Nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov/GDPR - Veľký komentár - 2. zväzok

Ochranafyzických osôb pri spracúvaní

Veľkýkomentár osobných údajov/GDPR

Mgr. Irena Hudecová, Mgr. Anna Cyprichová, Ing. Ivan Makatura a kolektív NARIADENIE O

Strach zo zmeny je nepriateľom úspechu.

Bhagwan Maurya

Nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov/GDPR

2. zväzok, 2. aktualizované vydanie

© autori: Mgr. Irena Hudecová, Mgr. Anna Cyprichová, Ing. Ivan Makatura a kolektív

2. vydanie komentára aktualizované k polovici februára 2020

Žilina, august 2020

ISBN978-80-8155-095-9

www.eurokodex.sk

Milí čitatelia, dňa25.mája2018sazačalouplatňovaťNariadenieoochranefyzickýchosôbprispracúvaní osobnýchúdajovznámeajpodskratkouGDPR.Časy,kedysmebolizvyknutínato,že„nás“satýkajúibaslovensképrávnepredpisy,sastaliminulosťou.NariadenieakoprávnyaktEÚmávšeobecnú platnosť,jezáväznévosvojejcelistvostiapriamouplatniteľnévovšetkýchčlenskýchštátochEÚ. Svojou podstatoupredstavujeprávnunormusvyššouprávnousilouakozákonySlovenskejrepubliky. Nariadeniepredstavujebezpochybyjedenzkľúčovýchpredpisovprevšetkysubjektypôsobiace vEurópskejúniialebozacielenénatrhEurópskejúnie.Jehocieľomjevrátiťdotknutýmosobám kontrolunadspracúvanímichosobnýchúdajovaodstrániťprekážkyvoľnéhopohybuosobných údajovvEÚ.Zavádzanielenharmonizovanépravidláochranyosobnýchúdajov,aleajmožnosťdozornýchorgánovukladaťvysoképokuty,ktorébolivoväčšineprípadovpríčinoutoľkéhozáujmuvenovanému tejto novej právnej úprave.

DosahNariadeniajeobrovský.Bezakéhokoľvekpreháňaniamôžemepovedať,žetentoprávny aktEÚsavzťahujetakmernakaždého.Anemámtýmnamysliibaveľkékorporáciečifinančnéinštitúcie,telekomunikačnýchoperátorov,dodávateľovenergiíčinemocnice.Aplikujesaajnalekárov, psychológov,advokátov,notárov,exekútorov,súdy,ministerstvá,obceamestá,školy,škôlky, lekárne,e-shopy,cestovnékancelárie,personálneagentúry,účtovníkov,mzdárov,SBS,reklamné agentúryamnohoďalšíchpodnikateľovzoblastivýrobyčislužieb.Výnimkouniesúanineziskové subjekty, politické strany či cirkvi. Veď kto dnes už len nespracúva osobné údaje?

NariadenievychádzazpravidielobsiahnutýchvSmernicioochraneosobnýchúdajov,ktorábola základomprávnejúpravyochranyosobnýchúdajovvyše22rokov.Tietopravidlásúvoviacerých smerochpodrobnejšierozpracované,zohľadňujúcdoterajšienázorypracovnejskupinyWP29,ako ajpostojeavyjadreniaSúdnehodvoraEÚčiEurópskehosúdupreľudsképráva.Napriektomusa všakmnohýmzvásnováprávnaúpravaspájasradomnezodpovedanýchotázok,atoinapriekskutočnosti,žeNariadeniubolavposlednýchdvochrokochvenovanánepretržitápozornosťvmédiách, na rôznych odborných fórach i konferenciách.

ScieľomobjasniťzmyselapodstatupravidielochranyosobnýchúdajovobsiahnutýchvNariadeníatýmvámpomôcťnastaviťichsprávnuaplikáciuvpraxismepreváspripravilitentopodrobnýkomentár.Komentárjejedinečnýmzhrnutímnázorov,rádadlhoročnýchpraktickýchskúsenostíštyrochodborníkovzÚradunaochranuosobnýchúdajovSRspolusodborníkmizkomerčnéhoprostrediašpecializujúcimisanaochranuosobnýchúdajov,bezpečnosťinformačnýchsystémov a zastupovanie klientov v súvisiacich správnych a súdnych konaniach.

Komentárvámponúkaodbornýapraktickýpohľadnavšetkydôležitévýkladovéajaplikačné problémy:

vysvetľujesledovanýcieľaúčelNariadenia,postupypresprávneurčenieprávnehozákladuspracúvania,plneniepovinnostíprevádzkovateľovasprostredkovateľovvrátaneuplatneniacertifikačných mechanizmov a kódexov správania, obsahujepraktickústránkuzabezpečeniasúladuspracúvaniaosobnýchúdajovsNariadením, postupprevádzkovateľovprizískavanísúhlasudotknutýchosôb(vprípadoch,keďjepotrebný), pri uplatnení existujúcich alebo nových práv dotknutých osôb, kontroladodržiavaniaNariadeniavrátanepravidielvzťahujúcichsanaukladaniesankciíjepodrobne rozobraná odborníkmi z Úradu na ochranu osobných údajov SR s dlhoročnou praxou, bezpečnostnýmopatreniamaochraneinformačnýchsystémovsavenujedlhoročnýexpert a súdny znalec pre odvetvie bezpečnosti a ochrany informačných systémov, podmienkyprenosovosobnýchúdajovmimokrajínEÚ,vzájomnývzťahprávanaochranu osobnýchúdajovsprávomnasloboduprejavu,správomnaprístupverejnostikúradným

dokumentom,správamizamestnancovprispracúvaníichosobnýchúdajovalebozáväzkom profesijnejmlčanlivostispolusprostriedkamisprávnejasúdnejnápravyjevysvetlenýadvokátkouzrenomovanejadvokátskejkancelárieG.Lehnert,k.s.,sdlhoročnýmiskúsenosťamisposkytovaním poradenstva klientom v týchto oblastiach.

Vsnahečonajviacreagovaťnaprakticképroblémysmedokomentárazahrnuliajvyše150názornýchpríkladova150relevantnýchzáverovzjudikatúrySúdnehodvoraEÚčiEurópskehosúdu preľudsképráva.Prijehotvorbesmezohľadňovaliajvšetkynajnovšiestanoviskápracovnejskupiny WP29.

Mojanesmiernavďakapatrívšetkýmspoluautorom,ktorínapriekhektickémuobdobiu,ktoré spríchodomNariadeniaprežívali,venovalidielumaximumsvojhočasuapozornosti.Špeciálneby somchcelapoďakovaťAničkeCyprichovejzajejčas,neúnavnúenergiu,prístupanesmiernehladkú aefektívnuspoluprácu.Toutocestoubysomradavyjadrilasvojepoďakovanieajcelémutímuľudí zvydavateľstva,ktorírobilivšetkopreto,abysakomentárdostalčonajskôrkvám.Osobitnépoďakovaniepatrínašimrodinám,rodičom,manželom,manželkám,priateľomadeťom,ktorínáspri tvorbe tak vytrvalo podporovali.

Komentárbolpísanýprevásvšetkých,čiužstevpozíciiosobypodieľajúcejsanaimplementácii Nariadenia u prevádzkovateľa či sprostredkovateľa, alebo v role dotknutej osoby, ktorá má záujem dozvedieťsaviacosvojichprávach.Pretožekaždýznássavsúkromnomživotestávamesúčasťou procesu,vktoromsúonásspracúvanénajrozličnejšie,častoveľmicitlivéosobnéúdaje.Jeprospešnéaužitočnépoznaťsvojeprávaanastaviťsimantinelyzásahovdosvojhosúkromiatam,kdejeto možné,nazákladevlastnéhouváženéhorozhodnutia.Vneposlednomradetentokomentárslúžiaj akosprievodcapretých,ktorísúmožnozmätenímnožstvomčastoprotichodnýchaleboajnesprávnych informácií a mýtov o Nariadení a jeho dôsledkoch.

NazáverbysomvámvšetkýmchcelazaželaťveľašťastiapriimplementovaníauplatňovaníjednotlivýchpožiadaviekNariadenia.Nariadenieprichádzasozmysluplnoumyšlienkouchrániťsúkromie nás všetkých. Do akej miery sa mu to podarí, závisí od každého z nás.

Predslov k 2. vydaniu

Milí čitatelia, oslovujemevástakmerpo2rokochodvydaniaprvéhokomentára,ktorýbolvpriebehurokavypredaný.Veľminástešívášzáujemonašupublikáciuanesmiernesivážimedôveru,ktorúnámtýmvyjadrujete.Otoväčšiusnahuamotiváciusmemalirozšíriťkomentároďalšieinformácie,ktoréby vám mohli pomôcť pri riešení vašich konkrétnych situácií.

Vprvomvydanísmesasnažilipriblížiťvámrozdiely,ktoréNariadenieprinášavporovnanísdovtedyplatnýmipredpismivoblastiochranyosobnýchúdajov,vysvetliťvámnaševnímaniejednotlivýchustanovení,ktorésmeprelepšiepochopeniedoplniliviacako150praktickýmiprípadmiavýňatkamirelevantnejjudikatúry.Našímhlavnýmcieľompripísanídruhéhovydaniabolovytvoriťpre váskomplexnýkomentár,ktorýbudejedinečnýmzhrnutímnašichznalostíaskúsenostísaplikáciouNariadenia,akoajpostojov,názorovavyjadrenítýchnajdôležitejšíchinštitúcií,ktorýchrozhodnutiaausmerneniazásadnýmspôsobomprispievajúkvýkladujednotlivýchustanoveníNariadenia.Vtomtovydaníkomentárasúpretozapracovanérelevantné stanoviskáEurópskehovýboru preochranuúdajov,judikatúraSúdnehodvoraEÚaEurópskehosúdupreľudsképráva kproblematikeochranyosobnýchúdajov,akoajnajnovšie rozhodnutiadozornýchorgánov.Relevantné záveryuvedenýchsúdovsúpritompreväčšiuprehľadnosťspracovanévtextesamotnéhokomentára,zatiaľčovčastijudikatúrysúprijednotlivomčlánkuNariadeniauvedenéibavybranéustanovenia rozsudku relevantné vo vzťahu k problematike posudzovanej v danom článku.

Poviacako2rokochuplatňovaniapredpisuvoviacako29štátochsmesasnažilipomôcťnám všetkýmzodpovedaťotázku,aképrípadyvnímajúdozornéorgányjednotlivýchčlenskýchkrajín akoporušenieNariadeniaaaké sankcie,resp. správnepokuty ukladajú.Dodruhéhovydaniakomentárasmedoplniliaj prehľadnýzoznamvšetkýchzverejnenýchblacklistovanávrhovwhite listov,ktorýnielenodzrkadľujepohľadpríslušnéhodozornéhoorgánunarizikovosťdanejspracovateľskejoperácie,alemôžebyťužitočnoupomôckouajprevásvprípadochposudzovaniavašejpovinnosti vykonať posúdenie vplyvu na ochranu údajov.

Právonaochranuosobnýchúdajovniejeabsolútnymprávom.Vpraxisačastodostávadokonfliktusinými,vdemokratickejspoločnostirešpektovanýmiprávami,akonapr.slobodouprejavu aprávomnainformácie,právomverejnostinaprístupkúradnýmdokumentom.Právonaochranu osobnýchúdajovrovnakozohrávaveľmivýznamnúúlohuvoblastizamestnania,kdejepotrebné vybalansovaťnajednejstranesnahuzamestnávateľačonajviacmonitorovaťsvojhozamestnanca správomzamestnancanarešpektovaniejehosúkromnéhoživotaakorešpondencie.Scieľompomôcťvámsprávnenastaviťstretyuvedenýchprávaobjasniťmantinelyprípustnéhozásahudopráva naochranuosobnýchúdajov,smenašeodporúčaniadoplniliopodrobnespracovanénajvýznamnejšie rozhodnutia, ktoré v tomto smere Súdny dvor EÚ a Európsky súd pre ľudské práva vydali.

Vzhľadomnaskutočnosť,žepočasfinalizácieprácna2.vydaníkomentárasanaSlovenskurozšírilapandémiaspôsobenákoronavírusomSARS-CoV-2,ktorámáneočakávanédopadynaživot aspôsobfungovaniakaždéhoznás,rozhodlismesanáškomentárdoplniťešteo špeciálnuprílohu, ktorejcieľomjevyjadriťnášnázornaotázky,ktorévásvtomtočasenajviaczaujímajúasúúzkoprepojenésochranousúkromiaaspracúvanímosobnýchúdajov.Doprílohysmezahrnulinaše stanovisko na meranie telesnej teploty zamestnanca a pravidlá pre prácu z domu.

Zdôvodurozsiahlostiaktualizáciesme2.vydaniekomentárarozdelilidodvochzväzkov,atopri zachovaní pôvodnej postupnosti článkov Nariadenia.

Prvýzväzokobsahuje komentárkvšeobecnýmustanoveniamazásadámNariadenia,akoaj kprávamdotknutýchosôb.Tietodojednaniaakomentárknimpredstavujúzákladpresprávnealegálnenastaveniespracúvaniaosobnýchúdajov.NájdetetupredmetacieleNariadeniavrátanestručnéhoprehľaduhistórieochranyosobnýchúdajovasúvisiacejprávnejúpravy,vymedzeniejeho

pôsobnosti–vecnejajúzemnej,vysvetlenievzťahuNariadeniaaslovenskéhozákonaoochrane osobnýchúdajov,ďalejpodrobnerozpracovanézásadyspracúvania,ktorépredstavujúzákladné pravidláakéhokoľvekspracúvaniaosobnýchúdajov,jednotlivéprávnezákladyakonevyhnutný predpokladzákonnostispracúvania,osobitnépodmienkyvyjadreniasúhlasudotknutejosoby,spracúvanieosobitnýchkategóriíosobnýchúdajov,akoajúdajovtýkajúcichsauznaniavinyzatrestné činyapriestupkyaprávadotknutýchosôb.Značnúčasťprvéhozväzkuobsahujekomentárkprávamdotknutýchosôb(podmienkysplneniainformačnejpovinnosti,právonaprístupkúdajom,právonaopravu,vymazanie,právonamietať,podmienkypreautomatizovanéindividuálnerozhodovanievrátanieprofilovaniaainé)akichaplikáciivpraxiprevádzkovateľov.Práveprvýzväzokobsahuje množstvopraktickýchpríkladovspracúvaniaosobnýchúdajov,ktoréslúžiaakonázorná pomôckaaplikáciepravidielNariadenia.Súčasťou1.zväzkujeaj špeciálnaprílohasúvisiacaspandémiou.

Druhýzväzokupravuje postavenieprevádzkovateľa,sprostredkovateľaazodpovednejosoby, podmienkykladenéNariadenímnazabezpečeniebezpečnostispracúvaniaosobnýchúdajov,okolnosti,zaktorýchsavyžadujeposúdenievplyvunaochranuosobnýchúdajov(vrátanezoznamu všetkýchzverejnenýchblacklistovanávrhovwhitelistov),právnuúpravukódexovsprávaniaacertifikácie,podmienkyprerealizáciuprenosovosobnýchúdajovdotretíchkrajínalebomedzinárodnýmorganizáciám,postavenieaúlohydozornýchorgánov,zabezpečenieichspolupráceapravidiel konzistentnostivrátaneukladaniasankcií(suvedenímprehľadusankciídozornýchorgánovčlenskýchštátovuloženýchpodľaNariadenia),prostriedkynápravyneoprávnenýchzásahovdopráva naochranuosobnýchúdajov,anazáverpodmienkystretuprávanaochranusúkromiasinýmiprávami(tedasprávomnasloboduprejavuaprávomnainformácie,právomnaprístupverejnosti kúradnýmdokumentom,ďalejmožnostizásahudopovinnostiprofesijnejmlčanlivosti,podmienky spracúvaniarodnéhočísla,osobnýchúdajovzamestnancovichzamestnávateľmivrátanerôznych foriemmonitorovania,spracúvanievoblastiarchivácievoverejnomzáujme,naúčelyvedeckého alebohistorickéhovýskumualeboštatistickéúčely,pravidláochranyúdajovcirkví,spracúvanie osobnýchúdajovvoblastielektronickýchkomunikácii,nastaveniecookiesainé).DruhýzväzokobsahujerozsiahlujudikatúruSúdnehodvoraEÚaEurópskehosúdupreľudsképráva,vďakaktorejsa čitateľbudejasnejšieorientovaťvproblematikeochranyosobnýchúdajovvosobitnýchsituáciách zahrnutých v druhom zväzku komentára.

Komentárjerozdelenýdodvochzväzkov,ktoréucelenýmspôsobomriešiaproblematikuvnich obsiahnutú.Vzhľadomnaskutočnosť,žeNariadeniepredstavujejedencelokavniektorýchprípadochnebolomožnévyhnúťsapreviazanostijednotlivýchčlánkov,atýmajzväzkovkomentára,pre správne pochopenie problematiky odporúčame pracovať s oboma zväzkami.

Mojavďakapatrívšetkýmspoluautorom,ktorísiprisvojichpracovnýchpovinnostiachnašličas spracovaťprevásďalšiezaujímavéinformácie.Zároveňmaveľmiteší,žeajpritomtovydanísapodarilozostaviťfunkčnýaspolupracujúcitím.ŠpeciálnepoďakovaniepatrímôjmusynoviAdamovi prejehopochopenieapodporuapaniLuciiMikulovskejzajejľudskýprístup,časaenergiu,ktorú dieluprijazykovejúpravevenovala.Osobitnépoďakovaniepatrínašimrodinám,rodičom,manželom, manželkám, priateľom a deťom, ktorí nám boli pri tvorbe oporou.

Osobnéúdajesavdnešnejdobestávajúčorazčastejšímavzácnejšímplatidlom.Pretovámvšetkýmnazáverzosrdcaželám,abystesisamistanoviliichhodnotualebopomohlitútohodnotustanoviť aj tým, ktorým na vlastnom súkromí záleží.

Irena Hudecová, hlavná autorka

o autoroch

Mgr. Irena Hudecová

ŠtúdiumnaPrávnickejfakultevBratislavedokončilavroku2004.Vroku2003úspešneabsolvovalavýberovýeurópskyprogramorganizovanýErasmovouuniverzitouvRotterdamevspolupráciso7ďalšímieurópskymiuniverzitamizameranýnaproblematikuEÚzekonomického aprávnehohľadiska.VtomistomrokuabsolvovalaniekoľkomesačnústážvHaaguvMedzinárodnomcentrešportovéhopráva.Vroku2007úspešnezložilaadvokátskeskúšky.Irenasašpecializujenaproblematikuochranyosobnýchúdajov.Vtejtooblastimániekoľkoročnéskúsenosti,atotakzpozícieadvokátky,akoajkontrolórkyÚradunaochranuosobnýchúdajovSR.PodieľalasanaprípraveNariadeniaajtvorbenovéhozákonaoochraneosobnýchúdajov. ZastupovalaÚradnaochranuosobnýchúdajovSRnamedzinárodnýchstretnutiachapracovnýchzasadnutiachWP29.Vroku2017saakočlenkakontrolnéhotímuvybranéhoEurópskou komisiouzúčastnilamedzinárodnejkontrolySchengenskéhoinformačnéhosystémuinéhočlenskéhoštátuEÚ.V tomistomrokunazákladenominácieodEurópskejkomisieškolilazástupcov ÚradunaochranuosobnýchúdajovvMacedónsku,akosprávnenastaviťskúškyprezodpovednú osobuaoveriťichkvalifikáciu.Vroku2019obhajovalastanoviskoapostupÚradunaochranu osobnýchúdajovSRvprípadnomprvomsporeúradusinýmdozornýmorgánompredEurópskym výborompreochranuúdajov.Irenapravidelneprednášanaodbornýchfórachakonferenciách.

Mgr. Anna Cyprichová

VyštudovalaPrávnickúfakultuUniverzityKomenskéhovBratislave(1998).Profesijnúkariéru začalavadvokátskejkanceláriiG.Lehnert,k.s.,akoadvokátskykoncipient(predtýmkomerčnoprávnyčakateľ)aneskôrspolupracujúciadvokát.Vroku2003prešladokorporátnejsféry kvýznamnémutelekomunikačnémuoperátorovinapozíciuseniorprávnika.VsúčasnostipôsobíakoadvokátkaspolupracujúcasadvokátskoukanceláriouG.Lehnert,k.s.Smanželomatroma deťmi býva v Bratislave.

Vosvojejprofesijnejčinnostisapodieľalanaposkytovaníkomplexnéhoprávnehoporadenstvapri mnohýchvýznamnýchprojektochatransakciách,najmävoblastinastaveniarôznychcloudových služiebaslužiebspojenýchsospracúvanímosobnýchúdajovveľkéhomnožstvadotknutýchosôb.

Vosvojejpraxiriešilatiežprávnenastaveniedokumentácieaprocesovspracúvaniaosobných údajovdotknutýchosôbprevádzkovateľmi,akoajúpravuzmluvnýchvzťahovmedziprevádzkovateľmiasprostredkovateľmivrátanecezhraničnéhospracúvaniaaprenosovdotretíchkrajín.

Ing. Ivan Makatura

VyštudovalodboraplikovanáinformatikanaFakulteelektrotechnikyainformatikyTechnickej univerzityvKošiciach.NeskôrabsolvovalpostgraduálneštúdiumnaZnaleckomústaveelektrotechnikyainformatikySlovenskejtechnickejuniverzityvBratislave.Jedržiteľommnohýchprofesijnýchcertifikáciívoblastiinformačnejbezpečnostiariadeniarizika.Kvalifikovanýbezpečnostný manažérsdlhoročnoupraxouvofunkciiriaditeľaodborubezpečnostivbankách,vITpriemysle odroku1993.VsúčasnostijegenerálnymriaditeľomKompetenčnéhoacertifikačnéhocentrakybernetickejbezpečnosti.VminulostibolvedúcimkonzultantomIBMSecurityServicessozameranímnaoblasťinformačnejbezpečnostiaochranuosobnýchúdajov.Pracovnepôsobíajakosúdny znalecvodvetvíBezpečnosťaochranainformačnýchsystémovatiežakocertifikovanýaudítorkybernetickejbezpečnosti.VrolečlenatechnickejkomisieÚraduprenormalizáciuametrológiuSR saspolupodieľanaimplementáciinoriemISOdosústavySlovenskýchtechnickýchnoriem.Jeznámymprednášajúcimnaslovenskýchimedzinárodnýchkonferenciáchavzdelávacíchaktivitách, akoajautorommnohýchčlánkovstémouinformačnejbezpečnostiaochranyosobnýchúdajov. PracujeajakopredsedaAsociáciekybernetickejbezpečnostiačlenradyISACASlovensko.

Ing. Beata Pčolová

NaÚradenaochranuosobnýchúdajovSlovenskejrepublikypôsobí14rokov.Vrámciproblematikyosobnýchúdajovsavenujeprešetrovaniupodozrenízporušovaniazákonavkonaniach oochraneosobnýchúdajovanadväzneukladaniupokútzazistenéporušeniazákona.Vminulosti sa zúčastňovala výkonu kontrol spracúvania osobných údajov.

Mgr. Barbora Jarottová Bujňáková

VyštudovalaPrávnickúfakultuUniverzityKomenskéhovBratislave.NaÚradenaochranuosobnýchúdajovSlovenskejrepublikypôsobítretírokakozamestnankyňaOdborusprávnychkonaní,kdesavenujepredovšetkýmkonaniamoochraneosobnýchúdajovscezhraničnýmprvkom a spolupráci medzi dozornými orgánmi. Tiež sa venuje problematike kódexov správania.

Mgr. Viliam Mizák

ProblematikeochranyosobnýchúdajovsaakozamestnanecÚradunaochranuosobnýchúdajov SRvenujeviacnež10rokov,ztoho5rokovvpozíciiinšpektoraúradu.Vminulostiparticipoval naprípravesúvisiacichvšeobecnezáväznýchprávnychpredpisov,ktorénadväzneaplikoval vpraxi.Jehoskúsenostizískanévrámcikontrolzameranýchnaspracúvanieosobnýchúdajovsa vzťahujú na rozsiahle spektrum informačných systémov a ich prevádzkovateľov.

