Odpoveď
Niekto iný (fyzická alebo právnická osoba alebo iný orgán) môže spracúvať osobné údaje vo vašom mene, pokiaľ existuje zmluva alebo iný právny akt. Je dôležité, aby spracovateľ, ktorého ste vymenovali, poskytoval postačujúce záruky na vykonávanie vhodných technických a organizačných opatrení, aby sa zabezpečilo, že spracúvanie bude spĺňať normy všeobecného nariadenia o ochrane údajov (GDPR), a aby sa zaručila ochrana práv jednotlivcov.
Vymenovaný spracovateľ nemôže následne vymenovať iného spracovateľa bez vášho predchádzajúceho, konkrétneho alebo všeobecného písomného povolenia. Zmluva alebo právny akt medzi vašou spoločnosťou/organizáciou a spracovateľom by mali zahŕňať tieto prvky:
- spracovanie sa vykonáva len podľa zdokumentovaných pokynov prevádzkovateľa;
- spracovateľ zabezpečí, aby sa osoby, ktoré majú povolenie na spracúvanie osobných údajov, zaviazali k zachovaniu dôvernosti alebo aby sa na ne vzťahovala príslušná zákonná povinnosť zachovania dôvernosti;
- spracovateľ musí ponúknuť minimálnu úroveň ochrany vymedzenú prevádzkovateľom;
- spracovateľ musí pomáhať zabezpečiť súlad so všeobecným nariadením.
Príklady
Stavebná spoločnosť využíva subdodávateľa na určité stavebné práce a poskytne mu kontaktné údaje klientov, u ktorých je potrebné vykonať stavebné práce. Subdodávateľ následne použije údaje na zaslanie marketingových materiálov klientom. Subdodávateľ sa v tomto prípade nekvalifikuje ako jednoduchý „spracovateľ“ podľa všeobecného nariadenia, keďže subdodávateľ nielen spracúva osobné údaje v mene stavebnej spoločnosti, ale takisto ich následne spracúva na vlastné účely. Subdodávateľ teda koná ako „prevádzkovateľ“.
Ste maloobchodná spoločnosť, ktorá sa rozhodne uchovávať záložnú verziu vašej databázy klientov na cloudovom serveri. Na tento účel uzavriete zmluvu s poskytovateľom cloudu, ktorý je známy svojimi normami ochrany údajov a ktorý má aj certifikovaný systém šifrovania údajov. Poskytovateľ cloudu je váš spracovateľ, keďže uchovávaním osobných údajov vašich klientov na jeho serveroch bude spracúvať osobné údaje vo vašom mene.
Odkazy
Examples
A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’.
You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf.