EDPB: Mnenje o obdelovalcih
Evropski odbor za varstvo podatkov je na zadnjem plenarnem zasedanju sprejel mnenje o obveznostih, ki nastanejo v primeru vključitve obdelovalcev in podobdelovalcev v proces obdelave.
Mnenje je bilo objavljeno 9.10.2024
EDPB je sprejel mnenje o nekaterih obveznostih, ki izhajajo razmerja upravljavec - obdelovalec – podobdelovalec kot odziv na zahtevo danskega nadzornega organa v skladu s členom 64(2) GDPR. Ta člen določa, da lahko vsak nacionalni nadzorni organ zaprosi EDPB za izdajo mnenja o zadevah, ki se splošno uporabljajo ali imajo učinke v več kot eni državi članici.
Mnenje se nanaša na situacije, ko se upravljavci zanašajo na enega ali več obdelovalcev in podobdelovalcev, in sicer več vprašanj o nekaterih dolžnosti upravljavcev ter besedilo pogodb med upravljavci in obdelovalci, ki izhajajo zlasti iz čl. 28 GDPR.
Mnenje pojasnjuje, da bi morali imeti upravljavci informacije o identiteti (tj. ime, naslov, kontaktna oseba) vseh obdelovalcev, podobdelovalcev itd. vedno na voljo, da bi lahko kar najbolje izpolnili svoje obveznosti iz čl. 28 GDPR. Poleg tega mora obveznost upravljavca, da preveri, ali (pod)obdelovalci dajejo zadostna jamstva, veljati ne glede na tveganje za pravice in svoboščine posameznikov, čeprav se lahko obseg takega preverjanja razlikuje, predvsem na podlagi tveganj, povezanih z obdelavo.
Mnenje tudi navaja, da medtem ko bi moral vsak obdelovalec prvotno zagotoviti, da uporablja podobdelovalce z zadostnimi jamstvi, mora biti končna odločitev in odgovornost glede angažiranja določenega podobdelovalca odgovornost upravljavca.
EDPB meni, da v skladu z GDPR upravljavec ni dolžan sistematično zahtevati pogodb o podobdelavi, da bi preveril, ali so bile obveznosti varstva podatkov prenesene navzdol po verigi obdelave. Upravljavec mora oceniti, ali je zahtevanje kopije teh pogodb ali njihov pregled potreben, da bi lahko dokazal skladnost z GDPR.
Kadar potekajo prenosi osebnih podatkov zunaj Evropskega gospodarskega prostora med dvema podobdelovalcema, mora obdelovalec kot izvoznik podatkov pripraviti ustrezno dokumentacijo, na primer v zvezi z uporabljenim razlogom za prenos, oceno učinka prenosa in morebitnimi dodatnimi ukrepi. Ker pa za upravljavca še vedno veljajo dolžnosti iz člena 28(1) GDPR o zadostnih jamstvih, poleg tistih iz člena 44 za zagotovitev, da prenosi osebnih podatkov ne ogrožajo ravni varstva, bi morala upravljavec vsebino dokumentacije oceniti in jo imeti možnost pokazati pristojnemu nadzornemu organu.
Mnenje o obdelovalcih je dostopno tukaj
Vir: EDPB
Naslovna slika: Shutterstock