JUDr. Juraj Mičura

Venujesaproblematikeochranyosobnýchúdajov.NaÚradenaochranuosobnýchúdajovSlovenskejrepublikypôsobíodroku2013,pričomakovedúcizamestnanecriadiprvostupňový správnyorgán,vktoréhokompetenciijeplnenieúlohnajmävoblastikonaniaoochraneosobných údajov. Spolupodieľal sa na príprave nového zákona o ochrane osobných údajov.

Zoznam autorov...

Komentár k Nariadeniu Európskeho parlamentu a Rady (EÚ) 2016/679 spracoval autorský kolektív Mgr. Ireny Hudecovej:

Mgr. Irena Hudecová

články1–3,článok4body1–3,body6–11, body13–15,bod17,bod21,body24–25, články5–8, článok9,články10–11,články 13–21,články23-35,články37–43,články 52–54,články57–58,článok60,článok68, článok74,články82-86,článok95,článok99

Mgr. Anna Cyprichová

článok4bod4,bod15,bod16,body18–23, bod26,článok3,článok12,článok22,článok23,články44–51,články55–56,článok 59,články63–67,články69–81,článok83, články 85 – 98

Ing. Ivan Makatura

článok4bod5abod12,články24–25,články 32 – 36, článok 42

Ing. Beata Pčolová

článok4bod1,články12–14,článok21, články 60 – 62

Mgr. Barbora Jarottová Bujňáková

článok 83

Mgr. Viliam Mizák

článok 9

JUDr. Juraj Mičura

článok 83

JudikatúrukjednotlivýmčlánkomNariadeniaEurópskehoparlamentuaRady(EÚ)2016/679spracovali Mgr. Irena Hudecová a Mgr. Anna Cyprichová.

Špeciálnuprílohutýkajúcusaspracúvaniaosobnýchúdajovvsúvislostispandémiouspôsobenou koronavírusom pripravili Irena Hudecová, Anna Cyprichová a Ivan Makatura.

Prehľad použitých skratiek

Prehľad použitých skratiek

Charta Charta základných práv Európskej únie

ZFEÚ Zmluva o fungovaní Európskej únie

Dohovor alebo EDĽP Oznámenie č. 209/1992 Zb. Oznámenie Federálneho ministerstva zahraničných vecí o dojednaní Dohovoru o ochrane ľudských práv a základných slobôd a Protokolov na tento Dohovor nadväzujúcich (Dohovor o ochrane ľudských práv a základných slobôd zo 4. novembra 1950)

Dohovor 108 Dohovor o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (Rady Európy)

Dohovor 108+ Modernizovaný Dohovor o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (Rady Európy)

Listina práv a slobôd Ústavný zákon č. 23/1991 Zb., ktorým sa uvádza Listina základných práv a slobôd

Ústava SR Ústavný zákon č. 460/1992 Z. z. Ústava Slovenskej republiky v znení neskorších predpisov

Zákonník práce Zákon č. 311/2001 Z. z. Zákonník práce v znení neskorších predpisov

Smernica o ochrane osobných údajov

Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 23.11.1995, s. 31)

Nový zákon o ochrane osobných údajov Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 221/2019 Z. z., ktorým sa mení a dopĺňa zákon č. 177/2018 Z. z. o niektorých opatreniach na znižovanie administratívnej záťaže využívaním informačných systémov verejnej správy a o zmene a doplnení niektorých zákonov (zákon proti byrokracii) a ktorým sa menia a dopĺňajú niektoré zákony

Zákon č. 122/2013 Z. z. Zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

Vyhláška 164/2013 Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení v znení vyhlášky č. 117/2014 Z. z.

Zákon č. 428/2002 Z. z. Zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov

Policajná smernica Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV z 27. apríla 2016

Nariadenie č. 45/2001

Nariadenie 2018/1725

Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi spoločenstva a o voľnom pohybe takýchto údajov (Ú. v. ES L 8, 12.1.2001, s. 1)

Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES

Smernica 2000/31/ES Smernica Európskeho parlamentu a Rady 2000/31/ES z 8. júna 2000 o určitých právnych aspektoch služieb informačnej spoločnosti na vnútornom trhu, najmä o elektronickom obchode (smernica o elektronickom obchode) (Ú. v. ES L 178, 17. 7. 2000, s. 1)

Smernica 2002/58/ES Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 31. 7. 2002, s. 37) v znení neskorších zmien

Občiansky zákonník Zákon č. 40/1964 Zb. Občiansky zákonník v znení neskorších predpisov

Obchodný zákonník Zákon č. 513/1991 Zb. Obchodný zákonník v znení neskorších predpisov

Živnostenský zákon Zákon č. 455/1991 Zb. o živnostenskom podnikaní (živnostenský zákon) v znení neskorších predpisov

Trestný zákon Zákon č. 300/2005 Z. z. Trestný zákon v znení neskorších predpisov

Zákon o štátnej službe Zákon č. 55/2017 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov

Zákon o advokácii Zákon o advokácii a o zmene a doplnení zákona č. 455/1991 Zb. o živnostenskom podnikaní (živnostenský zákon) v znení neskorších predpisov

Dohoda o EHP Dohoda o Európskom hospodárskom priestore

Zákon o súdoch Zákon č. 757/2004 Z. z. o súdoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

Správny poriadok Zákon č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení neskorších predpisov

Zákon o slobodnom prístupe k informáciám

Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov

Správny súdny poriadok Zákon č. 162/2015 Z. z. Správny súdny poriadok v znení neskorších predpisov

Civilný sporový poriadok Zákon č. 160/2015 Z. z. Civilný sporový poriadok v znení neskorších predpisov

Zákon o ochrane utajovaných skutočností

Zákon o správnych poplatkoch

Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

Zákon č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších predpisov

Zákon o účtovníctve Zákon č. 431/2002 Z. z. o účtovníctve v znení neskorších predpisov.

Zákon o dani z príjmov

Zákon o elektronických komunikáciách

Zákon č. 595/2003 Z. z. o dani z príjmov v znení neskorších predpisov.

Zákon č. 351/2011 Z. z. o elektronických komunikáciách v znení neskorších predpisov

Školský zákon Zákon č. 245/2008 Z. z. o výchove a vzdelávaní (školský zákon) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

Úrad Úrad na ochranu osobných údajov Slovenskej republiky

ESĽP Európsky súd pre ľudské práva

SDEÚ/alebo Súdny dvor EÚ Súdny dvor Európskej únie

OECD Organizácia pre hospodársku spoluprácu a rozvoj

EHP

Pracovná skupina WP29

WP29

Pracovná skupina

Posúdenie vplyvu DPIA

Usmernenia WP29 týkajúce sa posúdenia vplyvu

Európsky výbor pre ochranu údajov Výbor

EDPB

Nariadenie o IMI

Európsky hospodársky priestor

Pracovná skupina zriadená podľa čl. 29 Smernice o ochrane osobných údajov

Posúdenie vplyvu na ochranu údajov

Usmernenia týkajúce sa posúdenia vplyvu na ochranu údajov a stanovenie toho, či na účely nariadenia 2016/679 spracúvanie „pravdepodobne povedie k vysokému riziku“, prijaté 4. apríla 2017, v znení naposledy revidovanom a prijatom 4. októbra 2017, WP 248 rev. 01

Európsky výbor pre ochranu údajov

Nariadenie Európskeho parlamentu a Rady (EÚ) č. 1024/2012 z 25. októbra 2012 o administratívnej spolupráci prostredníctvom informačného systému o vnútornom trhu a o zrušení rozhodnutia Komisie 2008/49/ES

Zmluvy Zmluva o Európskej únii a Zmluva o fungovaní Európskej únie

Zákon o kybernetickej bezpečnosti

Zákon o bezpečnosti a ochrane zdravia pri práci

Zákon o ochrane, podpore a rozvoji verejného zdravia

Stanovisko k transparentnosti

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení zákona č. 373/2018 Z. z., ktorým sa mení a dopĺňa zákon č. 371/2014 Z. z. o riešení krízových situácií na finančnom trhu a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony

Zákon č. 124/2006 Z. z. o bezpečnosti a ochrane zdravia pri práci a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

Zákon č. 355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

Stanovisko WP29 k transparentnosti (WP 260 rev. 01) prijaté dňa 29. novembra 2017, naposledy revidované a prijaté 11. apríla 2018

ECB Európska centrálna banka

ECA Európsky dvor audítorov

EUIPO Úrad Európskej únie pre duševné vlastníctvo

EFSA Európsky úrad pre bezpečnosť potravín

REA Výkonná agentúra pre výskum

EACEA Výkonná agentúra pre vzdelávanie, audiovizuálny sektor a kultúru

IMI Informačný systém o vnútornom trhu

EZVO Európske združenie voľného obchodu

KAPITOLA IV

Oddiel 1

Obsah

Prevádzkovateľ a sprostredkovateľ

Všeobecné povinnosti

Článok 24Zodpovednosť prevádzkovateľa.

Článok 25Špecificky navrhnutá a štandardná ochrana údajov.

Článok 26Spoloční prevádzkovatelia.

Článok 27Zástupcovia prevádzkovateľov alebo sprostredkovateľov, ktorí nie sú usadení v Únii.

Článok 28Sprostredkovateľ.

Článok 29Spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľa. . .35

Článok 30Záznamy o spracovateľských činnostiach.

Článok 31Spolupráca s dozorným orgánom.

Oddiel 2

Bezpečnosť osobných údajov

Článok 32Bezpečnosť spracúvania.

Článok 33Oznámenie porušenia ochrany osobných údajov dozornému orgánu.

Článok 34Oznámenie porušenia ochrany osobných údajov dotknutej osobe.

Oddiel 3 Posúdenie vplyvu na ochranu údajov a predchádzajúca konzultácia

Článok 35Posúdenie vplyvu na ochranu údajov.

Článok 36Predchádzajúca konzultácia.

Oddiel 4

Zodpovedná osoba

osoby.

Článok 38Postavenie zodpovednej

Článok 40Kódexy správania.

Článok 41Monitorovanie schválených kódexov správania.

Článok 47Záväzné vnútropodnikové pravidlá.

Článok 48Prenosy alebo poskytovanie údajov, ktoré právo Únie nepovoľuje.

Článok 49Výnimky pre osobitné situácie.

Článok 50Medzinárodná spolupráca na účely ochrany osobných údajov.

KAPITOLA VI Nezávislé dozorné orgány

Oddiel 1

Nezávislé postavenie

Článok 51Dozorný orgán.

Článok 52Nezávislosť.

Článok 53Všeobecné podmienky týkajúce sa členov dozorného orgánu.

Článok 54Pravidlá zriadenia dozorného orgánu.

Oddiel 2

Príslušnosť, úlohy a právomoci

Článok 55Príslušnosť.

Článok 56Príslušnosť hlavného dozorného orgánu.

Článok 57Úlohy.

Článok 58Právomoci.

Článok 59Správy o činnosti.

Článok 61Vzájomná pomoc.

Článok 62Spoločné operácie dozorných orgánov.

Oddiel 2

Konzistentnosť

Článok 63Mechanizmus konzistentnosti.

Článok 64Stanovisko výboru.

Článok 65Riešenie sporov výborom.

Článok

. .241

KAPITOLA VIII Prostriedky nápravy, zodpovednosť a sankcie .

Článok 77Právo podať sťažnosť dozornému orgánu.

Článok 78Právo na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu. .

Článok 79Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo

sprostredkovateľovi.

Článok 80Zastupovanie dotknutých osôb.

Článok 81Prerušenie konania.

Článok 82Právo na náhradu škody a zodpovednosť.

Článok 83Všeobecné podmienky ukladania správnych pokút.

Článok 84Sankcie.

Článok 85Spracúvanie a sloboda prejavu a právo na informácie.

Článok 86Spracúvanie a prístup verejnosti k úradným dokumentom.

Článok 87Spracúvanie národného identifikačného čísla.

Článok 88Spracúvanie v súvislosti so zamestnaním.

Článok 89Záruky a odchýlky týkajúce sa spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely.

Článok 91Existujúce pravidlá ochrany údajov cirkví a náboženských združení.

Článok 95Vzťah k smernici 2002/58/ES.

Článok 96Vzťah k dohodám uzavretým v minulosti.

Článok 97Správy Komisie.

Článok 98Preskúmanie iných právnych aktov Únie týkajúcich sa ochrany údajov.

Článok 99Nadobudnutie účinnosti a uplatňovanie.

KAPITOLA IV

Prevádzkovateľ a sprostredkovateľ

Oddiel 1

Všeobecné povinnosti

Článok 24

Zodpovednosť prevádzkovateľa

1.Sohľadomnapovahu,rozsah,kontextaúčelyspracúvania,akoajnarizikásrôznou pravdepodobnosťouazávažnosťoupreprávaaslobodyfyzickýchosôbprevádzkovateľprijme vhodnétechnickéaorganizačnéopatrenia,abyzabezpečilabolschopnýpreukázať,žespracúvaniesavykonávavsúladestýmtonariadením.Uvedenéopatreniasapodľapotrebypreskúmajú a aktualizujú.

2.Akjetoprimeranévzhľadomnaspracovateľskéčinnosti,opatreniauvedenévodseku1 zahŕňajú zavedenie primeraných politík ochrany údajov zo strany prevádzkovateľa.

3.Dodržiavanieschválenýchkódexovsprávaniauvedenýchvčlánku40aleboschválených certifikačnýchmechanizmovuvedenýchvčlánku42samôžepoužiťakoprvoknapreukázanie splnenia povinností prevádzkovateľa.

Súvisiace ustanovenia: recitály 74, 75, 76, 77 a 83

Komentár k článku 24

Recitál74: Malibysastanoviťpovinnostiazodpovednosťprevádzkovateľavsúvislostisakýmkoľvekspracúvanímosobnýchúdajov,ktorévykonávasámaleboktorésavykonávavjehomene. Prevádzkovateľbymalbyťnajmäpovinnýprijaťprimeranéaúčinnéopatreniaavedieťpreukázaťsúladspracovateľskýchčinnostístýmtonariadenímvrátaneúčinnostiopatrení.Vuvedenýchopatreniachbysamalazohľadniťpovaha,rozsah,kontextaúčelspracúvaniaarizikopreprávaaslobody fyzických osôb.

Recitál75: Rizikopreprávaaslobodyfyzickýchosôbsrôznymstupňompravdepodobnostiazávažnostimôžuvyplývaťzospracúvaniaosobnýchúdajov,ktorébymohloviesťkujmenazdraví, majetkovejalebonemajetkovejujme,atonajmäakspracúvaniemôževiesťkdiskriminácii,krádeži totožnostialebopodvodu,finančnejstrate,poškodeniudobréhomena,stratedôvernostiosobných údajovchránenýchprofesijnýmtajomstvom,neoprávnenejreverznejpseudonymizáciialeboakémukoľvekinémuzávažnémuhospodárskemualebosociálnemuznevýhodneniu;akbydotknuté osobymohlibyťpozbavenésvojichprávaslobôdaleboimbolobránenévkontrolenadsvojimiosobnýmiúdajmi;aksaspracúvajúosobnéúdajeodhaľujúcerasovýaleboetnickýpôvod,politickénázory,náboženstvoalebofilozofickénázoryačlenstvovodborovýchorganizáciách,aaksaspracúvajú genetickéúdaje,údajetýkajúcesazdraviačiúdajetýkajúcesasexuálnehoživotaalebouznaniaviny zospáchaniatrestnéhočinuapriestupkučisúvisiacichbezpečnostnýchopatrení;aksaposudzujú osobnéaspekty,najmäaksaanalyzujúalebopredvídajúaspektytýkajúcesavýkonnostivpráci,majetkovýchpomerov,zdravia,osobnýchpreferenciíalebozáujmov,spoľahlivostialebosprávania,polohyalebopohybu,scieľomvytvoriťalebopoužívaťosobnéprofily;aksaspracúvajúosobnéúdaje zraniteľnýchfyzickýchosôb,najmädetí;aleboakspracúvaniezahŕňaveľkémnožstvoosobných údajov a má dôsledky na veľký počet dotknutých osôb.

Recitál76: Pravdepodobnosťazávažnosťrizikapreprávaaslobodydotknutýchosôbbysamala stanoviťvzávislostiodpovahy,rozsahu,kontextuaúčelovspracúvania.Rizikobysamaloposudzovaťnazákladeobjektívnehoposúdenia,ktorýmsaurčí,čispracovateľskéoperácieobsahujúriziko alebo vysoké riziko.

Recitál77: Usmernenienavykonanieprimeranýchopatreníapreukázaniesúladuprevádzkovateľomalebosprostredkovateľom,najmäpokiaľideoidentifikáciurizikasúvisiacehoso

spracúvaním,najehoposúdeniesozreteľomnapôvod,povahu,pravdepodobnosťazávažnosť,ana identifikáciunajlepšíchpostupovnazmiernenierizikabymohlobyťposkytnuténajmäprostredníctvomschválenýchkódexovsprávania,schválenejcertifikácie,usmernenívypracovanýchvýborom alebopokynovposkytnutýchzodpovednouosobou.Výbormôževydaťajusmerneniaprespracovateľskéoperácie,vsúvislostisktorýmisanepovažujezapravdepodobné,žebyviedlikvysokému rizikupreprávaaslobodyfyzickýchosôb,auviesť,akéopatreniamôžubyťvtakýchtoprípadochna vyriešenie takého rizika dostatočné.

Recitál83: Scieľomzachovaťbezpečnosťapredchádzaťspracúvaniuvrozporestýmtonariadením byprevádzkovateľalebosprostredkovateľmaliposúdiťrizikásúvisiacesospracúvanímaprijaťopatrenianazmiernenietýchtorizík,akonapríkladšifrovanie.Týmitoopatreniamibysamalazaistiťprimeranáúroveňbezpečnostivrátanedôvernosti,pričombysamalizohľadniťnajnovšiepoznatkyanákladyna vykonanieopatrenívsúvislostisrizikamiapovahouosobnýchúdajov,ktorésamajúchrániť.Priposudzovanírizikavoblastibezpečnostiúdajovbysamalizohľadniťrizikáspojenésospracúvanímosobnýchúdajov,akosúnapríkladnáhodnéalebonezákonnézničenie,strata,zmena,neoprávnenéposkytnutieprenášaných,uchovávanýchaleboinakspracúvanýchosobnýchúdajovaleboneoprávnenýprístupknim,ktorébymohliviesťkujmenazdraví,majetkovejalebonemajetkovejujme.

Zodpovednosťjenatoľkofrekventovanýmslovom,žeazdaaniniettakejoblastiľudskejčinnosti alebosociálnejroly,kdebysaneodvolávalonazodpovednosť. Zodpovednosť (angl.liability)má vpráveoveľaužšívýznamakovbežnomjazyku.Vovšeobecnostisapodvýrazomzodpovednosťrozumiepovinnosťstarostlivostioinúosobualebovec,prípadnestarostlivostiostavaleboovzťahtak, abynenastalaujma.Totochápaniezodpovednostijezodpovednosťvpôvodnomzmysleslova(angl. responsibility).Terajšiechápanieprávnejzodpovednostiznamenánajmäpovinnosťniesťsankčné následkyzavlastnékonanie.Akbyneexistovalinštitútprávnejzodpovednosti,nebolobymožné stanoviť,čojetodelikt,atedaanistanoviťnáslednúsankciuzadelikt.Bolobyzložitévymedziťpovinnosť, t. j. nevyhnutnosť správať sa určitým spôsobom.

Reguláciajezvyčajnevykonávanáprostredníctvomprávnychprepisov,ktoréstanovujúurčité pravidlásprávaniasasubjektovpráva.Vhodnenastavenépravidláaichefektívnevynucovaniemajú smerovaťktakémustavunatrhu,kedysadosiahnepožadovanésprávaniezúčastnenýchsubjektov. Vreguláciijepretoprávesnahaodosiahnutiežiaducehosprávaniasubjektovzrejmýmzámeromstanovenia zodpovednosti.

Stanovenieobjektívnejzodpovednostiprevádzkovateľajecieľomčlánku24Nariadenia.Článok 24 stanovuje prevádzkovateľovi nasledujúce základné povinnosti: prijaťvhodnétechnickéaorganizačnéopatrenia (t.j.zaviesťochrannéprocedúryamechanizmy), prostredníctvom prijatých opatrení zaistiť spracúvanie v súlade s Nariadením, podľapotrebyprijaté opatreniapreskúmavaťaaktualizovať (t.j.prispôsobovaťúčinnosťopatrení priebežne sa vyvíjajúcim podmienkam spracovateľského prostredia).

Článok 24 upravuje aj:

zavedenie politikyochranyúdajov (najmäakointegrálnusúčasťorganizačnýchopatrení,avšak aj s cieľom zaistiť dokumentovanie prijatých technických a organizačných opatrení), dodržiavaťkódexysprávania,aksaprevádzkovateľzaviazalichdodržiavať(uvedenévčlánku40), dodržiavaťvydanécertifikáty (uvedenévčlánku42),pokiaľsaichprevádzkovateľrozhodol použiť ako prvok na preukázanie súladu s požiadavkami Nariadenia.

K ods. 1

Právnaúpravapovinnostiprevádzkovateľaprijaťvhodnétechnickéaorganizačnéopatreniavychádzazjednejzozákladnýchzásadspracúvania,atokonkrétnezozásadyintegrityadôvernosti, ktorájeodvodenázozákladnýchatribútovbezpečnostiinformácií,ktorýmisúdôvernosť,celistvosť (integrita)adostupnosť.Pridodržanítýchtocieľovsúosobnéúdajespracúvanétakýmspôsobom, ktorýzaručíprimeranúbezpečnosťosobnýchúdajov,vrátaneochranypredneoprávnenýmalebo nezákonnýmspracúvanímanáhodnoustratou,zničenímalebopoškodením.Úpravazodpovednosti prevádzkovateľazasúladspožiadavkamiNariadeniavychádzazozásadyzodpovednosti(článok5 ods.2).Cieľomtejtoúpravyjezabezpečiť,abyprevádzkovatelia,ktorímajúskutočnývplyvna

spracúvanieosobnýchúdajov,nieslizatotospracúvaniezodpovednosťspojenúspostihomvprípade porušenia svojich povinností vyplývajúcich z Nariadenia.

Nariadenievýslovneuvádza,žeprevádzkovateľjepovinnýprijaťvhodnétechnickéaorganizačnéopatreniasohľadomnapovahu,rozsah,kontextaúčelyspracúvania,akoajnarizikásrôznou pravdepodobnosťouazávažnosťoupreprávaaslobodyfyzickýchosôb.Jetedapovinnýzohľadniť: povahuspracúvania(napr.čispracúvaniezahŕňaosobitnékategórieosobnýchúdajovalebo osobnéúdajetýkajúcesauznaniavinyzatrestnéčinyapriestupky,spôsobpoužitianovýchtechnológií,čizahŕňaautomatizovanéindividuálnerozhodovaniesprávnymiúčinkamivrátaneprofilovania),

rozsahspracúvania(napr.početdotknutýchosôb,početosobnýchúdajov,početkategóriíosobných údajov, objem osobných údajov na regionálnej, vnútroštátnej alebo nadnárodnej úrovni), kontextspracúvania(vrátaneprávnehozákladuspracúvania,identityprevádzkovateľa,dobrovoľnosti alebo povinnosti poskytnúť osobné údaje, kategórií dotknutých osôb a pod.),

účelyspracúvania(napr.čisavsúvislostisúčelomspracúvaniapredpokladádopadnadotknutú osobu alebo nie) a

rizikásrôznoupravdepodobnosťouazávažnosťoupreprávaaslobodyfyzickýchosôb(napr.diskriminácia,krádežtotožnosti,finančnástrata,ujmanazdraví,akékoľvekhospodárskealebosociálneznevýhodnenie,bráneniedotknutejosobevyužiťsvojeprávoainé).Navysvetleniepojmu rizikopreprávaaslobodyfyzickýchosôbsiVásdovoľujemeodkázaťnakomentárkčlánku32.

Akjejednouzozákladnýchpovinnostíprevádzkovateľaprijaťvhodnétechnickéaorganizačné opatrenia,jenazačiatoknutnévysvetliťvýznampojmuopatrenie,ktorésavkontexteNariadeniana tomto mieste spomína po prvýkrát.

Slovo „opatrenie“ jesynonymomprezákroknadosiahnutieistéhocieľa,výsledkuapod.Nariadeniepojednávaoochraneosobnýchúdajov.Vodbornejoblastiochranycitlivýchinformačnýchaktív(čo,samozrejme,osobnéúdajesú)jecieľom,výsledkomdosiahnutiestavu,alebopriblíženiesa stavu,vktoromjemožnévyhlásiť,žeosobnéúdajesúchránené,tedažesúspracúvanébezpečným spôsobom.

