Dôležitým faktorom pri nastavovaní vnútro-firemných aj vonkajších procesov je znalosť toho, aké povinnosti a zodpovednosti má konkrétny subjekt v určitej situácii tak, aby bol zabezpečený súlad s európskym nariadením GDPR. Toto nariadenie vám pomôže zorientovať sa v tom, v akej pozícii subjekt vystupuje a aké sú jeho práva a povinnosti týkajúce sa zberu, uchovávania a spracúvania osobných údajov.
Kto je prevádzkovateľ?
Rola prevádzkovateľa osobných údajov pri predošlej legislatíve zohrávala, a naďalej tak zohráva kľúčovú úlohu pri spracúvaní osobných údajov. Prevádzkovateľ tak zastáva úlohu tzv. zodpovednej osoby za zákonné a korektné dodržanie spracúvania osobných údajov.
Prevádzkovateľom je:
- každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene a systematicky (spracúvať už spomenuté osobné údaje vo vlastnom mene môže vždy len prevádzkovateľ),
- ten, kto spĺňa podmienky ustanovené v zákone, a aj ten, komu toto ustanovenie vyplýva priamo z osobitného zákona (napr. banka),
- osoba zodpovedná za prijatie vhodných technických a bezpečnostých opatrení, aby zabezpečila a bola schopná preukázať, že spracúvanie sa vykonáva v súlade s nariadením GDPR.
Je dôležité spomenúť, že osoba, ktorá spracúva osobné údaje pre vlastnú potrebu v rámci osobných činností alebo spracúva osobné údaje, ktoré získala náhodne, sa v pozícii prevádzkovateľa nenachádza.
Kto je sprostredkovateľ?
Jednou z povinností prevádzkovateľa je uistiť sa o kvalitách a serióznosti subjektov, ktoré budú mať prístup k spracúvaným dátam. Existujú situácie, v ktorých prevádzkovateľ na spracovanie údajov poverí tzv. externistu, napr. externého účtovníka. Sprostredkovateľom však nemusí byť len externý účtovník, ktorý má prístup k osobným údajom na základe účtovných dokladov. Do pozície sprostredkovateľa sa môže dostať aj prevádzkovateľ cloudovej služby, ktorý síce nemusí mať prístup k údajom, ale tieto údaje sú uložené na jeho hardvérových prostriedkoch pomocou jeho softvérových aplikácií. V tomto prípade prevádzkovateľ údajov umožňuje týmto subjektom spracúvať údaje, ktoré im poskytol, napr. údaje o zamestnancoch. Musí však presne určiť, aké údaje, za akým účelom a akým spôsobom budú subjekty spracúvať. Dostávajú sa tak do pozície sprostredkovateľa osobných údajov.
Sprostredkovateľom je:
- osoba, ktorú poveril prevádzkovateľ, a ktorá spracúva osobné údaje v mene prevádzkovateľa (toto spracúvanie sa riadi zmluvu alebo iným právnym aktom podľa práva Únie alebo členského štátu),
- osoba, ktorá zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť informácií,
- osoba, ktorá v čo najväčšej miere pomáha prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinností,
- ten, kto vykoná požadované opatrenia a dodrží podmienky na základe stanovených článkov nariadenia GDPR.
Hoci má každý z vyššie uvedených subjektov z hľadiska GDPR zadefinované „svoje úlohy“, oba nesú vysokú mieru zodpovednosti a berú na seba riziko porušenia ochrany osobných údajov, ktoré môže mať vplyv na práva a slobody dotknutých osôb. Nie vždy je však prerozdelenie úloh medzi prevádzkovateľom a sprostredkovateľom jednoduché. Aj na to slúži nariadenie GDPR, ktoré vytvára rámec a úlohy v prípade, že sa objavia problémy. Bežným príkladom, v ktorom je určenie a rozdelenie úloh kľúčové, je porušenie ochrany údajov (napr. strata, únik a pod.). V takom prípade musia spoločnosti, ktoré boli dotknuté porušením, zabezpečiť, aby všetci zo svojej konkrétnej pozície konali v súlade s ich zodpovednosťou.
Jedným z dôležitých aspektov vzťahu medzi prevádzkovateľom a sprostredkovateľom je aj tzv. sprostredkovateľská zmluva.
Čo je sprostredkovateľská zmluva?
Je nevyhnutné zabezpečiť, aby existovala jasná a špecifická dohoda o spracovaní údajov (tzv. sprostredkovateľská zmluva) predtým, ako sa spracúvanie osobných údajov odovzdá „do rúk“ tretej strane. Jednoducho povedané, ide o písomné rozdelenie kompetencií a zodpovedností medzi subjektmi. Sprostredkovateľská zmluva musí obsahovať potrebné náležitosti, a to konkrétne:
- predmet a doba spracúvania osobných údajov,
- povaha a účel spracúvania,
- typ osobných údajov,
- kategórie dotknutých osôb,
- práva a povinnosti prevádzkovateľa.
Nariadenie o ochrane osobných údajov je pevným základom pre zaistenie dohľadu nad prevádzkovateľom počas celej doby spracúvania osobných dát. Nikdy by teda nemalo prísť k situácii, kedy prevádzkovateľ nebude vedieť o tom, kto, kde alebo ako spracúva osobné údaje jeho klientov, zamestnancov, pacientov a podobne.
