Ugovor o obradi podataka sa agencijom koja vam pravi sajt

Kada institucija ili preduzeće poveri izradu i održavanje sajta spoljnoj firmi, najčešće se misli na rokove, izgled i cenu. Mnogo ređe se na vreme postavi pitanje koje ume da bude jednako važno. Ko sve dolazi u dodir sa podacima građana i pod kojim uslovima. Upravo to uređuje ugovor o obradi podataka o ličnosti, dokument koji se u praksi često zaboravi, a koji zakon izričito traži.

Rukovalac i obrađivač, dva različita položaja

Da bi se razumela obaveza, korisno je razlikovati dve uloge. Onaj ko odlučuje zašto se i na koji način podaci obrađuju naziva se rukovalac. Za sajt ustanove to je sama ustanova, jer ona određuje svrhu. Onaj ko te podatke obrađuje u tuđe ime, po tuđim uputstvima, jeste obrađivač. Agencija koja unosi i prebacuje podatke, postavlja kontakt-formu ili održava bazu, kao i hosting provajder koji tu bazu fizički čuva, po prirodi posla postaju obrađivači.

Ta razlika nije akademska. Iz nje proističe obaveza, jer Zakon o zaštiti podataka o ličnosti u članu 45 propisuje da odnos između rukovaoca i obrađivača mora biti uređen pisanim ugovorom ili drugim pravno obavezujućim aktom. Taj član je, suštinski, domaći parnjak člana 28 evropske Opšte uredbe, pa ko poznaje GDPR neće biti iznenađen sadržajem.

Šta takav ugovor treba da uredi

Zakon prilično jasno opisuje šta ugovor mora da obuhvati, pa to ovde prenosim opisno, bez želje da zvuči kao spisak za odštrikavanje. Ugovor pre svega određuje predmet i trajanje obrade, njenu prirodu i svrhu, kao i vrstu podataka i kategorije lica na koja se odnose. Uz to, on utvrđuje da obrađivač postupa samo po pisanim uputstvima rukovaoca, da lica koja rade na podacima čuvaju poverljivost i da se preduzimaju odgovarajuće mere bezbednosti.

Dalje, ugovor uređuje pitanje takozvanog podobrađivača, to jest situacije u kojoj obrađivač želi da deo posla poveri nekom trećem, što je dopušteno samo uz prethodno pisano odobrenje rukovaoca. Predviđa se i da obrađivač pomaže rukovaocu u ispunjavanju njegovih obaveza, na primer kada građanin zatraži uvid u svoje podatke ili kada dođe do bezbednosnog incidenta. Najzad, određuje se šta se sa podacima dešava na kraju saradnje, pri čemu se oni po pravilu brišu ili vraćaju, kao i da je obrađivač dužan da rukovaocu stavi na raspolaganje dokaze o usklađenosti i omogući proveru.

Standardne klauzule kao prečica

Da se ne bi svaki put pisao ugovor od nule, Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti utvrdio je standardne ugovorne klauzule, objavljene u Službenom glasniku broj 5 iz 2020. godine. One predstavljaju gotov model za odnos rukovaoca i obrađivača. Vredi, međutim, imati na umu jedno upozorenje. Ako se klauzule menjaju ili ne primene u celosti, prestaju da se smatraju standardnim u smislu zakona, pa se gubi pravna sigurnost koju pružaju.

Zašto je ovo važno baš za javni sektor

Ustanove i organi vlasti obrađuju podatke građana po prirodi svog posla, neretko i osetljive. Zato se od njih s pravom očekuje veća pažnja. Tu je i jedna obaveza koja se lako previdi. Organ vlasti je, prema članu 56 zakona, dužan da odredi lice za zaštitu podataka o ličnosti, i to bez obzira na obim obrade. O ovoj i drugim dužnostima pišemo zasebno, u tekstu o obavezama rukovaoca.

Praktičan savet pre potpisivanja

Pre nego što potpišete ugovor sa firmom koja vam pravi sajt, korisno je proveriti da li je pitanje obrade podataka uopšte pokriveno, da li je jasno ko je rukovalac a ko obrađivač i da li je rešeno šta se sa podacima dešava kada saradnja prestane. Ako tih odredbi nema, to nije razlog za paniku, ali jeste razlog da se dopune pre nego što podaci počnu da se obrađuju. O širem pravnom okviru sajtova ustanova pišemo u tekstu o usklađenosti sa zakonom, a ako želite da kroz to prođemo zajedno, možete nam se javiti.

Ovaj tekst je opšteg, informativnog karaktera i ne predstavlja pravni savet. Za konkretnu situaciju preporučujemo konsultaciju sa stručnjakom za zaštitu podataka.

Česta pitanja