Kto je príjemcom osobných údajov?

Jednou z povinností prevádzkovateľov spracúvania osobných údajov je aj povinnosť informovať dotknuté osoby o príjemcoch osobných údajov alebo ich kategóriách. Kto je príjemca osobných údajov?

Každý prevádzkovateľ je pri plnení svojej informačnej povinnosti podľa článku 13. a 14. GDPR povinný okrem iných informácií poskytnúť dotknutej osobe aj informácie o príjemcoch alebo kategóriách príjemcov, ak existujú.

Príjemca osobných údajov vs. tretia strana

Definícia príjemcov je nasledovná „Príjemcom je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov, spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania.“

Čo teda vyplýva z vyššie uvedenej definície?

Za príjemcu osobných údajov možno považovať každý subjekt, ktorému prevádzkovateľ poskytuje spracúvané osobné údaje dotknutých osôb.

V praxi pôjde najčastejšie o sprostredkovateľov, napríklad príjemcom bude externá spoločnosť, ktorá zabezpečuje prevádzkovateľovi služby vedenia účtovníctva, personálnej a mzdovej agendy alebo napríklad pracovnú zdravotnú službu prevádzkovateľovi, ktorý je zamestnávateľom. Okrem nich sú typickými príjemcami osobných údajov pri bežnej podnikateľskej činnosti aj súdy, orgány činné v trestnom konaní, banky, exekútori či notári.

Okrem týchto subjektov Úrad na ochranu osobných údajov upozorňuje aj na ďalšiu kategóriu príjemcov osobných údajov. Tými sú napríklad orgány verejnej správy, obce, samosprávne kraje…

Príjemcami pri spracúvaní osobných údajov takýmito prevádzkovateľom sú aj fyzického osoby, ktoré sú účastníkmi konania vedeného pred príslušným subjektom. Týmto príjemcom sa osobné údaje poskytujú napríklad pri nahliadaní do spisu a pod.

Vyššie opísaná definícia ďalej hovorí, že príjemcami sú vymenované subjekty bez ohľadu na to, či sú alebo nie sú treťou stranou. Treťou stranou je podľa GDPR: „Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov.“

Treťou stranou je tak najmä orgán verejnej správy, územnej samosprávy alebo fyzická a právnická osoba v obdobnom postavení, ktorej prevádzkovateľ poskytne osobné údaje, ktoré spracúva.

Typickým príkladom sú najmä zdravotné poisťovne, sociálna poisťovňa zdravotné poisťovne, ktorým prevádzkovateľ v postavení zamestnávateľa poskytuje osobné údaje svojich zamestnancov ako dotknutých osôb pri plnení si svojich zákonných povinností (pri odvádzaní odvodov a dane z príjmu zamestnancov).

Príjemcami osobných údajov sú tak aj subjekty, ktoré sú považované za tretie strany: najmä úrady a inštitúcie verejnej moci, ktorým je prevádzkovateľ povinný poskytovať osobné údaje na základe zákonného ustanovenia pri plnení si svojich zákonných povinností.

Kto nie je príjemca osobných údajov

GDPR a slovenský Zákon obsahujú aj negatívne vymedzenie toho, kto sa za príjemcu osobných údajov nepovažuje.

Za príjemcu sa v zmysle GDPR a Zákona nepovažujú orgány verejnej moci, ktoré spracúvajú osobné údaje na základe osobitného predpisu vyplývajúceho tak z predpisov EÚ ako aj zo slovenského právneho poriadku alebo medzinárodnej zmluvy, ktorou je Slovenská republiky viazaná, v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov.

V zmysle odporúčaní Úradu na ochranu osobných údajov sa za takýto subjekt považuje primárne práve samotný Úrad na ochranu osobných údajov Slovenskej republiky.

Dôležitosť určenia príjemcu

Prečo je správne určenie príjemcov osobných údajov dôležité ? Okruh príjemcov, ktorým sa poskytujú osobné údaje dotknutých osôb, je dôležitou  informáciou, ktorú je prevádzkovateľ povinný oznámiť dotknutým osobám v rámci plnenia si svojej informačnej povinnosti vyplývajúcej z predpisov o ochrane osobných údajov.

GDPR a ani slovenský Zákon však nevyžadujú, aby prevádzkovatelia pri plnení svojej informačnej povinnosti uvádzali konkrétnych príjemcov osobných údajov, pretože v mnohých prípadoch to môže byť nepraktické, napr. z dôvodu častej zmeny týchto subjektov alebo ich väčšieho počtu. Podľa ustanovení GDPR stačí dotknuté osoby oboznámiť s kategóriami subjektov, ktoré sú príjemcami ich osobných údajov.

Ak máme však príjemcov definovaných jednoznačne, odporúčame uviesť konkrétnych príjemcov v súlade so zásadou transparentnosti.

 

Pozrite si naše školenie, čo má obsahovať dokumentácia k ochrane osobných údajov:

Odoberajte náš newsletter

Odporúčané články

Potrebujete pomôcť?

Ak potrebujete pomôcť s riešením osobných údajov, neváhajte nás kontaktovať. Radi vám pomôžeme.

Spracúvame vaše osobné údaje za účelom vybavenia vašej požiadavky. Viac info tu.