Odpověď
Správce údajů určuje účely, pro něž se osobní údaje zpracovávají, a také příslušné prostředky. Pokud tedy vaše společnost/organizace určí, „proč“ a „jak“ by se osobní údaje měly zpracovávat, je správcem údajů. Zaměstnanci zpracovávající osobní údaje v rámci vaší organizace tak činí s cílem splnit vaše úkoly jakožto správce údajů.
Vaše společnost/organizace je společný správce, když společně s jednou nebo více organizacemi určuje, „proč“ a „jak“ by se osobní údaje měly zpracovávat. Společní správci musí ujednat, jaké budou jejich příslušné povinnosti při dodržování pravidel GDPR. Hlavní aspekty ujednání musí být sděleny fyzickým osobám, jejichž údaje se zpracovávají.
Zpracovatel údajů zpracovává osobní údaje pouze jménem správce. Zpracovatel údajů je obvykle třetí strana nezávislá na společnosti. Nicméně v případě skupiny podniků může jeden podnik působit jako zpracovatel údajů pro jiný podnik.
Povinnosti zpracovatele vůči správci musí být konkretizovány ve smlouvě nebo jiném právním aktu. Smlouva musí například uvádět, co se s osobními údaji stane po ukončení smlouvy. Typickou činností zpracovatelů je nabídka IT řešení včetně cloudového úložiště. Zpracovatel údajů může část svého úkolu předat jinému zpracovateli jakožto subdodávku nebo jmenovat společného zpracovatele, pouze pokud od správce údajů obdržel předchozí povolení.
Existují situace, kdy je určitý subjekt správcem údajů nebo zpracovatelem údajů nebo plní obě role.
Příklady
Správce a zpracovatel
Pivovar má mnoho zaměstnanců. Podepíše smlouvu se společností, která poskytuje služby mzdového účetnictví. Díky tomu pivovar může vyplácet mzdy. Pivovar sdělí mzdové firmě, kdy by se mzdy měly vyplácet, kdy nějaký zaměstnanec odejde nebo dostane přidáno, a poskytuje všechny ostatní údaje nutné pro výplatní pásky a platby. Mzdová firma poskytuje IT systém a ukládá osobní údaje zaměstnanců. Pivovar je správcem údajů a mzdová firma je zpracovatelem údajů.
Společní správci
Vaše společnost/organizace prostřednictvím online platformy nabízí hlídání dětí. Vaše společnost/organizace má zároveň smlouvu s jinou společností, která vám umožňuje poskytovat služby s přidanou hodnotou. Tyto služby rodičům umožňují nejen zvolit si opatrovnici či opatrovníka na hlídání dětí, ale také si pronajmout hry a DVD, které opatrovnice či opatrovník mohou přinést. Obě společnosti se podílejí na technickém nastavení webu. V tomto případě se obě společnosti rozhodly používat platformu pro oba účely (hlídání dětí a půjčování DVD/her) a velmi často budou sdílet jména klientů. Obě společnosti jsou tudíž společnými správci, protože nejenže se shodují na nabízení možnosti „kombinovaných služeb“, ale také navrhují a používají společnou platformu.
Odkazy
Examples
Controller and processor
A brewery has many employees. It signs a contract with a payroll company to pay the wages. The brewery tells the payroll company when the wages should be paid, when an employee leaves or has a pay rise, and provides all other details for the salary slip and payment. The payroll company provides the IT system and stores the employees’ data. The brewery is the data controller and the payroll company is the data processor.
Joint controllers
Your company/organisation offers babysitting services via an online platform. At the same time your company/organisation has a contract with another company allowing you to offer value-added services. Those services include the possibility for parents not only to choose the babysitter but also to rent games and DVDs that the babysitter can bring. Both companies are involved in the technical set-up of the website. In that case, the two companies have decided to use the platform for both purposes (babysitting services and DVD/games rental) and will very often share clients’ names. Therefore, the two companies are joint controllers because not only do they agree to offer the possibility of ‘combined services’ but they also design and use a common platform.