GDPR ukladá firmám a organizáciám niekoľko nových povinností, ktoré doteraz zákon o ochrane osobných údajov nepoznal. Nové povinnosti budú mať od 25. mája 2018 prevádzkovatelia osobných údajov aj sprostredkovatelia. Povinnosti prevádzkovateľov sme si rozobrali v tomto článku. Teraz sa zameriame na povinnosti sprostredkovateľov.
Kto je sprostredkovateľ podľa GDPR?
Podľa Čl. 4 ods. 8 GDPR sprostredkovateľ je „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa“.
Sprostredkovateľská zmluva a jej nové povinné náležitosti podľa GDPR
Prevádzkovateľ je oprávnený poveriť spracúvaním osobných údajov sprostredkovateľa. Pri výbere sprostredkovateľa je prevádzkovateľ povinný dbať na odbornú, technickú, organizačnú a personálnu spôsobilosť sprostredkovateľa. Taktiež jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov.
Na účely poverenia sprostredkovateľa spracovaním osobných údajov sa súhlas dotknutej osoby nevyžaduje.
Poverenie sprostredkovateľa sa vykonáva písomnou sprostredkovateľskou zmluvou. Zmluvu sú prevádzkovateľ a sprostredkovateľ povinní uzavrieť pred začatím spracúvania osobných údajov. Najneskôr v deň začatia spracúvania osobných údajov sprostredkovateľom.
GDPR v súvislosti s ustanovením sprostredkovateľa ustanovilo tieto obsahové náležitosti sprostredkovateľskej zmluvy:
-
predmet a dobu spracúvania,
-
povahu a účel spracúvania,
-
typ osobných údajov,
-
kategórie dotknutých osôb,
-
povinnosti a práva sprostredkovateľa.
V sprostredkovateľskej zmluve musí byť zakomponované, že sprostredkovateľ:
-
spracúva osobné údaje len na základe pokynov prevádzkovateľa,
-
zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť informácií,
-
implementoval primerané bezpečnostné opatrenia (napr. pseudonymizáciu, šifrovanie a pod.),
-
pri zapojení ďalšieho sprostredkovateľa zostáva plne zodpovedný voči prevádzkovateľovi,
-
pomáha prevádzkovateľovi zabezpečiť plnenie povinností podľa GDPR,
-
vymaže alebo vráti všetky osobné údaje prevádzkovateľa po ukončení poskytovania služieb.
Odporúčanie:
Keďže náležitosti sprostredkovateľskej zmluvy sa značne líšia od požiadaviek súčasného zákona o ochrane osobných údajov, odporúčame firmám k účinnosti GDPR uzatvoriť nové zmluvy so sprostredkovateľmi.
Povinnosť informovať prevádzkovateľa v prípade porušenia osobných údajov
GDPR zavádza pre sprostredkovateľov novú povinnosť: oznámenie bezpečnostných incidentov prevádzkovateľovi. Sprostredkovateľ musí každé porušenie osobných údajov oznámiť prevádzkovateľovi, a to bezodkladne, hneď ako sa o porušení osobných údajov dozvedel.
V oznámení by sa mala uviesť:
-
povaha porušenia ochrany osobných údajov,
-
odporúčania pre dotknutú fyzickú osobu, ako zmierniť potenciálne nepriaznivé dôsledky.
Povinnosť viesť záznamy o spracovateľských činnostiach
Sprostredkovateľ má povinnosť viesť záznamy o spracovateľských činnostiach, a to pre každého prevádzkovateľa zvlášť.
Záznamy o spracovateľských činnostiach podľa GDPR nahradia súčasné evidenčné listy. Úrad na ochranu osobných údajov vydá elektronický formulár „Záznam spracovateľských operácií“ so všetkými predpísanými povinnými náležitosťami.
V prípade kontroly bude sprostredkovateľ povinný poskytnúť tieto záznamy na požiadanie Úradu na ochranu osobných údajov.
Povinnosť posúdiť vplyv na ochranu osobných údajov
Firmy už po novom nebudú mať povinnosť vypracovať bezpečnostný projekt. GDPR zakotvuje prevádzkovateľovi povinnosť posúdiť vplyv na ochranu osobných údajov v prípadoch systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania alebo v prípade spracúvania osobitných kategórií údajov vo veľkom rozsahu.
Sprostredkovateľ, ktorý vykonáva takéto spracovanie osobných údajov pre prevádzkovateľa na základe sprostredkovateľskej zmluvy je povinný prevádzkovateľovi pomáhať pri posúdení vplyvu na ochranu osobných údajov s prihliadnutím na povahu spracúvania a informácie, ktorými disponuje.
Povinnosť vymenovať zodpovednú osobu
Podľa GDPR v niektorých prípadoch má aj sprostredkovateľ povinnosť určiť zodpovednú osobu.
V praxi ide hlavne o firmy, ktoré spracúvajú veľké množstvo údajov rozličných osôb, ktoré pozostáva z analýzy a kombinovania dát prostredníctvom zložitých algoritmov za účelom hľadania presne definovaných vzťahov. Sú to napr. marketingové spoločnosti, personálne agentúry a pod. Vykonávajú profilovanie dotknutej osoby pre prevádzkovateľa v zmysle uzatvorenej sprostredkovateľskej zmluvy. Na zabezpečenie ochrany osobných údajov musia mať vymenovanú zodpovednú osobu.
Povinnosť vymazať alebo vrátiť údaje prevádzkovateľovi
Po ukončení poskytovania služieb je sprostredkovateľ povinný vymazať všetky osobné údaje alebo ich vrátiť prevádzkovateľovi. Taktiež je povinný vymazať existujúce kópie. Konkrétne podmienky ukončenia spolupráce sa dohodnú v sprostredkovateľskej zmluve.
TIP PRE VÁS:
Pripravte sa s nami na aplikáciu nového nariadenia v praxi už teraz a zosúlaďte súčasné súhlasy s požiadavkami GDPR v predstihu!
GDPR nie je strašiak, ktorého sa treba báť. Väčšina firiem zaoberajúcich sa ochranou osobných údajov znepokojuje hrozbami vysokých pokút. Áno, pokuty pri nepripravenosti a nedôslednom uplatňovaní pravidiel GDPR skutočne hrozia. To je neodškriepiteľný fakt!
Naša stratégia je iná: pomôžeme sa vám vo všetkom zorientovať! Spravíme vám analýzu a vypracujeme bezpečnostný plán. Implementácia GDPR tak bude pre vás celkom jednoduchá!
My na tom zapracujeme a vy môžete svoj čas venovať dôležitejším veciam vo svojom podnikaní.
Objednajte si u nás nezáväznú Rozdielovú analýzu!
Posúdime (ne)súlad vašich IS s novým nariadením, predložíme konkrétne návrhy na realizáciu primeraných opatrení na zabezpečenie súladu.