Pojem „bezpečnosť“ (zangl.„security“)pochádzazlatinskéhosecuritas(sinecura+tutus).Tietovýrazyvovšeobecnostiznamenajúistotu,pokoj,ochranu,zabezpečenie,nespornosť.Vkaždom význametýchtoslovideostav,vktoromsúchránenéaktívaaobjektyvovlastníctvenejakéhosubjektu.Tentovýrazmôžebyťvykladanýdynamickyalebostaticky–tedabuďakourčitýmomentálny stav,alebonaopakakobežiaciproces,kontinuálneprebiehajúcaspoločenskáčinnosť.Navýsledný stav môžeme nahliadať dvoma spôsobmi:

objektívna bezpečnosť – daná skutočnou absenciou ohrozenia, subjektívna bezpečnosť – ako dôsledok absencie vnímania ohrozenia.

Slovobezpečnosťjepretoznačneširokýpojem,ktorémuzvyknebyťvrôznychoblastiachľudskejčinnostipripisovanýrôznyvýznam.Vprostredíhroziebpôsobiacichnainformačnéaktívamá tentovýrazsvojšpecifickývýznam.Nechužalevnímamebezpečnosťvkontextektorejkoľvekspoločenskejoblasti,mámenamysliurčitýstatusbezpečnosti,t.j. objektívneopísateľnýstavrelatívnehobezpečiapredhrozbamiarizikami. VprípadeNariadeniajetostavrelatívnehobezpečia predhrozbamiarizikami,ktorépôsobianaúdaje,vtomtoprípadeosobnéúdaje.Napochopenie toho,čoznamenábezpečnosťosobnýchúdajov,jepotrebnénajprvvysvetliťpojmy„údaje“(alebo tiež„dáta“,nemyslímetýmterazosobnéúdaje)a„informácie“.Reprezentáciahierarchickéhovzťahumedzidátamiainformáciamijeužmnohorokovsúčasťouteoretickejinformatiky.Ajkeďnieje úplnejasné,kedyakýmbolitietovzťahyprvýkrátprezentované,hierarchiajezakotvenávpoužití skratkyDIKWakoskrátenéhoopisuvzťahumedzidátamiainformáciamiaichpostupnejtransformácieažkvedomostiamapochopeniuichvýznamu.DIKWpyramída(alebotiežinformačnápyramída)jeskratkouzanglickýchslovData–Information–Knowledge–Wisdom(Dáta–Informácie–Vedomosti – Význam).

Schéma č. 1 Vzťah medzi dátami a informáciami

ÚDAJE sastávajúinformáciamiažvtedy,aknadobudnúurčitývýznam,zmyselanajmähodnotu.Informáciajepochopenímvzťahumedzičasťamidát.Hodnotuinformáciíurčujevýhradneich vlastník,tedatensubjekt,prekohoinformácienadobúdajúaktuálnyalebopotenciálnyvýznam. Tátozásadajemimoriadnedôležitánajmävkontextehodnoteniarizík,ktorénatietoinformáciepôsobia.Pokiaľtedainformáciesúdátami,ktorénadobudlivlastníka,kontextanásledneajhodnotu, potomajhodnoturizikapôsobiacehonainformáciemásprávneurčiťichvlastník–tedasubjekt,pre ktorýzníženiekvality,zničenie,odcudzeniealebostratapríslušnýchinformáciíznamenástratutejtoaktuálnejalebopotenciálnejhodnoty.Pojem„informačnábezpečnosť“znamenábezpečietýchto informácií,resp.zaručeniebezpečnostitýchtoinformácií.Rozdielmedzipojmami„údaj“a„informácia“podčiarkujeajnázov,akýmsúosobnéúdajeoznačovanénapr.vUSA,tusatotižvsprávnom kontextepoužívavýraz„personallyidentifiableinformation“(identifikovateľnéosobnéinformácie). Bezpečnosťinformáciíjestav,vktoromsúinformáciepovažovanézabezpečné.Jetočasťinformačnéhomanažmentubezohľadunafyzikálnystavdát,bezohľadunaichformát,bezohľadunaspôsobichinterpretácieabezohľadunamédium,prostredníctvomktoréhosúdátauchovávanéaprenášané.Zuvedenéhodôvodujepreinformačnúbezpečnosťvýstižnejšouarovnakoplatnoudefinícioumanažmenthroziebarizík,ktorépôsobianainformačnéaktíva.Aleboinýmislovami–manažment hrozieb a rizík, ktoré pôsobia na údaje.

Opatrenia (zangl.„measures“,alebo„controls“)možnovspojitostisochranouosobnýchúdajovchápaťakoprostriedky,praktiky,procedúryamechanizmy,ktoréjepotrebnéimplementovať, dodržiavať,kontinuálnepreverovaťavprípadepotrebyaktualizovať,tovšetkoscieľomzabezpečiť primeranúúroveňochranyosobnýchúdajov.Bezpečnostnéopatreniajeprevádzkovateľajsprostredkovateľpovinnýprijaťpreto,abychránilosobnéúdajeprednáhodnýmaleboúmyselným (vniektorýchprípadochinezákonným)zničením,stratou,zmenou,neoprávnenýmposkytnutím aleboneoprávnenýmprístupomknim.Týmsúnepriamoopísanézákladnéatribútyinformačnej bezpečnosti,dôvernosť,dostupnosťaintegrita,ktorésúvkontexteochranyosobnýchúdajovspomenuté v čl. 32 Nariadenia.

Bezpečnostnéopatreniamôžuprevádzkovateľovialebosprostredkovateľovipomôcťnajmä chrániťpredurčitouhrozbou,znížiťzraniteľnosť,obmedziťvplyvnechcenejudalosti,odhaliťmalígnuudalosťaleboumožniťzotaveniealeboodškodnenie.Ichprijatímjenapr.neoprávnenýmosobám znemožnenýnedovolenýprístupkosobnýmúdajom,manipuláciastechnickýmizariadeniamiurčenýminaspracovanieosobnýchúdajovamanipuláciasnosičmiosobnýchúdajovanaopak–oprávnenýmosobámjezaistenýprístupkosobnýmúdajomvrozsahupotrebnomnaplnenieichpovinností.

Primárnesabezpečnostnéopatreniarozdeľujúna technickéopatrenia a organizačnéopatrenia.Vzhľadomnasvoješpecifikásaniekedyzorganizačnýchopatreníešteďalejvyčleňujútzv. personálneopatrenia (napr.primeranáodbornáprípravapersonálu,ktorýmástályalebopravidelný prístupkosobnýmúdajomvoblastiochranyúdajov),ikeďNariadenietentopojemexplicitnenepoužíva.

Technickéopatrenia súaktivitysmerujúcekuzníženiurizíkpomocounasadeniaprostriedkov fyzickejatechnologickejpovahy,zatiaľčo organizačnéopatrenia súaktivitysmerovanénazníženie operačných rizík pomocou zmien procesov a úpravou dokumentácie.

AjNariadeniesprávneuvádza,žeopatreniamajúbyťprijatésohľadomnapovahu,rozsah,kontextaúčelyspracúvania,akoajnarizikásrôznoupravdepodobnosťouazávažnosťouprepráva aslobodyfyzickýchosôb.Prerozhodnutieospôsobeochranyjenajprvpotrebnézmapovaťsiinformačnéprocesy.Takakovmedicíneniejemožnébezdiagnózystanoviťspôsobliečby,vinformačnej bezpečnostiniejemožnégenerickystanoviťopatreniabezpoznaniaprocesov(účelovspracúvania, kategóriíosobnýchúdajov,právnychzákladovapod.),bezpoznaniajestvujúcejarchitektúrykonkrétnehoprostredia,bezznalostispracovateľskýchoperácií,bezznalostiklasifikáciedátanajmä–bezznalostihroziebarizík.Pretovymenovaniepríkladovtechnickýchaorganizačnýchopatreníby nedávalozmysel,pokiaľbytietonebolimapovanénakonkrétnecieleochranyvkontextekonkrétnych spracovateľských operácií.

Nasledujúcutabuľkupredkladámelenakohrubýpríkladniektorýchvybranýchtypovopatrení výhradnezaúčelompribližnéhoznázornenianiektorýchzmnožstvadostupnýchmožnostíochrany osobnýchúdajov.Implementáciaakýchkoľvekopatreníanajmäichúčinnosťjesamozrejmezásadnýmspôsobomzávisláodposúdeniapovahy,rozsahu,kontextuaúčelovspracúvania,akoajrizík sichrôznoupravdepodobnosťouarôznympotenciálnymdopadom(závažnosťou)preprávaaslobody fyzických osôb.

Vnasledujúcejtabuľkesúvtejtopublikáciipoprvýkrátspomenutéoblastibezpečnosti(tzv.bezpečnostnédomény).Netrebasiichmýliťsopatreniami.Rozdeleniebezpečnostnýchdoménsúvisí predovšetkýmsrozdelenímšpecializáciíazodpovednostívoblastiochranyaktív,zatiaľčoopatrenia súvisia s povahou reakcie na identifikované riziká.

Tabuľka č. 1: Príklady technických opatrení

Cieľ, ktorý má byť dosiahnutý

Privacy by Design (Špecificky navrhnutá ochrana údajov)

Integrita a dôvernosť informácií

Príklad opatrenia v oblasti

Informačná bezpečnosťFyzická bezpečnosť

Bezpečný vývoj softvéru, postupy bezpečného obstarávania systémov, návrh procesov v súlade s požiadavkou PbD

Sieťové firewally, segmentácia počítačovej siete, virtualizácia a vyhradenie spracovateľského prostredia (tzv. sandboxing)

Sledovanie siete, analýza správania, analýza anomálií

Dôvernosť informácieMechanizmy kontroly práv a prístupov (tzv. manažment identít)

Použitie kryptografických riešení, najmä šifrovanie osobných údajov, pseudonymizácia osobných údajov

Pseudonymizácia osobných údajov (iným spôsobom ako použitím kryptografických mechanizmov)

Elektronické zabezpečovacie systémy, systémy kontroly vstupov

Bezpečnostné dvere, mreže, trezory, bezpečnostné skrine a pod. vrátane ich umiestnenia v zabezpečených priestoroch prevádzkovateľa

Nepopierateľnosť informácie

Použitie kryptografických riešení, najmä digitálneho (elektronického) podpisu

Postupy na overenie vlastnoručného podpisu

Cieľ, ktorý má byť dosiahnutý

Integrita, dôvernosť a dostupnosť informácií

Príklad opatrenia v oblasti

Informačná bezpečnosťFyzická bezpečnosť

Ochrana proti malware, automatická analýza zraniteľnosti, zaznamenávanie udalostí v systémoch (logovanie)

Vysoká dostupnosť informácií Migrované sieťové úložiská dát

Obnova dostupnosti informácií

Stála dostupnosť informácií (kontinuita)

Zaznamenávanie vstupu do chránených objektov, systémy kontroly vstupov

Záložné kópie dátGeograficky alebo metropolitne oddelené dátové centrá

Zdroje záložného elektrického napájania, prevádzkový monitoring

Tabuľka č. 2.: Príklady organizačných opatrení

Požiarne poplachové systémy, dohľadové systémy

Cieľ, ktorý má byť dosiahnutý Príklad opatrenia

Dôvernosť informácií, Privacy by Default (štandardná ochrana údajov)

Poučenie o povinnostiach pri spracúvaní osobných údajov a zodpovednosti za ich porušenie

Oddelenie právomocí (angl. Segregation of Duties), princíp komisionálnosti pri schvaľovaní transakcií

Pravidlá výkonu kontroly vstupu do objektov a chránených priestorov, správa kľúčov, kľúčové režimy, vymedzenie fyzického perimetra objektov, určenie kategórií chránených priestorov a bezpečnostných úschovných objektov

Vzdelávanie, zvyšovanie povedomia

Určenie postupov likvidácie osobných údajov

Pravidlá manipulácie s fyzickými nosičmi osobných údajov mimo chránených priestorov

Pravidlá používania prenositeľných IT prostriedkov (napr. notebookov)

Postupy pri údržbe alebo oprave IT prostriedkov

Politika čistého stola

Integrita, dôvernosť a dostupnosť informácií

Postup pri ukončení pracovného pomeru (napr. odovzdanie pridelených aktív, zrušenie prístupových práv, poučenie o následkoch porušení zákonnej alebo zmluvnej povinnosti mlčanlivosti)

Prideľovanie prístupových práv a úrovní prístupu (rolí) oprávnených osôb a správa hesiel

Režim zastupovania oprávnených osôb

Režim údržby a upratovania chránených priestorov

Pravidlá mobilného spracovania a vzdialeného prístupu do technickej infraštruktúry prevádzkovateľa

Integrita a dostupnosť informácií

Oznámenie porušenia ochrany osobných údajov

Privacy by Design (Špecificky navrhnutá ochrana údajov)

Vedenie zoznamu aktív a jeho aktualizácia, riadenie zmien

Postup pri ohlasovaní a riešení bezpečnostných incidentov a zistených zraniteľností

Organizácia tímu reakcie na bezpečnostné incidenty

Definovanie bezpečnostných požiadaviek v zmluvách

Pravidlá pre bezpečný vývoj softvéru, pravidlá testovania systémov pred ich nasadením do produkcie

Pravidlá výberu dodávateľov a audit služieb poskytovaných tretími stranami

Požiadavka,abyimplementovanéopatreniabolipodľapotrebypreskúmavanéaaktualizované, vyplýva z princípu riadenia životného cyklu systémov, ktorý je uvedený v komentári k čl. 25.

K ods. 2

Bezpečnosťniejekonečnýstav,aleiteratívnyproces,naktorývplývajúmnohéokolnosti.Tento iteratívnyprístupvyplývazpodstatysystémuriadeniainformačnejbezpečnosti,ktorýjezaloženýna tzv.Demingovomcykle(skratkou„PDCA“).SystémPDCApredstavujeefektívny,univerzálnypostup prezlepšovaniekvalityvýrobkov,služiebaprocesov.Zlepšovanímkvalitysazaoberalužv50-tychrokochamerickýfyzikamatematikW.E.Deming,dodnessaudeľujeDemingovacenazakvalitu.

PDCA je skratka pozostávajúca zo 4 začiatočných písmen anglických slov:

Plan – Plánuj

Do – Vykonaj

Check – Overuj (Kontroluj)

Act – Konaj (Zlepšuj)

Nepretržitosťvuplatňovanísystémuriadeniainformačnejbezpečnosti(ISMS)jezrejmáznasledujúcej schémy.

Schéma č. 2 Demingov cyklus v riadení informačnej bezpečnosti

Spôsob,akýmprevádzkovateľzaručípožadovanúúroveňbezpečnosti,jedeterminovanýrozhodnutímoprimeranejmnožinebezpečnostnýchopatrení.Jevšakzrejmé,žeprimeranúúroveňbezpečnostijemožnéefektívnedosiahnuťzásadneibakombinácioutechnickýchaorganizačnýchopatrení. Ajzovšeobecnejschémyprocesujezrejmé,ževinformačnejbezpečnostipredchádzaimplementácii opatrení(myslenéjetechnickýchopatrení)analýzarizíkanávrhbezpečnostnýchpolitík.

Schéma č. 3 Generický proces informačnej bezpečnosti

Nariadenievyžaduje,abyopatreniazahŕňaliajzavedenieprimeranýchpolitíkochranyúdajov, akjetoprimeranévzhľadomnaspracovateľskéčinnosti.Jeúplnerelevantné,akNariadeniepožaduje,abybolaprednasadzovanímopatreníopäťhodnotenáprimeranosť.Najmävzhľadomnato,že spracovateľsképrostrediesapriebežnemeníajemožnéočakávať,žemedzinávrhomopatreníaich implementácioutypickyubehneurčitéobdobie.Otom,čojeprimeranéopatrenieaakozvážiť„primeranosť“ opatrení, píšeme v komentári k čl. 32.

Bezpečnostnépolitiky,t.j.bezpečnostnádokumentácia,sútypickousúčasťouorganizačných opatrení.Pokiaľsamáprevádzkovateľzamyslieťnadtým,akobymalabyťnavrhnutávhodnáštruktúradokumentácie,jemožnéjejštruktúrurozdeliťnatrirôzneúrovneprispôsobenépríslušnejúrovni riadenia: strategické, taktické, operatívne.

Odporúčaný rámec bezpečnostnej dokumentácie podľa zaužívaných metodík Úroveň riadeniaTyp dokumentuObsah

1. StrategickáPolitika Politiky určujú celkové smerovanie organizácie. Prostredníctvom politík sa stanovujú všeobecné požiadavky, zákazy a zásady správania sa v príslušnej oblasti bezpečnosti informácií.

2. TaktickáŠtandard Štandardy interpretujú politikami určené ciele a zásady už v konkrétnych situáciách. Stanovujú hlavné zodpovednosti, povinné aktivity, ako aj explicitné pravidlá, ktoré sú navrhnuté na podporu a vynútenie dodržiavania politík. Prostredníctvom štandardov sa zvyčajne prenášajú konkrétne politiky do praxe.

3. OperatívnaProcedúra Procedúry implementujúpodrobnostiotom,akododržiavaťpolitiky aštandardy.Procedúrysúsúhrnompredpísanýchkrokovnavykonaniepolitíkprostredníctvomkonkrétnehosúhrnupracovnýchaktivít.

Návod Návody sú dodatočné (nepovinné) dokumenty na podporu politík, štandardov a procedúr. Sú to všeobecné usmernenia ku konkrétnym okolnostiam prostredníctvom odpovedí na otázky typu: „čo robiť“ a „ako to urobiť“. Medzi návody patrí aj technická dokumentácia a schémy IT architektúry.

Konfigurácie

Konfigurácie (angl. baseline) sú pravidlá závislé od konkrétnej technickej platformy, typicky akceptované naprieč celým odvetvím. Konfigurácie poskytujú najefektívnejšie prístupy k špecifickej implementácii politík, opisujú nastavenia prostredia a spôsob jeho obsluhy vrátane opisu ovládacích prvkov a rozhraní.

Vyššieuvedenýrámecbezpečnostnejdokumentáciejelenodporúčanímvzmysledobrejpraxe, avšakpreniektoréšpecifickésubjekty,tzv.prevádzkovateľovzákladnýchslužiebsazákonomokybernetickejbezpečnostizavádzapovinnosťudržiavaťurčitúštruktúruaobsahbezpečnostnejdokumentácie.Cieľomtaktonavrhnutejštruktúryjepredovšetkýmudržanieprehľaduoimplementovanýchorganizačnýchopatreniachazároveňschopnosťprevádzkovateľareagovaťnazmennépodmienky spracovateľského prostredia prípadnou zmenou príslušnej časti dokumentácie.

Schéma č. 4 Typická množina bezpečnostných politík

Príklad:Prevádzkovateľ,ktorýprevádzkujemnožstvoinformačnýchtechnológiísheterogénnouaplikačnouarchitektúrou, rozhodoloimplementáciiriešeniapremanažmentidentít(Identity&AccessManagementSystem,IAM)scieľomzaistiťcentrálneprideľovanieprístupovdovšetkýchprevádzkovanýchsystémov.Ažponasadenísystémudoprodukčnejprevádzkysi prevádzkovateľuvedomil,žeokremsystémuIAMjezrejmepotrebnýajvlastníktohtoprocesu,ktorýbybolprimárnezodpovednýzarozhodovanieoúrovniachprístupovýchpráv,opotrebeprístupovdosystémovanapríkladajospôsobeoverovaniatrvajúcejpotrebyprístupudosystémov.Takétovšeobecnérozhodnutieoproceseaspôsoberiadeniaprocesusavorganizáciách typickyvykonávaprostredníctvombezpečnostnýchpolitík.Vtomtoprípadetechnickéopatrenie(implementovanýsystém IAM)nebolosprevádzanépríslušnýmorganizačnýmopatrením.Výsledkomje,žeopatreniaakoceloknemôžubyťpredotknutú organizáciu efektívne.

Príkladzpraxe: Pokuta500000GBPuloženáspoločnostiDSGRetailLtd. potom,čosaspoločnosťouprevádzkovanásieťPOSterminálovstalacieľomkybernetickéhobezpečnostnéhoincidentu. Podľavýsledkovanalýzyútočníknainštalovalškodlivýkódna5390terminálochspoločnostiDSG vobdobíodjúla2017doapríla2018anáslednepravdepodobneajpočasďalšiehoobdobiaaždoreálnehoodhaleniaútokuzhromažďovalosobnéúdaje.Zlyhaniespoločnostivochranevlastnýchsystémovpredznámymihrozbamiumožniloneoprávnenýprístupkúdajomoplatobnýchkartách5,6miliónazákazníkovakinýmosobnýmúdajompribližne14miliónovzákazníkovvrátanecelýchmien, PSČ,e-mailovýchadriesazáznamovoneúspešnýchautorizáciáchtransakcií.Akodôvodincidentu bolipoforenznejanalýzeidentifikovanénasledujúcenedostatky:neadekvátnyprocesnasadzovania softvérovýchzáplat,nedostatočnásegmentáciapočítačovejsieteaúplnáabsenciaprocesurutinného hodnotenia technických zraniteľností.

Vdanomprípadejedostatočnepreukázateľné,ževspoločnostiDSGReatialLtd.nebolauplatnenádobrápraxinformačnejbezpečnostianebolasplnenápožiadavkačlánku24ods.1Nariadenia, podľa ktorého prevádzkovateľ prijme vhodné technické a organizačné opatrenia.

Príkladzpraxe: Pokuta80000GBPuloženálondýnskejrealitnejagentúreLifeatParliament ViewLtd. zazverejnenie18610záznamovsosobnýmiúdajmizákazníkovpočasobdobiaodmarca 2015 do februára 2017.

Bezpečnostnýincidentnastal,keďspoločnosťmigrovaladatabázuzosvojhoserverakudodávateľoviITslužieb,pričomposkončenímigrácienebolivypnuténiektoréštandardnéfunkcionalitynovéhodatabázovéhosystému,najmämožnosťanonymnejautentifikáciepoužívateľa.Totozlyhanie vkonečnomdôsledkuznamenalo,ženebolosprávnenasadenériadenieprístupov,čonásledne umožnilokomukoľvekzískaťplnýprístupkuvšetkýmúdajomuloženýmvdatabáze.Kompromitovanéúdajezahŕňalivýpisyzbankovýchúčtov,mzdovéúdaje,kópiepasov,dátumynarodeniaaadresy nájomcov a prenajímateľov.

Jemožnékonštatovať,ževdanomprípadejedostatočnepreukázateľné,ževspoločnostinebola uplatnenádobrápraxinformačnejbezpečnostianebolasplnenápožiadavkačlánku24ods.1Nariadenia,podľaktoréhoprijatétechnickéaorganizačnéopatreniasapodľapotrebypreskúmajúaaktualizujú.Zároveňdošlokporušeniuzásady„privacybydefault“uvedenejvčlánku25ods1.Nariadenia,podľaktorejprevádzkovateľajvčasesamotnéhospracúvaniaprijmeprimeranétechnickéaorganizačné opatrenia.

K ods. 3

Prebližšieinformácieohľadomvyužívaniaschválenýchkódexovsprávaniaavydanýchcertifikátov ako prvkov na preukázanie súladu pozri komentár k článku 40 a 42.

Článok 25

Špecificky

navrhnutá a štandardná ochrana údajov

1.Sozreteľomnanajnovšiepoznatky,nákladynavykonanieopatreníanapovahu,rozsah, kontextaúčelyspracúvania,akoajnarizikásrôznoupravdepodobnosťouazávažnosťou,ktoréspracúvaniepredstavujepreprávaaslobodyfyzickýchosôb,prevádzkovateľvčaseurčenia prostriedkovspracúvaniaajvčasesamotnéhospracúvaniaprijmeprimeranétechnickéaorganizačnéopatrenia,akojenapríkladpseudonymizácia,ktorésúurčenénaúčinnézavedenie

zásadochranyúdajov,akojeminimalizáciaúdajov,azačlenídospracúvanianevyhnutnézáruky s cieľom splniť požiadavky tohto nariadenia a chrániť práva dotknutých osôb.

