24
máj
Dva pojmy z oblasti GDPR, ktoré sú na prvý pohľad podobné, avšak je medzi nimi obrovský rozdiel. Hoc aj samotné definície správcu a spracovateľa osobných údajov sa zásadným spôsobom nelíšia ani od pôvodnej legislatívy.
V rámci GDPR vzťah správca a spracovateľ nie je daný tým, kto komu platí, ale na akej strane je osoba, ktorá má právomoc rozhodovať o spracúvaní osobných údajov. Dôležitým bodom je zistiť, kto v tomto vzťahu je správca a kto spracovateľ. Následne je potrebné tento vzťah a osoby v ňom zdokumentovať.
Avšak celkovú zodpovednosť za zabezpečenie výkonu práv dotknutých osôb, ako aj právnu zodpovednosť má na svojich pleciach vždy správca.
V praxi sa stretávame s 3 vzťahmi:
Správca osobných údajov vo vzťahu so spracovateľom osobných údajov
V tomto vzťahu správca nariaďuje spôsob a dôvod spracúvania osobných údajov spracovateľovi. Spracovateľ je povinný vykonávať tieto činnosti len podľa pokynov správcu. Osobné údaje nesmie sám použiť a ani určovať účel ich použitia. Taktiež ich nesmie zverejňovať bez výslovného súhlasu správcu a v niektorých prípadoch ani bezj dotknutých osôb.
Správca nesie povinnosť uzatvárať záväznú dohodu, najčastejšie vo forme zmluvy, s akýmkoľvek spracovateľom, s ktorým spolupracuje, a to takým spôsobom, aby sa upravili všetky potrebné náležitosti, ktoré sú ustanovené v článku 28 zákona o GDPR.
V informáciách o ochrane súkromia musia byť uvedení všetci správcovia.
Príklad takéhoto vzťahu môže byť externý účtovník (spracovateľ), ktorý pre firmu (správca) spracúva mzdovú agendu.
Spoloční správcovia osobných údajov
O spracúvaní osobných údajov rozhodujú 2 či viac subjektov spoločne. Títo spoloční správcovia spracúvajú rovnaké údaje, príp. používajú údaje toho druhého na vlastné účely. Spracúvané údaje sa môžu spracovávať rovnakým spôsobom, avšak vždy na iný účel. Ak ich chcú spracúvať za rovnakým účelom, v tom prípade musia zmeniť spôsob či prostriedky spracúvania.
Je vhodné, aby sa správcovia medzi sebou dohodli, kto nadobudne aké povinnosti a aké sú hranice jednotlivých správcov, za ktoré už nemôžu siahať. Všetky tieto opatrenia by sa mali zdokumentovať prostredníctvom zmluvy či dohody o zdieľaní osobných údajov.
V informáciách o ochrane súkromia musí byť uvedený výlučne správca.
Príkladom tohto vzťahu je, ak eventová spoločnosť zorganizuje udalosť v rámci ktorej musí zabezpečiť vhodné nakladanie s osobnými údajmi.
Oddelenie prevádzkovateľov údajov
Takýto typ vzťahu nastáva, ak jedna firma poskytne svoje osobné údaje inej firme, no každá z nich bude spracovávať tieto osobné údaje nezávisle od tej druhej a výhradne na svoje účely.Obe firmy sú zodpovedné za dodržiavanie GDPR. Správca, ktorý údaje odosiela, musí získať od správcu, ktorý ich prijíma dostatočnú istotu, že prenos osobných údajov neznamená pre dotknuté osoby žiadne riziko.
Správca, ktorý údaje prijíma, musí získať od správcu, ktorý ich odosiela dostatočnú istotu, že tieto údaje získal a odovzdáva ich výlučne spôsobmi definovanými GDPR. V každom prípade musia byť dodržané zásady, ktoré sú stanovené zákonom spolu s dostatočnou dávkou transparentnosti a spravodlivosti.
Každá z organizácií je povinná poskytovať informácie o ochrane súkromia osobných údajov ostatným subjektom.
Príkladom vzťahu je vzťah medzi zamestnávateľom a poskytovateľom penzijného pripoistenia pre zamestnancov.
Dúfam, že po tomto článku už budete mať jasno, aký je rozdiel medzi správcom a spracovateľom, a zároveň si osvojíte aj ostatné vzťahy, ktoré existujú.