21.1.2022
ID: 5307upozornenie pre užívateľov

Sprostredkovateľské vzťahy podľa GDPR

Prakticky každý bežný podnikateľ je v dôsledku výkonu svojej podnikateľskej činnosti prevádzkovateľom osobných údajov. To znamená, že osobné údaje získané od dotknutých osôb[1] spracúva[2] vo vlastnom mene a na účel, ktorý si sám určí. Ak podnikateľ – prevádzkovateľ v rámci svojej činnosti získané osobné údaje ďalej poskytne inej osobe, aj táto osoba môže vo vzťahu k tým istým osobným údajom vykonávať určité spracovateľské operácie.

V takom prípade sa nazýva sprostredkovateľom osobných údajov. V nasledovnom článku si priblížime, kto všetko môže byť sprostredkovateľom a aké povinnosti vyplývajú zo sprostredkovateľského vzťahu pre podnikateľa – prevádzkovateľa (ako originárneho príjemcu osobných údajov od dotknutej osoby).

GDPR[3] definuje sprostredkovateľa ako „fyzickú alebo právnickú osobu, orgán verejnej moci, agentúru alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa“. To znamená, že akýkoľvek subjekt, ktorý na základe pokynov prevádzkovateľa manipuluje s osobnými údajmi spracúvanými pre účely prevádzkovateľa bude v zmysle GDPR sprostredkovateľom. Sprostredkovateľ nesmie s osobnými údajmi vykonávať iné úkony, než tie, ktoré mu vyslovene zadá prevádzkovateľ. V opačnom prípade by sa jednalo o nezákonné spracúvanie osobných údajov.

Vzťahy medzi prevádzkovateľom a sprostredkovateľom na úseku ochrany osobných údajov bývajú najčastejšie upravené na základe tzv. sprostredkovateľskej zmluvy podľa GDPR. Napríklad v prípade, ak podnikateľovi poskytuje služby vedenia účtovníctva externá osoba, popri zmluve o poskytovaní služieb by si tak mali zmluvné strany ideálne uzavrieť aj samostatnú sprostredkovateľskú zmluvu. Predmetom takejto sprostredkovateľskej zmluvy je v prvom rade poverenie sprostredkovateľa spracúvať osobné údaje dotknutej osoby v mene prevádzkovateľa, a následne aj určenie rozsahu, spôsobu a iných podmienok spracúvania osobných údajov, t.j. aké údaje môže sprostredkovateľ spracúvať, aké úkony s nimi môže vykonávať, komu ich môže poskytnúť, aké lehoty uchovávania má dodržiavať, ako je potrebné s údajmi naložiť po skončení spracúvania alebo zániku hlavnej zmluvy medzi prevádzkovateľom a sprostredkovateľom atď.

Povinnosťami sprostredkovateľa, ktoré by mali byť upravené v sprostredkovateľskej zmluve podľa GDPR sú:

  • prijať primerané technické a organizačné opatrenia tak, aby spracúvanie spĺňalo požiadavky GDPR a aby sa zabezpečila ochrana práv dotknutej osoby;
  • informovať o prenose osobných údajov do tretích krajín;
  • zaviazať osoby poverené spracúvaním zachovávať dôvernosť informácií;
  • vykonať opatrenia podľa článku 32 GDPR;
  • pomáhať prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutej osoby;
  • vymazať všetky osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania na základe rozhodnutia prevádzkovateľa alebo vrátiť prevádzkovateľovi a vymazať existujúce kópie údajov (ak právo EÚ alebo právo členského štátu nepožaduje uchovávanie týchto osobných údajov);
  • poskytnúť prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností podľa GDPR.

Vzájomné práva a povinnosti strán sprostredkovateľskej zmluvy by mali byť upravené čo najpodrobnejšie, aby v prípade porušenia povinností podľa GDPR bolo jednoduché určiť zodpovednú osobu a uplatniť si prípadnú kompenzáciu alebo iné nároky vyplývajúce z porušenia.

Okrem sprostredkovateľskej zmluvy určuje povinnosti sprostredkovateľa pri spracúvaní osobných údajov aj priamo GDPR. Sú nimi:

  1. vymenovanie zástupcu (za podmienok podľa Čl. 27 GDPR);
  2. vedenie záznamov o spracovateľských činnostiach;
  3. prijať primerané bezpečnostné opatrenia, ktoré definuje Čl. 32 GDPR;
  4. v určitých prípadoch vymenovať zodpovednú osobu (za podmienok podľa Čl. 37 až 39 GDPR).

Poverený sprostredkovateľ môže na činnosti spracúvania osobných údajov získaných od podnikateľa – prevádzkovateľa využiť aj subdodávateľov, tzv. ďalších sprostredkovateľov, avšak iba ak na to prevádzkovateľ udelil predchádzajúci súhlas. Takýto súhlas stačí formulovať všeobecne v rámci sprostredkovateľskej zmluvy ako súhlas so zapojením akýchkoľvek ďalších sprostredkovateľov.

