Odpověď
Někdo jiný (fyzická nebo právnická osoba nebo jiný subjekt) může zpracovávat osobní údaje vaším jménem, pokud existuje smlouva nebo jiný právní akt. Je důležité, aby zpracovatel, kterého jmenujete, poskytl dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo normy obecného nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR) a aby byla zajištěna ochrana práv fyzických osob.
Jmenovaný zpracovatel následně nemůže jmenovat jiného zpracovatele bez vašeho předchozího, konkrétního nebo všeobecného písemného povolení. Smlouva nebo právní akt mezi vaší společností/organizací a zpracovatelem by měly zahrnovat následující ustanovení:
- zpracování může proběhnout pouze na základě doložených pokynů správce,
- zpracovatel dbá na to, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
- zpracovatel musí nabídnout minimální úroveň zabezpečení definovanou správcem,
- zpracovatel musí pomáhat se zajištěním souladu s GDPR.
Příklady
Stavební společnost k určitým stavebním pracím využívá subdodavatele a poskytuje mu kontaktní údaje klientů, u nichž je třeba stavební práce vykonat. Subdodavatel dále tyto údaje využívá k zasílání marketingových materiálů klientům. Subdodavatel v tomto případě dle GDPR nepůsobí pouze jako „zpracovatel“, protože pouze nezpracovává osobní údaje jménem stavební společnosti, ale také je dále zpracovává pro své vlastní účely. Subdodavatel proto působí jako „správce údajů“.
Jste maloobchodní společnost a rozhodnete se, že záložní verzi databáze klientů uložíte na cloudový server. Proto uzavřete smlouvu s poskytovatelem cloudu, který je známý svými normami v oblasti ochrany údajů a který také má certifikovaný systém šifrování údajů. Tento poskytovatel cloudu je vaším zpracovatelem, protože uložením osobních údajů vašich klientů na svých serverech bude vaším jménem zpracovávat osobní údaje.
Odkazy
Examples
A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’.
You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf.