Nove smjernice EDPB-a o voditeljima i izvršiteljima obrade

Europski odbor za zaštitu podataka (EDPB) na svojoj 37. Plenarnoj sjednici usvojio je dva nova dokumenta:

  1. Guidelines on the concepts of controller and processor in the GDPR (Guidelines 07/2020)
  2. Guidelines on the targeting of social media users (Guidelines 08/2020)

Smjernicama 07/2020 EDPB pojašnjava uloge i odgovornosti voditelja, zajedničkih voditelja i izvršitelja obrade osobnih podataka sukladno definicijama iz članka 4. GDPR-a. Dodatno se navode i primjeri primatelja podataka i trećih strana.

Pohvalno je što smjernice sadrže primjenjive primjere odnosa voditelja i izvršitelja obrade i kriterije za određivanje uloga. Posebno izdvajamo one koje se odnose na odnos voditelja i izvršitelja obrade.

Prema EDPB-u odlučivanje o sredstvima i svrsi obrade u praksi podrazumijeva donošenje odluke o sljedećim elementima obrade:

  • pokretanje postupka obrade;
  • određivanje primjerene pravne osnove za obrade;
  • definiranje svrhe obrade;
  • određivanje kategorija ispitanika;
  • određivanje kategorija podataka koje su nužne za ostvarenje svrhe;
  • donošenje odluke o prosljeđivanju podataka i definiranje primatelja;
  • definiranje sadržaja obavijesti i načina informiranja ispitanika o obradi;
  • ispunjavanje prava ispitanika;
  • određivanje roka čuvanja podataka.

Voditelj obrade samostalno odlučuje o svrsi i sredstvima obrade, te će se i dalje smatrati voditeljem ako je o nekim sredstvima obrade koja nisu ključna odlučio izvršitelj.

EDPB posebno naglašava da se izraz „sredstva obrade“ iz definicije voditelja obrade ne odnosi nužno na tehnička sredstva i računalne programe za obradu, već na elemente koji su potrebni da bi se postigla svrha obrade. Pojašnjava se da su „ključna sredstva“ (essential means) vezana za svrhu i opseg obrade (kategorija ispitanika i kategorija podataka, vrijeme trajanja obrade i pohrane, pristup i prosljeđivanje podataka), a „sredstva koja nisu ključna“ (nonessential means) se odnose na praktične aspekte obrade, kao što su odabir tehničkih i elektroničkih sredstava obrade ili definiranje detaljnih mjera zaštite osobnih podataka.

Primjerice, izvršitelj može odlučiti o:

  • korištenju informacijskog sustava za obradu;
  • načinu pohranjivanja podataka;
  • detaljima tehničkih i organizacijskih mjera zaštite;
  • načinima prijenosa podataka (u tehničkom smislu);
  • načinima implementacije razdoblja čuvanja podataka;
  • načinima brisanja ili uništavanja podataka.

Ove smjernice zamijenit će Mišljenje Radne skupine iz članka 29. (WP169) – dokument kojim su isti ovi koncepti objašnjeni sukladno Direktivi 95/46. Temom odnosa između voditelja i izvršitelja obrade detaljno ćemo se baviti i u narednim objavama.

Cilj drugog dokumenta, Smjernice 08/2020 je pružiti praktične upute i različite primjere te razjasniti uloge i odgovornosti između društvene platforme i ciljanog pojedinca. Između ostalog, u smjernicama su navedeni i potencijalni rizici za slobode pojedinca. Fokus ovih smjernica je na različitim mehanizmima targetiranja, obradi posebnih kategorija osobnih podataka te obvezi zajedničkih voditelja obrade da uspostave odgovarajuće dogovore sukladno članku 26. GDPR-a.

Oba dokumenta su trenutno u procesu javne rasprave, a na engleskom jeziku su dostupni na donjim poveznicama:

🔗 Guidelines 07/2020 on the concepts of controller and processor in the GDPR
🔗 Guidelines 08/2020 on the targeting of social media users