A ako je to s poskytovaním informácií dotknutým osobám ohľadom spracovania ich osobných údajov? Informačnú povinnosť voči dotknutej osobe má len prevádzkovateľ. V rámci nej prevádzkovateľ okrem iného informuje dotknutú osobu aj o príjemcoch[4] alebo kategóriách príjemcov jej osobných údajov - napr. daňoví poradcovia, právni poradcovia, poskytovatelia IT služieb a pod.[5]. V praxi sa často stretávame s mylnou domnienkou, že dotknutá osoba musí so spracovaním osobných údajov poskytnutých prevádzkovateľovi inou osobou než prevádzkovateľom, súhlasiť. Tento predpoklad však nie je správny. Je potrebné zdôrazniť, že sprostredkovateľ vždy koná v mene a na účet prevádzkovateľa, a teda sám nerozhoduje o rozsahu spracúvaných osobných údajov ani akým spôsobom sú údaje spracúvané. Z uvedeného dôvodu sa ďalší súhlas dotknutej osoby so spracovaním jej osobných údajov ako ani osobou sprostredkovateľa nevyžaduje (stále však platí, že kategória osôb, do ktorej sprostredkovateľ patrí, musí byť zahrnutá medzi príjemcami osobných údajov oznámenými dotknutej osobe).

Pri nastavovaní procesov a plnení povinností v oblasti ochrany osobných údajov je potrebné mať na pamäti, že jedna osoba môže pri určitých činnostiach vystupovať v postavení sprostredkovateľa a súčasne pre iné účely aj v pozícii prevádzkovateľa. To isté platí aj vice versa. Každý vzťah je preto vždy potrebné posudzovať individuálne a najmä rozlišovať, ktorý subjekt určuje rozsah a účely spracúvania osobných údajov a ktorý len vykonáva pokyny.

Zaujímavosťou je, čo mnohí užívatelia online služieb netušia, že celosvetovo známe spoločnosti, ktoré poskytujú služby napĺňajúce podstatu sprostredkovateľských vzťahov, verejne deklarujú svoje postavenie sprostredkovateľa a svojim užívateľom ponúkajú uzatvorenie zmluvy o spracúvaní osobných údajov.  Takéto „predpripravené riešenia“ nie sú štandardom pri vyhodnocovaní sprostredkovateľských vzťahov a uzatváraní sprostredkovateľských zmlúv. Avšak z dôvodu, že títo poskytovatelia vykonávajú takmer výlučne činnosti, ktoré sú sprostredkovateľskými činnosťami vo vzťahu takmer k všetkým svojim užívateľom, ktorí sú prevádzkovateľmi osobných údajov, deklarovaním svojho postavenia ako sprostredkovateľa a umožnením užívateľom priamo uzatvoriť sprostredkovateľskú zmluvu, je celý tento proces efektívnejší. Ide o spoločnosti, medzi ktoré patria aj Google LLC (napr. pre služby Crashlytics, Firebase, Analytics, Ads, a i.), Meta Platforms, Inc. (napr. pre aplikácie Facebook, WhatsApp), Microsoft Corporation, IBM, Websupport, Dropbox, Inc., Amazon, Inc., Adobe, Inc., a iné.

V každom prípade, je potrebné mať prehľad o svojich sprostredkovateľských vzťahoch a mať zaznamenané a zdokladované pokyny zadávané svojim sprostredkovateľom, ale aj pokyny iných prevádzkovateľov zadávané Vám alebo Vašej spoločnosti v pozícii sprostredkovateľa. Každému klientovi odporúčame mať pripravený vzor sprostredkovateľskej zmluvy, a to tak z pozície sprostredkovateľa, ako aj prevádzkovateľa. Týmto článkom sme sa Vám snažili priblížiť problematiku sprostredkovateľských vzťahov v zmysle GDPR, keďže v praxi sa často stretávame s potrebou nastavenia vzťahov a riešenia medzi prevádzkovateľmi a sprostredkovateľmi. Nakoľko je však táto tematika pomerne obsiahla, nebolo možné zahrnúť všetky informácie a každé konkrétne riešenie. Ak však máte záujem o podrobnejšie informácie alebo individuálne riešenia, neváhajte nás kontaktovať.


JUDr. Denisa Gallová

Relevans

Advokátska kancelária RELEVANS s.r.o.

Dvořákovo nábrežie 8/A
811 02 Bratislava

Tel.: +421 2 323 54 602
e-mail: office@relevans.sk

 

[1] Podľa definície poskytnutej Úradom na ochranu osobných údajov SR sa za dotknutú osobu považuje „každá fyzická osoba, ktorej sa osobné údaje týkajú; dotknutou osobou môže byť výlučne len fyzická osoba - jednotlivec; nie je pritom rozhodujúce, či ide o občana Slovenskej republiky alebo cudzinca (dotknutou osobou nie je právnická osoba ako ani fyzická osoba - podnikateľ pri výkone podnikateľskej činnosti)“.

[2] Spracúvaním je každá operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad ich získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie atď.

[3] Nariadenie Európskeho parlamentu a Rady 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES.

[4] Príjemcom je každý subjekt, ktorému sú osobné údaje poskytnuté, a teda sprostredkovateľ patrí pod širší pojem príjemca.

[5] Informačná povinnosť môže byť splnená napríklad aj zverejnením podmienok spracúvania osobných údajov na webových sídlach prevádzkovateľov, čo je v praxi najčastejším a najjednoduchším riešením.


© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk