Prevádzkovateľ je ten, kto určuje účel a prostriedky spracúvania osobných údajov. Sprostredkovateľ ich spracúva v jeho mene, napríklad poskytovateľ cloudu, mzdovej agendy alebo e-mailového nástroja. S každým sprostredkovateľom potrebujete písomnú sprostredkovateľskú zmluvu (po anglicky Data Processing Agreement, DPA) podľa čl. 28 GDPR. Bez nej je spracúvanie v rozpore s GDPR.
Obsah
Vaša firma používa cloudové úložisko, externú mzdovú službu, nástroj na rozposielanie newslettra a účtovníka. Každému z nich odovzdávate osobné údaje svojich zamestnancov alebo zákazníkov. A vo väčšine firiem sa to deje bez jedinej písomnej zmluvy o tom, ako s tými údajmi smú narábať.
To je slabé miesto, ktoré si firmy uvedomia až pri kontrole alebo úniku. Keď niekto spracúva osobné údaje za vás, GDPR z vás nerobí nevinného objednávateľa. Robí vás zodpovedným za to, komu ste údaje zverili a čo s nimi ten niekto robí. A ak s ním nemáte sprostredkovateľskú zmluvu, je to vaše porušenie, nie jeho.
Aký je rozdiel medzi prevádzkovateľom a sprostredkovateľom?
Rozdiel je v tom, kto rozhoduje. Prevádzkovateľ je ten, kto určuje, prečo a akým spôsobom sa údaje spracúvajú. Sprostredkovateľ je ten, kto spracúvanie vykonáva v mene prevádzkovateľa a riadi sa jeho pokynmi. Rozhoduje teda účel a kontrola, nie to, kto má údaje fyzicky na svojom serveri.
Príklad to spraví jasnejším. Vy ako firma rozhodnete, že budete posielať newsletter svojim zákazníkom, na aký účel a komu. Ste prevádzkovateľ. Externá e-mailová služba, cez ktorú newsletter reálne odošlete, je sprostredkovateľ, lebo spracúva vaše kontakty podľa vášho zadania, nie na svoje vlastné ciele. Rovnako je to s poskytovateľom cloudu, s mzdovou firmou alebo s IT dodávateľom, ktorý spravuje váš systém.
Občas nastane aj tretia situácia, keď dve strany určujú účel spoločne. Vtedy ide o spoločných prevádzkovateľov (čl. 26 GDPR) a majú si medzi sebou rozdeliť povinnosti. To je ale menej častý prípad, väčšina vzťahov s dodávateľmi je klasický vzťah prevádzkovateľ a sprostredkovateľ.
Prečo na tom záleží a kto nesie zodpovednosť?
Toto rozlíšenie nie je akademické, rozhoduje o tom, kto za čo zodpovedá. GDPR kladie na prevádzkovateľa povinnosť vyberať len takých sprostredkovateľov, ktorí poskytujú dostatočné záruky, že spracúvanie bude v súlade s GDPR (čl. 28 ods. 1). Nemôžete teda zveriť údaje komukoľvek, výber je vaša zodpovednosť.
Sprostredkovateľ má popritom aj vlastné povinnosti priamo zo zákona, napríklad spracúvať údaje len na základe vašich pokynov, zabezpečiť ich a pomáhať vám. Ak sprostredkovateľ začne spracúvať údaje na vlastné účely nad rámec vášho zadania, sám sa v tej časti stáva prevádzkovateľom so všetkými dôsledkami. V praxi to znamená, že zodpovednosť je rozdelená, ale prevádzkovateľ je ten, koho sa úrad spýta ako prvého.
Čo musí obsahovať sprostredkovateľská zmluva?
Sprostredkovateľská zmluva nie je formalita, ktorú stačí mať „nejakú“. Článok 28 ods. 3 presne vymenúva, čo v nej musí byť, a chýbajúce náležitosti sú samy osebe nedostatok.
Zmluva musí zaviazať sprostredkovateľa, že bude údaje spracúvať len na základe vašich zdokumentovaných pokynov, že osoby, ktoré k údajom pristupujú, sú viazané mlčanlivosťou a že prijme primerané bezpečnostné opatrenia. Ďalej musí upraviť zapojenie ďalších subdodávateľov, pomoc pri vybavovaní žiadostí dotknutých osôb a pri vašich povinnostiach v oblasti bezpečnosti a hlásenia únikov, a napokon výmaz alebo vrátenie údajov po skončení spolupráce a sprístupnenie informácií potrebných na preukázanie súladu. Zmluva musí mať písomnú formu, ale postačuje aj elektronická.
