Obrađivači podataka često rade u pozadini kontrolora podataka, ali imaju niz strogih obveza koje osiguravaju povjerljivost, integritet i dostupnost osobnih podataka. Ova funkcija ne uključuje samo praćenje dokumentiranih uputa, već i aktivnu podršku kontroloru podataka u ispunjavanju složenih zahtjeva prema GDPR-u. Operativni procesi moraju biti oblikovani tako da je svaka faza obrade – od prikupljanja i obrade do pohrane i brisanja – u mogućnosti biti praćena. Tehničke mjere – poput enkripcije, kontrole pristupa i zapisivanja događaja – nikada se ne smiju odvajati od organizacijskih kontrola kao što su obuka, upravljanje ugovorima i upravljanje incidentima.
Istovremeno, obrađivači podataka djeluju u dinamičnom regulatornom okruženju: nadzorna tijela pooštravaju svoje zahtjeve, sudovi daju nova tumačenja, a tehnološki napreci poput AI-a i usluga temeljenih na oblaku stvaraju nepredvidive rizike. U organizacijama u kojima se podnose tvrdnje o financijskoj nesavjesnosti, prijevari ili kršenju sankcija, loše dizajniran ugovor o obradi podataka može brzo zaustaviti kritične tokove podataka i nametnuti odgovornost koja se također može osobno usmjeriti prema obrađivaču podataka. Stoga je od presudne važnosti imati duboko razumijevanje obveza obrađivača podataka za sve organizacije koje obrađuju osobne podatke u ime treće strane.
(a) Obrada samo prema uputama
Obrađivači podataka moraju opravdati svaku obradu osobnih podataka prema unaprijed definiranim i dokumentiranim uputama kontrolora podataka. To zahtijeva da svi procesi obrade – od prikupljanja podataka do automatizirane analize – budu pažljivo opisani u obvezujućim, ugovornim uputama. Tehnički obrađivači podataka moraju konfigurirati radne tokove i API-jeve koji odbijaju mjere obrade izvan definiranih granica, s revizijskim sustavima koji automatski prijavljuju svaku odstupanja nadležnim timovima za usklađenost.
Ako postoji nesukladnost, na primjer ako nacionalno zakonodavstvo nalaže nadređenu obvezu, obrađivač podataka mora odmah obavijestiti kontrolora podataka i provesti odgovarajuću pravnu procjenu. Svaka neovlaštena obrada mora biti izričito dokumentirana, uključujući pravnu osnovu i odobrenje kontrolora podataka kako bi se izbjegli mogući sporovi o pretjeranoj ili neovlaštenoj obradi.
(b) Zaštita podataka i sigurnost
Obrađivači podataka dužni su poduzeti “odgovarajuće tehničke i organizacijske mjere” kako bi zaštitili osobne podatke od neovlaštenog pristupa, gubitka ili uništenja. To uključuje enkripcijske algoritme koji udovoljavaju industrijskim standardima, postupke za upravljanje ključevima i fizičku sigurnost podatkovnih centara. Operativni timovi moraju provoditi kontinuirane procjene rizika kako bi identificirali nove ranjivosti – poput onih u vanjskim knjižnicama ili spremnicima – te brzo primjenjivati sigurnosna ažuriranja i poboljšanja konfiguracija.
Dalje, GDPR zahtijeva kulturu kontinuiranog poboljšanja. Sigurnosni centar mora biti praćen 24/7, s naprednim SIEM alatima i protokolima za upravljanje incidentima koji prate jasno definirane scenarije. Nakon incidenata, analize uzroka trebaju uvijek slijediti korektivne mjere koje se sustavno primjenjuju u svim procesima obrade.
(c) Povjerljivost
Sve osobe i podizvođači koji imaju pristup osobnim podacima moraju biti obuhvaćeni pravnom ili ugovornom obvezom povjerljivosti. To zahtijeva da integracija zaposlenika bude popraćena pravno obvezujućim ugovorima o povjerljivosti. Operativno to znači da prava pristupa moraju biti praćena svakodnevno i da zaposlenici redovito moraju potvrđivati svoje obveze povjerljivosti, dok sustav kontrole pristupa s ulogama i “just-in-time” privilegijama mora biti implementiran tako da se automatski povuku nakon korištenja.
Neusklađenosti u povjerljivosti treba bilježiti pomoću sustava za prevenciju gubitka podataka (DLP) u stvarnom vremenu koji sprječavaju pokušaje neovlaštenog izvlačenja podataka. Izvještaji o usklađenosti trebaju prikazivati koja su korisnička računa nedavno potvrđena i koja odstupanja su se pojavila kako bi nadzorna tijela i unutarnji timovi za upravljanje mogli steći uvid u učinkovitost mjera povjerljivosti.
(d) Korištenje podizvođača
Prije nego što se podizvođač angažira, obrađivač podataka mora provesti odgovarajuću provjeru kako bi procijenio tehničke i organizacijske sigurnosne mjere podizvođača, povrede zaštite podataka i financijsku stabilnost. Ugovori s podizvođačima moraju biti napisani na isti način kao i glavni ugovor o obradi podataka: iste obveze vezane uz sigurnost, povjerljivost, prava na reviziju i odgovornost. Operativno, treba održavati registar podizvođača kako bi se svaka promjena u lancu podizvođača mogla brzo pratiti putem revizije.
Osim toga, obrađivač podataka mora kontinuirano nadzirati usklađenost podizvođača, bilo putem onsite ili remote revizija. Rezultati revizije trebaju biti eskalirani menadžmentu koji mora odlučiti hoće li nastaviti ili prekinuti ugovore. Ugovorne kazne za nesukladnosti – poput trenutnog obustavljanja usluga – trebaju se primjenjivati bez iznimki kako bi se minimizirali rizici od početka.
