Zmluva o poverení sprostredkovateľa spracovaním osobných údajov: Vzor a povinnosti

Dňa 25. mája nadobudol účinnosť zákon č. 18/2018 Z. z. o ochrane osobných údajov, ktorý vznikol s cieľom zosúladenia vnútroštátneho práva s Nariadením Európskeho parlamentu a Rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov (tzv. General Data Protection Regulation „GDPR“). Nariadenie GDPR a zákon o ochrane osobných údajov nadobúdajú účinnosť k rovnakému dňu. Tento článok sa zameriava na zmluvu o poverení sprostredkovateľa spracovaním osobných údajov a s tým súvisiace povinnosti, najmä s ohľadom na vedenie záznamov o spracovateľských činnostiach.

Sprostredkovateľská zmluva a poverenie spracúvaním osobných údajov

Prevádzkovateľ môže poveriť spracúvaním osobných údajov aj inú osobu, ktorú nazývame „sprostredkovateľ“. Na poverenie sprostredkovateľa spracúvaním osobných údajov podľa zákona o GDPR sa súhlas dotknutej osoby nevyžaduje.

Vzor sprostredkovateľskej zmluvy GDPR

Na internete je možné nájsť vzory sprostredkovateľských zmlúv GDPR, ktoré môžu slúžiť ako východisko pre vypracovanie konkrétnej zmluvy.

Záznam o kategóriách spracovateľských činností sprostredkovateľa

Každý sprostredkovateľ alebo zástupca sprostredkovateľa (ak takého má sprostredkovateľ povereného) má povinnosť vytvoriť si záznam o kategóriách spracovateľskej činnosti (ďalej len „záznam“) a to buď v papierovej alebo elektronickej podobe, ktorý nemá povinnosť nikam zasielať a ponecháva si ho u seba.

Vzor záznamu a jeho úprava

Úradom zverejnený záznam je len vzorom a sprostredkovateľ alebo zástupca sprostredkovateľa má možnosť si ho upraviť podľa seba, no musí obsahovať všetky zákonné náležitosti, ktoré sú upravené v § 37 ods. 2 zákona č. 18/2018 Z. z. o ochrane osobných údajov (ďalej len „zákon“), príp. podľa čl. 30 ods. 2 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „nariadenie“). Sprostredkovateľ alebo zástupca sprostredkovateľa si môže vypracovať vlastný záznam alebo použiť vzor zverejnený úradom. Úradom zverejnený vzor obsahuje všetky podstatné náležitosti vyžadované zákonom, príp. nariadením. Ak bude mať sprostredkovateľ/zástupca sprostredkovateľa správne a úplne vypísaný tento vzor bude napĺňať zákon. Samozrejme nie je vylúčené, aby si sprostredkovateľ alebo zástupca sprostredkovateľa v prípade potreby pridal vlastné polia, napr. poznámka a podobne.

Prečítajte si tiež: Vzor zmluvy o príspevku

Úrad na ochranu osobných údajov SR je povinný zverejniť vzor Záznamov o spracovateľských činnostiach. Tento vzor je len pre informáciu, čo všetko má Záznam obsahovať a sprostredkovateľ má možnosť si ho vytvoriť podľa seba so všetkými zákonnými náležitosťami. Úrad tiež zverejni návody alebo postupy, ako tieto vzory vyplniť.

Obsah záznamu

Podľa § 37 ods. 2 zákona a čl. 30 ods. 2 nariadenia, záznam o kategóriách spracovateľských činností musí obsahovať nasledovné:

