Čo znamená § 34 – Poverenie sprostredkovateľa spracúvaním údajov

Jednoduché vysvetlenie z: Zákon o ochrane osobných údajov (zákon č. 18/2018 Z.z.)

Sledovať zmeny
Panel nástrojov

§ 34 – Poverenie sprostredkovateľa spracúvaním údajov

Trvalý odkaz
Jednoducho
(1)
Ak niekto spracúva údaje za vás, vyberte si sprostredkovateľa, ktorý zaručí ich bezpečnosť. Na takéto poverenie nepotrebujete súhlas dotknutej osoby.
(2)
Sprostredkovateľ nemôže dať údaje ďalšiemu sprostredkovateľovi bez vášho písomného súhlasu. Ak máte všeobecný súhlas, musí vás vopred informovať.
(3)
So sprostredkovateľom musíte mať zmluvu o tom, čo, ako a dokedy bude spracúvať. V zmluve musí byť najmä:
a)
Sprostredkovateľ pracuje len podľa vašich písomných pokynov. Ak ide o prenos do zahraničia, oznámi vám to vopred, pokiaľ to zákon nezakazuje.
b)
Zabezpečí, aby ľudia čo pracujú s údajmi, dodržiavali mlčanlivosť.
c)
Použije bezpečnostné opatrenia podľa § 39.
d)
Dodrží pravidlá pre zapojenie ďalšieho sprostredkovateľa.
e)
Pomôže vám vybaviť žiadosti ľudí o ich údaje.
f)
Pomôže vám plniť povinnosti podľa § 39 až 43.
g)
Po skončení spolupráce vymaže údaje alebo vám ich vráti. Zmaže aj kópie, ak to zákon nevyžaduje inak.
h)
Po skončení spolupráce vymaže údaje alebo vám ich vráti. Zmaže aj kópie, ak to zákon nevyžaduje inak.
i)
Dá vám informácie pre kontrolu a pomôže pri audite.
(4)
Ak sprostredkovateľ zistí, že vaše pokyny porušujú zákon, musí vám to povedať bez zbytočného odkladu.
(5)
Ak sprostredkovateľ zapojí ďalšieho sprostredkovateľa, musí mu dať rovnaké povinnosti. Za chyby tohto ďalšieho zodpovedá stále ten prvý.
(6)
Sprostredkovateľ môže dokázať svoju spoľahlivosť certifikátom alebo kódexom správania podľa § 85 a 86.
(7)
Zmluva musí byť uzatvorená písomne alebo elektronicky.
(8)
Ak sprostredkovateľ sám určí, načo a ako sa údaje spracujú, stáva sa prevádzkovateľom. To neovplyvňuje ustanovenia § 38 a § 104 až 106.
Originál
(1)
Ak sa má spracúvanie osobných údajov uskutočniť v mene prevádzkovateľa, prevádzkovateľ môže poveriť len sprostredkovateľa, ktorý poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona a aby sa zabezpečila ochrana práv dotknutej osoby. Na poverenie sprostredkovateľa spracúvaním osobných údajov podľa prvej vety sa súhlas dotknutej osoby nevyžaduje.
(2)
Sprostredkovateľ nesmie poveriť spracúvaním osobných údajov ďalšieho sprostredkovateľa bez predchádzajúceho osobitného písomného súhlasu prevádzkovateľa alebo všeobecného písomného súhlasu prevádzkovateľa. Sprostredkovateľ je povinný vopred informovať prevádzkovateľa o poverení ďalšieho sprostredkovateľa, ak sa poverenie vykonalo na základe všeobecného písomného súhlasu.
(3)
Spracúvanie osobných údajov sprostredkovateľom sa riadi zmluvou alebo iným právnym úkonom, ktorý zaväzuje sprostredkovateľa voči prevádzkovateľovi a v ktorom je ustanovený predmet a doba spracúvania, povaha a účel spracúvania, zoznam alebo rozsah osobných údajov, kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. V zmluve alebo inom právnom úkone sa musí najmä ustanoviť, že sprostredkovateľ je povinný
a)
spracúvať osobné údaje len na základe písomných pokynov prevádzkovateľa, a to aj vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii okrem prenosu na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná; sprostredkovateľ je pri takom prenose povinný oznámiť prevádzkovateľovi túto požiadavku pred spracúvaním osobných údajov, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, takéto oznámenie nezakazuje z dôvodov verejného záujmu,
b)
zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú mlčanlivosť o informáciách, o ktorých sa dozvedeli, ak nie sú viazané povinnosťou mlčanlivosti podľa osobitného zákona, 15 )
c)
vykonať opatrenia podľa § 39 ,
d)
dodržiavať podmienky zapojenia ďalšieho sprostredkovateľa podľa odsekov 2 a 5,
e)
po zohľadnení povahy spracúvania osobných údajov v čo najväčšej miere poskytnúť súčinnosť prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti prijímať opatrenia na základe žiadosti dotknutej osoby podľa druhej časti druhej hlavy,
f)
poskytnúť súčinnosť prevádzkovateľovi pri zabezpečovaní plnenia povinností podľa § 39 až 43 s prihliadnutím na povahu spracúvania osobných údajov a informácie dostupné sprostredkovateľovi,
g)
vymazať osobné údaje alebo vrátiť prevádzkovateľovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov,
h)
po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa osobné údaje vymazať alebo vrátiť prevádzkovateľovi a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov,
i)
poskytnúť prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany prevádzkovateľa alebo audítora, ktorého poveril prevádzkovateľ.
(4)
Sprostredkovateľ je povinný bez zbytočného odkladu informovať prevádzkovateľa, ak má za to, že sa pokynom prevádzkovateľa porušuje tento zákon, osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, ktoré sa týkajú ochrany osobných údajov.
(5)
Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi v zmluve alebo inom právnom úkone je povinný uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov, ako sú ustanovené v zmluve alebo v inom právnom úkone medzi prevádzkovateľom a sprostredkovateľom podľa odseku 3, a to najmä poskytnutie dostatočných záruk na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona. Zodpovednosť voči prevádzkovateľovi nesie pôvodný sprostredkovateľ, ak ďalší sprostredkovateľ nesplní svoje povinnosti týkajúce sa ochrany osobných údajov.
(6)
Sprostredkovateľ môže preukázať splnenie dostatočných záruk uvedených v odsekoch 1 a 5 schváleným kódexom správania podľa § 85 alebo certifikátom podľa § 86 .
(7)
Zmluva alebo iný právny úkon podľa odsekov 3 a 5 sa musí uzatvoriť v listinnej podobe alebo elektronickej podobe.
(8)
Sprostredkovateľ, ktorý porušil tento zákon tým, že určí účel a prostriedky spracúvania osobných údajov, sa považuje v súvislosti s týmto spracúvaním osobných údajov za prevádzkovateľa; ustanovenie § 38 a § 104 až 106 tým nie je dotknuté.