GDPR – Spracúvanie osobných údajov sprostredkovateľom

Aktualizované:
JUDr. Veronika Michalíková, MBA

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej ako „GDPR“) spolu so zákonom č. 18/2018 Z. z. o ochrane osobných údajov (ďalej ako „zákon o ochrane osobných údajov“) zakotvuje množstvo povinností. V článku sa zameriame na povinnosti v situácii, kedy osobné údaje v mene prevádzkovateľa spracúva iná osoba – sprostredkovateľ.

Obsah

Prevádzkovateľ a sprostredkovateľ 

Podľa ustanovenia § 5 písm. o) zákona o ochrane osobných údajov je „prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene.“ V praxi je prevádzkovateľom napr. zamestnávateľ, ktorý spracúva osobné údaje zamestnancov na účel plnenia povinností súvisiacich s pracovným pomerom alebo podnikateľ, ktorý spracúva údaje svojich klientov na účel poskytnutia určitých služieb a podobne.

Prevádzkovatelia pri svojej činnosti bežne využívajú externé subjekty, ktoré im poskytujú služby. Časté je napríklad prenechanie vedenia účtovníctva a mzdovej agendy účtovnej firme alebo napr. využívanie cloudových služieb, marketingových agentúr a podobne, ktoré spracúvajú osobné v mene prevádzkovateľa. Takéto subjekty zákon o ochrane osobných údajov označuje ako sprostredkovateľov. Podľa ustanovenia § 5 písm. p) zákona o ochrane osobných údajov je „sprostredkovateľom každý, kto spracúva osobné údaje v mene prevádzkovateľa.“

Výber sprostredkovateľa a subdodávateľa

Na spracúvanie osobných údajov sprostredkovateľom právna úprava nevyžaduje súhlas dotknutej osoby. Sprostredkovateľa spracúvaním osobných údajov poveruje prevádzkovateľ. Prevádzkovateľ je však oprávnený poveriť spracúvaním osobných údajov iba takého sprostredkovateľa, ktorý poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo zákonné požiadavky a aby bola zabezpečená ochrana práv dotknutých osôb.

Právna úprava zakotvuje aj možnosti sprostredkovateľa, ktorý bol prevádzkovateľom poverený spracúvať osobné údaje, poveriť spracúvaním týchto osobných údajov ďalšiu osobu – subdodávateľa. Poverenie subdodávateľa je možné iba na základe písomného súhlasu prevádzkovateľa. Súhlas prevádzkovateľa môže byť udelený buď vo vzťahu ku konkrétnemu subdodávateľovi alebo všeobecný. Pri udelení všeobecného súhlasu je však sprostredkovateľ povinný prevádzkovateľa vopred informovať o úmysle poveriť spracúvaním osobných údajov subdodávateľa, resp. o zmene subdodávateľa.

Zmluva medzi prevádzkovateľom a sprostredkovateľom

V zmysle zákona o ochrane osobných údajov ako aj GDPR je spracúvanie osobných údajov sprostredkovateľom potrebné upraviť v zmluve (v písomnej – v listinnej alebo elektronickej podobe) alebo „iným právnym úkonom.“ Keďže však ani GDPR, ani zákon o ochrane osobných údajov, bližšie nešpecifikujú, o aký iný právny úkon by mohlo v praxi ísť, v záujme právnej istoty odporúčame zakotvenie vzájomných práv a povinnosti prevádzkovateľa a sprostredkovateľa pri spracúvaní osobných údajov v zmluve, ktorej obsahové náležitosti právna úprava (§ 34 ods. 3 zákona o ochrane osobných údajov a čl. 28 ods. 3 GDPR) vymedzuje. Takáto zmluva musí v zmysle právnej úpravy obsahovať:

  • predmet a dobu spracúvania osobných údajov
  • povahu a účel spracúvania osobných údajov
  • zoznam alebo rozsah osobných údajov
  • kategórie dotknutých osôb
  • práva a povinnosti prevádzkovateľa a sprostredkovateľa

Pomerne podrobne sú v právnej úprave vymedzené hlavne povinnosti sprostredkovateľa. Do zmluvy medzi prevádzkovateľom a sprostredkovateľom je potrebné zakotviť povinnosť sprostredkovateľa: 

