„Sprostredkovateľská zmluva“ a GDPR

Tak ako väčšina právnych inštitútov v oblasti ochrany osobných údajov, aj vzťah medzi prevádzkovateľom a sprostredkovateľom prešiel prijatím nariadenia GDPR obmenou. Tento vzťah, na základe ktorého sa uzatvára zmluva o poverení so spracúvaním osobných údajov (ďalej aj ako „sprostredkovateľská zmluva GDPR„), upravuje čl. 28 GDPR Nariadenia.

Ako sme uviedli, sprostredkovateľská zmluva GDPR je uzatvorená medzi tým subjektom, ktorý určuje účely a prostriedky spracúvania – prevádzkovateľ¹ a tým, ktorý spracúva osobné údaje v mene prevádzkovateľa – sprostredkovateľ.²

Nie každý „dodávateľský“ vzťah, prostredníctvom ktorého poskytuje externý subjekt prevádzkovateľovi služby, pri ktorých dochádza k spracúvaniu osobných údajov, je však sprostredkovateľským vzťahom. Kedy ide o spracúvanie osobných údajov v mene prevádzkovateľa a aké sú povinnosti jednotlivých subjektov?

Sprostredkovateľská zmluva GDPR

Pred uzatvorením obchodnoprávnej zmluvy má každý podnikateľ povinnosť riešiť aj ochranu osobných údajov. A identifikovať aj to, či prichádza k spracúvaniu osobných údajov a či je povinný poveriť sprostredkovateľa so spracúvaním osobných údajov vo svojom mene. Ak v rámci obchodnoprávneho vzťahu prichádza k spracúvaniu osobných údajov, na mieste je otázka, či je potrebné uzatvoriť zmluvu o poverení so spracúvaním osobných údajov, vzhľadom na identifikované postavenie jednotlivých subjektov. Za uzatvorenie zmluvy o poverení so spracúvaním osobných údajov je zodpovedný prevádzkovateľ. Často však túto povinnosť v praxi plnia za prevádzkovateľov sprostredkovatelia.

Typickými „sprostredkovateľmi“ sú napríklad účtovné firmy, reklamné agentúry, dodávatelia softvérov, bezpečnostní technici… Na druhej strane, niektoré povolania alebo povaha činnosti jednotlivých subjektov definujú postavenie týchto subjektov, z ktorého vyplýva, že nie sú sprostredkovateľmi. Týka sa to napríklad poskytovania právnych služieb, činnosti alebo daňových poradcov. Tieto subjekty sú priamo osobitným predpismi ustanovené do pozície samostatného prevádzkovateľa pri spracúvaní osobných údajov pri poskytovaní služieb, ktoré sú definované v tomto osobitnom predpise.³

V takýchto prípadoch ide o vzťah dvoch samostatných prevádzkovateľov. To platí v prípade, ak advokát poskytuje služby v zmysle zákona o advokácii. Ak by advokát poskytoval služby, ktoré nie sú regulované advokátskymi predpismi (čo de facto nemôže v zmysle stavovských predpisov) alebo sú nad rozsah týchto predpisov, môže nastať situácia, že bude sprostredkovateľom. To platí aj pre spomínaných daňových poradcov.

Existujú tiež povolania, kde osobitný zákon nedefinuje priamo postavenie subjektu, tento však môže byť samostatným prevádzkovateľom. To sa týka v našich podmienkach audítorov. Postavenie subjektov a v nadväznosti na to – povinnosť uzatvorenia zmluvy o poverení so spracúvaním osobných údajov, je v týchto prípadoch záležitosťou nielen GDPR, ale aj vnútroštátnej legislatívy. V niektorých krajinách EÚ sú aj účtovné firmy samostatnými prevádzkovateľmi, čo môže byť logicky odôvodnené povahou ich činnosti v zmysle príslušného zákona o účtovníctve.

Sprostredkovateľská zmluva GDPR je tak uzatváraná až po posúdení,⁴, či sú splnené podmienky na jej uzatvorenie, ktorými sú:

• určenie účelov a prostriedkov spracúvania prevádzkovateľom,
• využitie iného subjektu, ktorý spracúva osobné údaje v mene prevádzkovateľa,
• vyhodnotenie postavenia a vzťahu subjektov.

Prvou povinnosťou prevádzkovateľa je teda definovanie vzťahu s externými subjektami, ktorým poskytuje pri svojej činnosti osobné údaje. Ak prevádzkovateľ vyhodnotí, že sa jedná o vzťah prevádzkovateľa a sprostredkovateľa, pristupuje k posudzovaniu vhodnosti sprostredkovateľa. Ďalšou povinnosťou prevádzkovateľa je vybrať len takého sprostredkovateľa, ktorý poskytuje dostatočné záruky, najmä v oblasti ochrany práv dotknutých osôb.⁵ Prevádzkovateľ si má vybrať takého sprostredkovateľa, ktorý bude vykonávať spracúvanie osobných údajov v súlade s ustanoveniami GDPR.

