Úrad na ochranu osobných údajov informoval o prijatí Štandardných zmluvných doložiek pre sprostredkovateľov

Zákony na ochranu údajov sa v rôznych krajinách líšia, pričom niektoré poskytujú väčšiu ochranu než iné. Bez ohľadu na to, kde sa informácie dotknutých osôb spracovávajú, je potrebné dodržiavať určité právne rámce súvisiace s prenosom údajov, ako sú napríklad zmluvné doložky dohodnuté medzi prevádzkovateľom a sprostredkovateľom.

Martina Beňovská 12. 10. 2020 5 min.

    Prevádzkovateľom v zmysle nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov ("nariadenie")  je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov. Sprostredkovateľom v zmysle tohto nariadenia je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa.

    Podľa článku 28 nariadenia, ak sa má spracúvanie osobných údajov v zmysle nariadenia uskutočniť v mene prevádzkovateľa, prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky na to, že sa príjmu primerané technické a organizačné opatrenia tak, aby spracúvanie spĺňalo požiadavky tohto nariadenia a aby sa zabezpečila ochrana práv dotknutej osoby. Spracúvanie sprostredkovateľom sa riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzuje sprostredkovateľa voči prevádzkovateľovi a ktorým sa stanovuje predmet a doba spracúvania, povaha a účel spracúvania, typ osobných údajov, kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa.

    Úrad na ochranu osobných údajov SR nedávno informoval o prijatí štandardných zmluvných doložiek pre sprostredkovateľov, predstavujúcich súbor záruk, ktoré sa majú použiť v tom znení, v akom boli prijaté, keďže ich cieľom je ochrana dotknutých osôb a zmiernenie špecifických rizík súvisiacich so základnými zásadami ochrany údajov. Ide o nezáväzný vzor, ktorý môžu prevádzkovatelia a sprostredkovatelia používať, aby si splnili povinnosť uzavrieť vyššie spomínanú sprostredkovateľskú zmluvu aj v podmienkach Slovenskej republiky. Štandardné zmluvné doložky stanovujú najmä práva a povinnosti prevádzkovateľa a sprostredkovateľa pri spracúvaní osobných údajov v mene prevádzkovateľa. Tieto doložky majú prednosť pred akýmikoľvek podobnými ustanoveniami obsiahnutými v iných dohodách medzi stranami.

    K doložkám sú pripojené 4 prílohy:

    • Príloha A obsahuje najmä informácie o účele a povahe spracúvania osobných údajov, type osobných údajov, kategórii dotknutej osoby a dobe trvania spracúvania.
    • Príloha B obsahuje podmienky prevádzkovateľa, na základe ktorých môže sprostredkovateľ využívať sub-sprostredkovateľov a zoznam sub-sprostredkovateľov, ktorých prevádzkovateľ povolil.
    • Príloha C obsahuje pokyny prevádzkovateľa týkajúce sa spracúvania osobných údajov, minimálnych bezpečnostných opatrení, ktoré má sprostredkovateľ prijať a spôsobu vykonávania auditov u sprostredkovateľa a u sub-sprostredkovateľov.
    • Príloha D obsahuje ustanovenia týkajúce sa iných činností, na ktoré sa doložky nevzťahujú.

    V nasledujúcich riadkoch si bližšie priblížime, čo bude obsahom dohody prevádzkovateľa a sprostredkovateľa, ohľadom uvedených zmluvných doložiek, podľa dánskeho návrhu .

    Práva a povinnosti strán

    Prevádzkovateľ má právo a povinnosť prijímať rozhodnutia o účeloch a prostriedkoch spracúvania osobných a je zodpovedný za to, aby spracúvanie osobných údajov malo právny základ. Medzi povinnosti sprostredkovateľa zase patrí spracúvať osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa (uvedených v prílohách A a C) a bezodkladne informovať prevádzkovateľa, ak pokyny, ktoré poskytol, sú podľa názoru sprostredkovateľa v rozpore s nariadením.

    Využívanie sub-sprostredkovateľov

    Pokiaľ chce sprostredkovateľ zapojiť ďalšieho sprostredkovateľa, t. j. sub-sprostredkovateľa, musí spĺňať podmienky stanovené v článku 28 ods. 2 a 4 nariadenia. Sprostredkovateľ preto nezapojí sub-sprostredkovateľa do plnenia týchto doložiek bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. Ak sprostredkovateľ zapojí do vykonávania spracovateľských činností v mene prevádzkovateľa sub-sprostredkovateľa, tomuto sub-sprostredkovateľovi sa ukladajú rovnaké povinnosti ochrany údajov, ako sa stanovujú v uvedených doložkách. Ak sub-sprostredkovateľ nesplní svoje povinnosti ochrany údajov, sprostredkovateľ zostáva voči prevádzkovateľovi plne zodpovedný za plnenie povinností sub-sprostredkovateľa. 

    Prenos údajov

    Čo sa týka prenosu údajov do tretích krajín alebo medzinárodným organizáciám, tento sa uskutočňuje len na základe zdokumentovaných pokynov od prevádzkovateľa a vždy v súlade s kapitolou V nariadenia. Pokiaľ ide o prenos údajov, pri ktorom sprostredkovateľ nedostal pokyn na jeho vykonanie od prevádzkovateľa, avšak vyžaduje si ho právo Únie alebo právo členského štátu, ktorému sprostredkovateľ podlieha, v takom prípade sprostredkovateľ oznámi prevádzkovateľovi túto právnu požiadavku pred spracúvaním, pokiaľ dané právo takéto oznámenie nezakazuje zo závažných dôvodov verejného záujmu.

    Poskytovanie pomoci

    Sprostredkovateľ v čo najväčšej miere pomáha prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutej osoby, to znamená, že pomáha napríklad pri dodržiavaní práva na informácie pri získavaní osobných údajov od dotknutej osoby, práva na obmedzenie spracúvania osobných údajov, práva namietať, či práva na vymazanie alebo opravu osobných údajov. Sprostredkovateľ ďalej pomáha aj pri dodržiavaní povinnosti prevádzkovateľa bez zbytočného odkladu a po tom, čo sa o tejto skutočnosti dozvedel, oznámiť porušenie ochrany osobných údajov príslušnému dozornému orgánu, ako aj dotknutej osobe, ak je pravdepodobné, že porušenie ochrany osobných údajov povedie k vysokému riziku pre práva a slobody fyzických osôb.

    Vymazania a vrátenie údajov

    Po ukončení poskytovania služieb spracúvania osobných údajov má sprostredkovateľ povinnosť buď vymazať všetky osobné údaje spracúvané v mene prevádzkovateľa a potvrdiť prevádzkovateľovi, že tak urobil, alebo vrátiť všetky osobné údaje prevádzkovateľovi a vymazať existujúce kópie, ak sa v práve Únie alebo v práve členského štátu nevyžaduje uchovávanie týchto osobných údajov.

    Ďalej bude dohodou strán upravená mlčanlivosť, kontrola vykonávaná prevádzkovateľom alebo iným audítorom, účinnosť a vypovedanie doložiek. Strany sa tiež môžu dohodnúť aj na ďalších doložkách týkajúcich sa služby poskytovania osobných údajov.

    Uvedený súbor štandardných zmluvný doložiek podrobnejšie špecifikuje ustanovenia v článku 28 nariadenia, pričom jeho cieľom je zabezpečiť konzistentnosť a správne uplatňovanie tohto článku.