European Data Protection Board prijal 02.09.2020 Usmernenie č. 07/2020 o koncepcii prevádzkovateľa a sprostredkovateľa podľa GDPR. Usmernenie je zatiaľ vo verzii č. 1, čo znamená, že ide o prvú verziu určenú na verejnú konzultáciu a pripomienkovanie. Na finálne znenie usmernenia si ešte budeme musieť chvíľu počkať.

Definícia prevádzkovateľa

Podľa GDPR prevádzkovateľ “je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu”.

Definícia sa skladá z nasledovných piatich blokov:

  1. fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt
  2. sám alebo spoločne s inými
  3. určovanie
  4. účelu alebo účelov a prostriedkov
  5. spracúvania osobných údajov

1.Prvá časť definície nám hovorí o tom, aký typ entity môže byť v postavení prevádzkovateľa. GDPR sa okrem právnických osôb, ktoré môžu mať rôznu právnu formu (spoločnosť s ručením obmedzeným, akciová spoločnosť, družstvo, občianske združenie, nadácia, obec alebo mesto, nezisková organizácia, politická strana, politické hnutie atď.) vzťahuje aj na spracúvanie, ktoré vykonávajú fyzické osoby – nepodnikatelia (môže ísť o jednotlivca alebo skupinu jednotlivcov) alebo fyzické osoby – podnikatelia. V prípade organizácii pôjde väčšinou o organizáciu ako celok a nie o jednotlivca v rámci organizácie ako napr. riaditeľ, zamestnanec alebo člen predstavenstva.

2. V rámci jedného spracúvania môže vystupovať niekoľko rozdielnych entít, ktoré vo vzťahu k danému spracúvaniu budú v postavení prevádzkovateľa. Podľa čl. 26 GDPR ak dvaja alebo viacerí prevádzkovatelia spoločne určia účely a prostriedky spracúvania, sú spoločnými prevádzkovateľmi a zároveň sú povinní transparentne určiť svoje príslušné zodpovednosti za plnenie povinností podľa GDPR. Podľa usmernenia organizácia môže byť považovaná za prevádzkovateľa aj v prípade, ak nevykonáva všetky rozhodnutia o účeloch a prostriedkoch spracúvania.

3. Prevádzkovateľ je entita, ktorá má vplyv na spracúvanie tým, že vykonáva svoju rozhodovaciu právomoc a rozhoduje o niektorých kľúčových prvkoch spracúvania. Postavenie prevádzkovateľa môže vyplývať z právneho predpisu alebo môže vyplývať z analýzy faktických prvkov a okolností prípadu. Pri určení prevádzkovateľa je potrebné pozrieť sa na konkrétne spracovateľské operácie a pýtať sa otázky ako: “prečo sa dané spracúvanie uskutočňuje?” a “kto rozhodol o tom, že sa dané spracúvanie bude vykonávať na konkrétny účel?”.

4. Definícia pojmu “účel” a “prostriedok” sa v GDPR ani v zákone č. 18/2018 Z. z. o ochrane osobných údajov nenachádza. Starší zákon č. 122/2013 Z. z. o ochrane osobných údajov definíciou pojmu účel obsahoval: “účelom spracúvania osobných údajov vopred jednoznačne vymedzený alebo ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť”. Usmernenie uvádza, že za účel je možné považovať: očakávaný výsledok, ktorý je zamýšľaný alebo ktorý usmerňuje plánovanú činnosť. Pojem “prostriedky” znamená: ako je výsledok alebo cieľ dosiahnutý.

Konkrétna entita sa nachádza v postavení prevádzkovateľa len vtedy, ak rozhodla o účeloch a prostriedkoch spracúvania zároveň. Nie je možné, aby prevádzkovateľ rozhodol len o účele spracúvania, vždy musí zároveň rozhodnúť aj o prostriedkoch spracúvania. A naopak, entita, ktorá má byť v postavení sprostredkovateľa, nikdy nemôže určiť účel spracúvania. V prípade, ak by sprostredkovateľ v rámci konkrétneho spracúvania určil účely a prostriedky spracúvania v súvislosti s daným spracúvaním by bol považovaný za prevádzkovateľa.

Podľa usmernenia rozhodnutie o účele spracúvania musí vždy určiť prevádzkovateľ, ale pri určovaní prostriedkov spracúvania je potrebné rozlišovať medzi podstatnými a nepodstatnými prostriedkami (essential and non-essential means). Podstatné prostriedky sa vzťahujú na účel a rozsah spracúvania, pričom sú inherentne vyhradené pre prevádzkovateľa. Môže ísť o typ osobných údajov, doba spracúvania, kategórie príjemcov alebo kategórie dotknutých osôb. Nepodstatné prostriedky môže určiť aj sprostredkovateľ, pričom ide o viac praktické aspekty implementácie ako výber konkrétneho typu hardvéru alebo softvéru alebo konkrétnych bezpečnostných opatrení.

