Aktuálna téma

Dňa 4. 5. 2016 bolo v úradnom Vestníku Európskej únie uverejnené Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. 4. 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „nariadenie“). Nariadenie je označované aj ako GDPR (General Data Protection Regulation).

Nariadenie nadobudlo platnosť dňa 24. 5. 2016 a účinnosť nadobudne dňa 25. 5. 2018. Spolu s nariadením nadobudne účinnosť aj zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 18/2018 Z. z.“), ktorý nahradí ešte stále účinný zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v z. n. p. (ďalej len „zákon č. 122/2013 Z. z.“).

Nová právna úprava týkajúca sa ochrany osobných údajov sa v zásade dotkne každého subjektu, ktorý osobné údaje spracúva, vrátane orgánov štátnej aj verejnej správy.

Tento článok poukazuje na zmeny, ktoré nová právna úprava so sebou prináša v postavení sprostredkovateľa a v právnej úprave vzťahu medzi prevádzkovateľom a sprostredkovateľom.

Sprostredkovateľ

Nariadenie v článku 4 ods. 8 [podobne § 5 písm. p) zákona č. 18/2018 Z. z.] za sprostredkovateľa považuje „fyzickú alebo právnickú osobu, orgán verejnej moci, agentúru alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa“.

Prevádzkovateľ môže časť spracúvania osobných údajov alebo i spracúvanie celého informačného systému (v ktorom sa spracúvajú osobné údaje za určitým účelom) prenechať sprostredkovateľovi. V prípade sprostredkovateľa ide o osobu, ktorá je odlišná od prevádzkovateľa a má svoju právnu subjektivitu.

Sprostredkovateľmi sú spravidla subjekty, ktoré externe vedú a spracúvajú personálnu a mzdovú agendu pre prevádzkovateľa alebo poskytovateľa rôznych cloudových riešení, subjekty zaoberajúce sa činnosťou externých archívov pre nosiče s osobnými údajmi, bezpečnostné firmy prevádzkujúce pre prevádzkovateľov kamerové systémy a pod.

Sprostredkovateľ, na rozdiel od prevádzkovateľa, si nemôže sám určovať účel a podmienky spracúvania osobných údajov, tie mu určí prevádzkovateľ v písomnej zmluve, a to pred začatím spracúvania osobných údajov alebo najneskôr v deň začatia spracúvania osobných údajov.

Sprostredkovateľ môže spracúvať osobné údaje len v rozsahu, spôsobom a za podmienok dohodnutých s prevádzkovateľom.

Ide v zásade o subjekt, ktorý spracúva osobné údaje dotknutých osôb v mene prevádzkovateľa na základe právneho vzťahu – zmluvy. Je to sekundárny zodpovednostný subjekt, ktorý znáša mieru zodpovednosti v zmysle ustanovení nariadenia a kontraktuálnu (zmluvnú) zodpovednosť voči prevádzkovateľovi.

Na účely uzatvorenia zmluvy a poverenia sprostredkovateľa spracúvaním osobných údajov sa súhlas dotknutej osoby nevyžaduje.

Subdodávateľ

Subdodávateľom sa rozumie ďalší sprostredkovateľ, ktorého zapojí prvý sprostredkovateľ. Je to každá osoba, či už fyzická alebo právnická, ktorá spracúva osobné údaje pre sprostredkovateľa. Ide o niečo ako sprostredkovateľa pre sprostredkovateľa.

Podľa článku 28 ods. 2 nariadenia „Sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa.“ Uvedené vyplýva aj z ust. § 34 ods. 2 zákona č. 18/2018 Z. z.

Povolenie ďalšieho sprostredkovateľa môže byť aj všeobecné, avšak za podmienky, že sprostredkovateľ informuje prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov, čím sa prevádzkovateľovi dá možnosť namietať voči takýmto zmenám. Uvedené vyplýva z ust. článku 28 ods. 2 nariadenia.

Z nariadenia vyplýva, že ak sprostredkovateľ zapojí do vykonávania spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tak tomuto ďalšiemu sprostredkovateľovi sa prostredníctvom zmluvy alebo iného právneho aktu podľa práva Únie alebo práva členského štátu uložia rovnaké povinnosti ochrany údajov, ako sa stanovujú v zmluve alebo inom právnom akte uzatvorenom medzi prevádzkovateľom a sprostredkovateľom. Najmä však poskytnutie dostatočných záruk na vykonanie primeraných technických a organizačných opatrení takým spôsobom, aby spracúvanie spĺňalo požiadavky nariadenia.

Ak tento ďalší sprostredkovateľ (subdodávateľ) nesplní svoje povinnosti vyplývajúce mu z legislatívy upravujúcej ochranu osobných údajov, tak pôvodný sprostredkovateľ zostáva voči prevádzkovateľovi plne zodpovedný za plnenie povinností subdodávateľom.