zabrane ili ograničenja takve obrade i sl.

 

Sukladno čl. 2. Uredbe, Uredba se primjenjuje na obradu osobnih podataka koja se u cijelosti obavlja automatizirano (npr. internet prodaja) te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane (npr. poslodavci, različiti servisi i trgovci koji prikupljaju osobne podatke vlastitih stranaka odnosno kupaca). Teritorijalno područje primjene Uredbe određeno je člankom 3. Uredbe koji propisuje kako se Uredba odnosi na obradu osobnih podataka u okviru aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Europskoj uniji, neovisno o tome obavlja li se obrada u Europskoj uniji ili ne.

 

Sukladno definicijama iz Uredbe, voditelj obrade je definiran kao fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka. Izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.

 

Dakle, Uredba dopušta da se obrađivanje osobnih podataka od strane voditelja obrade povjeri izvršitelju obrade, a koji bi izvršitelj obrade u konkretnom slučaju bilo Vaše društvo. Međutim, Uredba u uvodnom dijelu, kao i u ostalim odredbama, definira sva prava i obveze izvršitelja obrade kojih se izvršitelj obrade mora pridržavati. Tako je točkama 81. i 82. uvodnog dijela Uredbe propisano:

 

˝(81) Kako bi se osiguralo poštovanje zahtjeva iz ove Uredbe u vezi s obradom koju provodi izvršitelj obrade u ime voditelja obrade, pri povjeravanju aktivnosti obrade izvršitelju obrade, voditelj obrade trebao bi angažirati samo izvršitelje obrade koji u zadovoljavajućoj mjeri jamče, osobito u pogledu stručnog znanja, pouzdanosti i resursa, provedbu tehničkih i organizacijskih mjera koje udovoljavaju zahtjevima iz ove Uredbe, među ostalim u pogledu sigurnosti obrade. Poštovanje odobrenog kodeksa ponašanja ili mehanizma certificiranja odobrenog od strane izvršitelja obrade može se upotrijebiti kao element u dokazivanju poštovanja obveza voditelja obrade. Provođenje obrade od strane izvršitelja obrade trebalo bi biti uređeno ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice koji izvršitelja obrade obvezuje prema voditelju obrade, a u kojemu su navedeni predmet i trajanje obrade, priroda i svrhe obrade, vrsta osobnih podataka te kategorije ispitanika, uzimajući u obzir posebne zadaće i odgovornosti izvršitelja obrade u kontekstu obrade koju treba provesti te rizika za prava i slobode ispitanika. Voditelj obrade i izvršitelj obrade mogu izabrati pojedinačni ugovor ili standardne ugovorne klauzule koje je ili izravno donijela Komisija ili ih je donijelo nadzorno tijelo u skladu s mehanizmom konzistentnosti, a potom donijela Komisija. Nakon što završi obradu u ime voditelja obrade, izvršitelj obrade trebao bi, prema izboru voditelja obrade, vratiti ili izbrisati osobne podatke osim ako postoji obveza pohrane osobnih podataka sukladno pravu Unije ili pravu države članice kojem izvršitelj obrade podliježe.

 

(82) Voditelj obrade ili izvršitelj obrade trebao bi voditi evidenciju o aktivnostima

 
 Pošaljite nam povratnu informaciju
Što mislite o našem portalu?
Vaša poruka je uspješno poslana.
Input: