Prevádzkovateľ vs Sprostredkovateľ - aký je medzi nimi rozdiel?

07.03.2019

Absolútnym základom, ktorý by mali ovládať živnostníci a podnikatelia, je znalosť toho, aké povinnosti a zodpovednosti má konkrétny subjekt v určitej situácii. Vedieť takpovediac "kto je kto" je v každom obchodno-právnom vzťahu rozhodujúce. Pokiaľ ide o nariadenie GDPR, znalosť toho, v akej pozícii vystupujete, vám pomôže zorientovať sa v tom, aké sú vaše práva a povinnosti týkajúce sa zberu, uchovávania a spracúvania osobných údajov. Inými slovami, poznať rozdiel medzi prevádzkovateľom a sprostredkovateľom, je rozhodujúcim faktorom pri nastavovaní vnútrofiremných aj vonkajších procesov tak, aby bol zabezpečený súlad s európskym nariadením. GDPR stanovuje povinnosti aj obmedzenia pri spracúvaní osobných údajov, aj to, kto nesie ťarchu zodpovednosti.

Kto je prevádzkovateľ?

Prevádzkovateľ osobných údajov je ústredným subjektom, pokiaľ ide o ochranu práv dotknutej osoby (fyzickej osoby, ktorej údaje sa spracúvajú). Prevádzkovateľ sám alebo spoločne s inými určuje účely a prostriedky spracúvania osobných údajov - čiže "prečo a ako má byť nakladané" s osobnými údajmi.

Prevádzkovateľ môže spracúvať osobné údaje vlastnými prostriedkami. Môžu však nastať situácie, keď prevádzkovateľ na spracovanie údajov poverí aj nejakého toho externistu - ako jeden z častých príkladov môžeme uviesť účtovníka z externej účtovníckej firmy. V tomto prípade prevádzkovateľ údajov umožňuje tejto firme spracúvať údaje, ktoré jej poskytol (napr. údaje o zamestnancoch, ak ide o mzdovú agendu). Musí však presne určiť, aké údaje, za akým účelom a akým spôsobom bude účtovník spracúvať. Poverený účtovník sa potom musí týmito pravidlami riadiť. Dostáva sa tým do pozície sprostredkovateľa osobných údajov.

Kto je sprostredkovateľ?

Sprostredkovateľom osobných údajov je teda náš účtovník z príklad uvedeného vyššie. Dôležité je tu pritom to, že sprostredkovateľ osobných údajov, síce disponuje údajmi od prevádzkovateľa, ale nemá nad nimi priamu kontrolu, ani nemôže meniť účel a prostriedky spracúvania. Údaje spracúva takpovediac výhradne podľa poverenia  a pokynov prevádzkovateľa, v jeho mene a na stanovený účel - v tomto prípade spracovanie miezd zamestnancov. Sprostredkovateľ je teda v tomto smere limitovaný prevádzkovateľom.

Aký je teda rozdiel medzi prevádzkovateľom a sprostredkovateľom? Z hľadiska GDPR obaja nesú vysokú mieru zodpovednosti a berú na seba riziko porušenia ochrany osobných údajov, ktoré môže mať vplyv na práva a slobody dotknutých osôb. Ak chceme definovať, či je vaša spoločnosť prevádzkovateľom osobných údajov, rozhodujúci je fakt, či určila účely a prostriedky spracúvania osobných údajov, nie len to, či ich reálne spracúva. Firma, ktorá údaje síce spracúva, ale na základe poverenia inej firmy (sprostredkovateľskej zmluvy), v ktorom sú pre ňu jasne určené pravidlá "čo, o kom, prečo a ako", je sprostredkovateľom.

Prečo je tento rozdiel taký dôležitý?

V ideálnom svete by prevádzkovateľ a sprostredkovateľ osobných údajov presne poznali svoje úlohy a kompetencie a komunikácia medzi nimi by bola bezproblémová. Bohužiaľ, skutočný svet má ďaleko k dokonalosti, a preto nariadenie GDPR vytvára rámec a úlohy v prípade, že sa objavia problémy.

Bežným príkladom, v ktorom je určenie a rozdelenie úloh kľúčové, je porušenie ochrany údajov (napr. strata, únik atď.). V takom prípade musia spoločnosti, ktoré boli dotknuté porušením, zabezpečiť, aby všetci zo svojej konkrétnej pozície konali v súlade s ich zodpovednosťou.

Čo to v praxi znamená?

Vo svete obchodu je dôležité pochopiť, že takmer všetky podniky zadávajú časť spracovateľských operácií externému sprostredkovateľovi údajov. Biznis bez outsourcovania dnes už prakticky nemôže fungovať. Prevádzkovateľ osobných údajov musí zabezpečiť, aby si boli sprostredkovatelia vedomí svojich záväzkov v súvislosti s GDPR.

Je nevyhnutné zabezpečiť, aby existovala jasná a špecifická dohoda o spracovaní údajov (tzv. sprostredkovateľská zmluva) pred odovzdaním spracúvania osobných údajov tretej strane. Jednoducho povedané, písomné rozdelenie kompetencií a zodpovedností. Písomné "pravidlá hry", ktoré určuje výhradne prevádzkovateľ. A sprostredkovateľ je povinný sa nimi riadiť.

Prevádzkovateľ a sprostredkovateľ zároveň? Spoloční prevádzkovatelia?

No a keďže dnešná ekonomika je špecializovaná a outsourcing je slovo, ktoré netreba snáď nikomu, kto podniká vysvetľovať, v praxi sa bežne stáva, že vaša firma môže byť reálne prevádzkovateľom a zároveň aj sprostredkovateľom osobných údajov.

Asi chcete príklad, tak teda: zoberme si našu účtovnícku firmu, o ktorej sme hovorili. Keď spracúva údaje svojich klientov (napríklad firiem, ktorým robí mzdové účtovníctvo), je jasným sprostredkovateľom osobných údajov. Táto účtovnícka firma je napríklad s. r. o.-čka s 15 zamestnancami (účtovníci + nejaký ten nadriadený). Pri svojej činnosti spracúva aj osobné údaje svojich zamestnancov pre pracovno-právne účely. Z tejto pozície vystupuje ako prevádzkovateľ osobných údajov.

GDPR dokonca zaktovuje aj možnosť existencie spoločných prevádzkovateľov. To sa môže stať, ak si dvaja alebo viacerí prevádzkovatelia spoločne určia účely a prostriedky spracúvania. Transparentne určia svoje príslušné zodpovednosti za plnenie povinností podľa GDPR, najmä pokiaľ ide o vykonávanie práv dotknutej osoby, a svoje povinnosti poskytovať dotknutej osobe informácie pri získavaní osobných údajov od nej (uvedené v článkoch 13 a 14 nariadenia), a to formou vzájomnej dohody. V dohode sa môže určiť kontaktné miesto pre dotknuté osoby.

Niekedy nastávajú situácie, keď nie je pre laika celkom jasné, v akej pozícii stojí a ako má vystupovať. Pravda je taká, že často sa jednotlivé role u firiem vzájomne "prelínajú". Preto je veľmi dôležité zistiť pri profesionálnom audite, aké sú toky údajov do firmy, v rámci nej a smerom von z nej. Až na základe toho sa dá určiť, kto a hlavne kedy (za akých okolností a podmienok) je prevádzkovateľom či sprostredkovateľom. Podľa toho sa potom nastavujú spracovateľské procesy, poverenia, zmluvy a všetka ostatná potrebná dokumentácia.

Ak si so spleťou paragrafov, ktoré sa nachádzajú v samotnom nariadení GDPR, ale aj v relatívne mladom slovenskom Zákone č. 18/2018 Z. z. o ochrane osobných údajov, neviete rady, neobávajte sa zveriť riešenie do rúk odborníkom. Venujte sa svojmu biznisu, tomu, čo viete a robíte s radosťou a "outsourcujte" GDPR audit a implementáciu opatrení pre súlad s GDPR. Pri zohľadnení času, ktorý by vám štúdium celej problematiky a samotný audit či implementácia trvali, ide rozhodne o rozumnú investíciu.

Bc. Rastislav Teplánský