Sprostredkovateľ podľa GDPR.
Kto môže byť sprostredkovateľ voči prevádzkovateľovi?
Príklady z praxe:
SBS | ÁNO |
Dodávateľské služby mzdová účtovníčka | ÁNO |
Dodávateľské služby účtovníctvo | ÁNO |
Dodávateľské služby BOZP - PO | ÁNO |
Externý archív | ÁNO |
Externé skartovanie | ÁNO |
Marketingová agentúra | ÁNO |
Dodávateľské služby – cloudové služby | ÁNO |
Sprostredkovateľ je fyzická, alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva OÚ v mene prevádzkovateľa.
Som prevádzkovateľ, mám subdodávateľa, čo teraz?
Pri sprostredkovateľských zmluvách je potrebné prepracovanie aby spĺňali podmienky uvedené v GDPR v čl. 28 ods. 3. a zákona č. 18/2018 o ochrane OÚ § 34 účinného od. 25.05.2018.
Aké sú hlavné zmeny?
Kladie sa dôraz nato, že prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky. Sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. Po ukončení poskytovania služieb týkajúcich sa spracúvania OÚ, sprostredkovateľ vymaže alebo vráti sprostredkovateľovi tieto údaje. Prevádzkovateľ má právo na preukázanie splnenia tejto povinnosti napr. sprostredkovateľ umožní audity, ako aj kontroly vykonávané prevádzkovateľom. Zmluva má byť uchovávaná v písomnej aj v elektronickej podobe.
§ 34
- prevádzkovateľ môže poveriť len sprostredkovateľa, ktorý poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení, za dostatočné záruky sa považuje aj schválený kódex správania alebo certifikát,
- sprostredkovateľ nesmie poveriť spracúvaním OÚ ďalšieho sprostredkovateľa bez predchádzajúceho písomného súhlasu prevádzkovateľa,
- spracúvanie OÚ sprostredkovateľom sa riadi zmluvou alebo iným právnym úkonom, ktorý obsahuje:
- predmet a dobu spracúvania,
- povaha a účel spracúvania,
- zoznam alebo rozsah OÚ,
- kategórie dotknutých osôb,
- povinnosti a práva prevádzkovateľa.
Povinnosťou sprostredkovateľa je:
- spracúvať OÚ len na základe písomných pokynov prevádzkovateľa,
- zabezpečiť mlčanlivosť o informáciách oprávnených osôb prevádzkovateľa,
- vykonať opatrenia (napr. pseudonymizáciu a šifrovanie OÚ a násl. § 39),
- poskytnúť súčinnosť prevádzkovateľovi na žiadosť dotknutej osoby,
- poskytnúť súčinnosť prevádzkovateľovi pri zabezpečovaní ďalších povinností (bezpečnosť spracúvania, oznámenie porušenia ochrany OÚ úradu, dotknutej osobe, posúdenie vplyvu na ochranu OÚ, konzultácia),
- vymazať OÚ alebo vrátiť prevádzkovateľovi OÚ po ukončení poskytovania služieb týkajúcich sa spracúvania OÚ na základe rozhodnutia prevádzkovateľa a vymazať existujúce kópie,
- sprostredkovateľ je povinný poskytnúť súčinnosť pri audite ochrany OÚ a kontroly,
- zmluva alebo iný právny úkon musí uzatvoriť v listinnej podobe alebo elektronickej podobe.
AUTOR: JUDr. Katarína Kročková, KROČKA & Partners, s.r.o.