2.Prevádzkovateľvykonáprimeranétechnickéaorganizačnéopatrenia,abyzabezpečil,že štandardnesaspracúvajúlenosobnéúdaje,ktorésúnevyhnutnéprekaždýkonkrétnyúčel spracúvania.Uvedenápovinnosťsavzťahujenamnožstvozískanýchosobnýchúdajov,rozsah ichspracúvania,dobuichuchovávaniaaichdostupnosť.Konkrétnesatakýmitoopatreniami zabezpečí,abyosobnéúdajenebolibezzásahufyzickejosobyštandardneprístupnéneobmedzenému počtu fyzických osôb.

3.Schválenýcertifikačnýmechanizmuspodľačlánku42samôžepoužiťakoprvoknapreukázanie súladu s požiadavkami uvedenými v odsekoch 1 a 2 tohto článku.

Súvisiace ustanovenia: recitál 78

Komentár k článku 25

Recitál78: Ochranaprávaslobôdfyzickýchosôbprispracúvaníosobnýchúdajovsivyžaduje, abysaprijaliprimeranétechnickéaorganizačnéopatreniascieľomzabezpečiťsplneniepožiadaviek tohtonariadenia.Nato,abymoholprevádzkovateľpreukázaťsúladstýmtonariadením,bymalprijaťinternépravidláaprijaťopatrenia,ktorébudúpredovšetkýmspĺňaťzásadyšpecifickynavrhnutej ochranyúdajovaštandardnejochranyúdajov.Takétoopatreniabymohliokreminéhopozostávať zminimalizáciespracúvaniaosobnýchúdajov,čonajskoršejpseudonymizácieosobnýchúdajov, transparentnostivsúvislostisfunkciamiaspracúvanímosobnýchúdajov,umožneniadotknutým osobámmonitorovaťspracúvanieúdajov,umožneniaprevádzkovateľovivypracovaťazlepšiťbezpečnostnéprvky.Privypracovaní,navrhovaní,výbereapoužívaníaplikácií,služiebaproduktov, ktorésúzaloženénaspracúvaníosobnýchúdajovalebospracúvajúosobnéúdaje,abysplnilisvoju úlohu,bysavýrobcoviatýchtoproduktov,služiebaaplikáciímalivyzvať,abyprivypracovaníanavrhovanítakýchtoproduktov,služiebaaplikáciízohľadniliprávonaochranuúdajov,pričomnáležitezohľadnianajnovšiepoznatky,abysazabezpečilo,žeprevádzkovateliaasprostredkovatelia môžuplniťsvojepovinnostitýkajúcesaochranyúdajov.Zásadyšpecifickynavrhnutejochranyúdajov a štandardnej ochrany údajov by sa mali zohľadniť aj v súvislosti s verejným obstarávaním.

K ods. 1 a 2

Nariadenievniekoľkýchustanoveniachzakotvujepovinnosťprevádzkovateľaprijaťvhodné technickéaorganizačnéopatrenia,abyzabezpečilabolschopnýpreukázať,žespracúvaniesavykonávavsúladesNariadením.Zatiaľčočlánok24riešiotázkuvoľbyanáslednéhoprijatiabezpečnostnýchopatrenívnadväznostinapovahu,rozsah,kontextaúčelyspracúvania,akoajrizikásrôznou pravdepodobnosťouazávažnosťoupreprávaaslobodyfyzickýchosôb,článok25upravuje,kedy máprevádzkovateľtietoprimeranétechnickéaorganizačnéopatreniaimplementovať.Cieľomčl.25 jestanoviť,vktorejčastiživotnéhocykluinformácieklasifikovanejako„osobnýúdaj“jeprevádzkovateľ povinný prijať tieto opatrenia.

Napochopenietohtočlánkujenajprvnutnévysvetliť,čojeto ŽIVOTNÝCYKLUSINFORMÁCIE alebo tiež ŽIVOTNÝ CYKLUS VÝVOJA SYSTÉMOV.

Každýpracovnýprocespredstavujeurčitý SYSTÉM, vzmyslesúhrnuaktivítaprvkov,medzi ktorýmiexistujúistévzťahyaichusporiadaniadoorganizovanéhocelku,resp.mechanizmu,metodiky, sústavy s koordinovanou činnosťou alebo sústavy ustálených úkonov.

Vývojavyužívaniekaždéhosystémuprechádzaurčitýmietapami,ktorésaprijehonávrhu,nasadení,bežnomvykonávaní(prevádzke),zmenách,údržbe,rozvojiainováciicyklickyopakujú.Postupnosťtýchtologickynasebanadväzujúcich,opakujúcichsavývojovýchetápsystémovsanazýva ŽIVOTNÝCYKLUS. Najčastejšiesúspomínanénasledujúcezákladnéetapyživotnéhocyklusystému, životného cyklu procesu alebo životného cyklu informácie:

Špecifikácie,požiadavkyapotrebyvedúcekrozhodnutiuovzniku(vytvoreníinformácie,spustení návrhu systému, resp. vybudovaní procesu);

Návrh (design) budúceho procesu, systému, alebo dátovej štruktúry;

Vývoj systému„namieru“,integrácia,prípadneprispôsobeniejestvujúcehosystémunovýmpožiadavkám podľa návrhu a podľa špecifikácií;

Implementácia, inštalácia, nasadenie, zavedenie alebo oživenie systému;

Výkon procesu, štandardná prevádzka a údržba systému;

Zmeny jestvujúceho,bežiacehoprocesu(systému),rozvojainováciepodľaaktuálnychpotrieb; Nahradenie systému novým v prípade zastaranosti, nesúladu alebo nízkej efektivity; Ukončenie procesu,vyradeniesystémuzprevádzky,dôveryhodnéaúplnézničenieinformácií. Tento cyklický proces sa dá znázorniť aj graficky v postupnosti krokov.

Schéma č. 5 Životný cyklus procesu, systému, informácie

Navysvetleniepožiadavkyčlánku25jeopätovnenutnézdôrazniť,ževýraz„životnýcyklus“je vinformačnommanažmentepoužívanýakovkontexteživotnéhocykluinformácie,takprocesu, aleboajsystému.Vsoftvérovominžinierstvejenatentoprincípzaužívanýpojemživotnýcyklusvývoja systémov (z anglického „Systems development life cycle“, so skratkou „SDLC“).

VsúvislostisozodpovednosťouprevádzkovateľazasúladsNariadenímzakotvujezákonodarca povinnosťprevádzkovateľaprijaťšpecifickynavrhnutúochranuúdajov(angl.Privacybydesign), akoajštandardnúochranuúdajov(angl.ProtectionbydefaultaleboPrivacybydefault).Požiadavka článku25niejeničíminým,nežpožiadavkounaprijatieprimeranýchtechnickýchaorganizačných opatrení,ktorésúurčenénaúčinnézavedeniezásadochranyúdajovvdvochnasebanadväzujúcich fázach životného cyklu. Tými dvomi časťami sú:

v čase určenia prostriedkov spracúvania,

v čase samotného spracúvania.

K výkladu pojmu prostriedky spracúvania pozri komentár k článku 4 bod 2.

Súkromie „BYDESIGN“ znamenášpecifickyzabudovaťochranusúkromiaužvtejfázeživotnéhocyklu,keďdochádzaknávrhuaplikácie,procesu,činnostialeboriadeniadanéhosystémučiobchodnéhoprocesu.Povinnosťprevádzkovateľaaplikovaťšpecifickynavrhnutúochranuúdajovznamenášpecifickyzabudovaťzásadyspracúvaniaosobnýchúdajov,atedaprávonaochranuosobných údajovvpredstihupredbudúcimspracúvaním,atoužvnávrhuaplikácie,službyaproduktu,ktoré budúurčenéalebozaloženénaspracúvaníosobnýchúdajov.Tútopovinnosťmáprevádzkovateľ včaseurčovaniaprostriedkovspracúvania,t.j.včase,keďeštežiadneosobnéúdajenespracúva,iba aplikáciu, službu alebo produkt práve navrhuje.

Schéma č. 6 Špecificky navrhnutá ochrana údajov

Recitál78správneuvádza,žezásadyšpecifickynavrhnutejochranyúdajovaštandardnejochrany údajovbysamalizohľadniťajvsúvislostisobstarávanímslužiebaproduktov.Toznamená,žeproces obstaraniasystému,aplikáciealeboproduktuodtretejstranyjenutnéviesťtakýmspôsobom,abykeď začneprocesspracúvaniaosobnýchúdajovpomocouproduktualeboslužbytretejstrany,boliodprvej chvílevýkonuspracovateľskejčinnostizohľadnenépožiadavkynaochranuprávdotknutýchosôb. Tátopožiadavkajeajsúčasťoumedzinárodnýchnoriemvoblastiinformačnejbezpečnosti.

Cieľomtýchtopovinnostíjezabezpečiť,abyprostriedkyspracúvaniaosobnýchúdajovbolivyvíjané aleboobstaranéspôsobom,ktorýumožníbudúcuochranuosobnýchúdajov,keďževopačnomprípade bynebolomožnézabezpečiťaplikáciuzásadochranyosobnýchúdajovpočassamotnéhospracúvania.

Vpraxitoznamená,žeakékoľvekčinnostiakrokyprevádzkovateľa,ktorésúvisiasochranou osobnýchúdajov(napr.internéprojekty,vývojproduktov,vývojsoftvéru,obstaraniesystémualebo produktu),musiazohľadňovaťochranuosobnýchúdajovužvštádiusamotnejprípravydanejčinnosti,t.j.eštepredjejzavedenímčispustením.Projektovýmanažér,oddelenieITmusiavspoluprácisosobouzaoberajúcousaproblematikouosobnýchúdajov(čiužjetozodpovednáosobaalebo inýzamestnanec)zabezpečiť,abybolizásadyspracúvaniaimplementovanédokaždéhonávrhu v prvých fázach životného cyklu spracúvania.

Súkromie „BYDEFAULT“ oprotisúkromiu„bydesign“znamenáštandardneatrvaloudržateľnýmspôsobomvykonávaťochranuúdajovvovšetkýchobchodnýchprocesochaspracovateľských operáciáchvčasesamotnéhospracúvania.Jevšakpotrebnézdôrazniť,žetotoustanovenieplatíaj vovzťahukexistujúcemuspracúvaniu,ktorékudňuuplatňovaniaNariadeniaprevádzkovateľvykonáva,t.j.tátopovinnosťsatedavzťahujenanovéspracúvania,akoajvdeňzačatiauplatňovaniatohto Nariadenia existujúce spracúvania.

Vrámcištandardnejochranyosobnýchúdajovjeprevádzkovateľpovinnýprijaťprimeranétechnickéaorganizačnéopatrenia,abyzabezpečil,ževčasespracúvaniaosobnýchúdajovsaštandardne spracúvajúlentieosobnéúdaje,ktorésúnevyhnutnéprekaždýkonkrétnyúčelspracúvania.Tieto bezpečnostnéopatreniamusiazabezpečiť,žeprevádzkovateľzískavaibaosobnéúdajenevyhnutné nadosiahnutieúčeluspracúvania,osobnéúdajesaspracúvajúibavnevyhnutnomrozsahu,podobu potrebnúnadosiahnutieúčeluspracúvaniaasúdostupnépreoprávnenéhopoužívateľaasystémvo chvíli, keď je to potrebné a požadované.

Prečojedôležitéminimalizovaťspracúvanéosobnéúdaje?Okremskutočnosti,žeideozákladnépovinnostiprevádzkovateľavyplývajúcezozásadspracúvaniaupravenýchvčlánku5,predstavujeminimalizáciaajnajlepšiupraxpriznižovanírizikaneoprávnenéhoprístupukosobnýmúdajomaeliminácii ostatnýchbezpečnostnýchhrozieb.Prizískavaníosobnýchúdajovbysiprevádzkovateľmalvždypoložiťniekoľkozákladnýchotázokprekaždýtyposobnýchúdajov,ktorýplánujespracúvať,najmä:

Jedotknutáosobainformovanáotom,ktoréosobnéúdajeonejprevádzkovateľzískavaaspracúva?

Na aký účel a akým spôsobom plánuje prevádzkovateľ tieto osobné údaje spracúvať?

Existujespôsob,akodosiahnuťpríslušnýúčelajbeztoho,abybolonutnézískavaťosobnéúdaje?

Jemožnédosiahnuťpríslušnýúčelajsmenšímobjemomosobnýchúdajov,resp.smenšímrozsahom atribútov osobných údajov?

Naakúdobubudepotrebnéuchovávaťosobnéúdajenadosiahnutiepríslušnéhoúčeluspracúvania?

Odpoveďnatietootázkyumožníprevádzkovateľovipochopiť,ktoréosobnéúdajesúnadosiahnutieúčelupotrebnéaktorénaopaknebudúpotrebnévžiadnejetapeživotnéhocykluspracúvania–a teda ktoré osobné údaje nepotrebuje získať a ktoré, ak už boli získané, je potrebné vymazať. Schéma č. 7 Štandardná ochrana údajov

Prevádzkovateľjepovinnýprijaťtakétechnickéaorganizačnéopatrenia,ktorésúúčinnénazavedenie a udržateľnosť zásady:

zákonnosti, spravodlivosti a transparentnosti, obmedzenia účelu, minimalizácie údajov, správnosti,

minimalizácie uchovávania, integrity, dôvernosti a dostupnosti.

Vovzťahukšpecifickynavrhnutejochraneúdajovjeprevádzkovateľpovinnýprijaťprimerané technickéaorganizačnéopatrenia,ktorésúurčenénaúčinnézavedeniezásadspracúvaniaosobnýchúdajov.Pritomjepovinnýzohľadniťnajnovšiepoznatky,nákladynavykonanieopatrení,ako aj povahu spracúvania. Tieto poznatky musia zahŕňať napríklad: dostupnosť a spôsob použitia nových technológií, možnéuplatneniealebonaopakvyhnutiesavýlučneautomatizovanémurozhodovaniusprávnymi účinkami vrátane profilovania, či je spracúvanie vykonávané aj neautomatizovanými prostriedkami, rozsahspracúvania(napr.početdotknutýchosôb,početosobnýchúdajov,početkategóriíosobných údajov, objem osobných údajov na regionálnej, vnútroštátnej alebo nadnárodnej úrovni), kontextspracúvania(vrátaneprávnehozákladuspracúvania,identityprevádzkovateľa,dobrovoľnosti alebo povinnosti poskytnúť osobné údaje, kategórií dotknutých osôb a pod.),

účelyspracúvania(napr.čisavsúvislostisúčelomspracúvaniapredpokladádopadnadotknutú osobualebonie)arizikásrôznoupravdepodobnosťouazávažnosťoupreprávaaslobodyfyzickýchosôb(napr.diskriminácia,krádežtotožnosti,finančnástrata,ujmanazdraví,akékoľvek hospodárskealebosociálneznevýhodnenie,bráneniedotknutejosobevyužiťsvojeprávo a iné...).

Recitál78stanovuje,žebezpečnostnéopatreniabymaliokreminéhopozostávaťzminimalizáciespracúvaniaosobnýchúdajov,podľamožnostiajzopseudonymizácieosobnýchúdajov,transparentnostivsúvislostisfunkciamiaspracúvanímosobnýchúdajov,umožneniadotknutýmosobámmonitorovaťspracúvanieúdajov,umožneniaprevádzkovateľovivypracovaťazlepšiťbezpečnostné prvky.

VtejtosúvislostimyslíNariadenienielennaprevádzkovateľov,aleajdodávateľovproduktov, služiebaaplikáciíavyzývaich,abyprivypracovaní,navrhovaní,výbereapoužívaníaplikácií,služiebaproduktov,ktorésúzaloženénaspracúvaníosobnýchúdajovalebospracúvajúosobnéúdaje, zohľadniliprávonaochranuúdajov,abyprevádzkovateliaasprostredkovateliamohliplniťsvojepovinnosti týkajúce sa ochrany údajov.

Vrámcištandardnejochranyosobnýchúdajovjeprevádzkovateľpovinnýprijaťprimeranétechnickéaorganizačnéopatrenia,abyzabezpečil,ževčasespracúvaniaosobnýchúdajovsaspracúvajú lentieosobnéúdaje,ktorésúnevyhnutnéprekonkrétnyúčelspracúvania.Tietobezpečnostnéopatreniazabezpečia,žeprevádzkovateľzískavaibaosobnéúdajenevyhnutnénadosiahnutieúčelu spracúvania,osobnéúdajesaspracúvajúibavnevyhnutnomrozsahu,podobupotrebnúnadosiahnutieúčeluspracúvaniaasúdostupnépreoprávnenéhopoužívateľaasystémvochvíli,keďjetopotrebné a požadované.

Akvyššieuvedenécieleaplikujemenaživotnýcyklusinformácie,procesualebosystému,znamenáto,žezabudovanieochranysúkromia VČASEURČENIAPROSTRIEDKOVSPRACÚVANIA je aplikáciaprincípovinformačnejbezpečnostivofázach:Plánovanie–Analýzaašpecifikáciapožiadaviek–Návrh(design)–Vývojpodľašpecifikácií–Integráciaatestovanie–Implementácia,nasadenie a VČASESAMOTNÉHOSPRACÚVANIA jeaplikáciaprincípovinformačnejbezpečnostivofázach: Štandardná prevádzka a údržba – Nasadzovanie zmien – Ukončenie a vyradenie.

V grafickom znázornení by sa táto požiadavka dala vyjadriť nasledujúcim spôsobom: Schéma č. 8 Špecificky navrhnutá a štandardná ochrana údajov z pohľadu životného cyklu

K ods. 3

Jednýmzprvkovpreukázaniasplneniapovinnostiuplatňovaťšpecifickynavrhnutúajštandardnú ochranu osobných údajov je certifikát podľa článku 42.

Článok 26

Spoloční prevádzkovatelia

1.Akdvajaaleboviaceríprevádzkovateliaspoločneurčiaúčelyaprostriedkyspracúvania, súspoločnýmiprevádzkovateľmi.Transparentneurčiasvojepríslušnézodpovednostizaplneniepovinnostípodľatohtonariadenia,najmäpokiaľideovykonávanieprávdotknutejosoby, asvojepovinnostiposkytovaťinformácieuvedenévčlánkoch13a14,atoformouvzájomnej dohody,pokiaľniesúpríslušnézodpovednostiprevádzkovateľovurčenéprávomÚniealebo právomčlenskémuštátu,ktorémuprevádzkovateliapodliehajú.Vdohodesamôžeurčiťkontaktné miesto pre dotknuté osoby.

2.Vdohodeuvedenejvodseku1sanáležitezohľadniapríslušnéúlohyspoločnýchprevádzkovateľovaichvzťahyvočidotknutýmosobám.Základnéčastidohodysaposkytnúdotknutým osobám.

3.Bezohľadunapodmienkydohodyuvedenejvodseku1môžedotknutáosobauplatniť svojeprávapodľatohtonariadeniaukaždéhoprevádzkovateľaavočikaždémuprevádzkovateľovi.

Súvisiace ustanovenia: recitál 79, článok 4 bod 7, článok 82

Komentár k článku 26

Recitál79: Ochranaprávaslobôddotknutýchosôb,akoajpovinnostiazodpovednosťprevádzkovateľovasprostredkovateľov,atoajvsúvislostismonitorovanímzostranydozornýchorgánov aichopatreniami,sivyžadujejasnérozdeleniepovinnostípodľatohtonariadeniavrátaneprípadov, vktorýchprevádzkovateľurčujeúčelyaprostriedkyspracúvaniaspoločnesinýmiprevádzkovateľmi, alebo v prípadoch, v ktorých sa spracovateľská operácia vykonáva v mene prevádzkovateľa.

K ods. 1 a 2

Nariadenieupravujesituáciu,keďúčelyaprostriedkyspracúvaniaurčiadvajaaleboviaceríprevádzkovatelia.Vtakomprípadehovorímeospoločnýchprevádzkovateľoch.HocitentopojemSmernicaoochraneosobnýchúdajovanizákonč.122/2013Z.z.nepoznal,obidvauvedenépredpisytakútosituáciupredpokladali,keďžeprevádzkovateľadefinovaliakosubjekt,ktorýsámalebo spoločnesinýmiurčíúčelaprostriedkyspracúvania osobnýchúdajov.Vtomtosmeretedanejde onovinku,aleodoplneniepravidieltýkajúcichsaspracúvaniavykonávanéhoviacerýmiprevádzkovateľmi.

Preposúdenie,čiviacerésubjektyvystupujúvpostaveníspoločnýchprevádzkovateľov,jerozhodujúce,čispoločneurčiliúčelaprostriedkyspracúvania,bezohľadunato,vakomrozsahusanaurčeníkaždýznichpodieľal.Akmánejakýsubjektobjektívnyvplyvnaspracúvanieosobnýchúdajov,ak sapodieľalnaurčeníúčeluaprostriedkovspracúvania,považujesazaprevádzkovateľa,bezohľadu nato,čitozmluvaurčujealebonie.Podúčelomspracúvaniaosobnýchúdajovrozumiemekonkrétny dôvod,prečosaosobnéúdajespracúvajú.Vyplývabuďzoslobodnéhorozhodnutiaspoločnýchprevádzkovateľov,alebozprávnehopredpisuÚniečičlenskéhoštátu.Účelspracovaniamusíbyťvsúlade sozásadouobmedzeniaúčelukonkrétneurčený,výslovneuvedený,legitímnyavprípadeďalšieho spracúvaniazlučiteľnýspôvodnýmúčelomspracúvania(bližšiekúčelupozrikomentárkčlánku5 ods.1písm.b).Určenieprostriedkovspracúvaniaosobnýchúdajovnámpomáhaodpovedaťnaotázku,akostanovenýúčeldosiahneme.Pojemprostriedkyspracúvaniaosobnýchúdajovjeveľmiširoký azahŕňavšetkytechnickéajorganizačnéprostriedky,ktoréprevádzkovateliaprispracúvaníosobných údajovpoužijú(napr.hardvér,softvér,ktorýsanaspracúvaniepoužije,listinnákartotékaapod.).Nie jepritompotrebné,abymaliprevádzkovateliatietoprostriedkyvosvojomvlastníctve(napr.kamery, softvér)alebovdržbe.Kpojmuspoločnýprevádzkovateľpozribližšiekomentárkčlánku4bod7 arozsudokSúdnehodvoraEÚvoveciTietosuojavaltuutettuuvedenývčastijudikatúrakčl.4.Spoločníprevádzkovateliamôžuspracúvaťosobneúdajesúčasnealeboajposebevoviacerýchfázach.Na spoločnýchprevádzkovateľovsavzťahujúustanoveniaNariadeniatýkajúcesaprevádzkovateľa.

Existenciaspoločnýchprevádzkovateľovmôževyplývaťbuďzichslobodnéhorozhodnutia,alebozprávaÚniečičlenskéhoštátu,ktorémuprevádzkovateliapodliehajú.Vtakomprípademôže totoprávourčiťajprostriedkyspracúvania.Najdôležitejšiejezabezpečiť,abybolivšetkypráva,povinnostiazodpovednosťspoločnýchprevádzkovateľovzaichplneniejasneatransparentneurčené, atonajmäpokiaľideopovinnosťposkytnúťdotknutýmosobáminformáciepodľačlánku13a14(ak sananichnevzťahujevýnimkaztejtopovinnostipodľačlánku13ods.4alebo14ods.5aleboobmedzenieprijatévsúladesčl.23)apovinnostivyplývajúcezožiadostidotknutejosobyuplatňujúcejsi svojepráva(právonaprístup,právonaopravu,právonavymazanie,právonaobmedzeniespracúvania,právonaprenosnosť,právonamietať,právotýkajúcesaautomatizovanéhoindividuálneho rozhodovaniavrátaneprofilovaniapodľačlánku22).Vprípade,akniesúpríslušnézodpovednosti spoločnýchprevádzkovateľovurčenéprávomÚniealeboprávomčlenskéhoštátu,ktorémuprevádzkovateliapodliehajú,súspoločníprevádzkovateliapovinníuzatvoriťdohodu,vktorejsiupraviasvoj vzájomnývzťah,t.j.vktorejsitransparentnemedzisebourozdeliapovinnostivyplývajúcezNariadeniaastýmsúvisiacuzodpovednosťzaichplnenie.Nariadeniesícenevyžadujepísomnúformu dohody,alevzhľadomnazásaduzodpovednosti,akoajpresnérozdeleniezodpovednostizaporušeniepovinnostíspojenésprípadnounáhradouškodyspôsobenejdotknutejosobeodporúčamedohodupísomnezdokumentovať.Existenciaspoločnejzodpovednostineznamenánevyhnutnerovnakú zodpovednosťspoločnýchprevádzkovateľovzatoistéspracovanieosobnýchúdajov.Spoločníprevádzkovateliamôžubyť,naopak,zapojenídotohtospracovaniavrôznychfázachastupňoch,takže mieruzodpovednostikaždéhoznichtrebahodnotiťzhľadiskavšetkýchrelevantnýchokolností konkrétnejveci.Okremtohospoluzodpovednosťviacerýchsubjektovzatoistéspracovanienepredpokladá, aby mal každý z nich prístup k dotknutým osobným údajom.359)

Vsúladesozásadoutransparentnostisúzákladnéčastidohody,t.j.identifikáciuspoločných prevádzkovateľovarozdeleniepovinnostíazodpovednostizaichplnenie,spoločníprevádzkovateliapovinníposkytnúťdotknutýmosobám,atovstručnej,ľahkodostupnejaľahkopochopiteľnej forme.Vtomtosmereodporúčame,abydohodaprehľadnýmspôsobomurčovala,ktorýprevádzkovateľzodpovedázavybaveniežiadostidotknutejosobyuplatňujúcejsikonkrétneprávodotknutej osoby,napr.právonaprenosnosťúdajov.Dohodamôžeurčiťajkontaktnémiestopredotknutéosoby.Vprípade,aktypspracúvania,najmäsvyužitímnovýchtechnológiíasohľadomnapovahu,rozsah,kontextaúčelyspracúvaniapravdepodobnepovediekvysokémurizikupreprávaaslobodyfyzickýchosôb,súspoločníprevádzkovateliapovinnívykonaťpredspracúvanímposúdenievplyvuna ochranuosobnýchúdajov,ktorébymaloobsahovaťurčenie,ktorýprevádzkovateľjezodpovedný za prijatie konkrétneho bezpečnostného opatrenia.