„Subsprostredkovateľ“ alebo ďalší sprostredkovateľ

Nariadenie GDPR počíta aj so zapojením ďalších sprostredkovateľov do spracúvania osobných údajov v mene prevádzkovateľa (t. j. ďalších subdodávateľov v zmluvných vzťahoch). Zapojenie ďalšieho sprostredkovateľa sprostredkovateľom je však možné len na základe písomného povolenia (súhlasu) prevádzkovateľa. Súhlas so zapojením ďalšieho sprostredkovateľa môže byť všeobecný alebo osobitný, vzťahujúci sa vždy na konkrétneho ďalšieho sprostredkovateľa. V prípade všeobecného súhlasu je sprostredkovateľ povinný oznámiť zámer zapojiť ďalšieho sprostredkovateľa do spracúvania prevádzkovateľovi a prevádzkovateľ je oprávnený voči ďalšiemu sprostredkovateľovi namietať (a dosiahnuť tak napr. jeho zmenu).

Povinné náležitosti zmluvy o poverení so spracúvaním osobných údajov

GDPR výslovne ustanovuje, že vzťah medzi prevádzkovateľom a sprostredkovateľom sa riadi zmluvou alebo iným záväzným právnym aktom podľa práva EÚ alebo členského štátu – na účely článku sprostredkovateľská zmluva GDPR.

Sprostredkovateľská zmluva GDPR sa uzatvára ešte pred spracúvaním osobných údajov, najneskôr v deň začatia ich spracúvania. V sprostredkovateľskej zmluve si prevádzkovateľ a sprostredkovateľ stanovia predmet a dobu spracúvania, povahu a účel spracúvania, typ osobných údajov, kategórie dotknutých osôb a práva a povinnosti prevádzkovateľa a sprostredkovateľa. GDPR ďalej výslovne stanovuje, že sprostredkovateľská zmluva stanoví aj:

• povinnosť sprostredkovateľa spracúvať osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa, a to vrátane prípadného prenosu osobných údajov do tretích krajín alebo medzinárodných organizácií, 

• povinnosť sprostredkovateľa zachovávať o spracúvaných osobných údajoch mlčanlivosť a povinnosť zabezpečiť, aby ju zachovávali aj všetky osoby, oprávnené spracúvať osobné údaje v jeho mene (napr. zamestnanci sprostredkovateľa),

• povinnosť sprostredkovateľa poskytovať prevádzkovateľovi súčinnosť pri plnení povinností pri vykonávaní posúdenia vplyvu na ochranu osobných údajov, pri reagovaní na žiadosti dotknutých osôb a vybavovaní ich práv,

• povinnosť sprostredkovateľa umožniť prevádzkovateľovi vykonanie kontroly (auditu) za účelom posúdenia, či sprostredkovateľ dodržiava povinnosti vyplývajúce zo sprostredkovateľskej zmluvy a príslušných ustanovení GDPR,

• povinnosť sprostredkovateľa po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa všetky osobné vymazať alebo vrátiť a zničiť všetky existujúce kópie (ak príslušné právne predpisy neustanovujú povinnosť tieto osobné údaje uchovávať).

GDPR zavádza aj notifikačné povinnosti sprostredkovateľa, ktorý je napríklad povinný a) bezodkladne informovať prevádzkovateľa, ak sa podľa jeho názoru pokynom prevádzkovateľa porušuje nariadenie GDPR alebo iné predpisy o ochrane osobných údajov, b) o možnom porušení ochrany osobných údajov u prevádzkovateľa…

V prípade, ak je na základe povolenia prevádzkovateľa do spracúvania osobných údajov zapojený ďalší sprostredkovateľ („subsprostredkovateľ“), je sprostredkovateľ povinný prostredníctvom zmluvy alebo iného právneho aktu uložiť ďalšiemu sprostredkovateľovi minimálne také povinnosti, ako sa stanovujú v sprostredkovateľskej zmluve. „Subsprostredkovateľovi“ sa ukladajú najmä povinnosti týkajúce sa poskytnutia dostatočných záruk na vykonanie takých opatrení, aby bolo spracúvanie osobných údajov uskutočňované v súlade s nariadením GDPR. S Za výber subsprostredkovateľa je zodpovedný sprostredkovateľa, prevádzkovateľ však musí s výberom súhlasiť.

V prípade, ak ďalší sprostredkovateľ neplní svoje povinnosti v oblasti ochrany osobných údajov, zostáva voči prevádzkovateľovi za plnenie povinností ďalšieho sprostredkovateľa plne zodpovedný pôvodný sprostredkovateľ.