1. Údaje o sprostredkovateľovi, zodpovednej osobe a prevádzkovateľovi:
   • Podľa § 37 ods. 2 písm. a) zákona, čl. 30 ods. 2 písm. a) nariadenia, ak má sprostredkovateľ určenú zodpovednú osobu a/alebo zástupcu, obligatórne tieto údaje uvedie.
   • Pri zodpovednej osobe, ktorá môže byť fyzickou alebo právnickou osobou sa vypíšu všetky identifikačné a kontaktné údaje, ktoré má sprostredkovateľa alebo zástupca sprostredkovateľa k dispozícií.
   • Ak ide o zodpovednú osobu, ktorá je zároveň zamestnancom sprostredkovateľa/zástupcu sprostredkovateľa, nie je potrebné vypĺňať adresu. Ak ide o externú zodpovednú osobu uvedie sa adresa jej sídla alebo trvalého bydliska.
   • Ďalšími náležitosťami sú údaje o všetkých prevádzkovateľoch, v mene ktorých sprostredkovateľ spracúva osobné údaje.
   • Ak má prevádzkovateľ zvoleného svojho zástupcu, príp. ak má sprostredkovateľ sprostredkovateľa (tzv. subdodávateľ alebo subsprostredkovateľ), musí uviesť všetky tieto informácie do záznamu.
     • Príklad č. 1: V mene prevádzkovateľa 123, s. r. o. spracúva osobné údaje sprostredkovateľ „AB“, ktorý má určenú zodpovednú osobu „CD“.
     • Príklad č. 2: Sprostredkovateľ „AB“ spracúva osobné údaje v mene prevádzkovateľa 456, s. r. o., ktorý má svojho zástupcu „EF“ a časť osobných údajov spracúva sprostredkovateľ sprostredkovateľa „GH“.
2. Kategórie spracúvania:
   • Podľa § 37 ods. 2 písm. b) zákona, čl. 30 ods. 2 písm. b) nariadenia, pri každom prevádzkovateľovi jednotlivo, v mene ktorého sprostredkovateľ alebo zástupca sprostredkovateľa spracúva osobné údaje je potrebné uviesť kategórie spracúvania. Tieto by mali byť predmetom uzatvorenej sprostredkovateľskej zmluvy medzi prevádzkovateľom a sprostredkovateľom alebo zástupcom sprostredkovateľa.
3. Prenos osobných údajov do tretích krajín:
   • Podľa § 37 ods. 2 písm. c) zákona, čl. 30 ods. 2 písm. c) nariadenia, v prípade, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretích krajín alebo medzinárodných organizácií sprostredkovateľ alebo zástupca sprostredkovateľa je povinný vypísať aj tieto údaje.
   • Je potrebné disponovať dokumentáciou o primeraných zárukách, ktoré tento prenos budú zabezpečovať. V zákone sú tomu venované § 47 - 51 zákona, v nariadení sú to články 44 - 50.
4. Technické a organizačné bezpečnostné opatrenia:
   • Podľa § 37 ods. 2 písm. d) zákona, čl. 30 ods. 2 písm. d) nariadenia, do záznamu o všetkých kategóriách spracovateľských činností je potrebné uviesť aké technické a organizačné bezpečnostné opatrenia sa prijali, aby sa zabezpečilo, že spracúvanie osobných údajov bude bezpečné, chránené a aby nemohli byť zneužité.
   • Je potrebné vychádzať z § 39 zákona, resp. z čl. 32 nariadenia, ktorý stanovuje najmä tieto opatrenia: pseudonymizácia a šifrovanie osobných údajov, zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov, proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu, proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov.
   • Inými slovami môže ísť pri technických bezpečnostných opatreniach o zabezpečenie počítača antivírusom, zaheslovanie, v prípade listinnej podoby dokumentu, ktorý obsahuje osobné údaje to môže byť uzamykateľná skriňa, trezor, archív s bezpečnostným kódom. Pri organizačných opatreniach je to ľudský faktor, ktorý zabezpečí bezpečnosť spracúvania osobných údajov dotknutých osôb, napr. určená zodpovedná osoba, poučená oprávnená osoba.

Sprostredkovateľ alebo zástupca sprostredkovateľa je zodpovedný za to, aby všetky údaje uvedené v zázname boli aktuálne.

