Dňa 25. mája 2018 nadobudlo účinnosť Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len "nariadenie GDPR"), ale aj zákon č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len "zákon o ochrane osobných údajov"). Nová právna úprava týkajúca sa ochrany osobných údajov sa v zásade dotkne každého subjektu, ktorý osobné údaje spracúva vrátane obcí, škôl, orgánov štátnej aj verejnej správy.
Vzťah prevádzkovateľa a sprostredkovateľa podľa nariadenia GDPR
JUDr.
Tatiana
Mičudová
Nariadenie GDPR, ako aj zákon o ochrane osobných údajov prinášajú viac zmien, ktoré sa týkajú aj vzťahu prevádzkovateľa a sprostredkovateľa a ktoré si rozoberieme v tomto príspevku. Sprostredkovateľ je po prevádzkovateľovi ďalší veľmi dôležitý subjekt v procese spracúvania osobných údajov. Sprostredkovateľ spracúva osobné údaje pre prevádzkovateľa.
Sprostredkovateľ
Nariadenie GDPR v čl. 4 ods. 8 za sprostredkovateľa považuje
"fyzickú alebo právnickú osobu, orgán verejnej moci, agentúru alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa".
Podľa § 5 písm. p) zákona o ochrane osobných údajov je sprostredkovateľom
"každý, kto spracúva osobné údaje v mene prevádzkovateľa."
Prevádzkovateľ môže časť spracúvania osobných údajov alebo i spracúvanie celého informačného systému (v ktorom sa spracúvajú osobné údaje za určitým účelom) prenechať sprostredkovateľovi. V prípade sprostredkovateľa ide o osobu, ktorá je odlišná od prevádzkovateľa a má svoju právnu subjektivitu. Ak prevádzkovateľ "poverí" vykonávaním spracovateľských operácií s osobnými údajmi sprostredkovateľa, ten vykonáva spracovateľské úkony smerujúce k dosiahnutiu účelu spracúvania v mene prevádzkovateľa.
Sprostredkovateľmi sú spravidla subjekty, ktoré externe vedú a spracúvajú personálnu a mzdovú agendu pre prevádzkovateľa (napr. pre obec) alebo poskytovatelia rôznych cloudových riešení, subjekty zaoberajúce sa činnosťou externých archívov pre nosiče s osobnými údajmi, bezpečnostné podniky prevádzkujúce pre prevádzkovateľov kamerové systémy a pod.
Sprostredkovateľ si na rozdiel od prevádzkovateľa nemôže sám určovať účel a podmienky spracúvania osobných úd