359)Rozsudok Súdneho dvora EÚ z 10. júla 2018 vo veci C-25/17, Tietosuojavaltuutettu.

Nato,abymohlispoločníprevádzkovateliavyužívaťzásadujednotnéhokontaktnéhomiesta, malibyurčiť,ktoráprevádzkareňspoločnýchprevádzkovateľovbudemaťprávomocpresadzovať vykonanierozhodnutíoúčelochaprostriedkochspracúvaniavovzťahukuvšetkýmspoločnýmprevádzkovateľom.Tátoprevádzkareňsapotombudepovažovaťzahlavnúprevádzkareň.Určenie hlavnejprevádzkarnemôžebyťsúčasťouvyššiespomínanejdohodyspoločnýchprevádzkovateľov.

VoveciFashionID360) SúdnydvorEÚkonštatoval,žefyzickúaleboprávnickúosobu,ktorá ovplyvňujenasvojevlastnéúčelyspracovanieosobnýchúdajovavdôsledkutohosapodieľanaurčovaníúčelovaprostriedkovtohtospracovania,možnopovažovaťzaprevádzkovateľa.Spoluzodpovednosťviacerýchsubjektovzatoistéspracovanienepredpokladá,abymalkaždýznichprístup kdotknutýmosobnýmúdajom.Cieľomširokejdefiníciepojmu„prevádzkovateľ“jezaručiťúčinnú aúplnúochranudotknutýchosôb,existenciaspoločnejzodpovednostivšakneznamenánevyhnutnerovnakúzodpovednosťrôznychsubjektovzatoistéspracovanieosobnýchúdajov.Fyzickáalebo právnickáosobamôžebyťprevádzkovateľomvspojenísinýmiosobamilenzatieoperáciespracovaniaosobnýchúdajov,priktorýchspoločneurčujeúčelyaprostriedkyspracovania.Naprotitomu abeztoho,abybolavtejtosúvislostidotknutáprípadnáobčianskoprávnazodpovednosťstanovená vnútroštátnymprávom,nemožnouvedenúfyzickúaleboprávnickúosobupovažovaťzaprevádzkovateľazapredchádzajúcealeboneskoršieoperácievpostupespracovania,priktorýchneurčujeúčelyaniprostriedky.SúdnydvorEÚvpredmetnejvecikonštatoval,žesprávcuinternetovejstránky, ktorýumiestninasvojejstránkemodulsociálnejsieteumožňujúciprehliadačunávštevníkatejto stránkyvyžiadaťsiobsahoddodávateľauvedenéhomoduluanatentoúčelprenesietomutododávateľoviosobnéúdajenávštevníka,možnopovažovaťzaprevádzkovateľa.Tátozodpovednosťprevádzkovateľajevšakobmedzenánaoperáciualebovšetkyoperáciespracovaniaosobnýchúdajov, priktorýchskutočneurčujeúčelyaprostriedky,t.j.operáciezberuaprenosupredmetnýchúdajov.

K ods. 3

Bezohľadunato,akosispoločníprevádzkovateliavdohoderozdelilimedziseboupovinnosti vyplývajúcezNariadenia(napr.ktojepovinnýosobnéúdajeopraviť,ktopreniesťapod.),dotknutá osobamôžeuplatniťvšetkysvojeprávaukaždéhoprevádzkovateľaaleboakékoľveksvojeprávo vočiktorémukoľvekprevádzkovateľovi.Dotknutáosobatedaniejeprivýkonesvojichprávviazaná aniobmedzovanádohodouspoločnýchprevádzkovateľov.Zákonodarcavýslovneuvádza,ževprípade,aksanatomistomspracúvanízúčastníviacakojedenprevádzkovateľasúpodľačlánku82 ods. 2a3zodpovednízaškoduspôsobenúspracúvaním,každýznichzodpovedázacelúškodu,aby sadotknutejosobezabezpečilacelánáhrada.Akniektorýzospoločnýchprevádzkovateľovzaplatil dotknutejosobenáhraduspôsobenejškodyvplnejvýške,máprávožiadaťostatnýchspoločných prevádzkovateľovzapojenýchdotohoistéhospracúvaniatúčasťnáhradyškody,ktorázodpovedá ich podielu zodpovednosti za škodu (k práve na náhradu škody pozri komentár k článku 82).

Dvealeboviacdcérskychspoločnostísarozhodnúvytvoriťspoločnúinternetovúplatformuscieľomzefektívniťlogistiku doručovaniazásielokklientomdcérskychspoločností.Dohodnúsanaúčelespracúvaniaosobnýchúdajov,akoajnaprostriedkoch,ktorésamajúpoužiť.Vtakomtoprípadebudúspoločnýmiprevádzkovateľmivsúvislostisospracúvanímvykonávaným na dohodnutý účel prostredníctvom spoločnej internetovej logistickej platformy.

Cestovnáagentúra,hotelovýreťazecaleteckáspoločnosťsarozhodnúvytvoriťspoločnúinternetovúplatformuscieľom zlepšiťsvojuspoluprácuprimanažmentecestovnýchrezervácií.Dohodnúsanadôležitýchprvkochprostriedkov,ktorésamajú použiť,napríklad,akéúdajesamajúukladať,akosabudúprideľovaťapotvrdzovaťrezervácieaktobudemaťprístupkuloženýminformáciám.Navyšesarozhodnúspoločnevyužívaťúdajeosvojichzákazníkochscieľomvykonávaťintegrovanémarketingovéakcie.Vtomtoprípadecestovnáagentúra,leteckáspoločnosťahotelovýreťazecbudúmaťspoločnúkontrolunadspôsobomspracovaniaosobnýchúdajovvlastnýchzákazníkov,apretobudúspoločnýmiprevádzkovateľmivsúvislostisoperáciamispracúvaniatýkajúcimisaspoločnejinternetovejrezervačnejplatformy.Každýznichsivšakzachovávýlučnúkontrolu nad ostatnými činnosťami spracovania, napríklad činnosťami súvisiacimi s riadením ľudských zdrojov.361)

Inúsituáciupredstavujepríklad,akcestovnáagentúraposielaosobnéúdajesvojichzákazníkovleteckejspoločnostiahotelovémureťazcuscieľomrezerváciemiestvrámcicestovnéhobalíka.Leteckáspoločnosťahotelpotvrdiapožadovanévoľné

360)RozsudokSúdnehodvoraEÚz29.júla2019voveciC-40/17FashionIDGmbH&Co.KGprotiVerbraucherzentrale NRW eV.

361)Usmernenie WP29 k pojmom „prevádzkovateľ“ a „sprostredkovateľ“ (WP 169) prijaté 16. februára 2010.

miestaaizby.Cestovnáagentúravystavísvojimzákazníkomcestovnédokumentyapoukážky.Vtomtoprípadesúcestovná agentúra,leteckáspoločnosťahoteltrajarôzniprevádzkovateliaavšetcitrajasamostatnepodliehajúpovinnostiamochrany údajov v súvislosti s vlastným spracovaním osobných údajov.362)

Spoločnýmiprevádzkovateľmimôžubyťajadvokáti,akposkytujúprávneslužbyvzdruženípodľa§13zákonaoadvokácii.

Z judikatúry:

K RozsudokSúdnehodvoraEÚz10.júla2018voveciC-25/17,Tietosuojavaltuutettu (poznámka autorov:preskutkovéokolnostiprejednávanejvecipozrirozsudokvčastijudikatúrakčlánku4;rozsudok je podrobne spracovaný aj v judikatúre k čl. 91 Nariadenia)

66Keďžecieľomtohtoustanoveniajeprostredníctvomextenzívnejdefiníciepojmu„prevádzkovateľ“ zaručiťúčinnúaúplnúochranudotknutýchosôb,existenciaspoločnejzodpovednostineznamenánevyhnutnerovnakúzodpovednosťrôznychsubjektovzatoistéspracovanieosobnýchúdajov.Tietosubjekty môžubyťnaopakzapojenédotohtospracovaniavrôznychfázachastupňoch,takžemieruzodpovednosti každéhoznichtrebahodnotiťzhľadiskavšetkýchrelevantnýchokolnostíprejednávanejveci(pozrivtomto zmyslerozsudokz5.júna2018,WirtschaftsakademieSchleswig-Holstein,C-210/16,EU:C:2018:388,body 28,43a44).

69Okremtohospoluzodpovednosťviacerýchsubjektovzatoistéspracovaniepodľatohtoustanovenianepredpokladá,abymalkaždýznichprístupkdotknutýmosobnýmúdajom(pozrivtomtozmysle rozsudok z 5. júna 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, bod 38).

K RozsudokSúdnehodvoraEÚz29.júla2019voveciC-40/17FashionIDGmbH&Co.KGprotiVerbraucherzentrale NRW eV (rozsudok je podrobne spracovaný v judikatúre k čl. 4 Nariadenia)

Článok 27

Zástupcovia prevádzkovateľov alebo sprostredkovateľov, ktorí nie sú usadení v Únii

1.Aksauplatňuječlánok3ods.2,prevádzkovateľalebosprostredkovateľpísomneurčízástupcu v Únii.

2. Povinnosť stanovená v odseku 1 tohto článku sa nevzťahuje na:

a)spracúvanie,ktoréjeobčasné,nezahŕňavoveľkomrozsahuspracúvanieosobitnýchkategóriíosobnýchúdajovpodľačlánku9ods.1alebospracúvanieosobnýchúdajovtýkajúcich sauznaniavinyzatrestnéčinyapriestupkypodľačlánku10,aniejepravdepodobné,žepovediekrizikupreprávaaslobodyfyzickýchosôb,pričomsazohľadnípovaha,kontext,rozsah a účely spracúvania, alebo

b)orgán verejnej moci či verejnoprávny subjekt.

3.Zástupcamusíbyťusadenývjednomztýchčlenskýchštátov,vktorýchsanachádzajú dotknutéosoby,ktorýchosobnéúdajesaspracúvajúvsúvislostisponukoutovarualeboslužieb pre nich, alebo ktorých správanie sa sleduje.

4.Prevádzkovateľalebosprostredkovateľpoverízástupcu,abysanaňhopopriprevádzkovateľovialebosprostredkovateľovialebonamiestoprevádzkovateľaalebosprostredkovateľa obracalinajmädozornéorgányadotknutéosoby,atovovšetkýchotázkachtýkajúcichsaspracúvania na účely zabezpečenia súladu s týmto nariadením.

5.Určenímzástupcuprevádzkovateľomalebosprostredkovateľomniesúdotknutéprávne prostriedkynápravy,ktorébysamohliiniciovaťprotisamotnémuprevádzkovateľovialebo sprostredkovateľovi.

Súvisiace ustanovenia: recitály 75, 80, článok 3 ods. 2, článok 4 bod 17

Komentár k článku 27

Recitál75: Rizikopreprávaaslobodyfyzickýchosôbsrôznymstupňompravdepodobnostiazávažnostimôžuvyplývaťzospracúvaniaosobnýchúdajov,ktorébymohloviesťkujmenazdraví, majetkovejalebonemajetkovejujme,atonajmäakspracúvaniemôževiesťkdiskriminácii,krádeži totožnostialebopodvodu,finančnejstrate,poškodeniudobréhomena,stratedôvernostiosobných

362)Usmernenie WP29 k pojmom „prevádzkovateľ“ a „sprostredkovateľ“ (WP 169) prijaté 16. februára 2010.

Zástupcovia

prevádzkovateľov alebo sprostredkovateľov, ktorí nie sú usadení v Únii

údajovchránenýchprofesijnýmtajomstvom,neoprávnenejreverznejpseudonymizáciialeboakémukoľvekinémuzávažnémuhospodárskemualebosociálnemuznevýhodneniu;akbydotknuté osobymohlibyťpozbavenésvojichprávaslobôdaleboimbolobránenévkontrolenadsvojimiosobnýmiúdajmi;aksaspracúvajúosobnéúdajeodhaľujúcerasovýaleboetnickýpôvod,politickénázory,náboženstvoalebofilozofickénázoryačlenstvovodborovýchorganizáciách,aaksaspracúvajú genetickéúdaje,údajetýkajúcesazdraviačiúdajetýkajúcesasexuálnehoživotaalebouznaniaviny zospáchaniatrestnéhočinuapriestupkučisúvisiacichbezpečnostnýchopatrení;aksaposudzujú osobnéaspekty,najmäaksaanalyzujúalebopredvídajúaspektytýkajúcesavýkonnostivpráci,majetkovýchpomerov,zdravia,osobnýchpreferenciíalebozáujmov,spoľahlivostialebosprávania,polohyalebopohybu,scieľomvytvoriťalebopoužívaťosobnéprofily;aksaspracúvajúosobnéúdaje zraniteľnýchfyzickýchosôb,najmädetí;aleboakspracúvaniezahŕňaveľkémnožstvoosobných údajov a má dôsledky na veľký počet dotknutých osôb.

Recitál80: Akprevádzkovateľalebosprostredkovateľ,ktorýniejeusadenývÚnii,spracúva osobnéúdajedotknutýchosôb,ktorésanachádzajúvÚnii,pričomjehospracovateľskéčinnostisúvisiasponukoutovarualeboslužiebtakýmtodotknutýmosobámvÚnii,bezohľadunato,čisaod dotknutejosobyvyžadujeplatba,alebososledovanímichsprávaniasa,pokiaľsatotoichsprávanie uskutočňujevÚnii,prevádzkovateľalebosprostredkovateľbymalurčiťzástupcuokremprípadov, keďspracúvanie,ktorévykonáva,jeobčasné,nezahŕňavoveľkomrozsahuspracúvanieosobitných kategóriíosobnýchúdajovalebospracúvanieosobnýchúdajovtýkajúcichsauznaniavinyzatrestné činyapriestupky,aniejepravdepodobné,žepovediekrizikupreprávaaslobodyfyzickýchosôb, pričomsazohľadnípovaha,kontext,rozsahaúčelyspracúvania,alebokeďjeprevádzkovateľorgánomverejnejmocialeboverejnoprávnymsubjektom.Zástupcabymalkonaťvmeneprevádzkovateľa alebo sprostredkovateľa a môže sa na neho obracať ktorýkoľvek dozorný orgán.

K ods. 1

Nariadeniezakotvujepovinnosťprevádzkovateľaalebosprostredkovateľaurčiťvprípade,aksa nanehouplatňuječlánok3ods.2Nariadenia,zástupcuvEÚ,atopísomne.Ideosituácie,keďprevádzkovateľalebosprostredkovateľsíceniejeusadenývEÚ,alespracúvaosobnéúdajedotknutých osôbnachádzajúcichsavEÚ,atovsúvislostisponukoutovarualeboslužiebtýmtoosobámvEÚ (vEÚmusiabyťtovaryajslužbyponúkané)alebovsúvislostisosledovanímsprávaniadotknutých osôb,pokiaľideoichsprávanienaúzemíEÚ.Zatiaľčoodsek1tohtočlánkuupravujevšeobecnúpovinnosťprevádzkovateľaalebosprostredkovateľazástupcuurčiť,odsek2obsahujevýnimkyztejto povinnosti.Povinnosťurčiťzástupcusavzťahujetaknaprevádzkovateľa,akoajnasprostredkovateľa.Aksanahociktoréhoznichvzťahuječlánok3ods.2Nariadeniaaniejesplnenávýnimkaztejto povinnostipodľačlánku27ods.2Nariadenia,jedanýsubjektpovinnýurčiťvEÚsvojhozástupcu, bezohľadunato,čisatátopovinnosťvzťahujeajnadruhýsubjekt,prípadnečidruhýsubjektsvoju povinnosťurčiťzástupcusplnil.Vprípade,keďsatátopovinnosťvzťahujenaprevádzkovateľaajna sprostredkovateľa,určenímzástupcuzostranyprevádzkovateľanezanikápovinnosťsprostredkovateľa a naopak.

PovinnosťurčiťzástupcupoznalaajSmernicaoochraneosobnýchúdajov,akoajzákon č.122/2013Z.z.VzhľadomnaodlišnúúpravumiestnejpôsobnostizakotvenúvSmernicioochrane osobnýchúdajovoprotijejúpraveuvedenejvNariadenísavšaktátopovinnosťvzťahovalaibana prevádzkovateľa(nieajnasprostredkovateľa),atoibavprípade,aknebolusadenýnaúzemíEÚ,avšaknaúčelyspracúvaniaosobnýchúdajovdotknutýchosôbpoužívalúplnealebočiastočneautomatizovanéaleboinéakoautomatizovanéprostriedkyspracúvaniaumiestnenénaúzemíčlenského štátu,pričomtietoprostriedkynebolivyužívanévýlučnenaprenososobnýchúdajovcezúzemie členskýchštátov.Kurčeniuzástupcupodľazákonač.122/2013Z.z.takprišlonapr.vprípadezhromažďovaniaosobnýchúdajovnaúzemíSRvsúvislostisGoogleStreetViewprepotrebyprevádzkovateľa Google Inc. sídliaceho v USA.

Zmenouvymedzeniaúzemnejpôsobnosti,akoajaplikácioutejtopovinnostinasprostredkovateľadochádzakrozšíreniuprípadovobligatórnehourčeniazástupcuprevádzkovateľaalebosprostredkovateľavEÚvporovnanísdoterajšouúpravouobsiahnutouvSmernicioochraneosobnýchúdajov aj v zákone č. 122/2013 Z. z.

Vzmyslečlánku4bod17sazástupcomrozumiefyzickáaleboprávnickáosobausadenávEÚ, ktorúprevádzkovateľalebosprostredkovateľpísomneurčilaktoráhozastupuje,pokiaľideojeho povinnostipodľatohtonariadenia.Vtejtosúvislostitrebauviesť,žepovinnosťurčiťzástupcutreba odlišovaťodpovinnostiprevádzkovateľaalebosprostredkovateľaurčiťzodpovednúosobu,atoaj napriekskutočnosti,žeúlohouobidvochosôbjespoluprácasdozornýmorgánom,akoajkomunikáciasdotknutýmiosobamivsúvislostisovšetkýmiotázkamitýkajúcimisaspracúvaniaichosobných údajov,akoajuplatňovaniaichprávpodľaNariadenia.Vpraximôžunastaťprípady,keďsanaprevádzkovateľaalebosprostredkovateľabudúvzťahovaťobidvepovinnosti(t.j.povinnosťustanoviť zástupcu aj zodpovednú osobu).

K ods. 2

TentoodsekupravujevýnimkyzpovinnostiprevádzkovateľaalebosprostredkovateľaurčiťsvojhozástupcuvEÚnapriektomu,žesananichčl.3ods.2Nariadeniavzťahuje.Prevádzkovateľalebo sprostredkovateľniejepovinnýurčiťsvojhozástupcuvEÚvprípade,akje1.orgánomverejnejmoci aleboverejnoprávnymsubjektom,alebo2.vprípade,akspracúvanieosobnýchúdajovjeobčasné anezahŕňavoveľkomrozsahuspracúvanieosobitnýchkategóriíosobnýchúdajovalebospracúvanieosobnýchúdajovtýkajúcichsauznaniavinyzatrestnéčinyapriestupkyazároveňniejepravdepodobné,žepovediekrizikupreprávaaslobodyfyzickýchosôb,pričomsazohľadnípovaha,kontext,rozsahaúčelyspracúvania.Nauplatnenievýnimkyvdruhomprípadesavyžaduje,abyboli všetkypodmienkysplnenékumulatívne.Toznamená,žeprevádzkovateľalebosprostredkovateľje povinnýurčiťzástupcuvEÚajvprípade,aknapr.spracúvanienezahŕňavoveľkomrozsahuspracúvanieosobitnýchkategóriíosobnýchúdajovalebospracúvanieosobnýchúdajovtýkajúcichsauznaniavinyzatrestnéčinyapriestupkyazároveňniejepravdepodobné,žepovediekrizikuprepráva a slobody fyzických osôb, avšak spracúvanie nie je občasné (ale pravidelné alebo sústavné).

Splneniepodmienoknaaplikáciuvýnimkyzostranyprevádzkovateľanezbavujesprostredkovateľapovinnostiurčiťsvojhozástupcu,aksananehotátopovinnosťvzťahuje,anaopak.Vprípade,ak jeprevádzkovateľalebosprostredkovateľorgánomverejnejmocialeboverejnoprávnymsubjektom, naktorýsavzťahuječl.3ods.2Nariadenia,aplikujesananehovýnimkazpovinnostiurčiťzástupcu naúzemíEÚzpozíciejehopostavenia.Vdanomprípadesatedaneskúma,čijespracúvanievykonávanéprevádzkovateľomalebosprostredkovateľomobčasnéalebonie,čijepravdepodobné,žepovediekrizikupreprávaaslobodyfyzickýchosôb,alebočizahŕňavoveľkomrozsahuspracúvanieosobitnýchkategóriíosobnýchúdajovaleboosobnýchúdajovtýkajúcichsauznaniavinyzatrestnéčiny apriestupky.Podľanázoruautorovtohtokomentárabypostavenieprevádzkovateľaalebosprostredkovateľaakoorgánuverejnejmocialeboverejnoprávnehosubjektumalovyplývaťznárodného práva upravujúceho zriadenie či založenie prevádzkovateľa alebo sprostredkovateľa.

Nariadeniebližšienedefinuje,kedy,resp.akéspracúvanieosobnýchúdajovpovažujezaspracúvanievoveľkomrozsahu.Určitoupomôckoukurčeniuveľkéhorozsahumôžebyťrecitál91,ktorý savšakprimárnevzťahujenapovinnosťvykonaťposúdenievplyvunaochranuúdajov.Vzmysle tohtorecitáluo spracovateľskéoperácieveľkéhorozsahuidevtedy,akichcieľomjespracúvaťznačný objemosobnýchúdajovnaregionálnej,vnútroštátnejalebonadnárodnejúrovni,mohlibyovplyvniť veľkýpočetdotknutýchosôbapravdepodobnepovedúkvysokémuriziku. Recitál91zároveňuvádza, že spracúvanieosobnýchúdajovbysanemalopovažovaťzaspracúvanieveľkéhorozsahu,aksatýka osobnýchúdajovpacientovaleboklientovjednotlivýmlekárom,inýmzdravotníckympracovníkom aleboprávnikom. Vtomtosmereniejemožnéurčiťkonkrétne,presnéčíslo,ktorébyvytváralodeliacučiarupreurčenie,čiprevádzkovateľalebosprostredkovateľspracúvadanúkategóriuosobných údajovvoveľkomrozsahu,alebonie.Určenieveľkéhorozsahubudevždyzávisieťodokolnostídanéhoprípadu.Prevádzkovateľalebosprostredkovateľbymalpriposudzovanízobraťdoúvahynajmägeografickýrozsahspracúvania(napr.čispracúvadanúkategóriuosobnýchúdajovdotknutých osôbnachádzajúcichsaibavurčitomregióne,alebovcelejrepublike,prípadevoviacerýchčlenskýchštátoch),akýjeobjemspracúvanýchosobnýchúdajovdanejkategórievovzťahukugeografickémurozsahuspracúvania.Ďalejjepotrebnézohľadniťrozsahspracúvanýchkategóriíosobných údajovosobitnejkategórie,početdotknutýchosôb,trvaniespracovateľskejoperácieakoajriziká, ktorémôžuzospracúvaniavyplývaťpreprávaaslobodyfyzickýchosôb.Uvedenéúdajejepotrebné

vyhodnotiťvovzájomnejsúvislosti.Vtomtosmeredávamedopozornostizoznamspracovateľských operácií,ktorépodliehajúpožiadavkenavykonanieDPIA,vydanýčeskýmdozornýmorgánom,ktorývzoznameposkytujeprevádzkovateľomprvékonkrétnejšienávodynaurčenie,čiideospracúvanieosobnýchúdajovvoveľkomrozsahualebonie;vtejtosúvislostivšaknetrebaopomenúťskutočnosť,žezoznamjevypracovanýpozohľadnenískutočností(napr.veľkostipopulácie,administratívneho členenia republiky a pod.) daného členského štátu.