Výnimky z povinnosti viesť záznam

Výnimky z povinnosti viesť záznam podľa § 37 ods. 5 zákona, resp. podľa čl. 30 ods. 5 nariadenia sa vzťahujú na zamestnávateľa s menej ako 250 zamestnancami, ak nie je pravdepodobné, že spracúvanie osobných údajov, ktoré vykonáva, povedie k riziku ochrany práv dotknutej osoby, ak je spracúvanie osobných údajov príležitostné alebo ak nezahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 zákona.

Pre výnimku z povinnosti viesť záznamy platí iba situácia č. 1: Ak podnik alebo organizácia zamestnáva menej ako 250 osôb a je pravdepodobné, že spracúvanie osobných údajov, ktoré vykonáva povedie k riziku pre práva a slobody dotknutej osoby, sprostredkovateľ alebo zástupca sprostredkovateľa je povinný viesť záznamy o kategóriách spracovateľských činností.

Prečítajte si tiež: Pracovná zmluva opatrovateľky v Belgicku

Pracovná skupina WP29 uviedla, že sprostredkovateľ alebo zástupca sprostredkovateľa nemusí viesť záznamy len na tie spracovateľské operácie, na ktoré sa samotná výnimka vzťahuje. Teda ak má 10 spracovateľských operácií a na 2 sa vzťahuje výnimka, tak pri ostatných 8 má povinnosť vytvoriť si záznam o kategóriách spracovateľskej činnosti.

Ďalšie dôležité aspekty ochrany osobných údajov

Okrem sprostredkovateľskej zmluvy a vedenia záznamov, je dôležité venovať pozornosť aj ďalším aspektom ochrany osobných údajov:

• Interná smernica spoločnosti: Prevádzkovateľ by mal s ohľadom na spracovateľské činnosti, pokiaľ je to primerané, zaviesť internú smernicu, ktorá by sa v jeho podmienkach vzťahovala na zabezpečenie a ochranu osobných údajov. V smernici môže upraviť všetko, čo považuje za potrebné a primerané k ochrane osobných údajov v jeho podmienkach, pričom sa pohybuje v medziach zákona.
• Informačná povinnosť: V prípade, že prevádzkovateľ od dotknutej osoby získava osobné údaje, má voči nej tzv. informačnú povinnosť.
• Súhlas so spracovaním osobných údajov: Súhlas so spracovaním osobných údajov je v súčasnosti najvyužívanejším spôsobom na získavanie a spracúvanie osobných údajov. Zákon o ohrane osobných údajov nepredpisuje žiadnu formu pre súhlas so spracovaním osobných údajov. Avšak pri prípadnom spore dôkazné bremeno o existencii súhlasu so spracovaním osobných údajov znáša spoločnosť.
• Zodpovedná osoba: Zodpovedná osoba je osobou, ktorú za určitých špecifických situácií musí prevádzkovateľ alebo sprostredkovateľ poveriť s cieľom plnenia úloh podľa čl. 38 GDPR. Určenie, postavenie a úlohy zodpovednej osoby sú prioritne upravené v čl. 37 a nasl. GDPR a v § 44 až § 46 zákona č. 18/2018 Z. z. o ochrane osobných údajov.
• Právo na obmedzenie spracúvania: Ustanovenie § 24 ods. 1 zákona o ochrane osobných údajov taxatívne stanovuje prípady, kedy je prevádzkovateľ povinný rešpektovať právo dotknutej osoby a obmedziť spracúvanie jej osobných údajov na základe toho, že dotknutá osoba uplatnila právo podľa čl. 18 Nariadenia.
• Bezpečnostná dokumentácia: Každá firma, ktorá spracováva osobné údaje by mala mať spracovanú bezpečnostnú dokumentáciu.
• Informácie na webovej stránke: Informácie o ochrane osobných údajov je potrebné uviesť aj na webovej stránke buď na samostatnej stránke „Ochrana osobných údajov“, alebo v rámci obchodných podmienok.

Prečítajte si tiež: Dôležité aspekty zmluvy o sociálnej službe

tags: #zmluva #o #povereni #sprostredkovatela #spracovanim #osobnych