Prevádzkovateľ a sprostredkovateľ patria medzi základné pojmy využívané GDPR. European Data Protection Board prijal 07.07.2021 Usmernenie č. 07/2020 o koncepte prevádzkovateľa a sprostredkovateľa podľa GDPR. Usmernenie je vo finálnej verzii, pričom dňa 20.09.2022 došlo ešte k malým úpravám usmernenia. Viac na tému prevádzkovateľ a sprostredkovateľ v našom článku.
Definícia prevádzkovateľa
Podľa GDPR prevádzkovateľ “je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov. V prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu”.
Definícia sa skladá z nasledovných piatich blokov:
- fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt
- sám alebo spoločne s inými
- určovanie
- účelu alebo účelov a prostriedkov
- spracúvania osobných údajov
1. Prevádzkovateľ a sprostredkovateľ – typ entity
Prvá časť definície nám hovorí o type entity v postavení prevádzkovateľa. GDPR sa okrem právnických osôb, ktoré môžu mať rôznu právnu formu (spoločnosť s ručením obmedzeným, akciová spoločnosť, družstvo, občianske združenie, nadácia, obec alebo mesto, nezisková organizácia, politická strana, politické hnutie atď.) vzťahuje aj na spracúvanie, ktoré vykonávajú fyzické osoby. Jednak fyzické osoby – nepodnikatelia (jednotlivci alebo skupiny jednotlivcov) alebo fyzické osoby – podnikatelia. V prípade organizácii pôjde väčšinou o organizáciu ako celok a nie o jednotlivca v rámci organizácie, ako napr. riaditeľ, zamestnanec alebo člen predstavenstva.
2.
V rámci jedného spracúvania môže vystupovať niekoľko rozdielnych entít v postavení prevádzkovateľa vo vzťahu k danému spracúvaniu. Podľa čl. 26 GDPR, ak dvaja alebo viacerí prevádzkovatelia spoločne určia účely a prostriedky spracúvania, sú spoločnými prevádzkovateľmi. Zároveň sú povinní transparentne určiť svoje príslušné zodpovednosti za plnenie povinností podľa GDPR. Podľa usmernenia, organizácia môže byť považovaná za prevádzkovateľa aj v prípade, ak nevykonáva všetky rozhodnutia o účeloch a prostriedkoch spracúvania.
3.
Prevádzkovateľ je entita, ktorá má vplyv na spracúvanie tým, že vykonáva svoju rozhodovaciu právomoc a rozhoduje o niektorých kľúčových prvkoch spracúvania. Postavenie prevádzkovateľa môže vyplývať z právneho predpisu alebo môže vyplývať z analýzy faktických prvkov a okolností prípadu. Ak určujeme prevádzkovateľa, musíme sa pozrieť na konkrétne spracovateľské operácie a pýtať sa otázky typu, prečo sa dané spracúvanie uskutočňuje a kto rozhodol o vykonávaní spracúvania na konkrétny účel.
4. Prevádzkovateľ a sprostredkovateľ – určenie účelu / účelov
Definícia pojmu “účel” a “prostriedok” sa v GDPR ani v zákone č. 18/2018 Z. z. o ochrane osobných údajov nenachádza. Starší zákon č. 122/2013 Z. z. o ochrane osobných údajov definíciou pojmu účel obsahoval: “účelom spracúvania osobných údajov vopred jednoznačne vymedzený alebo ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť”. Podľa usmernenia o koncepcie prevádzkovateľa a sprostredkovateľa, účelom môže byť: očakávaný výsledok, ktorý je zamýšľaný alebo ktorý usmerňuje plánovanú činnosť. Pojem “prostriedky” znamená, ako daný výsledok alebo cieľ dosahujeme.
Konkrétna entita sa nachádza v postavení prevádzkovateľa len vtedy, ak rozhodla o účeloch a prostriedkoch spracúvania zároveň. Nie je možné, aby prevádzkovateľ rozhodol len o účele spracúvania. Prevádzkovateľ vždy musí zároveň rozhodnúť aj o prostriedkoch spracúvania. A naopak, entita, ktorá má byť v postavení sprostredkovateľa, nikdy nemôže určiť účel spracúvania. V prípade, ak by sprostredkovateľ v rámci konkrétneho spracúvania určil účely a prostriedky spracúvania v súvislosti s daným spracúvaním by bol považovaný za prevádzkovateľa.
Podľa usmernenia, rozhodnutie o účele spracúvania musí vždy určiť prevádzkovateľ. Pri určovaní prostriedkov spracúvania ale treba rozlišovať medzi podstatnými a nepodstatnými prostriedkami (essential and non-essential means). Podstatné prostriedky sa vzťahujú na účel a rozsah spracúvania, pričom sú inherentne vyhradené pre prevádzkovateľa. Môže ísť o typ osobných údajov, doba spracúvania, kategórie príjemcov alebo kategórie dotknutých osôb. Nepodstatné prostriedky môže určiť aj sprostredkovateľ. Ide pritom viac o praktické aspekty implementácie, ako výber konkrétneho typu hardvéru alebo softvéru alebo konkrétnych bezpečnostných opatrení.
5. Prevádzkovateľ, sprostredkovateľ a spracúvanie osobných údajov
Spracúvanie podľa GDPR je “operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami”. GDPR exemplifikatívne uvádza niektoré typy spracovateľských operácií. Ide o nasledovné príklady:
- získavanie
- zaznamenávanie
- usporadúvanie
- štruktúrovanie
- uchovávanie
- prepracúvanie alebo zmena
- vyhľadávanie
- prehliadanie
- využívanie
- poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom
- preskupovanie alebo kombinovanie
- obmedzenie
- vymazanie alebo likvidácia.