Ospracúvanievoveľkomrozsahuidenapr.,akinternetovýprehliadačspracúvaosobitnékategórieosobnýchúdajovdotknutých osôb na účely cielenej (behaviorálnej) reklamy.

Pojemrizikopreprávaaslobodyfyzickýchosôbjebližšieupravenývrecitáli75,vzmyslektoréhomôžerizikopreprávaaslobodyfyzickýchosôbsrôznymstupňompravdepodobnostiazávažnostivyplývaťzospracúvaniaosobnýchúdajov,ktorébymohloviesťkujmenazdraví,majetkovej alebonemajetkovejujme,atonajmäakspracúvaniemôževiesťkdiskriminácii,krádežitotožnosti alebopodvodu,finančnejstrate,poškodeniudobréhomena,stratedôvernostiosobnýchúdajov chránenýchprofesijnýmtajomstvom,neoprávnenejreverznejpseudonymizáciialeboakémukoľvek inémuzávažnémuhospodárskemualebosociálnemuznevýhodneniu;akbydotknutéosobymohli byťpozbavenésvojichprávaslobôdaleboimbolobránenévkontrolenadsvojimiosobnýmiúdajmi; aksaspracúvajúosobnéúdajeodhaľujúcerasovýaleboetnickýpôvod,politickénázory,náboženstvoalebofilozofickénázoryačlenstvovodborovýchorganizáciách,aaksaspracúvajúgenetické údaje,údajetýkajúcesazdraviačiúdajetýkajúcesasexuálnehoživotaalebouznaniavinyzospáchaniatrestnéhočinuapriestupkučisúvisiacichbezpečnostnýchopatrení;aksaposudzujúosobné aspekty,najmäaksaanalyzujúalebopredvídajúaspektytýkajúcesavýkonnostivpráci,majetkovýchpomerov,zdravia,osobnýchpreferenciíalebozáujmov,spoľahlivostialebosprávania,polohy alebopohybu,scieľomvytvoriťalebopoužívaťosobnéprofily;aksaspracúvajúosobnéúdajezraniteľnýchfyzickýchosôb,najmädetí;aleboakspracúvaniezahŕňaveľkémnožstvoosobnýchúdajov amádôsledkynaveľkýpočetdotknutýchosôb.Prevádzkovateľajsprostredkovateľjepovinnýposúdiťrizikopreprávaaslobodyfyzickýchosôbanásledneprijaťvhodnétechnickéaorganizačnéopatreniascieľomzaistiťúroveňbezpečnostiprimeranútomutoriziku.Technickýmaorganizačným opatreniam sa venujeme v komentári k článku 24 a analýze rizika v komentári k článku 32.

Odpovinnostiurčiťzástupcuniejeoslobodenýprevádzkovateľanisprostredkovateľzdôvodu, ženebolschopnýnájsťkomerčnéhopartnera,ktorýbybolochotnývykonávaťfunkciuzástupcu aakceptovaťvšetkyrizikástýmsúvisiace.TentoargumentpoužilWhatsApppredSprávnymsúdom vHaagu,ktorýhovšakneakceptovalakovýnimku,nazákladektorejsanaprevádzkovateľaalebo sprostredkovateľa povinnosť ustanoviť zástupcu nevzťahuje.

K ods. 3

Prevádzkovateľalebosprostredkovateľ,vzávislostiodtoho,naktorýzuvedenýchsubjektovsa povinnosťurčiťzástupcuvzťahuje,jepovinnýurčiťtakéhozástupcu,ktorýjeusadenývjednom ztýchčlenskýchštátov,vktorýchsanachádzajúdotknutéosoby,ktorýchosobnéúdajesaspracúvajúvsúvislostisponukoutovarualeboslužiebalebososledovanímichsprávania.Cieľomtejtoúpravyjezabezpečiťkontaktnémiestopredozornéorgányajdotknutéosobyaspoňvjednomzčlenskýchštátoch,vktorýchsadotknutéosobynachádzajú.Zákonodarcaponechávavýberčlenského štátuvplnejmierenadotknutéhoprevádzkovateľaalebosprostredkovateľa.Tak,akobolouvedené vkomentárikčl.3ods.2týkajúcomsaúzemnejpôsobnostiNariadenia,mechanizmusonestop shop(t.j.mechanizmusjednotnéhokontaktnéhomiesta)aurčovanievedúcehodozornéhoorgánu saaplikujeibanaprípadycezhraničnéhospracúvania,priktoromsavyžaduje,abymalprevádzkovateľalebosprostredkovateľvEÚaspoňjednuprevádzkareň.Nevzťahujesatedanaprípady,akprevádzkovateľalebosprostredkovateľniejevEÚusadený,atedatunemáanijednuprevádzkareň. Kvýkladupojmuprevádzkareňpozribližšiekomentárkčl.3ods.1.Tentomechanizmusniejeaktivovanýaniurčenímzástupcuprevádzkovateľaalebosprostredkovateľavniektoromzčlenskýchštátov.ZvolenímčlenskéhoštátuAniejevylúčenápôsobnosťčlenskéhoštátuB,akvsúvislostisponukoutovarualeboslužiebdotknutýmosobámvEÚalebososledovanímsprávaniadotknutýchosôb, pokiaľideoichsprávanienaúzemíEÚ,dochádzakspracúvaniuosobnýchúdajovtýchtoosôb

nachádzajúcichsavčlenskomštáteB.Zástupcajetedapovinnýspolupracovaťspríslušnýmidozornými orgánmi.

K ods. 4

Prevádzkovateľalebosprostredkovateľjepovinnýzástupcupísomnepoveriť,abykonalvmene prevádzkovateľaalebosprostredkovateľa,atovsúvislostisplnenímjehopovinnostípodľaNariadenia.Zástupcajepovinnývykonávaťsvojeúlohypodľapoverenia,ktorédostalodprevádzkovateľa alebosprostredkovateľa.Prevádzkovateľalebosprostredkovateľsamôžerozhodnúť,čizástupcu poverívočidozornýmorgánomadotknutýmosobámpopriprevádzkovateľovialebosprostredkovateľovi,alebonamiestoneho.Nazástupcusamôžuobracaťdozornéorgányakoajdotknutéosoby, atovovšetkýchotázkachtýkajúcichsaspracúvanianaúčelyzabezpečeniasúladusNariadením. Dozornýorgánajdotknutéosobysavšakmôžukedykoľvekobrátiťpriamonaprevádzkovateľaalebosprostredkovateľa.Recitál80vtomtosmereuvádza,ževprípade,akprevádzkovateľalebo sprostredkovateľnezabezpečiasúladsNariadením,určenýzástupcabymalpodliehaťkonaniamna presadeniepráva.Napriektomu,žetentorecitálpredpokladázodpovednosťzástupcuvprípadeporušenieNariadeniazostranyprevádzkovateľaalebosprostredkovateľa,samotnýtextNariadenia tútosituáciuvjednotlivýchčlánkochbližšieneupravuje.Jeotázne,čijednotlivéčlenskéštátyprijmú dosvojichnárodnýchpredpisovajsankcievočizástupcoviprevádzkovateľaalebosprostredkovateľa.Slovenskárepublikaupravilavnovomzákoneoochraneosobnýchúdajovvočizástupcoviiba oprávnenieúraduuložiťzástupcoviporiadkovúpokutu,atodovýšky2000eur,aknezabezpečíprimerané podmienky na výkon kontroly alebo do výšky 10 000 eur, ak marí výkon kontroly.

Vprípade,akjeprevádzkovateľalebosprostredkovateľpovinnýurčiťvEÚsvojhozástupcu,je povinnýposkytnúťdotknutejosobeinformáciuojehototožnostiakontaktnýchúdajochvsúlade s článkom 13 alebo 14 Nariadenia.

Nariadeniezástupcuprevádzkovateľaalebosprostredkovateľavýslovnespomínavčlánku30 vsúvislostisozáznamamiospracovateľskýchčinnostiach,akoajvčlánku31upravujúcomspoluprácusdozornýmorgánom.Vzmysleuvedenýchčlánkovjezástupcaprevádzkovateľapovinný viesťzáznamyospracovateľskýchčinnostiach,zaktoréjezodpovedný,akniejeodtejtopovinnosti podľačlánku31ods.5oslobodený.Vzmyslečlánku30ods.2jezástupcasprostredkovateľapovinný viesťzáznamyovšetkýchkategóriáchspracovateľskýchčinností,ktorévykonalvmeneprevádzkovateľa,aksananehonevzťahujevýnimkapodľačlánku30ods.5.Zástupcaprevádzkovateľaaj sprostredkovateľajepovinnýnapožiadaniespolupracovaťsdozornýmorgánomprivýkonejeho úloh.Tátopovinnosťjeprepojenásoprávnenímdozornéhoorgánuuvedenýmvčlánku58ods.1 písm.a)Nariadenianariadiťzástupcoviprevádzkovateľaalebosprostredkovateľa,abymuposkytol všetkyinformácie,ktorévyžadujenaplneniesvojichúloh.Inštitútzástupcuprevádzkovateľaalebo sprostredkovateľavýrazneuľahčujevýkonvyšetrovacíchprávomocídozornéhoorgánuatýmpriaznivo prispieva k zabezpečeniu ochrany práv dotknutých osôb.

VzhľadomnazásaduzodpovednostiapovinnosťpreukazovaniasúladusNariadenímjenevyhnutné,abyzástupcapreprípadmožnejkontrolyoddozornéhoorgánuuchovalpočassvojhopoverenia písomný dôkaz o poverení.

ZaporušeniepovinnostiprevádzkovateľaasprostredkovateľaurčiťzástupcuvEÚhrozíprevádzkovateľoviasprostredkovateľovisprávnapokutaaždovýšky10000000euralebovprípade podnikuaždovýšky2%celkovéhosvetovéhoročnéhoobratuzapredchádzajúciúčtovnýrok,podľa toho, ktorá suma je vyššia. K pokutám pozri komentár k článku 83.

K ods. 5

UrčenímzástupcuniejedotknutásamotnázodpovednosťprevádzkovateľaalebosprostredkovateľazadodržiavanieichpovinnostívzmysleNariadenia.Kzodpovednostipozribližšiekomentár kčlánku82.Rovnakoniesúdotknutéaniprávneprostriedkynápravy,ktorébysamohliiniciovať proti samotnému prevádzkovateľovi alebo sprostredkovateľovi.

Článok 28

Sprostredkovateľ

1.Aksamáspracúvanieuskutočniťvmeneprevádzkovateľa,prevádzkovateľvyužívalen sprostredkovateľovposkytujúcichdostatočnézárukynato,žesaprijmúprimeranétechnické aorganizačnéopatreniatak,abyspracúvaniespĺňalopožiadavkytohtonariadeniaaabysazabezpečila ochrana práv dotknutej osoby.

2.Sprostredkovateľnezapojíďalšiehosprostredkovateľabezpredchádzajúcehoosobitného alebovšeobecnéhopísomnéhopovoleniaprevádzkovateľa.Vprípadevšeobecnéhopísomného povoleniasprostredkovateľinformujeprevádzkovateľaoakýchkoľvekzamýšľanýchzmenách vsúvislostispridanímalebonahradenímďalšíchsprostredkovateľov,čímsaprevádzkovateľovi dá možnosť namietať voči takýmto zmenám.

3.SpracúvaniesprostredkovateľomsariadizmluvoualeboinýmprávnymaktompodľaprávaÚniealeboprávačlenskéhoštátu,ktorézaväzujesprostredkovateľavočiprevádzkovateľovi aktorýmsastanovujepredmetadobaspracúvania,povahaaúčelspracúvania,typosobných údajovakategóriedotknutýchosôbapovinnostiaprávaprevádzkovateľa.Uvedenázmluvaalebo iný právny akt najmä stanovia, že sprostredkovateľ:

a)spracúvaosobnéúdajelennazákladezdokumentovanýchpokynovprevádzkovateľa,atoaj pokiaľideoprenososobnýchúdajovdotretejkrajinyalebomedzinárodnejorganizácii, svýnimkouprípadov,keďsitovyžadujeprávoÚniealeboprávočlenskéhoštátu,ktorému sprostredkovateľpodlieha;vtakomprípadesprostredkovateľoznámiprevádzkovateľovi tútoprávnupožiadavkupredspracúvaním,pokiaľdanéprávotakétooznámenienezakazuje zo závažných dôvodov verejného záujmu;

b)zabezpečí,abysaosobyoprávnenéspracúvaťosobnéúdajezaviazali,žezachovajúdôvernosťinformácií,aleboabyboliviazanévhodnoupovinnosťouzachovávaťdôvernosťinformácií vyplývajúcou zo štatútu;

c)vykoná všetky požadované opatrenia podľa článku 32;

d)dodržiava podmienky zapojenia ďalšieho sprostredkovateľa uvedené v odsekoch 2 a 4;

e)pozohľadnenípovahyspracúvaniavčonajväčšejmierepomáhaprevádzkovateľovivhodnýmitechnickýmiaorganizačnýmiopatreniamipriplneníjehopovinnostireagovaťnažiadosti o výkon práv dotknutej osoby ustanovených v kapitole III;

f)pomáhaprevádzkovateľovizabezpečiťplneniepovinnostípodľačlánkov32až36sprihliadnutím na povahu spracúvania a informácie dostupné sprostredkovateľovi;

g)poukončeníposkytovaniaslužiebtýkajúcichsaspracúvanianazákladerozhodnutiaprevádzkovateľavšetkyosobnéúdajevymažealebovrátiprevádzkovateľoviavymažeexistujúcekópie,akprávoÚniealeboprávočlenskéhoštátunepožadujeuchovávanietýchtoosobných údajov;

h)poskytneprevádzkovateľovivšetkyinformáciepotrebnénapreukázaniesplneniapovinnostístanovenýchvtomtočlánkuaumožníaudity,akoajkontrolyvykonávanéprevádzkovateľom alebo iným audítorom, ktorého poveril prevádzkovateľ, a prispieva k nim.

Sozreteľomnapísmenoh)prvéhopododsekusprostredkovateľbezodkladneinformuje prevádzkovateľa,aksapodľajehonázorupokynomporušujetotonariadeniealeboinéprávne predpisy Únie alebo členského štátu týkajúce sa ochrany údajov.

4.Aksprostredkovateľzapojídovykonávaniaosobitnýchspracovateľskýchčinnostívmene prevádzkovateľaďalšiehosprostredkovateľa,tomutoďalšiemusprostredkovateľovisaprostredníctvomzmluvyaleboinéhoprávnehoaktupodľaprávaÚniealeboprávačlenskéhoštátu uložiarovnaképovinnostiochranyúdajov,akosastanovujúvzmluvealeboinomprávnom akteuzatvorenommedziprevádzkovateľomasprostredkovateľompodľaodseku3,atopredovšetkýmposkytnutiedostatočnýchzáruknavykonanieprimeranýchtechnickýchaorganizačnýchopatrenítakýmspôsobom,abyspracúvaniespĺňalopožiadavkytohtonariadenia.Aktentoďalšísprostredkovateľnesplnísvojepovinnostiochranyúdajov,pôvodnýsprostredkovateľ

zostávavočiprevádzkovateľoviplnezodpovednýzaplneniepovinnostítohtoďalšiehosprostredkovateľa.

5.Dodržiavanieschválenéhokódexusprávaniauvedenéhovčlánku40aleboschváleného certifikačnéhomechanizmuuvedenéhovčlánku42sprostredkovateľomsamôžepoužiťako prvok na preukázanie dostatočných záruk uvedených v odsekoch 1 a 4 tohto článku.

6.Beztoho,abytýmboladotknutáindividuálnazmluvamedziprevádzkovateľomasprostredkovateľom,zmluvaaleboinýprávnyaktuvedenévodsekoch 3a4tohtočlánkusamôžu vcelkualebosčastizakladaťnaštandardnýchzmluvnýchdoložkáchuvedenýchvodsekoch7 a8tohtočlánku,atoajvprípadoch,keďsúsúčasťoucertifikácieudelenejprevádzkovateľovi alebo sprostredkovateľovi podľa článkov 42 a 43.

7.Komisiamôžestanoviťštandardnézmluvnédoložkyprezáležitostiuvedenévodsekoch3 a 4 tohto článku a v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

8.Dozornýorgánmôžeprijaťštandardnézmluvnédoložkyprezáležitostiuvedenévodsekoch 3 a 4 tohto článku a v súlade s mechanizmom konzistentnosti uvedeným v článku 63.

9.Zmluvaaleboinýprávnyaktuvedenévodsekoch 3a4sa vypracujúvpísomnejpodobe vrátane elektronickej podoby.

10.Beztoho,abydotknutéčlánky82,83a84,aksprostredkovateľporušítotonariadenie tým,žeurčíúčelyaprostriedkyspracúvania,považujesavsúvislostisdanýmspracúvanímza prevádzkovateľa.

Súvisiaceustanovenia: recitál79,81,95a146,článok4ods.8,článok30,31,32,33ods.2,článok37, článok 82 a 83

Súvisiace predpisy: Občiansky zákonník, nový zákon o ochrane osobných údajov

Komentár k článku 28

Recitál79: Ochranaprávaslobôddotknutýchosôb,akoajpovinnostiazodpovednosťprevádzkovateľovasprostredkovateľov,atoajvsúvislostismonitorovanímzostranydozornýchorgánov aichopatreniami,sivyžadujejasnérozdeleniepovinnostípodľatohtonariadeniavrátaneprípadov, vktorýchprevádzkovateľurčujeúčelyaprostriedkyspracúvaniaspoločnesinýmiprevádzkovateľmi, alebo v prípadoch, v ktorých sa spracovateľská operácia vykonáva v mene prevádzkovateľa.

Recitál81: Scieľomzabezpečiťsúladspožiadavkamitohtonariadeniavsúvislostisospracúvaním,ktorémávmeneprevádzkovateľavykonaťsprostredkovateľ,bymalprevádzkovateľpripoverovanísprostredkovateľaspracovateľskýmičinnosťamivyužívaťlentakýchsprostredkovateľov,ktoríposkytujúdostatočnézáruky,najmäpokiaľideoodbornéznalosti,spoľahlivosťazdroje,nato,že prijmútechnickéaorganizačnéopatrenia,ktorébudúspĺňaťpožiadavkytohtonariadenia,vrátane požiadavkynabezpečnosťspracúvania.Dodržiavanieschválenéhokódexusprávaniaaleboschválenéhocertifikačnéhomechanizmusprostredkovateľomsamôžepoužiťakoprvoknapreukázaniesúladuspovinnosťamiprevádzkovateľa.VykonávaniespracúvaniasprostredkovateľombysamaloriadiťzmluvoualeboinýmprávnymaktompodľaprávaÚniealeboprávačlenskéhoštátu,ktorýmiby bolsprostredkovateľviazanývočiprevádzkovateľoviavktorýchbysastanovilpredmetadobaspracúvania,povahaaúčelyspracúvania,typosobnýchúdajovakategóriedotknutýchosôb,aktoréby malizohľadniťosobitnéúlohyapovinnostisprostredkovateľavkontextespracúvania,ktorésamá vykonať,arizikopreprávaaslobodydotknutýchosôb.Prevádzkovateľasprostredkovateľsimôžu vybraťpoužitieindividuálnejzmluvyaleboštandardnýchzmluvnýchdoložiek,ktoréprijmebuď priamoKomisia,aleboktoréprijmedozornýorgánvsúladesmechanizmomkonzistentnostianásledneichprijmeKomisia.Poukončeníspracúvaniavmeneprevádzkovateľabymalsprostredkovateľpodľarozhodnutiaprevádzkovateľavrátiťalebovymazaťosobnéúdaje,pokiaľpodľaprávaÚnie aleboprávačlenskéhoštátu,ktorémusprostredkovateľpodlieha,neexistujepožiadavkanauchovanie osobných údajov.

Recitál95: Sprostredkovateľbymalpomáhaťprevádzkovateľoviprizabezpečovanísúladuspovinnosťami,ktorévyplývajúzvykonávaniaposúdenívplyvunaochranuúdajovazpredchádzajúcej konzultácie dozorného orgánu, keď je to potrebné alebo keď ho o to prevádzkovateľ požiada.

Recitál146: Prevádzkovateľalebosprostredkovateľbymalinahradiťakúkoľvekškodu,ktorú môžeosobautrpieťvdôsledkuspracúvania,ktoréjevrozporestýmtonariadením.Prevádzkovateľ alebosprostredkovateľbyvšakmalibyťtejtozodpovednostizbavení,akpreukážu,žezaškodunenesúžiadnuzodpovednosť.PodľajudikatúrySúdnehodvoraEÚbysamalpojemškodyvykladať vširokomzmyslespôsobom,ktorývplnejmierezohľadňujecieletohtonariadenia.Týmtoniesú dotknutéprípadnénárokynanáhraduškodyvyplývajúcezporušeniainýchpravidielstanovených vpráveÚniealebovprávečlenskéhoštátu.Spracúvanie,ktoréjevrozporestýmtonariadením,zahŕňaajspracúvanie,ktoréjevrozporesdelegovanýmiavykonávacímiaktmiprijatýmivsúlade stýmtonariadenímaprávomčlenskéhoštátu,ktorýmsapodrobnejšieupravujúpravidláztohtonariadenia.Dotknutéosobybyzautrpenúškodumalidostaťúplnúaúčinnúnáhradu.Aksúprevádzkovateliaalebosprostredkovateliazapojenídorovnakéhospracúvania,každýprevádzkovateľalebo sprostredkovateľbymalbyťzodpovednýzacelúškodu.Aksúvšakvsúladesprávomčlenskéhoštátuúčastníkmitohoistéhosúdnehokonania,náhradaškodysamôžerozdeliťpodľamieryzodpovednostikaždéhoprevádzkovateľaalebosprostredkovateľazaškoduspôsobenúspracúvaním,pokiaľje zaistenáúplnáaúčinnánáhradapredotknutúosobu,ktoráutrpelaškodu.Každýprevádzkovateľ alebosprostredkovateľ,ktorýnahradilcelúškodu,môženáslednezačaťregresnékonanievočiiným prevádzkovateľom alebo sprostredkovateľom zapojeným do toho istého spracúvania. K ods. 1

Základnédefiníciepojmovprevádzkovateľasprostredkovateľsúobsiahnutévčlánku4body7 a8.Vovšeobecnostiplatí,žezasúladspracúvaniaosobnýchúdajovsNariadenímzodpovedáprevádzkovateľ,ktorýjepovinnýtentosúladvprípadekontrolydozornémuorgánupreukázať. Prevádzkovateľjepovinnýprijaťvhodnétechnickéaorganizačnéopatrenia,atosohľadomnapovahu,rozsah,kontextaúčelyspracúvania,akoajrizikásrôznoupravdepodobnosťouazávažnosťou preprávaaslobodyfyzickýchosôb.Vprípade,aksaspracúvanímosobnýchúdajovrozhodnepoveriťsprostredkovateľa,musízabezpečiť,abybolipožiadavkyNariadenia,atedaajprimeranáúroveň bezpečnostidodržané.Nariadenievtomtosmerevyžaduje,abyprevádzkovateľvyužívalibatakých sprostredkovateľov,ktoríposkytujúdostatočnézáruky,žeprijmúprimeranétechnickéaorganizačnéopatreniaazabezpečiatýmnielensúladspracúvaniaspožiadavkamiNariadeniaaleajochranu právdotknutejosoby.Okremhlavnýchcieľov,akýmisúzachovaniedôvernosti,integrityacelistvosti,bymalprevádzkovateľupriamiťpozornosťajnazabezpečenietransparentnosti,izolovanosti(neprepojiteľnostiosobnýchúdajov,ktorésprostredkovateľspracúvavmeneprevádzkovateľasinými osobnýmiúdajmidotknutýchosôb,napr.získanýmiaspracúvanýmisprostredkovateľompreiného prevádzkovateľaalebozískanýmičinnosťousprostredkovateľa,ktoránesúvisísospracúvanímrealizovanýmvmeneprevádzkovateľa),schopnostiintervencie(poskytovaťprevádzkovateľovipodporu priuľahčovanívýkonuprávdotknutýchosôbareagovanínaichžiadosti)aprenosnosti(článok20). Existenciudostatočnýchzárukjeprevádzkovateľpovinnýpreveriťpredsamotnýmpoverením sprostredkovateľa.Toplatíajvprípadeprolongáciezmluvyuzatvorenejsosprostredkovateľom.