Dobrá správa je, že nemusíte vymýšľať znenie od nuly. Európska komisia vydala pre vzťah prevádzkovateľa a sprostredkovateľa vzorové zmluvné doložky, ktoré tieto náležitosti pokrývajú. Ich použitie nie je povinné, ale je to spoľahlivé východisko. Väčšina serióznych dodávateľov má navyše vlastné DPA pripravené, vašou úlohou je nepodpísať ho naslepo, ale overiť, že spĺňa čl. 28.
Čo so subdodávateľmi?
Tu je pasca, na ktorú sa zabúda. Váš sprostredkovateľ má často vlastných dodávateľov, takzvaných subsprostredkovateľov. E-mailový nástroj beží na cudzom cloude, mzdová firma používa iný softvér. GDPR žiada, aby sprostredkovateľ zapojil ďalšieho subdodávateľa len s vaším predchádzajúcim povolením, konkrétnym alebo všeobecným, a aby vás informoval o zmenách, na ktoré môžete namietať.
Prakticky to znamená, že by ste mali vedieť, kto všetko sa reťazí za vaším dodávateľom a kde teda vaše údaje reálne končia. Aktuálny zoznam subsprostredkovateľov je nielen požiadavka GDPR, ale aj základný prehľad, bez ktorého neviete posúdiť riziko.
Čo keď je sprostredkovateľ mimo EÚ?
Vtedy k sprostredkovateľskej zmluve pribúda ďalšia vrstva. Ak sprostredkovateľ alebo jeho subdodávateľ spracúva údaje mimo Európskeho hospodárskeho priestoru, napríklad na serveroch v USA, ide o prenos do tretej krajiny a ten má vlastné pravidlá, ktorým sa venujeme v článku o prenose údajov do tretích krajín.
Toto je zároveň praktický dôvod, prečo si mnohé firmy vyberajú dodávateľov s hostingom v EÚ. Ušetria si tým celú vrstvu okolo prenosov a majú jednoduchší compliance príbeh. Nie je to povinnosť, ale je to rozumné zjednodušenie, najmä ak ste sami v regulovanom odvetví.
Ako spraviť poriadok
Nezačínajte podpisovaním zmlúv, ale zoznamom dodávateľov. Prejdite si, komu všetkému odovzdávate osobné údaje: cloud, mzdy, účtovníctvo, e-mailové nástroje, IT správa, marketingové agentúry. Tento zoznam už z veľkej časti máte, ak vediete záznam o spracovateľských činnostiach, kde sú títo dodávatelia uvedení ako príjemcovia. Ku každému potom overte, či máte platnú sprostredkovateľskú zmluvu podľa čl. 28, a kde chýba, doplňte ju.
Zvyčajne tu zaznie námietka: „veď je to len účtovník, s tým predsa netreba zmluvu o ochrane údajov“. Lenže účtovník spracúva mzdové a osobné údaje vašich zamestnancov, takže je klasický sprostredkovateľ a zmluvu s ním potrebujete rovnako ako s veľkým cloudom. Práve u samozrejmých, roky zabehnutých dodávateľov chýba DPA najčastejšie, lebo „to sa predsa rozumie samo“.
Ak si chcete spraviť poriadok v dodávateľoch a zmluvách a nechcete to riešiť sami, vašu situáciu posúdime a prípadne prevezmeme rolu zodpovednej osoby. Viac informácií nájdete na našej stránke o ochrane osobných údajov. Celý rámec GDPR pre firmy a organizácie sme zhrnuli v úvodnom článku série.
Časté otázky
Aký je rozdiel medzi prevádzkovateľom a sprostredkovateľom?
Prevádzkovateľ určuje účel a prostriedky spracúvania osobných údajov. Sprostredkovateľ ich spracúva v mene prevádzkovateľa podľa jeho pokynov, napríklad poskytovateľ cloudu, mzdovej agendy alebo e-mailového nástroja.
Kedy potrebujem sprostredkovateľskú zmluvu (DPA)?
Vždy, keď za vás niekto spracúva osobné údaje ako sprostredkovateľ. Písomnú zmluvu podľa čl. 28 GDPR potrebujete s každým takým dodávateľom, aj s účtovníkom či malým dodávateľom.
Čo musí obsahovať sprostredkovateľská zmluva?
Najmä spracúvanie len na základe pokynov, mlčanlivosť, bezpečnostné opatrenia, pravidlá pre subdodávateľov, pomoc pri žiadostiach a pri hlásení únikov a výmaz alebo vrátenie údajov po skončení spolupráce (čl. 28 ods. 3).
Zodpovedám za dodávateľa, ktorý spracúva údaje za mňa?
Áno. Ako prevádzkovateľ zodpovedáte za výber dodávateľa, ktorý poskytuje dostatočné záruky. Sprostredkovateľ má aj vlastné povinnosti, ale úrad sa najprv obráti na vás.