Záznam o kategóriách spracovateľských činností sprostredkovateľa alebo zástupcu sprostredkovateľa - GDPR

Úrad na ochranu osobných údajov SR podľa § 37 ods. 6 zákona č. 18/2018 Z. z. o ochrane osobných údajov je povinný zverejniť vzor Záznamov o spracovateľských činnostiach. Tento vzor je len pre informáciu, čo všetko má Záznam obsahovať a sprostredkovateľ má možnosť si ho vytvoriť podľa seba so všetkými zákonnými náležitosťami. Úrad tiež zverejnil návody alebo postupy, ako tieto vzory vyplniť.

Autori: Úrad na ochranu osobných údajov Slovenskej republiky
Právny stav od: 25. 5. 2018
Dátum publikácie: 14. 5. 2018
Prameň: Práca, mzdy a odmeňovanie / PaM - 2018 / PaM - 6/2018
Oblasti práva: Správne právo / Informácie, informačný systém / Ochrana údajov / GDPR


Každý sprostredkovateľ alebo zástupca sprostredkovateľa (ak takého má sprostredkovateľ povereného) má povinnosť vytvoriť si záznam o kategóriách spracovateľskej činnosti (ďalej len „záznam“) a to buď v papierovej alebo elektronickej podobe, ktorý nemá povinnosť nikam zasielať a ponecháva si ho u seba.

Úradom zverejnený záznam je len vzorom a sprostredkovateľ alebo zástupca sprostredkovateľa má možnosť si ho upraviť podľa seba, no musí obsahovať všetky zákonné náležitosti, ktoré sú upravené v § 37 ods. 2 zákona č. 18/2018 Z. z. o ochrane osobných údajov (ďalej len „zákon“), príp. podľa čl. 30 ods. 2 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „nariadenie“).

Na požiadanie úradu je sprostredkovateľ alebo zástupca sprostredkovateľa povinný sprístupniť záznam úradu.

Výnimky z povinnosti viesť záznam podľa § 37 ods. 5 zákona, resp. podľa čl. 30 ods. 5 nariadenia:

Pre výnimku z povinnosti viesť záznamy platí iba situácia č. 1. V ostatných situáciách sú uvedené možnosti ako má sprostredkovateľ alebo zástupca sprostredkovateľa postupovať, keď nastane niektorá z kombinácií.

Dávame do pozornosti, že pracovaná skupina WP29, ktorá vyjadrila svoj názor na to, ako prihliadať na výnimku viesť záznamy tiež uviedla, že sprostredkovateľ alebo zástupca sprostredkovateľa nemusí viesť záznamy len na tie spracovateľské operácie, na ktoré sa samotná výnimka vzťahuje. Teda ak má 10 spracovateľských operácií a na 2 sa vzťahuje výnimka, tak pri ostatných 8 má povinnosť vytvoriť si záznam o kategóriách spracovateľskej činnosti. (Working Party 29 Position Paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR, https://www.dataprotection.gov.sk/uoou/sk/content/position-paper-derogations-obligationmaintain-records-processing-activities-pursuant)

Situácia č. 1:

Ak podnik alebo organizácia zamestnáva menej ako 250 osôb a
- pokiaľ nie je pravdepodobné, že spracúvanie osobných údajov, ktoré vykonáva povedie k riziku pre práva a slobody dotknutej osoby a
- spracúvanie osobných údajov je príležitostné a
- spracúvanie nezahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 zákona, príp. čl. 9 ods. 1 nariadenia (napr. biometrický údaj, údaj o zdraví a pod.) alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 zákona, príp. čl. 10 nariadenia, tak

= sprostredkovateľ alebo zástupca sprostredkovateľa nie je povinný viesť záznamy pre konkrétnu spracovateľskú činnosť, na ktorú sa vzťahuje táto výnimka.

Situácia č. 2:

Ak podnik alebo organizácia zamestnáva menej ako 250 osôb a je pravdepodobné, že spracúvanie osobných údajov, ktoré vykonáva povedie k riziku pre práva a slobody dotknutej osoby, sprostredkovateľ alebo zástupca sprostredkovateľa je povinný viesť záznamy o kategóriách spracovateľských činností.

Situácia č. 3:

Ak podnik alebo organizácia zamestnáva menej ako 250 osôb a spracúvanie nie je príležitostné, sprostredkovateľ alebo zástupca sprostredkovateľa je povinný viesť záznamy o kategóriách spracovateľských činností.

Situácia č. 4:

Ak podnik alebo organizácia zamestnáva menej ako 250 osôb a spracúvanie zahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 zákona, príp. čl. 9 ods. 1 nariadenia (napr. biometrický údaj, údaj o zdraví a pod.) alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 zákona, príp. čl. 10 nariadenia, sprostredkovateľ alebo zástupca sprostredkovateľa je povinný viesť záznamy o kategóriách spracovateľských činností.


Sprostredkovateľ alebo zástupca sprostredkovateľa je zodpovedný za to, aby všetky údaje uvedené v zázname boli aktuálne. Napríklad, ak sa zmenila zodpovedná osoba, sprostredkovateľ/zástupca sprostredkovateľa je povinný tento údaj v zázname ku dňu zmeny aktualizovať.