Prevádzkovateľ môže vykonávať jednu spracovateľskú operáciu, viacero spracovateľských operácií alebo môže vykonávať kontrolu nad celkom spracovateľských činností. Alebo jeho kontrola sa môže obmedziť len na čiastočne štádium spracúvania v rámci nejakého procesu.
Pojem prevádzkovateľ sa vzťahuje k spracúvaniu osobných údajov. Ak nejaká entita nespracúva osobné údaje, nebude v postavení prevádzkovateľa. Podľa usmernenia nie je nevyhnutné, aby prevádzkovateľ mal aj prístup k spracúvaným údajom. Spracúvanie môže vykonávať sprostredkovateľ prostredníctvom outsourcing-u a prevádzkovateľ napriek tomu, že nemá k údajom prístup, je považovaný za prevádzkovateľa. Prevádzkovateľom je pretože vykonáva vplyv nad určením účelov a prostriedkov spracúvania.
Definícia sprostredkovateľa
Určenie sprostredkovateľa býva v praxi náročnejšie ako určenie prevádzkovateľa alebo spoločného prevádzkovateľa. GDPR definuje sprostredkovateľa ako “fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa”. V postavení sprostredkovateľa môžu vystupovať rôzne entity – môže ísť o organizáciu alebo aj o jednotlivca. Konkrétne spracúvanie môže zahŕňať viacerých sprostredkovateľov, napr. rôzni sprostredkovatelia môžu spracúvať údaje v rôznych fázach spracúvania, ale je možné, že sprostredkovateľ so súhlasom prevádzkovateľa zapojí do spracúvania ďalšieho alebo ďalších sprostredkovateľov (sub-sprostredkovateľ). Spracúvanie, ktoré prevádzkovateľ zverí sprostredkovateľovi môže byť obmedzené na jednu veľmi špecifickú úlohu, kontext alebo môže byť všeobecná a rozsiahlejšia.
Kvalifikačné podmienky sprostredkovateľa
Usmernenie rozlišuje dve základné kvalifikačné podmienky sprostredkovateľa:
- je entitou odlišnou od prevádzkovateľa,
- spracúva osobné údaje v mene prevádzkovateľa (on the controller’s behalf).
Odlišná entita znamená, že prevádzkovateľ sa rozhodol delegovať všetky alebo len niektoré spracovateľské činnosti externej organizácii. Naopak, ak sa prevádzkovateľ rozhodne, že bude spracúvať údaje sám s použitím svojich vlastných zdrojov a v rámci svojej organizácie, napr. prostredníctvom svojich zamestnancov, nepôjde o spracúvanie zo zapojením sprostredkovateľa. Zamestnanci a iné osoby, ktoré konajú na základe pokynov prevádzkovateľa, nie sú v postavení sprostredkovateľov, pretože spracúvajú osobné údaje v rámci prevádzkovateľa. V tomto prípade ide o spracúvanie na základe poverenia prevádzkovateľa podľa čl. 29 GDPR.
V prípade sprostredkovania ide o situáciu, v rámci ktorej entita odlišná od prevádzkovateľa spracúva osobné údaje v prospech prevádzkovateľa. Konanie “v mene” znamená, že sprostredkovateľ sleduje záujem niekoho iného a poukazuje na právny koncept “zastúpenia”. Podľa § 22 Občianskeho zákonníka: “Zástupcom je ten, kto je oprávnený konať za iného v jeho mene. Zo zastúpenia vznikajú práva a povinnosti priamo zastúpenému.” Podľa právnych predpisov na ochranu osobných údajov, sprostredkovateľ je povinný implementovať pokyny prevádzkovateľa minimálne vo vzťahu k účelu spracúvania a podstatných prostriedkov spracúvania. To nebráni tomu, aby sprostredkovateľ v rámci prevádzkovateľových pokynov sám rozhodol o technických a organizačných prostriedkoch spracúvania. Nesmie však prekročiť inštrukcie prevádzkovateľa a sám určiť vlastný účel a prostriedky spracúvania. Tým by porušil GDPR. Zároveň by bol považovaný za prevádzkovateľa vo vzťahu k vymedzenému účelu spracúvania.
V praxi je pri posudzovaní sprostredkovateľa dôležité prihliadať nie na povahu entity (nature of the entity), spracúvajúcej údaje, ale na konkrétnu činnosť v špecifickom kontexte. Povaha poskytovanej služby je určujúca pre posúdenie, či dochádza k spracúvaniu v mene prevádzkovateľa. Vždy je potrebné každú situáciu individuálne posudzovať a analyzovať, akú mieru vplyvu má konkrétna entita na určovanie účelov a prostriedkov spracúvania.
Čo pre Vás môžeme urobiť?
Poskytujeme komplexné právne poradenstvo v oblasti ochrany osobných údajov. Právne poradenstvo poskytujeme vrátane implementácie vnútroštátnych právnych predpisov na ochranu osobných údajov aj predpisov Európskej únie (vrátane GDPR) na mieru pre jednotlivých prevádzkovateľov. Ponúkame právne konzultácie, zastupovania v konaniach pred Úradom na ochranu osobných údajov, vypracovanie internej dokumentácie a školenia.
Prečítajte si aj:
Zmeny v spracúvaní osobných údajov zosnulých osôb
Dánsky úrad riešil prípad neplatnosti súhlasu podľa GDPR
Zaujímavý článok. GDPR nie je ľahké porozumieť.
Pingback: [2021] Čo je to GDPR? - LIDAY - BAŠARYOVÁ & PARTNERS