Nariadenie GDPR, ako aj zákon o ochrane osobných údajov prinášajú viac zmien, ktoré sa týkajú aj vzťahu prevádzkovateľa a sprostredkovateľa a ktoré si rozoberieme v tomto príspevku. Sprostredkovateľ je po prevádzkovateľovi ďalší veľmi dôležitý subjekt v procese spracúvania osobných údajov. Sprostredkovateľ spracúva osobné údaje pre prevádzkovateľa.
Sprostredkovateľ
Nariadenie GDPR v čl. 4 ods. 8 za sprostredkovateľa považuje
"fyzickú alebo právnickú osobu, orgán verejnej moci, agentúru alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa".
Podľa § 5 písm. p) zákona o ochrane osobných údajov je sprostredkovateľom
"každý, kto spracúva osobné údaje v mene prevádzkovateľa."
Prevádzkovateľ môže časť spracúvania osobných údajov alebo i spracúvanie celého informačného systému (v ktorom sa spracúvajú osobné údaje za určitým účelom) prenechať sprostredkovateľovi. V prípade sprostredkovateľa ide o osobu, ktorá je odlišná od prevádzkovateľa a má svoju právnu subjektivitu. Ak prevádzkovateľ "poverí" vykonávaním spracovateľských operácií s osobnými údajmi sprostredkovateľa, ten vykonáva spracovateľské úkony smerujúce k dosiahnutiu účelu spracúvania v mene prevádzkovateľa.
Sprostredkovateľmi sú spravidla subjekty, ktoré externe vedú a spracúvajú personálnu a mzdovú agendu pre prevádzkovateľa (napr. pre obec) alebo poskytovatelia rôznych cloudových riešení, subjekty zaoberajúce sa činnosťou externých archívov pre nosiče s osobnými údajmi, bezpečnostné podniky prevádzkujúce pre prevádzkovateľov kamerové systémy a pod.
Sprostredkovateľ si na rozdiel od prevádzkovateľa nemôže sám určovať účel a podmienky spracúvania osobných údajov. Tie mu určí prevádzkovateľ v písomnej zmluve, a to pred začatím spracúvania osobných údajov alebo najneskôr v deň začatia spracúvania osobných údajov. Sprostredkovateľ môže osobné údaje spracúvať len v rozsahu, spôsobom a za podmienok dohodnutých s prevádzkovateľom.
Sprostredkovateľ v zásade predstavuje subjekt, ktorý spracúva osobné údaje dotknutých osôb v mene prevádzkovateľa na základe právneho vzťahu - zmluvy. Ide o sekundárny zodpovednostný subjekt, ktorý znáša mieru zodpovednosti podľa ustanovení nariadenia GDPR, ako aj zákona o ochrane osobných údajov, ale aj kontraktuálnu (zmluvnú) zodpovednosť voči prevádzkovateľovi. Na účely uzatvorenia zmluvy a poverenia sprostredkovateľa spracúvaním osobných údajov sa súhlas dotknutej osoby nevyžaduje.
Subdodávateľ
Za subdodávateľa sa v zásade považuje ďalší sprostredkovateľ, ktorého zapojí prvý sprostredkovateľ. Je to každá osoba, či už fyzická alebo právnická, ktorá spracúva osobné údaje pre sprostredkovateľa. Subdodávateľ predstavuje niečo ako sprostredkovateľa pre sprostredkovateľa.
I--------------------------------------------------------------------------------------------------I
I I
I Podľa článku 28 ods. 2 nariadenia GDPR: "Sprostredkovateľ nezapojí ďalšieho sprostredkovateľa I
I bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa." I
I I
I--------------------------------------------------------------------------------------------------I
Uvedené vyplýva aj z § 34 ods. 2 zákona o ochrane osobných údajov.
Povolenie ďalšieho sprostredkovateľa môže byť aj všeobecné, ale za podmienky, že sprostredkovateľ informuje prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov, čím sa prevádzkovateľovi dá možnosť namietať voči takýmto zmenám. Uvedené vyplýva z člán