Vypĺňanie vzoru záznamu o kategóriách spracovateľských činností sprostredkovateľa alebo zástupcu sprostredkovateľa

Sprostredkovateľ alebo zástupca sprostredkovateľa si môže vypracovať vlastný záznam alebo použiť vzor zverejnený úradom. Úradom zverejnený vzor obsahuje všetky podstatné náležitosti vyžadované zákonom, príp. nariadením. Ak bude mať sprostredkovateľ/zástupca sprostredkovateľa správne a úplne vypísaný tento vzor bude napĺňať zákon. Samozrejme nie je vylúčené, aby si sprostredkovateľ alebo zástupca sprostredkovateľa v prípade potreby pridal vlastné polia, napr. poznámka a podobne.

1. Podľa § 37 ods. 2 písm. a) zákona, čl. 30 ods. 2 písm. a) nariadenia:

Sprostredkovateľ/zástupca sprostredkovateľa vypíše o sebe identifikačné a kontaktné údaje (obchodné meno/meno a priezvisko, IČO, adresa sídla/trvalého bydliska, telefonický kontakt, mailová adresa), ak nimi disponuje (napr. sprostredkovateľ nemusí mať zriadenú mailovú schránku). Ak má určenú zodpovednú osobu a/alebo zástupcu, obligatórne tieto údaje uvedie. Pri zodpovednej osobe, ktorá môže byť fyzickou alebo právnickou osobou sa vypíšu všetky identifikačné a kontaktné údaje, ktoré má sprostredkovateľa alebo zástupca sprostredkovateľa k dispozícií. Ak ide o zodpovednú osobu, ktorá je zároveň zamestnancom sprostredkovateľa/zástupcu sprostredkovateľa, nie je potrebné vypĺňať adresu. Ak ide o externú zodpovednú osobu uvedie sa adresa jej sídla alebo trvalého bydliska. Ďalšími náležitosťami sú údaje o všetkých prevádzkovateľoch, v mene ktorých sprostredkovateľ spracúva osobné údaje. Ak má prevádzkovateľ zvoleného svojho zástupcu, príp. ak má sprostredkovateľ sprostredkovateľa (tzv. subdodávateľ alebo subsprostredkovateľ), musí uviesť všetky tieto informácie do záznamu. V mene koľkých prevádzkovateľov sprostredkovateľ alebo zástupca sprostredkovateľa spracúva osobné údaje, toľkých je sprostredkovateľ/zástupca sprostredkovateľa povinný tam uviesť.

Príklad č. 1:
V mene prevádzkovateľa 123, s. r. o. spracúva osobné údaje sprostredkovateľ „AB“, ktorý má určenú zodpovednú osobu „CD“.


Príklad č. 2:
Sprostredkovateľ „AB“ spracúva osobné údaje v mene prevádzkovateľa 456, s. r. o., ktorý má svojho zástupcu „EF“ a časť osobných údajov spracúva sprostredkovateľ sprostredkovateľa „GH“.

2. Podľa § 37 ods. 2 písm. b) zákona, čl. 30 ods. 2 písm. b) nariadenia:

Pri každom prevádzkovateľovi jednotlivo, v mene ktorého sprostredkovateľ alebo zástupca sprostredkovateľa spracúva osobné údaje je potrebné uviesť kategórie spracúvania. Tieto by mali byť predmetom uzatvorenej sprostredkovateľskej zmluvy medzi prevádzkovateľom a sprostredkovateľom alebo zástupcom sprostredkovateľa.

3. Podľa § 37 ods. 2 písm. c) zákona, čl. 30 ods. 2 písm. c) nariadenia:

V prípade, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretích krajín alebo medzinárodných organizácií sprostredkovateľ alebo zástupca sprostredkovateľa je povinný vypísať aj tieto údaje. Je potrebné disponovať dokumentáciou o primeraných zárukách, ktoré tento prenos budú zabezpečovať. V zákone sú tomu venované § 47 – 51 zákona, v nariadení sú to články 44 – 50.

4. Podľa § 37 ods. 2 písm. d) zákona, čl. 30 ods. 2 písm. d) nariadenia:

Do záznamu o všetkých kategóriách spracovateľských činností je potrebné uviesť aké technické a organizačné bezpečnostné opatrenia sa prijali, aby sa zabezpečilo, že spracúvanie osobných údajov bude bezpečné, chránené a aby nemohli byť zneužité. Je potrebné vychádzať z § 39 zákona, resp. z čl. 32 nariadenia, ktorý stanovuje najmä tieto opatrenia: pseudonymizácia a šifrovanie osobných údajov, zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov, proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu, proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov. Inými slovami môže ísť pri technických bezpečnostných opatreniach o zabezpečenie počítača antivírusom, zaheslovanie, v prípade listinnej podoby dokumentu, ktorý obsahuje osobné údaje to môže byť uzamykateľná skriňa, trezor, archív s bezpečnostným kódom. Pri organizačných opatreniach je to ľudský faktor, ktorý zabezpečí bezpečnosť spracúvania osobných údajov dotknutých osôb, napr. určená zodpovedná osoba, poučená oprávnená osoba. V prípade vypracovanej dokumentácie bezpečnosti osobných údajov je možné uviesť odkaz na takýto dokument.

 

 

Poznámka redakcie:

 čl. 30 ods. 2 Nariadenia (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov

 § 37 z. č. 18/2018 Z. z.  

Autor: Úrad na ochranu osobných údajov Slovenskej republiky

Prílohy

Súvisiace odborné články

Súvisiace dôvodové správy

Súvisiace príklady z praxe

Súvisiace vzory zmlúv a právnych podaní

Súvisiace právne predpisy ZZ SR


S-EPI, s.r.o. © 2010-2019, všetky práva vyhradené