Prevádzkovateľ a sprostredkovateľ
Podľa ustanovenia § 5 písm. o) zákona o ochrane osobných údajov je „prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene.“ V praxi je prevádzkovateľom napr. zamestnávateľ, ktorý spracúva osobné údaje zamestnancov na účel plnenia povinností súvisiacich s pracovným pomerom alebo podnikateľ, ktorý spracúva údaje svojich klientov na účel poskytnutia určitých služieb a podobne.
Prevádzkovatelia pri svojej činnosti bežne využívajú externé subjekty, ktoré im poskytujú služby. Časté je napríklad prenechanie vedenia účtovníctva a mzdovej agendy účtovnej firme alebo napr. využívanie cloudových služieb, marketingových agentúr a podobne, ktoré spracúvajú osobné v mene prevádzkovateľa. Takéto subjekty zákon o ochrane osobných údajov označuje ako sprostredkovateľov. Podľa ustanovenia § 5 písm. p) zákona o ochrane osobných údajov je „sprostredkovateľom každý, kto spracúva osobné údaje v mene prevádzkovateľa.“
Výber sprostredkovateľa a subdodávateľa
Na spracúvanie osobných údajov sprostredkovateľom právna úprava nevyžaduje súhlas dotknutej osoby. Sprostredkovateľa spracúvaním osobných údajov poveruje prevádzkovateľ. Prevádzkovateľ je však oprávnený poveriť spracúvaním osobných údajov iba takého sprostredkovateľa, ktorý poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo zákonné požiadavky a aby bola zabezpečená ochrana práv dotknutých osôb.
Právna úprava zakotvuje aj možnosti sprostredkovateľa, ktorý bol prevádzkovateľom poverený spracúvať osobné údaje, poveriť spracúvaním týchto osobných údajov ďalšiu osobu – subdodávateľa. Poverenie subdodávateľa je možné iba na základe písomného súhlasu prevádzkovateľa. Súhlas prevádzkovateľa môže byť udelený buď vo vzťahu ku konkrétnemu subdodávateľovi alebo všeobecný. Pri udelení všeobecného súhlasu je však sprostredkovateľ povinný prevádzkovateľa vopred informovať o úmysle poveriť spracúvaním osobných údajov subdodávateľa, resp. o zmene subdodávateľa.
Zmluva medzi prevádzkovateľom a sprostredkovateľom
V zmysle zákona o ochrane osobných údajov ako aj GDPR je spracúvanie osobných údajov sprostredkovateľom potrebné upraviť v zmluve (v písomnej – v listinnej alebo elektronickej podobe) alebo „iným právnym úkonom.“ Keďže však ani GDPR, ani zákon o ochrane osobných údajov, bližšie nešpecifikujú, o aký iný právny úkon by mohlo v praxi ísť, v záujme právnej istoty odporúčame zakotvenie vzájomných práv a povinnosti prevádzkovateľa a sprostredkovateľa pri spracúvaní osobných údajov v zmluve, ktorej obsahové náležitosti právna úprava (§ 34 ods. 3 zákona o ochrane osobných údajov a čl. 28 ods. 3 GDPR) vymedzuje. Takáto zmluva musí v zmysle právnej úpravy obsahovať:
- predmet a dobu spracúvania osobných údajov
- povahu a účel spracúvania osobných údajov
- zoznam alebo rozsah osobných údajov
- kategórie dotknutých osôb
- práva a povinnosti prevádzkovateľa a sprostredkovateľa
Pomerne podrobne sú v právnej úprave vymedzené hlavne povinnosti sprostredkovateľa. Do zmluvy medzi prevádzkovateľom a sprostredkovateľom je potrebné zakotviť povinnosť sprostredkovateľa:
- spracúvať osobné údaje len na základe písomných pokynov prevádzkovateľa (aj ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácie okrem v právnej úprave uvedených výnimiek)
- zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali k zachovávaniu mlčanlivosti
- vykonať primerané technické a organizačné opatrenia na zaistenie bezpečnosti spracúvania osobných údajov
- dodržiavať podmienky pre zapojenie ďalšieho sprostredkovateľa (subdodávateľa)
- po zohľadnení povahy spracúvania osobných údajov v čo najväčšej miere poskytnúť súčinnosť prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinností (povinnosť prijímať opatrenia na základe žiadosti dotknutej osoby)
- poskytnúť súčinnosť prevádzkovateľovi pri plnení jeho povinností
- vymazať osobné údaje alebo vrátiť prevádzkovateľovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa a vymazať existujúce kópie, ktoré obsahujú osobné údaje (pokiaľ ich uchovávanie nepožaduje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná)
- poskytnúť prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany prevádzkovateľa alebo audítora, ktorého poveril prevádzkovateľ
Právne služby
- Právne poradenstvo v oblasti ochrany osobných údajov
- Vypracovanie interných dokumentov v súvislosti s ochranou osobných údajov (oboznámenie dotknutej osoby, potvrdenie o spracúvaní osobných údajov, interné smernice atď.)
- Vypracovanie zmlúv medzi prevádzkovateľom a sprostredkovateľom