Prevádzkovateľbymalpreveriťposkytnutiedostatočnýchzáruk,najmäzhľadiskaspoľahlivosti sprostredkovateľa,jehoodbornýchznalostíazdrojovpotrebnýchnaprijatieprimeranýchtechnickýchaorganizačnýchopatrenítak,abyspracúvaniespĺňalopožiadavkyNariadeniaaažvprípade kladného preverenia sprostredkovateľa spracúvaním poveriť.

Cieľomtejtoúpravyjeneznižovaťúroveňochranydotknutýchosôbvprípade,aksabudespracúvanievykonávaťprostredníctvomsprostredkovateľa.Jednýmzospôsobovpreukázaniadostatočnýchzárukmôžebyťdodržiavanieschválenéhokódexusprávania,dodržiavanievydanéhocertifikátu,určeniezodpovednejosobysprostredkovateľavprípade,aknejdeoprípadyobligatórneurčenej zodpovednejosoby,checklistspožiadavkamitýkajúcimisaochranyosobnýchúdajovabezpečnosti,vykonanieduedilligencepreukazujúceho,žesprostredkovateľposkytujedostatočnézáruky, platnécertifikátyzameranénariadenieinformačnejbezpečnostivorganizáciáchudelenésprostredkovateľovi(certifikáciasystémumanažérstvainformačnejbezpečnostipodľaISO/IEC27001),pričom sa v závislosti od konkrétneho spracúvania môže vyžadovať aj ich kombinácia.

K výkladu pojmu „primerané technické a organizačné opatrenia“ pozri komentár k článku 24.

VsúladesozásadouzodpovednostiapovinnostiprevádzkovateľapreukázaťsúladspožiadavkamiNariadeniaodporúčameprevádzkovateľovizdokumentovaťskutočnosti,ktoréhoviedlikzáveru,žesprostredkovateľposkytujedostatočnézárukyatakútodokumentáciuuchovaťakodôkazpre prípad možnej kontroly.

K ods. 2

NariadenierovnakoakoSmernicaoochraneosobnýchúdajovazákonč.122/2013Z.z.pripúšťa možnosťreťazeniasprostredkovateľov,tedasituáciu,keďsprostredkovateľ,ktorýspracúvaosobné údajevmeneprevádzkovateľa,zapojídospracúvaniaosobnýchúdajovďalšísubjekt,t.j.ďalšieho sprostredkovateľa.Ajvtakomprípadespracúvaďalšísprostredkovateľosobnéúdajevmeneprevádzkovateľa.VzmysleNariadenianiejesprostredkovateľoprávnenýzapojiťdospracúvaniaďalšiehosprostredkovateľabez predchádzajúcehopísomnéhopovolenia prevádzkovateľa.Spoukazom na§40ods.1Občianskehozákonníka,vzmyslektoréhojeprávnyúkonneplatný,aknebolurobený voforme,ktorúvyžadujezákonalebodohodaúčastníkov,platí,ženedostatokpísomnejformypovoleniaspôsobujejehoabsolútnuneplatnosť,ktorásanedákonvalidovať.Takétopovoleniejeneplatnéodpočiatku,atobezohľadunato,čisaprevádzkovateľ,sprostredkovateľaleboďalšísprostredkovateľneplatnostidovolá.Lenpreúplnosťuvádzame,ževzmysleslovenskéhoprávnehoporiadku363) písomnáformajezachovanáajvprípade,akjeprávnyúkonurobenýtelegraficky, ďalekopisomaleboelektronickýmiprostriedkami,ktoréumožňujúzachytenieobsahuprávneho úkonuaurčenieosoby,ktoráprávnyúkonurobila.Písomnáformajezachovanávždy,akprávny úkonurobenýelektronickýmiprostriedkamijepodpísanýzaručenýmelektronickýmpodpisomalebo zaručenou elektronickou pečaťou.

PrevádzkovateľmápodľaNariadeniamožnosťudeliťsprostredkovateľoviosobitnépovolenie využívaťkonkrétneho,vpovolenívopredurčenéhoďalšiehosprostredkovateľa.Prevádzkovateľtiež môževydaťvšeobecnépovolenieoprávňujúcesprostredkovateľa(aleboviacerýchsprostredkovateľovprevádzkovateľa)využívaťďalšieho,prípadneďalšíchvopredneurčenýchsprostredkovateľov. Vprípadevšeobecnéhopovoleniaprevádzkovateľajesprostredkovateľpovinnýpredzapojením konkrétnehoďalšiehosprostredkovateľaotejtoskutočnostiinformovaťprevádzkovateľa,abymu poskytolmožnosťnamietať.Toplatíajvprípade,akchcesprostredkovateľvrámcivšeobecnéhopovolenianahradiťjednéhosprostredkovateľazainého.Informáciaokonkrétnomďalšomsprostredkovateľovimusíbyťdoručenáprevádzkovateľovitak,abyprevádzkovateľmoholzasiahnuťvočivýberuďalšiehosprostredkovateľaefektívneeštepredzačatímvýkonuspracovateľskýchčinnostítakýmto ďalším sprostredkovateľom.

Uvedenépovolenie(osobitnéalebovšeobecné)môžebyťsúčasťousprostredkovateľskejzmluvy aleboinéhoprávnehoaktupodľaprávaÚniealeboprávačlenskéhoštátu,ktorézaväzujesprostredkovateľavočiprevádzkovateľovi.Písomnépovolenieprevádzkovateľajepotrebnéarchivovaťako dôkaz pre prípad možnej kontroly.

Bankasarozhodne,ženadoručovanieplatobnýchkarietdovlastnýchrúkklientovbankyvyužijeslužbykuriérskejspoločnostiABC,s.r.o.ZatýmúčelomuzatvorísospoločnosťouABC,s.r.o.,sprostredkovateľskúzmluvu.VuvedenomvzťahuvystupujebankavpostaveníprevádzkovateľaaspoločnosťABC,s.r.o.,vpostavenísprostredkovateľa.BankavsprostredkovateľskejzmluvespoločnostiABC,s.r.o.,povolí,abydospracúvaniazapojilaajspoločnosťData,s.r.o.(vtomtoprípadeide o osobitné povolenie, pričom spoločnosť Data, s. r. o., vystupuje v postavení ďalšieho sprostredkovateľa).

BankavsprostredkovateľskejzmluvemôžespoločnostiABC,s.r.o.,povoliť,abydospracúvaniazapojilaľubovoľnúkuriérskuspoločnosť,ktorájespôsobiláposkytnúťdodatočnézárukyurčenévsprostredkovateľskejzmluve(vtomtoprípadeide ovšeobecnépovolenie).SpoločnosťABC,s.r.o.,jepovinnábankuinformovaťovýbereďalšiehosprostredkovateľapredzačatím výkonu spracovateľských činností takýmto ďalším sprostredkovateľom.

Sprostredkovateľ(arovnakoajďalšísprostredkovateľ)spracúvaosobnéúdajedotknutýchosôb vmeneprevádzkovateľanaprávnomzákladeprevádzkovateľa.Uvedenésamozrejmeplatílenvprípade,aksprostredkovateľspracúvaosobnéúdajedotknutýchosôblennaúčelyurčenéprevádzkovateľom a podľa jeho pokynov.

K ods. 3

Odsek3upravujepriamyvzťahprevádzkovateľaasprostredkovateľa.Vzťahmedzisprostredkovateľomaďalšímsprostredkovateľomzapojenýmdospracovateľskýchčinnostívykonávaných v mene prevádzkovateľa je upravený v ods. 4.

Sprostredkovateľjeoprávnenýspracúvaťosobnéúdajevmeneprevádzkovateľa ibanazáklade zmluvyuzatvorenejsprevádzkovateľom,prípadnesospoločnýmiprevádzkovateľmi,alebona základeinéhoprávnehoaktu podľaprávaÚniealeboprávačlenskéhoštátuzaväzujúcehosprostredkovateľa voči prevádzkovateľovi.

Pojem„právnyakt“Nariadeniespájanajmäsnormatívnoučinnosťouorgánovverejnejsprávy (pozrirecitál17,19,115ainé),aleniejeanivylúčené,žetentopojemzahŕňaajprávnyúkon,teda prejavvôlesmerujúcikvzniku,zmenealebozánikuprávapovinností,ktoréprávnepredpisyspájajú s týmto prejavom (§ 34 Občianskeho zákonníka).

PodľanázoruautorovtohtokomentárasazainýprávnyaktpodľaprávaÚniealeboprávačlenskéhoštátumôžepovažovaťakýkoľvekprávnyúkon,ktorýmjemožnéplatnezaložiťzáväzok sprostredkovateľavočiprevádzkovateľoviaktorýbudeobsahovaťpovinnénáležitostiuvedené vods.3.Nariadenievýslovneneurčuje,žedanýprávnyaktmábyťdvojstranný(akozmluva),domnievamesavšak,žedvojstrannosťtohtoaktuimplicitnevyplývazovzájomnéhovzťahumedziprevádzkovateľomasprostredkovateľom.Pritommôžeísťajodvajednostrannéprávneúkony.Vslovenskomprávnomprostredípôjdenapr.ojednostrannévyhláseniesprostredkovateľasobsahovými náležitosťamipodľaods.3,ktorýmsprostredkovateľprevezmetamuvedenézáväzkyvočiprevádzkovateľovi,naktorémôženadväzovaťsúhlasprevádzkovateľaudelenýnapr.vpísomnejforme,zakliknutímpolíčkasúhlasunawebeapod.Doúvahyprichádzaajdohodaoplnomocenstvealebopoverenienaspracúvanieosobnýchúdajovvystavenézostranyprevádzkovateľasvýslovnýmakceptovanímurčenýchpovinnostízostranysprostredkovateľa.Prirodzenebezohľadunamožnosť založeniaspoluprácemedziprevádzkovateľomasprostredkovateľomnazákladetakýchtoprávnych aktovpodľaprávaÚniealeboprávačlenskéhoštátuzmluvaupravujúcaspracúvaniesprostredkovateľomobsahujúcaminimálnenáležitostiuvedenévods.3jeakodvojstrannýprávnyúkonnajistejším základom spracúvania sprostredkovateľom.

FormouzmluvyaleboprávnehoaktupodľaprávaÚniealeboprávačlenskéhoštátusazaoberá ods. 9.

Prevádzkovateľasprostredkovateľmôžuuzatvoriťindividuálnuzmluvualebomôžuvyužiť štandardnézmluvnédoložky,ktoréstanovíbuďKomisiaaleboprijmedozornýorgánvsúladesmechanizmomkonzistentnosti.Včasepísaniatohtokomentáramajúautorivedomosťojednýchštandardnýchzmluvnýchdoložkáchupravujúcichvzťahmedzisprostredkovateľomaprevádzkovateľom,ktorépredložilvsúladesmechanizmomkonzistentnostidánskydozornýorgán.Jednotlivé dokumentynájdetenastránkeVýboruhttps://edpb.europa.eu/our-work-tools/our-documents/ opinion-board-art-64/opinion-142019-draft-standard-contractual-clauses_en.

NáležitostizmluvyaleboinéhoprávnehoaktupodľaprávaÚniealeboprávačlenskéhoštátu MedzizákladnénáležitostizmluvyaleboinéhoprávnehoaktupodľaprávaÚniealebopráva členskéhoštátupatríurčeniepredmetuadobyspracúvania,povahyaúčeluspracúvania,typuosobnýchúdajov,kategóriedotknutýchosôbaurčenieprávapovinnostíprevádzkovateľaasprostredkovateľavkontextespracúvania,ktorésamávykonať.Prevádzkovateľasprostredkovateľsúpovinní vzmluvealebovinomprávnomaktepodľaprávaÚniealeboprávačlenskéhoštátustanoviť,aké spracúvaniemásprostredkovateľvmeneprevádzkovateľavykonávať(napr.poskytovaťcloudové služby,zabezpečovaťlikvidáciuosobnýchúdajov).ZmluvaaleboinýprávnyaktpodľaprávaÚnie aleboprávačlenskéhoštátumusíobsahovaťajurčenietypuosobnýchúdajov,t.j.napr.určenie,že prevádzkovateľpoverilsprostredkovateľaspracúvanímmena,priezviska,dátumunarodenia,adresyatelefónnehočísladotknutejosoby.Ďalejmusiaobsahovaťúčelspracúvania,ktorýmusíbyťurčenývsúladesúčelomspracúvaniaprevádzkovateľa.Nariadenieneobsahujeobmedzenieplatnosti zmluvy,pretomôžebyťuzatvorenáajnadobuneurčitú.Pokiaľideokategóriedotknutýchosôb, sprostredkovateľskázmluvačiinýprávnyaktpodľaprávaÚniealeboprávačlenskéhoštátumusia obsahovaťurčenie,čijesprostredkovateľpoverenýspracúvanímosobnýchúdajovklientovbanky,

zamestnancovspoločnosti,uchádzačovozamestnanieapod.HociNariadeniepoužívapojem„povahaspracúvania“vsúvislostisviacerýmipovinnosťamiprevádzkovateľaajsprostredkovateľa,nikdetentopojembližšienevysvetľujeaninedefinuje.Podľanázorovautorovtohtokomentáramôžemepodpovahouspracúvaniarozumieťto,čisabudúspracúvaťbežnéosobnéúdajealeboosobné údajeodhaľujúcerasovýaleboetnickýpôvod,politickénázory,náboženskéalebofilozoficképresvedčenie,členstvovodborovýchorganizáciách,alebogenetickéúdaje,biometrickéúdajenaindividuálnuidentifikáciufyzickejosoby,údajetýkajúcesazdravia,aleboúdajetýkajúcesasexuálneho životaalebosexuálnejorientáciefyzickejosoby,aleboosobnéúdajetýkajúcesauznaniavinyza trestnéčinyapriestupky.Povahaspracúvaniamôžezahŕňaťajurčenie,čisaosobnéúdajebudú spracúvaťsvyužitímnovýchtechnológií,čipôjdeovýlučneautomatizovanéindividuálnerozhodovaniesprávnymiúčinkamivrátaneprofilovaniaalebospracúvanievykonávanéneautomatizovanými prostriedkami a pod.

Nariadeniestanovujepovinnéminimálnepožiadavkynaobsahzmluvyaleboinéhoprávneho aktupodľaprávaÚniealeboprávačlenskéhoštátu,ktorézaväzujesprostredkovateľavočiprevádzkovateľovi.VporovnanísdoterajšouúpravouobsiahnutouvSmernicioochraneosobnýchúdajov, akoajvzákoneč.122/2013Z.z.došlokichzmene.Zmluvaaleboinýprávnyaktmusianajmästanoviť,žesprostredkovateľspracúvaosobnéúdajelennazákladezdokumentovanýchpokynovprevádzkovateľa.Kvýkladupojmu„pokyn“odporúčamepozrieťrozsudokSúdnehodvoraEÚz22.novembra2012voveciC-119/12JosefProbstspracovanývčastijudikatúra.Rozsudoksatýkalvýkladu ustanoveníSmernica2002/58/ES,avšakSúdnydvorEÚvuvedenomrozsudkuvčastiprávnyrámec odkazujeajnaustanoveniaSmerniceoochraneosobnýchúdajovtýkajúcesasprostredkovateľa. SúdnydvorEÚvpredmetnejvecikonštatoval,žeaniSmernica2002/58,anidokumentyrelevantné prejejvýklad,akýmisú travauxpréparatoires,neposkytujúvysvetleniapresnéhodosahupojmu„na pokyn“.ZatýchtookolnostívsúladesjudikatúrouSúdnehodvoraEÚsavýznamtohtopojmumusí určiťpodľajehoobvykléhovýznamuvbežnomjazyku,pričomsazároveňzohľadniasúvislosti, vktorýchsapoužíva,akoajúčelsledovanýprávnouúpravou,vktorejsanachádza.Pokiaľideoobvyklývýznamtohtopojmuvbežnomjazyku,trebasadomnievať,žeosobakonánapokyninejosoby vtedy,keďprváosobakonánazákladepokynovapoddohľadomdruhejosoby.Článok6ods.2a5 Smernice2002/58obsahujevýnimkuzpovinnostizabezpečiťdôvernosťsprávstanovenejvčlánku5 ods.1tejtosmernicetým,žepovoľujespracovávaťúdajeoprenosedátvsúvislostispožiadavkami spojenýmisčinnosťamifakturácieslužieb.Keďžeideovýnimku,totoustanoveniesmernice,ateda ajpojem„napokyn“,trebavykladaťdoslovne.VposudzovanejveciSúdnydvorEÚuviedol,žetakýtovýkladznamená,žeposkytovateľslužiebmusímaťmožnosťvykonávaťúčinnýdohľad,ktorýmu umožňujeoveriť,čipostupníkpohľadávokdodržiavapovinnosti,ktorémáprispracovaníúdajov o prenose dát.

Zmluvaaleboinýprávnyaktmusiaďalejstanoviť,žesprostredkovateľzabezpečí,žeosoby oprávnenéspracúvaťosobnéúdajesúzaviazanézachovaťdôvernosťinformácií,vykonávšetkypožadovanéprimeranétechnickéaorganizačnéopatrenia,zapojíďalšiehosprostredkovateľaiba spredchádzajúcimpísomnýmpovolenímprevádzkovateľaanazákladeuzatvorenejpísomnejzmluvysosprostredkovateľom,pozohľadnenípovahyspracúvaniapomáhavčonajväčšejmiereprevádzkovateľovivhodnýmitechnickýmiaorganizačnýmiopatreniamipriplneníjehopovinnostireagovaťnažiadostiovýkonprávdotknutejosobypodľaNariadenia,pomáhaprevádzkovateľovizabezpečiťplneniepovinnostívovzťahukbezpečnostispracúvania,oznámeniuporušeniaochrany osobnýchúdajovdozornémuorgánu,oznámeniuporušeniaochranyosobnýchúdajovdotknutej osobeavykonaniuposúdeniavplyvunaochranuúdajov,poukončeníposkytovaniaslužiebtýkajúcichsaspracúvanianazákladerozhodnutiaprevádzkovateľavšetkyosobnéúdajevymažealebovrátiprevádzkovateľoviavymažeexistujúcekópie,akprávoÚniealeboprávočlenskéhoštátunepožadujeuchovávanietýchtoosobnýchúdajov.Zmluvaaleboinýprávnyaktmusiaďalejstanoviť,že sprostredkovateľposkytneprevádzkovateľovivšetkyinformáciepotrebnénapreukázaniesplnenia svojichpovinnostístanovenýchvčlánku28ods.3aumožníaudityakontrolyvykonávanéprevádzkovateľomaleboinýmaudítorom,ktoréhopoverilprevádzkovateľaprispievaknim.Vtomtosmere jesprostredkovateľpovinnýbezodkladneinformovaťprevádzkovateľa,aksapodľajehonázoru

pokynomporušujeNariadeniealeboinéprávnepredpisyÚniealebočlenskéhoštátutýkajúcesa ochranyúdajov.Sprostredkovateľsamôžesprevádzkovateľomvzmluvealebovinomprávnom aktepodľaprávaÚniealeboprávačlenskéhoštátudohodnúťajnaplneníinýchprevádzkovateľových povinností (napr. informačnej povinnosti voči dotknutým osobám).

Základné povinnosti sprostredkovateľa

Jednouzkľúčovýchpovinnostísprostredkovateľavovzájomnomvzťahusprevádzkovateľomje povinnosťsprostredkovateľaspracúvaťosobnéúdajelennazákladeavrozsahuzdokumentovaných pokynovprevádzkovateľa.Tátopovinnosťsprostredkovateľajeúzkospätásozodpovednosťouoboch subjektov(prevádzkovateľa,akoajsprostredkovateľa)zaškoduspôsobenúspracúvaním,ktoréje vrozporesNariadením.Vsúladesozásadouzodpovednostiplatí,žezasúladspracúvaniaspožiadavkamiNariadeniazodpovedáprevádzkovateľ.PrevádzkovateľzodpovedázasúladspracúvaniasNariadenímajvprípade,akspracúvanievjehomenevykonávasprostredkovateľaleboďalšísprostredkovateľ(sprostredkovateľsprostredkovateľa).Sprostredkovateľ zodpovedáprevádzkovateľovi zaplnenie povinnostíďalšiehosprostredkovateľa(sprostredkovateľasprostredkovateľa,tzv.subsprostredkovateľa).Sprostredkovateľzodpovedázaškoduspôsobenúspracúvanímvykonávanýmvrozpore sNariadenímibavdvochprípadoch.Prvýmprípadomjesituácia,aksprostredkovateľnesplnilpovinnosť,ktorúmuNariadenievýslovneukladá.Druhýmprípadomzodpovednostisprostredkovateľa zaškoduspôsobenúspracúvaním,ktoréjevrozporesNariadenímjesituácia,aksprostredkovateľ konalnadrámecalebovrozporespokynmiprevádzkovateľazapredpokladu,žetietopokynyboli vsúladesNariadením.Vprípade,aksprostredkovateľporušíNariadenietým,žeurčíúčelyaprostriedkyspracúvania,považujesavsúvislostisdanýmspracúvanímzaprevádzkovateľa.Navymedzeniedeliacejčiarymedzizodpovednosťouprevádzkovateľaazodpovednosťousprostredkovateľa jepretopotrebné,abybolivšetkypokynyprevádzkovateľaudelenésprostredkovateľovijasné,presné,určitéazdokumentované.Odporúčameprevádzkovateľoviubezpečiťsa,žesprostredkovateľsi je vedomý dôsledkov a sankcií, ktoré mu môžu byť uložené v prípade porušenia Nariadenia.

Aksúpokynyprevádzkovateľanejednoznačné,zpozícieprevádzkovateľabudeťažképreukázať adokázaťzodpovednosťsprostredkovateľa.Kzodpovednostiprevádzkovateľaasprostredkovateľa zaškodupozribližšiečlánok82.Povinnosťsprostredkovateľaspracúvaťosobnéúdajeibanazákladezdokumentovanýchpokynovprevádzkovateľasavzťahujeajnaprenososobnýchúdajovdotretejkrajinyalebomedzinárodnejorganizácii.Výnimkuzpovinnostispracúvaťosobnéúdajelenna základezdokumentovanýchpokynovprevádzkovateľatvoriaprípady,keďsitovyžadujeprávoÚnie aleboprávočlenskéhoštátu,ktorémusprostredkovateľpodlieha(napr.poskytnúťosobnéúdajeorgánomčinnýmvtrestnomkonaní).Vtakomprípadejesprostredkovateľpovinnýoznámiťprevádzkovateľovitútoprávnupožiadavkueštepredspracúvaním,pokiaľdanéprávotakétooznámenienezakazujezozávažnýchdôvodovverejnéhozáujmu(napr.vprípade,akbyoznámeniemohloohroziť alebo zmariť vyšetrovanie trestného činu).

