Ko može obrađivati lične podatke u ime kontrolora
Prema članu 30. stav (1) Zakona o zaštiti ličnih podataka (ZZLP), kada se obrada ličnih podataka vrši u ime kontrolora podataka, kontrolor smije angažovati isključivo obrađivača koji pruža dovoljno garancija da će primijeniti odgovarajuće tehničke i organizacione mjere. Cilj ovih mjera je da obrada bude usklađena sa zakonom i da se osigura zaštita prava nosilaca podataka.
U tom kontekstu, računovodstvena agencija ima status obrađivača ličnih podataka, u skladu sa definicijom iz člana 4. ZZLP.
Obaveza zaključenja ugovora o obradi podataka
Odnos između kontrolora i obrađivača u vezi s obradom ličnih podataka mora biti uređen ugovorom o obradi. Član 30. stav (4) ZZLP propisuje da takav ugovor mora sadržavati jasno definisane obaveze obrađivača.
Obrada podataka isključivo po uputstvima kontrolora
Obrađivač je dužan obrađivati lične podatke samo na osnovu dokumentovanih uputstava kontrolora podataka, uključujući i slučajeve prenosa podataka u drugu državu ili međunarodnu organizaciju. Izuzetak postoji jedino ako poseban zakon obavezuje obrađivača na takvu obradu, pri čemu je obrađivač dužan unaprijed obavijestiti kontrolora, osim ako je obavještavanje zabranjeno iz razloga važnog javnog interesa.
Povjerljivost i ovlaštena lica
Obrađivač mora osigurati da su lica koja su ovlaštena za obradu ličnih podataka obavezana na čuvanje povjerljivosti, bilo ugovorom ili na osnovu odgovarajućeg zakona.
Tehničke i organizacione mjere zaštite
U skladu sa članom 34. ZZLP, obrađivač je dužan preduzeti sve potrebne mjere radi zaštite ličnih podataka. Ove mjere moraju biti prilagođene prirodi i obimu obrade.
Angažovanje drugih obrađivača
Obrađivač je obavezan poštovati uslove propisane članom 30. st. (2) i (5) ZZLP u slučaju angažovanja drugog obrađivača, čime se osigurava kontinuitet zaštite podataka.
Pomoć kontroloru u ostvarivanju prava nosilaca podataka
Uzimajući u obzir prirodu obrade, obrađivač pomaže kontroloru podataka, putem odgovarajućih tehničkih i organizacionih mjera, da odgovori na zahtjeve nosilaca podataka za ostvarivanje njihovih prava propisanih Glavom II ZZLP.
Podrška u ispunjavanju zakonskih obaveza kontrolora
Obrađivač je dužan pomagati kontroloru podataka u obezbjeđivanju usklađenosti s obavezama iz članova 34. do 38. ZZLP, uzimajući u obzir prirodu obrade i informacije kojima obrađivač raspolaže.
Postupanje s podacima nakon završetka obrade
Po završetku pružanja usluga u vezi s obradom, obrađivač, prema izboru kontrolora, briše lične podatke ili ih vraća kontroloru, kao i briše sve postojeće kopije, osim u slučajevima kada poseban zakon nalaže obavezu čuvanja podataka.
Dokazivanje usklađenosti i pravo na reviziju
Obrađivač je obavezan kontroloru staviti na raspolaganje sve informacije potrebne za dokazivanje poštovanja obaveza iz člana 30. ZZLP. Takođe, dužan je omogućiti provođenje revizija i inspekcija koje sprovodi kontrolor ili ovlašteni revizor, te aktivno učestvovati u njihovom provođenju.
Obaveza upozoravanja na nezakonita uputstva
U slučaju da obrađivač procijeni da određeno uputstvo kontrolora nije u skladu sa ZZLP ili drugim propisima o zaštiti podataka, dužan je bez odlaganja o tome obavijestiti kontrolora podataka.