Skip to Content

Angažovanje podobrađivača i sistematski pregledi: Kako uskladiti praksu sa ZZLP-om i Zakonom o radu

26. februar 2026. by
Angažovanje podobrađivača i sistematski pregledi: Kako uskladiti praksu sa ZZLP-om i Zakonom o radu
Tanja Srdanović
Podobrađivač bez saglasnosti Ugovor o obradi podataka Saglasnost kontrolora

Angažovanje podobrađivača bez saglasnosti kontrolora – da li je dozvoljeno?

Angažovanje podobrađivača nije zakonito bez saglasnosti, odnosno odobrenja kontrolora podataka. Članom 30. stav (5) Zakon o zaštiti ličnih podataka propisano je da, ukoliko obrađivač angažuje drugog obrađivača radi obavljanja posebnih aktivnosti obrade u ime kontrolora, na tog drugog obrađivača moraju biti prenesene iste obaveze zaštite podataka koje su utvrđene ugovorom ili drugim pravnim aktom između kontrolora i obrađivača.

To podrazumijeva obavezu davanja dovoljnih garancija za primjenu odgovarajućih tehničkih i organizacionih mjera kako bi obrada bila usklađena sa zakonom. Ako podobrađivač ne ispuni obaveze zaštite podataka, prvi obrađivač ostaje u potpunosti odgovoran kontroloru za njegovo postupanje. Zbog toga je preporučljivo i sa podobrađivačem zaključiti poseban ugovor o obradi podataka.

Ugovor o obradi podataka: Da li je dovoljna klauzula o povjerljivosti?

Postavlja se pitanje da li postojeća odredba ugovora o povjerljivosti zadovoljava zahtjeve novog zakona, posebno ako je osnovni ugovor već potpisan. Ako takva klauzula nije usklađena sa članom 30. stav (5) ZZLP, potrebno je razmotriti aneksiranje ugovora ili zaključivanje posebnog ugovora o obradi podataka.

Obavezni sadržaj ugovora o obradi propisan je članom 30. stav (5) ZZLP i mora sadržavati izjavu o povjerljivosti, kojom se potvrđuje da su lica ovlašćena za obradu podataka obavezana na čuvanje povjerljivosti ili da ih na to obavezuje zakon. U praksi to znači da radnici obrađivača i podobrađivača potpisuju izjave o povjerljivosti, pri čemu ugovorni organ nema pravo uvida u te izjave.

Saglasnost kontrolora za podobrađivača - obavezna ili ne?

Prema članu 30. stav (2) ZZLP, obrađivač ne smije angažovati drugog obrađivača bez prethodnog posebnog ili opšteg pisanog odobrenja kontrolora podataka. U slučaju opšteg pisanog odobrenja, obrađivač je dužan obavijestiti kontrolora o planiranim izmjenama u vezi sa dodavanjem ili zamjenom podobrađivača, kako bi kontrolor imao mogućnost da uloži prigovor.