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Forma sprostredkovateľskej zmluvy

Sprostredkovateľská zmluva, ako aj zmluva medzi sprostredkovateľom a ďalším sprostredkovateľom sa v zmysle GDPR vypracujú v písomnej podobe, za ktorú sa považuje aj elektronická podoba.

Bežnou praxou, najmä väčších sprostredkovateľov (napr. dodávateľov rôznych softvérov alebo hostingových služieb), je zakomponovanie sprostredkovateľskej zmluvy do všeobecných zmluvných alebo obchodných podmienok, zverejnených na webovej stránke sprostredkovateľa. Sprostredkovateľská zmluva sa v týchto prípadoch uzatvára spolu so zmluvou o poskytovaní služieb.

Pri uzatváraní sprostredkovateľskej zmluvy v elektronickej podobe je potrebné pamätať na to, že v prípade všeobecného povolenia prevádzkovateľa so zapojením ďalšieho sprostredkovateľa GDPR neumožňuje udeliť toto povolenie v elektronickej forme⁶, a preto v prípade, ak má prevádzkovateľ záujem udeliť všeobecné povolenie sprostredkovateľovi, je potrebné, aby tak urobil v písomnej forme. Osobitný súhlas (teda súhlas s konkrétnym ďalším sprostredkovateľom) je možné udeliť aj elektronicky.

Niektoré časti sprostredkovateľskej zmluvy môžu byť založené aj na štandardných zmluvných doložkách. Sprostredkovateľ môže preukázať dostatočné záruky v oblasti bezpečnosti a dodržiava ustanovení Nariadenia GDPR aj dodržiavaním schváleného kódexu správania alebo certifikačného mechanizmu⁷.

Pozrite si aj ďalšie video-školenia GDPR od securion, v ktorých sa venujeme témam ochrany osobných údajov, ako napríklad GDPR v HR prostredí či GDPR a home-office.

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Odporúčania k uzatváraniu zmlúv o poverení so spracúvaním osobných údajov

Pri uzatváraní sprostredkovateľskej zmluvy je potrebné zohľadňovať, že za súlad spracúvania osobných údajov s predpismi o ochrane osobných údajov zodpovedá vždy prevádzkovateľ. Preto je dôležité mať zmluvy uzatvorené nielen formálne (s čím sa často stretávame), ale reálne vyberať dodávateľov v postavení sprostredkovateľov a kontrolovať ich činnosť.

Kontrola a audity u sprostredkovateľa sú jedným z práv prevádzkovateľa. V rámci činností pre našich klientov zavádzame aj systémy pravidelných kontrol sprostredkovateľov a poskytovania ich záruk. Už v návrhu samotnej zmluvy odporúčame zakomponovať okrem kontrolných mechanizmov aj povinnosť sprostredkovateľa informovať o svojej činnosti v oblasti ochrany osobných údajov. Do zmluvy o poverení so spracúvaním osobných údajov uvádzame aj bezpečnostné opatrenia, ktoré samotný sprostredkovateľ prijíma.

Zároveň, pri väčších klientoch, kde je viacero sprostredkovateľov, odporúčame viesť aj zoznam týchto sprostredkovateľov, v ktorom sú definované aspoň účely spracúvania, dátum uzatvorenia sprostredkovateľskej zmluvy GDPR, dátum vykonania poslednej kontroly a zodpovedného pracovníka za tento vzťah u prevádzkovateľa.

1. Prevádzkovateľ je v zmysle čl. 4 ods. 1 GDPR fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov. ↩

2. Sprostredkovateľ je v zmysle čl. 4 ods. 1 GDPR fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. ↩

3. Napr. § 18 ods. 6 zákona o advokácií ustanovuje, že advokáti majú pri spracúvaní osobných údajov pri výkone advokácie postavenie prevádzkovateľa podľa ustanovení GDPR ↩

4. Pozn.: Ale vždy pred začatím spracúvania osobných údajov sprostredkovateľom. ↩

5. Nariadenie GDPR pojednáva pri zárukách najmä o primeraných technických a organizačných opatreniach na strane sprostredkovateľa ↩

6. Pozn.: čl. 28 ods. 2 GDPR Nariadenia ustanovuje iba písomnú formu na udelenie všeobecného povolenia na zapojenie ďalšieho sprostredkovateľa do spracúvania osobných údajov v mene prevádzkovateľa ↩

7. Certifikačný mechanizmus v súčasnosti nie je možné v podmienkach SR využiť, pretože nie sú stanovené pravidlá na udeľovanie akreditácií certifikačným subjektom Úradom na ochranu osobných údajov. ↩

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb