Príspevok sa zaoberá zmluvou o poverení spracúvaním osobných údajov, ktorou môže obec poveriť sprostredkovateľa spracúvaním osobných údajov v prípadoch, keď je to vhodné najmä vzhľadom na povahu spracúvania, ako aj na personálne a materiálne dôvody. V príspevku sa poukazuje najmä na náležitosti tejto zmluvy a niektoré nedostatky v praxi vrátane odporúčaní na ich odstránenie.
Obec môže poveriť spracúvaním osobných údajov sprostredkovateľa, pričom podmienky spracúvania osobných údajov sprostredkovateľom určuje nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len "nariadenie GDPR") a zákon č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v z. n. p. (ďalej len "zákon o ochrane osobných údajov").
Sprostredkovateľ
je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene obce. Za sprostredkovateľa sa považuje napríklad obchodná spoločnosť poskytujúca služby vedenia miezd a personalistiky, spracovania účtovníctva, služby bezpečnosti a ochrany zdravia pri práci, webového sídla obce, ako aj profesionálny fotograf, ktorý vyhotovuje fotografie zo spoločenského podujatia obce. Sprostredkovateľ sa odlišuje od obce ako prevádzkovateľa najmä tým, že neurčuje účely a prostriedky spracúvania osobných údajov. Ak však sprostredkovateľ poruší nariadenie GDPR tým, že určí účely a prostriedky spracúvania, považuje sa v súvislosti s daným spracúvaním za prevádzkovateľa.
Spracúvanie osobných údajov sprostredkovateľom sa môže riadiť
zmluvou
alebo iným právnym úkonom. Podľa dôvodovej správy k zákonu o ochrane osobných údajov môže byť týmto právnym úkonom plná moc, poverenie alebo iný právny akt podľa osobitného právneho predpisu. V praxi však najčastejšie ide o zmluvu, ktorá je vypracovaná ako samostatný dokument alebo ako súčasť obchodnej zmluvy. Keďže zmluva je
právnym úkonom
, musí spĺňať aj náležitosti právneho úkonu podľa zákona č. 40/1964 Zb. Občiansky zákonník v z. n. p.
Obec je povinná uzatvoriť so sprostredkovateľom zmluvu
pred začatím spracúvania osobných údajov
. Domnievame sa, že zmluvu by mala pripraviť obec ako prevádzkovateľ. V praxi je však situácia skôr opačná a zmluvu pripravuje sprostredkovateľ, ktorý sa špecializuje na poskytovanie služieb v určitej oblasti (napr. vedenie miezd a personalistiky alebo spracovanie účtovníctva), a ak ide o sprostredkovateľa so silným postavením na trhu, obec má často len obmedzenú možnosť zasahovať do obsahu zmluvy.
V prípade, keď obec poverila sprostredkovateľa spracúvaním osobných údajov ešte podľa predchádzajúcej právnej úpravy, tento zmluvný vzťah treba zosúladiť s nariadením GDPR a zákonom o ochrane osobných údajov (formou dodatku alebo nahradením novou zmluvou).
V praxi sa vyskytujú viaceré prípady, keď obec poverí sprostredkovateľa spracúvaním osobných údajov bez uzatvorenia zmluvy. Upozorňujeme, že Úrad na ochranu osobných údajov SR (ďalej len "úrad") môže v týchto prípadoch uložiť obci pokutu do 10 000 000 eur. Obciam možno preto odporučiť vykonanie dôslednej analýzy vzťahov s dodávateľmi s cieľom vytvoriť zoznam sprostredkovateľov a následne uzatvoriť zmluvy so všetkými sprostredkovateľmi. Prirodzene, v praxi môže byť niekedy náročné určiť, či konkrétny dodávateľ je sprostredkovateľ, preto odporúčame v tejto súvislosti kontaktovať zodpovednú osobu obce,
Pre zobrazenie článku nemáte dostatočné oprávnenia.
Odomknite si prístup k odbornému obsahu na portáli.
Prístup k obsahu portálu majú len registrovaní používatelia portálu. Pokiaľ ste už zaregistrovaný, stačí sa prihlásiť.
Ak ešte nemáte prístup k obsahu portálu, využite 10-dňovú demo licenciu zdarma (stačí sa zaregistrovať).