  • spracúvať osobné údaje len na základe písomných pokynov prevádzkovateľa (aj ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácie okrem v právnej úprave uvedených výnimiek)
  • zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali k zachovávaniu mlčanlivosti
  • vykonať primerané technické a organizačné opatrenia na zaistenie bezpečnosti spracúvania osobných údajov
  • dodržiavať podmienky pre zapojenie ďalšieho sprostredkovateľa (subdodávateľa)
  • po zohľadnení povahy spracúvania osobných údajov v čo najväčšej miere poskytnúť súčinnosť prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinností (povinnosť prijímať opatrenia na základe žiadosti dotknutej osoby)
  • poskytnúť súčinnosť prevádzkovateľovi pri plnení jeho povinností
  • vymazať osobné údaje alebo vrátiť prevádzkovateľovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa a vymazať existujúce kópie, ktoré obsahujú osobné údaje (pokiaľ ich uchovávanie nepožaduje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná)
  • poskytnúť prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany prevádzkovateľa alebo audítora, ktorého poveril prevádzkovateľ

Právne služby

  • Právne poradenstvo v oblasti ochrany osobných údajov
  • Vypracovanie interných dokumentov v súvislosti s ochranou osobných údajov (oboznámenie dotknutej osoby, potvrdenie o spracúvaní osobných údajov, interné smernice atď.)
  • Vypracovanie zmlúv medzi prevádzkovateľom a sprostredkovateľom

Kontaktujte nás

Vyberte spôsob odpovede

Chcem získať základné informácie / zorientovať sa Zisťujem, aké sú možnosti, no momentálne si nie som istý, či chcem využiť vaše právne služby.

Naše kapacity neumožňujú odpovedať na každú otázku individuálne. Vybrané otázky môžeme anonymne zodpovedať vo verejnej právnej poradni. Táto možnosť nie je určená na získanie právneho stanoviska.

Právne služby na mieru – cena podľa zadania Ak viete, že potrebujete právne zastupovanie, zmluvu alebo podanie, vyžiadajte si ponuku. Opíšte, čo potrebujete – obratom sa vám ozveme s návrhom ceny a postupu.

Cenové ponuky zasielame do 1-2 pracovných dní.

Odoslaním formulára súhlasím so spracovaním osobných údajov.

Na vaše otázky odpovedá: JUDr. Veronika Michalíková, MBA
268 hodnotení na Google
4,8

Otázky z poradne

Výpis z registra mimovládnych organizácií

V tejto poradni radíme, ako postupovať pri vyžiadaní výpisu z registra mimovládnych organizácií.

PREČÍTAŤ ODPOVEĎ

Duplikáty dokladov z osobitnej matriky

PREČÍTAŤ ODPOVEĎ

Pokuta za diaľničnú známku – ako sa brániť?

Včera mi prišiel rozkaz o uložení pokuty za správny delikt prevádzkovateľa vozidla. Dopustila som sa spáchania deliktu podľa ustanovenia §...

PREČÍTAŤ ODPOVEĎ
Zobraziť všetky z rovnakej kategórie

Súvisiace články

Uznanie a výkon cudzieho rozhodnutia – 2. časť

Uznanie a výkon cudzích rozhodcovských rozhodnutí (nálezov) v Slovenskej republike sa spravuje zákonom č. 244/2002 Z.z. o rozhodcovskom konaní v...

PREČÍTAŤ ČLÁNOK

Uznanie a výkon cudzieho rozhodnutia – 1.časť

Na to, aby bolo vydané súdne rozhodnutie platné a vykonateľné aj v inom štáte ako v tom, ktorý ho vydal,...

PREČÍTAŤ ČLÁNOK

Založenie pozemkového spoločenstva a povinnosť vykonania zmien do 30.6.2019

Založenie pozemkového spoločenstva sa spravuje zákonom č. 97/2013 Z. z. o pozemkových spoločenstvách (ďalej len „zákon“).

PREČÍTAŤ ČLÁNOK
Zobraziť všetky z rovnakej kategórie