(e) Podrška kontroloru podataka
Podrška kontroloru podataka obuhvaća olakšavanje zahtjeva od registriranih osoba, pomoć u procjenama utjecaja na zaštitu podataka (DPIA) i pripremu za konzultacije s nadzornim tijelima. Operativno to znači da obrađivači podataka trebaju ugovoriti razine usluge (SLA) za vrijeme odgovora na zahtjeve za pristupom i brisanje te pružiti specijalizirane timove koji mogu pružiti potrebnu tehničku i pravnu dokumentaciju za DPIA.
Obrađivač podataka treba, kada je to potrebno, pružiti alate poput dijagrama praćenja podataka, registara rizika i strategija za ublažavanje daljnjih rizika privatnosti kontroloru podataka kako bi on mogao ispuniti svoje izvještajne obveze prema nadzornim tijelima na vrijeme. Ovi procesi podrške trebaju biti integrirani u standardizirane operativne procedure (SOP) i uključeni u platforme za upravljanje usklađenošću, rizicima i vladavinom (GRC) kako bi uvijek postojao sveobuhvatan revizijski trag.
(f) Obavijest o kršenju podataka
Obrađivači podataka moraju imati procese koji omogućuju otkrivanje svakog kršenja, bilo da je potencijalno ili stvarno, unutar nekoliko sati i obavještavanje kontrolora podataka unutar 72 sata. Tehničke mjere zahtijevaju sposobnost otkrivanja više kanala – od sustava za detekciju upada do prepoznavanja anomalija u zapisima aplikacija – i automatske mehanizme eskalacije koji integriraju pojedinosti o događajima u forenzičke izvještaje.
Operativno, to znači da krizni timovi moraju imati jasno definirane odgovornosti: informatička sigurnost za prikupljanje i analizu uzroka, pravni odjeli za obavijesti i komunikaciju te PR tim za upravljanje komunikacijom s medijima i dionicima. Svi koraci trebaju biti dokumentirani kroz sustav za upravljanje incidentima koji pokazuje da je cijeli postupak izvršen unutar vremenskih okvira propisanih GDPR-om.
(g) Procjena utjecaja na zaštitu podataka (DPIA)
Ako obrada predstavlja “visok rizik” – na primjer, u slučaju obimnog profiliranja ili obrade posebnih kategorija osobnih podataka – obrađivač podataka treba pomoći kontroloru podataka u svakoj fazi DPIA. To uključuje pružanje tehničkih dijagrama o tokovima podataka, registara rizika i mogućih mjera za ublažavanje rizika privatnosti kao što je ponovno prepoznavanje.
Nakon završetka DPIA, rezultati moraju biti implementirani u konkretne promjene u konfiguracijama proizvoda ili usluga. Obrađivači podataka pomažu u implementaciji onih promjena koje su “Privacy by Design” i osiguravaju da su sve preporuke u DPIA-u zapravo provedene. Timovi za upravljanje usklađenošću zatim nadziru jesu li sve preporuke stvarno provedene i nadziru se u stvarnom vremenu.
(h) Međunarodni prijenosi podataka
Obrađivači podataka moraju osigurati da je svaki međunarodni prijenos osobnih podataka pokriven važećom osnovom: odlukom o dovoljnosti, standardnim ugovornim klauzulama ili obvezujućim pravilima korporacije (BCR). Operativno to znači da povezane točke – poput API gatewaya i ETL tokova – moraju biti konfigurirane tako da dopuštaju samo prijenose putem šifriranih kanala i da ciljne destinacije automatski validiraju prema ažuriranim popisima usklađenosti.
Standardne ugovorne klauzule moraju izričito spomenuti sve tehničke garancije kao što su šifriranje algoritama, rotacija ključeva i postupci za međunarodne incidente s podacima. Timovi za usklađenost moraju implementirati alate koji automatski otkrivaju kada podaci prelaze granice i odmah poduzimaju korektivne mjere.
(i) Obveze u vezi s Aktivnostima Obrade Podataka
Izvršitelji obrade podataka moraju voditi registar svih obrada koje provode, uključujući kategorije osobnih podataka, svrhe obrade, trajanje te uključene kategorije primatelja. Operativno, to zahtijeva integriranu platformu za upravljanje ugovorima i procesima u kojoj se svaki podatkovni proces evidentira kao zapis i kontinuirano sinkronizira s dijagramima toka podataka i spremištima metapodataka.
Kontrole kontinuiteta — periodične revizije, automatska upozorenja kod odstupanja u obujmu obrade te usklađivanja između dnevnika obrade i registara — moraju dokazivati da registar ostaje ažuran i točan. Taj registar čini osnovu za interne revizije i moguće zahtjeve nadzornih tijela.
(j) Suradnja s Nadzornim Tijelima
Izvršitelji obrade moraju imenovati izravne kontaktne točke za nadzorna tijela i proaktivno održavati odnose. Operativno, timovi za usklađenost vode arhivu svih interakcija s tijelima — od prethodnih najava do inspekcijskih izvješća — kako bi u slučaju daljnje istrage brzo bili dostupni svi relevantni dokumenti i korespondencija.
Osim toga, izvršitelji bi trebali sudjelovati u koalicijama i industrijskim platformama kako bi ostali informirani o tumačenjima propisa i najboljim praksama. Strateška prednost nastaje kada izvršitelj nastupi kao pouzdan partner nadzornim tijelima, pridonoseći konzultacijskim dokumentima i pilot-projektima za nove tehnologije zaštite privatnosti, čime organizacija pokazuje proaktivan i transparentan stav.
