Správca versus spracovateľ osobných údajov

GDPR vnáša do ochrany osobných údajov nové aspekty a pojmy. Dôležité je, aby sme vedeli rozoznať, kto je správca a kto spracovateľ osobných údajov.

 

Všeobecné nariadenie na ochranu osobných údajov (GDPR) začalo byť účinné 25. mája 2018.

Pre mnoho organizácií to znamenalo resp. znamená nutnosť úpravy:

dokumentov, interných smerníc, postupov a procesov, ako s osobnými údajmi nakladať.

 

Aby sme zaistili súlad s GDPR, je nutné vedieť, či patríme do kategórie správcu alebo spracovateľa osobných údajov. Je v tom totiž veľký rozdiel.

Základná zásada GDPR: ČO JE UVEDENÉ NA PAPIERI, MUSÍ ZODPOVEDAŤ REALITE.

 

Definícia správcu osobných údajov a spracovateľa osobných údajov sa nijako zásadne od pôvodnej legislatívy nelíšia, hoci GDPR ich definuje konkrétnejšie.

Z definícií vyplýva, že vzťah správca / spracovateľ nie je daný tým, kto komu platí, ale na akej strane stojí osoba, ktorá má právomoc rozhodovať o spracovaní osobných údajov. Je dôležité zistiť, kto je vo vzťahu správca a kto spracovateľ. A zdokumentovať to.

Zodpovednosť za zabezpečenie výkonu práv dotknutých osôb a právnu zodpovednosť totiž nesie vždy v konečnom dôsledku SPRÁVCA.

Tri typické vzťahy

Uvádzame tri typické vzťahy, ktoré medzi dvoma organizáciami - spracovateľmi osobných údajov môžu vzniknúť.

 

1. Správca osobných údajov versus spracovateľ osobných údajov

Správca nariaďuje spracovateľovi, prečo a ako bude spracovanie osobných údajov vykonávať.

Spracovateľ môže konať len podľa pokynov správcu a nesmie sám použiť údaje, určiť ich účel spracovania ani ich zverejniť bez výslovného súhlasu správcu (prípadne dotknutých osôb).

V informáciách o ochrane súkromia musí byť uvedený len správca.

Správca je povinný uzavrieť s akýmkoľvek spracovateľom, s ktorým spolupracuje, záväznú dohodu (zvyčajne zmluvu) tak, aby boli upravené náležitosti ustanovené v článku 28 GDPR.

 

Príklad: Ak využívame pre spracovanie mzdovej agendy externých účtovníkov, stávajú sa spracovateľmi, zatiaľ čo my sme správcom.

 

2. Spoloční správcovia osobných údajov

O tom, prečo a ako budú osobné údaje spracovávané, rozhodujú spoločne dva alebo viacero subjektov.

  • Spoloční správcovia osobných údajov spracúvajú rovnaké údaje alebo používajú údaje toho druhého na vlastné účely.
    • Údaje môžu spracovávať rovnakým spôsobom, ale na rôzne účely.
    • Môžu ich tiež spracovávať na rovnaké účely, ale inými prostriedkami.

V informáciách o ochrane súkromia musí byť uvedení všetci správcovia osobných údajov.

Správcovia osobných údajov si musia dohodnúť, kto bude mať aké povinnosti a kde sú ich hranice. Takéto opatrenia by sa mali formalizovať, buď v podobe zmluvy, alebo dohody o zdieľaní údajov.

 

Príklad: Ak si najmeme eventovú spoločnosť, ktorá zorganizuje dotovaný teambuilding (skydiving), je potrebné zabezpečiť nakladanie s osobnými údajmi.

 

3. Oddelenie prevádzkovateľov údajov

Tento vzťah zvyčajne nastáva, ak jedna organizácia poskytne údaje inej organizácii, ale každá organizácia bude údaje spracovávať nezávisle na tej druhej a pre svoje vlastné účely.

Obe organizácie sú povinné poskytnúť informácie o ochrane súkromia subjektom údajov.

Každá z organizácií je zodpovedná za dodržiavanie GDPR. Avšak správca, ktorý údaje odosiela, musí získať od správcu, ktorý ich prijíma, dostatočné uistenie, že prenesenie neznamená zbytočné riziko pre dotknuté osoby. Správca, ktorý údaje prijíma, musí získať dostatočné ubezpečenie od správcu, ktorý údaje odosiela, že ich získal a odovzdáva ich spôsobmi definovanými GDPR. Predovšetkým musia byť dodržané zásady stanovené zákonom, spravodlivosť a transparentnosť.

 

Príklad: Takýto vzťah môže nastať medzi zamestnávateľom a poskytovateľom penzijného pripoistenia pre zamestnancov.

 

V záujme neustáleho zlepšovania našich služieb využíva táto webová stránka cookies. Bližšie informácie o ich používaní ako aj možnosť odvolať svoj súhlas nájdete tu.