5. Spracúvanie podľa GDPR je “operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami”. GDPR exemplifikatívne uvádza niektoré typy spracovateľských operácií:

  • získavanie
  • zaznamenávanie
  • usporadúvanie
  • štruktúrovanie
  • uchovávanie
  • prepracúvanie alebo zmena
  • vyhľadávanie
  • prehliadanie
  • využívanie
  • poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom
  • preskupovanie alebo kombinovanie
  • obmedzenie
  • vymazanie alebo likvidácia.

Prevádzkovateľ môže vykonávať jednu spracovateľskú operáciu, viacero spracovateľských operácií alebo môže vykonávať kontrolu nad celkom spracovateľských činností alebo jeho kontrola môže byť obmedzená len na čiastočne štádium spracúvania v rámci nejakého procesu.

Pojem prevádzkovateľ sa vzťahuje k spracúvaniu osobných údajov. Ak nejaká entita nespracúva osobné údaje, nebude v postavení prevádzkovateľa. Podľa usmernenia nie je nevyhnutné, aby prevádzkovateľ mal aj prístup k údajom, ktoré sú spracúvané. Spracúvanie môže vykonávať sprostredkovateľ prostredníctvom outsourcing-u a prevádzkovateľ napriek tomu, že nemá k údajom prístup, je považovaný za prevádzkovateľa, pretože vykonáva vplyv nad určením účelov a prostriedkov spracúvania.

Definícia sprostredkovateľa

Určenie sprostredkovateľa býva v praxi náročnejšie ako určenie prevádzkovateľa alebo spoločného prevádzkovateľa. GDPR definuje sprostredkovateľa ako “fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa”. V postavení sprostredkovateľa môžu vystupovať rôzne entity – môže ísť o organizáciu alebo aj o jednotlivca. Konkrétne spracúvanie môže zahŕňať viacerých sprostredkovateľov, napr. rôzni sprostredkovatelia môžu spracúvať údaje v rôznych fázach spracúvania, ale je možné, že sprostredkovateľ so súhlasom prevádzkovateľa zapojí do spracúvania ďalšieho alebo ďalších sprostredkovateľov (sub-sprostredkovateľ).

Podľa usmernenia sú dve základné kvalifikačné podmienky sprostredkovateľa:

  • je entitou odlišnou od prevádzkovateľa
  • spracúva osobné údaje v mene prevádzkovateľa (on the controller’s behalf)

Odlišná entita znamená, že prevádzkovateľ sa rozhodol delegovať všetky alebo len niektoré spracovateľské činnosti externej organizácii. Naopak, ak sa prevádzkovateľ rozhodne, že bude spracúvať údaje sám s použitím svojich vlastných zdrojov a v rámci svojej organizácie, napr. prostredníctvom svojich zamestnancov, nepôjde o spracúvanie zo zapojením sprostredkovateľa. Zamestnanci a iné osoby, ktoré konajú na základe pokynov prevádzkovateľa, nie sú v postavení sprostredkovateľov, pretože spracúvajú osobné údaje v rámci prevádzkovateľa. V tomto prípade ide o spracúvanie na základe poverenia prevádzkovateľa podľa čl. 29 GDPR.

V prípade sprostredkovania ide o situáciu, v rámci ktorej entita odlišná od prevádzkovateľa spracúva osobné údaje v prospech prevádzkovateľa. Konanie “v mene” znamená, že sprostredkovateľ sleduje záujem niekoho iného a poukazuje na právny koncept “zastúpenia”. Podľa § 22 Občianskeho zákonníka “Zástupcom je ten, kto je oprávnený konať za iného v jeho mene. Zo zastúpenia vznikajú práva a povinnosti priamo zastúpenému.”. Podľa právnych predpisov na ochranu osobných údajov sprostredkovateľ je povinný implementovať pokyny prevádzkovateľa minimálne vo vzťahu k účelu spracúvania a podstatných prostriedkov spracúvania. To nebráni tomu, aby sprostredkovateľ v rámci prevádzkovateľových pokynov sám rozhodol o technických a organizačných prostriedkoch spracúvania. Nesmie však prekročiť inštrukcie prevádzkovateľa a sám určiť vlastný účel a prostriedky spracúvania, čim by porušil GDPR a zároveň by bol považovaný za prevádzkovateľa vo vzťahu k vymedzenému účelu spracúvania.

V praxi je pri posudzovaní sprostredkovateľa dôležité prihliadať nie na povahu entity (nature of the entity), ktorá spracúva údaje, ale na konkrétnu činnosť v špecifickom kontexte. Povaha poskytovanej služby je určujúca pre posúdenie, či dochádza k spracúvaniu v mene prevádzkovateľa. Vždy je potrebné každú situáciu individuálne posudzovať a analyzovať akú mieru vplyvu má konkrétna entita na určovanie účelov a prostriedkov spracúvania.