Ďalšoupovinnosťousprostredkovateľajepovinnosťzaviesťvšetkybezpečnostnéopatrenia,ktorýchvykonanieprevádzkovateľvzmluvealebovinomprávnomaktevyžaduje.Prevádzkovateľje oprávnenýzaúčelomzabezpečeniaprimeranejúrovnebezpečnostinariadiťsprostredkovateľovi, abyprijalkonkrétnetechnickéaorganizačnéopatrenia.Uvedenéoprávnenieprevádzkovateľanezbavujesamotnéhosprostredkovateľapovinnostiprijaťsozreteľomnanajnovšiepoznatky,náklady navykonanieopatreníanapovahu,rozsah,kontextaúčelyspracúvania,akoajnarizikásrôznou pravdepodobnosťouazávažnosťoupreprávaaslobodyfyzickýchosôbprimeranétechnickéaorganizačnéopatrenia,abytakzaistilúroveňbezpečnostiprimeranútomutoriziku.Ktechnickýmaorganizačným opatreniam pozri komentár k článku 24.

Vpraxisaniekedystáva,žesprostredkovateľmásilnejšiupozíciunatrhuakoprevádzkovateľ, atedaprevádzkovateľnemátakúsilnúvyjednávaciupozíciuvotázkenastaveniabezpečnostných opatrení.Ideoprípady„takeitorleaveit“,kedyjevzťahmedziprevádzkovateľomasprostredkovateľomvznačnejnerovnováhe,najmävprípaderôznychcloudových,webovýchslužiebaleboslužiebposkytovanýchprostredníctvomsociálnychsietí.Anitakátosituáciavšakneoprávňujeprevádzkovateľaprijaťustanoveniaapodmienkyspracúvaniaosobnýchúdajov,ktoréniesúvsúladesNariadením.Prevádzkovateľniejeoprávnenýpoveriťspracúvanímosobnýchúdajovsubjekt,ktorýnie

jeschopnýzabezpečiťúroveňbezpečnostiprimeranúrizikámpreprávaaslobodyfyzickýchosôb, aaktakurobí,nesiezodpovednosťzatakétosvojerozhodnutie.Nerovnováhapostavenia„malého“ prevádzkovateľavočisilnémusprostredkovateľovinezbavujeprevádzkovateľazodpovednostiza dodržiavanie Nariadenia.

Maláspoločnosťpredávajúcadetskéoblečeniehľadádopravcunadoručeniezásielokobjednanýchceze-shop.Zovzájomnýchobchodnýchrokovanísmedzinárodnýmdopravcomzistí,žetentodopravcaspracúvaosobnéúdajeprostredníctvom ďalšiehosubjektubezpísomneuzatvorenejzmluvy(prípadnezistí,žedopravcauchovávaosobnéúdajeprílišdlhúdobu).Napriektomu,žedopravcaposkytnespoločnostinajlepšiucenovúponukunadoručovaniezásielok,spoločnosťbysimalavybrať takého dopravcu, ktorý dodržiava pravidlá ochrany osobných údajov vyplývajúce z Nariadenia.

Veľmivýznamnýmazároveňnovýmprávomprevádzkovateľavočisprostredkovateľovijeprávo požadovaťodsprostredkovateľaposkytnutievšetkýchinformácií,ktorépreukazujúsplneniesprostredkovateľovýchpovinností,azatýmúčelomvykonávaťusprostredkovateľaaudityakontroly. Cieľomtohtooprávneniajezabezpečiť,abysiprevádzkovateľmoholvrealiteoveriť,čipožiadavky, vrátanebezpečnostnýchopatrení,ktorésústanovenévzmluvealebovinomprávnomakte,sprostredkovateľdodržiava.Totoprávomárovnakoposilniťpostavenieprevádzkovateľavprípade,akje vporovnanísosprostredkovateľomslabšouzmluvnoustranou.Nariadeniepritompripúšťa, abyaudityakontrolyvykonávalprevádzkovateľaleboiný,prevádzkovateľompoverenýaudítor. Sprostredkovateľjepovinnýzabezpečiťsúčinnosťprivýkoneauditovakontrolauvedenýmspôsobom k nim prispievať.

Ďalšímipovinnosťamisprostredkovateľajepovinnosťzabezpečiť,abyosoby,ktorésúoprávnenéspracúvaťosobnéúdaje,bolipovinnézachovávaťdôvernosťinformácií(čiužnazákladezmluvy, štatútualeboinéhoprávnehoaktu).Niektorýmprofesiámvyplývatátopovinnosťpriamozozákona, priinýchprofesiáchjesprostredkovateľpovinnýzabezpečiťjejsplnenie.Tátopovinnosťsprostredkovateľajeúzkoprepojenásbezpečnosťouspracúvania.SprostredkovateľjerovnakopovinnýdodržiavaťpodmienkyprezapojenieďalšiehosprostredkovateľastanovenévNariadení(jeoprávnený zapojiťďalšiehosprostredkovateľaibaspredchádzajúcimpísomnýmpovolenímprevádzkovateľa anazákladeuzatvorenejzmluvysosprostredkovateľomaleboinéhoprávnehoaktupodľapráva Úniealeboprávačlenskéhoštátu)anazákladerozhodnutiaprevádzkovateľapoukončeníspolupráceosobnéúdajebuďvymazať,alebovrátiťprevádzkovateľoviavymazaťexistujúcekópie,akprávo Úniealeboprávočlenskéhoštátunepožadujeuchovávanietýchtoosobnýchúdajov.Bezpečnévymazanieosobnýchúdajovsivyžadujebuďzničenie,alebodemagnetizáciupamäťovéhomédia,na ktoromsúosobnéúdajeuchovávané,aleboefektívnevymazanieosobnýchúdajovichprepísaním.

Priprepisovaníosobnýchúdajovbysamalipoužívaťosobitnésoftvérovénástroje,ktorévsúlade s uznávanými postupmi údaje viacnásobne prepíšu.364)

Sprostredkovateľjepovinnýsprihliadnutímnapovahuspracúvaniaainformáciedostupné sprostredkovateľovipomáhaťprevádzkovateľovizabezpečiťplneniepovinnostiprijaťvhodnétechnickéaorganizačnéopatrenia,oznámiťporušenieochranyosobnýchúdajovdozornémuorgánu, oznámiťporušenieochranyosobnýchúdajovdotknutejosobeavykonaťposúdeniavplyvunaochranuúdajov.Sprostredkovateľjepovinnýbezzbytočnéhoodkladuoznámiťprevádzkovateľoviporušenieochranyosobnýchúdajov.PodľanázoruWP29nemusísprostredkovateľvyhodnocovať,čije pravdepodobné,žeporušenieochranyosobnýchúdajovpovediekriziku,prípadnevysokémuriziku preprávaaslobodyfyzickýchosôb.Tojepovinnosťouprevádzkovateľa.Sprostredkovateľmusímať zavedenéprocesyabyzistil,žedošlokporušeniuochranyosobnýchúdajov.365) Vtejtosúvislostiplatí,želehotanaoznámenieporušeniadozornémuorgánu,akoajdotknutejosobezačínaplynúťod momentu,odkedysaoporušenídozvedelprevádzkovateľ.Dotejtolehotysanepočítačas,poktorý malsprostredkovateľvedomosťoporušeníochranyosobnýchúdajov,avšakotejtoskutočnostiprevádzkovateľaešteneinformoval.Vprípade,aktypspracúvania,najmäsvyužitímnovýchtechnológiíasohľadomnapovahu,rozsah,kontextaúčelyspracúvaniapravdepodobnepovediekvysokému rizikupreprávaaslobodyfyzickýchosôb,jesprostredkovateľpovinnýpomáhaťprevádzkovateľovi

364)Stanovisko WP29 č. 05/2012 ku cloud computingu (WP 196) prijaté 1. júla 2012, str. 13. 365)UsmernenieWP29ooznámeníporušeniaochranyosobnýchúdajovpodľaNariadenia679/2016(WP250 rev.01) prijaté 3. októbra 2017, naposledy revidované a prijaté 6. februára 2018.

ajprivykonaníposúdeniavplyvunaochranuúdajov,pretožeakosubjektvykonávajúcispracúvanie môžemaťrelevantnéinformáciepotrebnénajehovykonanie.Akzposúdeniavplyvuvyplýva,že totospracúvaniebyviedlokvysokémuriziku,vprípade,akbyprevádzkovateľneprijalopatreniana jehozmiernenie,jesprostredkovateľpovinnýpomáhaťprevádzkovateľoviajvprocesepredchádzajúcej konzultácie.Vuvedenýchprípadoch(privykonaníposúdeniavplyvuaprípadnejpredchádzajúcej konzultácii)pomáhasprostredkovateľprevádzkovateľovisprihliadnutímnapovahuspracúvania ainformáciedostupnésprostredkovateľovi.Zmluvaaleboinýprávnyaktmusítiežobsahovaťpovinnosťsprostredkovateľapozohľadnenípovahyspracúvaniavčonajväčšejmierepomáhaťprevádzkovateľovivhodnýmitechnickýmiaorganizačnýmiopatreniamipriplneníjehopovinnostireagovať nažiadostidotknutýchosôbovýkonichprávnapr.priuplatneníprávanaprenosnosťúdajovalebo práva na opravu.

Vprípade,keďsaspracúvanievykonávaprostredníctvomsprostredkovateľa,jepotrebné,aby zmluvaaleboinýprávnyaktobsahovaljasnérozdeleniepovinnostíapresnénastavenieprocesov preichvýkon(napr.procespreoznamovanieporušeniaochranyosobnýchúdajovprevádzkovateľovi, proces súvisiaci s vybavovaním žiadostí dotknutých osôb o výkon ich práv).

Sprostredkovateľ v oblasti cloudových služieb

Prevádzkovateľmôževzmluvedelegovaťurčenieprostriedkovspracúvanianasprostredkovateľa,napr.vprípadecloudovejslužbymôžeprevádzkovateľ(zákazníkcloudovejslužby)poveriťposkytovateľatejtoslužby(sprostredkovateľa)výberommetód,ktorésapoužijúnadosiahnutiesledovaného cieľa prevádzkovateľa.

WP29vosvojomstanoviskukucloudcomputinguprijatomprednadobudnutímúčinnostiNariadeniauviedla,že„vzmluveuzatvorenejmedzizákazníkomcloudovejslužby(prevádzkovateľom) aposkytovateľomtejtoslužby(sprostredkovateľom)samusíminimálnestanovovať,žesprostredkovateľmusíplniťpokynyprevádzkovateľaazaviesťtechnickéaorganizačnéopatrenianaúčelyprimeranej ochrany osobných údajov. Na zaistenie právnej istoty by mali byť v zmluve stanovené:

1.Podrobnosti(rozsahamodality)opokynoch,ktorézákazník(t.j.prevádzkovateľ)udelíposkytovateľovicloudovejslužby(t.j.sprostredkovateľovi),najmäpokiaľideouplatniteľnédohody oúrovnislužieb(ktorébymalibyťobjektívneamerateľné)apríslušnésankcie(finančnéalebo iné vrátane možnosti žalovať poskytovateľa v prípade nedodržania zmluvy).

2.Špecifikáciabezpečnostnýchopatrení,ktorémusíposkytovateľcloudovejslužbydodržiavať vzávislostiodrizík,ktoréprinášaspracúvanieúdajov,apovahyúdajov,ktoréjepotrebnéchrániť.Jeveľmidôležité,abybolišpecifikovanékonkrétnetechnickéaorganizačnéopatrenia.To platíbeztoho,abyboladotknutámožnosťuplatneniaprípadnýchprísnejšíchopatrení,ktoré môžu byť požadované vo vnútroštátnych právnych predpisoch vzťahujúcich sa na zákazníka.

3.Predmetačasovýrámeccloudovejslužbyposkytovanejposkytovateľomcloudu,rozsah,spôsob aúčelspracovaniaosobnýchúdajovtýmtoposkytovateľom,akoajtypyspracovávanýchosobných údajov.

4.Špecifikáciapodmienokprenavrátenie(osobných)údajovalebozničenieúdajovpoukončení poskytovaniaslužby.Okremtohomusíbyťzaistenébezpečnévymazanieosobnýchúdajovna požiadanie zákazníka cloudovej služby.

5.Zahrnutieustanoveniaozachovávanídôvernosti,ktorébudezáväznépreposkytovateľacloudovejslužbyavšetkýchjehozamestnancov,ktoríbudúmaťprístupkúdajom.Prístupkúdajom môžu mať iba oprávnené osoby.

6.Povinnosťposkytovateľaposkytovaťzákazníkovipodporupriuľahčovanívýkonuprávdotknutých osôb na prístup, opravu alebo vymazanie ich údajov.

7.Vzmluvebymalobyťvýslovnestanovené,žeposkytovateľcloudovejslužbynesmieposkytovať údajetretímstranám,atoaninaúčelyuchovávania,pokiaľniejevzmluvestanovené,žesabudú využívaťslužbysubdodávateľov.Vzmluvebymalobyťuvedené,žesubsprostredkovatelia môžubyťzapojeníibanazákladesúhlasu,ktorýmôževovšeobecnostiudeliťprevádzkovateľ.

Sprostredkovateľjepovinnýinformovaťprevádzkovateľaoakýchkoľvekplánovanýchzmenách vtejtosúvislostiaprevádzkovateľmáneustálemožnosťnamietaťvočitýmtozmenámalebo ukončiťzmluvu.Poskytovateľcloudovejslužbybymalmaťjasnúpovinnosťuviesťvšetkých

zapojenýchsubdodávateľov(napr.voverejnomdigitálnomregistri).Jenutnézabezpečiť,aby zmluvyuzatvorenémedziposkytovateľomcloudovejslužbyasubdodávateľomodrážalipožiadavkyuvedenévzmluveuzatvorenejmedzizákazníkomaposkytovateľomcloudovejslužby (t.j.ženasubsprostredkovateľovsauplatňujútieistézmluvnépovinnostiakonaposkytovateľa cloudovejslužby).Predovšetkýmjepotrebnézaručiť,abyposkytovateľcloudovejslužbyavšetci subdodávateliakonalilennazákladepokynovzákazníkacloudovejslužby.Vzmluvebymalbyť jasnestanovenýreťazeczodpovednosti.Malabytubyťstanovenápovinnosťpresprostredkovateľavytvoriťrámecpremedzinárodnéprenosyúdajov,napríkladpodpísanímzmlúvsosubsprostredkovateľmi,ktorébyvychádzalizoštandardnýchzmluvnýchdoložiekpodľarozhodnutia2010/87/EÚ.Lenpreúplnosťsidovoľujemedoplniť,žerozhodnutie2010/87/EÚjepredmetomsporuvedenéhopredSúdnymdvoromEÚvoveciC-311/18–Komisárpreochranu údajov/FacebookIrelandaMaximillianSchrems,vktorompánM.Schremsnavrhujerozhodnúť,žepredmetnérozhodnutieKomisiejeneplatné.KmerituvecisavyjadrovalGenerálnyadvokátSaugmandsgaard Øe,podľaktoréhopripreskúmaníotázoknevyšlinajavožiadneskutočnosti, ktoré by mohli mať vplyv na platnosť napádaného rozhodnutia; vec zatiaľ nie je ukončená.

8.Spresneniezodpovednostiposkytovateľacloudovejslužbyoznámiťzákazníkovitejtoslužby akékoľvek porušenie ochrany údajov, ktoré by sa dotýkalo údajov zákazníka cloudovej služby.

9.Povinnosťposkytovateľacloudovejslužbyposkytnúťzoznammiest,naktorýchmôžubyťúdaje spracúvané.

10.Právoprevádzkovateľamonitorovaťazodpovedajúcapovinnosťposkytovateľacloudovejslužby spolupracovať.

11.Vzmluvebymalobyťzakotvené,žeposkytovateľcloudovejslužbymusíinformovaťzákazníka orelevantnýchzmenáchtýkajúcichsapredmetnejcloudovejslužby,akojezavedeniedodatočných funkcií.

12.Vzmluvebymalobyustanovenieoprotokolovaníaauditovanípríslušnýchoperáciíspracovania osobných údajov, ktoré vykonáva poskytovateľ cloudovej služby alebo subdodávatelia.

13.Oznámeniezostranyzákazníkacloudovejslužbyakejkoľvekprávnezáväznejžiadostiosprístupnenieosobnýchúdajovpodanejzostranyorgánupresadzovaniapráva,pokiaľtoniejeinak zakázané,napríkladtrestnýmprávom,vzáujmezachovaniadôvernostivyšetrovaniavrámci presadzovania práva.

14.Všeobecnápovinnosťprevádzkovateľaposkytnúťuistenie,žeinternáorganizáciaaopatreniana spracovanieúdajov(akoajopatreniajehosubsprostredkovateľov,aksúzapojení)súvsúlade s platnými vnútroštátnymi a medzinárodnými právnymi požiadavkami a normami.“366)

Zozneniačlánkov28ods.2a3

Nariadeniaupravujúcehovzťahmedzisprostredkovateľomaprevádzkovateľomvyplýva,ževäčšinutýchtoodporúčaníWP29predstavujúpovinnéminimálnepožiadavkyzmluvyuzatvorenejmedziprevádzkovateľomasprostredkovateľomaleboinéhoprávnehoaktu podľaprávaÚniealeboprávačlenskéhoštátuzaväzujúcehosprostredkovateľavočiprevádzkovateľovi.

Okremhoreuvedenýchpovinností,ktoréjepotrebnévzmluvealebovinomprávnomaktestanoviť,jepotrebnésiuvedomiť,žeNariadenievýslovneukladásprostredkovateľoviajďalšiepovinnosti, atonapr.povinnosťviesťzáznamyovšetkýchkategóriáchspracovateľskýchčinností,aksanasprostredkovateľanevzťahujevýnimkapodľačlánku30ods.5,povinnosťspolupracovaťsdozornýmúradom(článok31),povinnosťprijaťprimeranétechnickéaorganizačnéopatrenia(článok32),povinnosťoznámiťprevádzkovateľoviporušenieochranyosobnýchúdajov(článok33),povinnosťurčiť zodpovednúosobuvprípadesplneniapodmienokprejejpovinnéurčenie(článok37),povinnosť dodržiavaťschválenýkódexsprávania,aksasprostredkovateľrozhodoluplatňovaťho,povinnosťdodržiavaťsprostredkovateľovivydanýcertifikát,pečaťaleboznačkuochranyúdajov,povinnosťpísomneurčiťzástupcuvÚnii,aksauplatňuječlánok3ods.2Nariadenia(článok27).

Preprípadmožnejkontrolyodporúčamesprostredkovateľoviajprevádzkovateľoviuchovávať najmäzdokumentovanépokynyprevádzkovateľa,zmluvualeboinýprávnyaktzaväzujúcisprostredkovateľavočiprevádzkovateľovi,písomnépovolenienazapojenieďalšiehosprostredkovateľa,

366)Stanovisko WP29 č. 05/2012 ku cloud computingu (WP 196) prijaté 1. júla 2012.

zmluvuuzatvorenúmedzisprostredkovateľomaďalšímsprostredkovateľom,akoajvšetkydokumenty, resp. dôkazy preukazujúce splnenie sprostredkovateľových povinností.

K ods. 4

Nariadenieumožňujereťazeniesprostredkovateľov.Pôvodnýsprostredkovateľ(t.j.sprostredkovateľ,ktorýuzatvorilzmluvusprevádzkovateľomalebovykonávaspracúvanieosobnýchúdajov vmeneprevádzkovateľanazákladeinéhoprávnehoaktupodľaprávaÚniealeboprávačlenského štátu)jeoprávnenýzapojiťdospracúvaniaďalšiehosprostredkovateľaibanazákladepredchádzajúcehopísomnéhopovoleniaprevádzkovateľa.Kpovoleniupozribližšiekomentárkodseku2.Ďalší sprostredkovateľvykonávaspracúvanieosobnýchúdajovvmeneprevádzkovateľa,atobuďnazákladezmluvyuzatvorenejsosprostredkovateľomaleboinéhoprávnehoaktupodľaprávaÚniealebo právačlenskéhoštátu(ktýmtopojmompozrikomentárkods.3).Nariadenievyžaduje,abyzmluva aleboinýprávnyaktukladalďalšiemusprostredkovateľovivsúvislostisochranouosobnýchúdajov rovnaképovinnosti,akéboliuloženésprostredkovateľovizostranyprevádzkovateľa(akjenapríkladsprostredkovateľpovinnýšifrovaťosobnéúdaje,tátopovinnosťmusíbyťpreklopenáajnaďalšiehosprostredkovateľa).Toistéplatíajvovzťahukpreukázaniudostatočnýchzáruk.Akosmeuž uviedli,cieľomtejtoúpravyjeneznižovaťúroveňochranydotknutýchosôbvprípade,aksaspracúvanie vykonáva prostredníctvom sprostredkovateľa, prípadne ďalšieho sprostredkovateľa.

Navzájomnývzťahmedzisprostredkovateľomaďalšímsprostredkovateľomsaobdobnepoužijúustanoveniaupravujúcevzťahmedziprevádzkovateľomasprostredkovateľom,tedaspracúvanie osobnýchúdajovsamávykonávaťvsúladespožiadavkamiNariadeniabezohľadunato,čiosobné údajespracúvaprevádzkovateľ,sprostredkovateľaleboďalšísprostredkovateľ.Pokynysprostredkovateľaudelenéďalšiemusprostredkovateľovimusiabyťvsúladespokynmi,ktoréudelilsprostredkovateľovi prevádzkovateľ.

Vprípade,keďsprostredkovateľzapojídospracúvaniaďalšiehosprostredkovateľa,jepotrebné, abyzmluvaaleboinýprávnyaktobsahovaljasnérozdeleniepovinnostímedzisprostredkovateľomaďalšímsprostredkovateľomapresnénastavenieprocesovpreichvýkon(napr.procespre oznamovanieporušeniaochranyosobnýchúdajov,processúvisiacisvybavovanímžiadostídotknutýchosôbovýkonichpráv).Akďalšísprostredkovateľnesplnísvojepovinnosti,vočiprevádzkovateľovizostávazaplneniepovinnostíďalšiehosprostredkovateľaplnezodpovednýpôvodnýsprostredkovateľ.

Preprípadmožnejkontrolyodporúčamevsúvislostisospracúvanímosobnýchúdajovďalším sprostredkovateľomuchovávaťpopridokumentáciiuvedenejvzáverekods.3vyššieajpísomnépovolenienazapojenieďalšiehosprostredkovateľa,zmluvuuzatvorenúmedzisprostredkovateľom aďalšímsprostredkovateľomaleboinýprávnyaktpodľaprávaÚniealeboprávačlenskéhoštátu, akoajvšetkydokumenty,resp.dôkazypreukazujúcesplneniesprostredkovateľovýchpovinností (pôvodnéhoajďalšiehosprostredkovateľa).Naďalšiehosprostredkovateľasavplnomrozsahu vzťahujúsprávnepokutyuvedenévNariadenípresprostredkovateľa,akoajpríslušnéustanovenia o zodpovednosti za škodu (článok 82).

K ods. 5

Nariadeniestanovuje,žejednýmzospôsobovpreukázaniadostatočnýchzárukvprocesevýberu sprostredkovateľa,akoajďalšiehosprostredkovateľajedodržiavanieschválenéhokódexusprávania alebovydanéhocertifikátu.Kukódexomsprávaniapozribližšiekomentárkčlánku40a41,kcertifikátom článok 42 a 43.

Ďalšímspôsobompreukázaniadostatočnýchzárukmôžebyťurčeniezodpovednejosobyvprípade,aknejdeoprípadyobligatórneurčenejzodpovednejosoby,checklistspožiadavkamitýkajúcimisaochranyosobnýchúdajovabezpečnosti,vykonanieduedilligencepreukazujúceho,žesprostredkovateľa/aleboďalšísprostredkovateľposkytujedostatočnézáruky,platnécertifikátyzameranénariadenieinformačnejbezpečnostivorganizáciáchudelenésprostredkovateľovia/alebo ďalšiemusprostredkovateľovi(certifikáciasystémumanažérstvainformačnejbezpečnostipodľa ISO/IEC 27001). V závislosti od konkrétneho spracúvania sa môže vyžadovať aj ich kombinácia.

K ods. 6, 7, 8 a 9

ZmluvaaleboinýprávnyaktpodľaprávaÚniealeboprávačlenskéhoštátuupravujúcivzťahmedziprevádzkovateľomasprostredkovateľom,akoajvzťahmedzisprostredkovateľomaďalším sprostredkovateľom musia byť vypracované v písomnej alebo elektronickej podobe.

Prevádzkovateľasprostredkovateľalebosprostredkovateľaďalšísprostredkovateľsimôžuzvoliťjednuztýchtoforiemdotknutýchprávnychúkonov,avšakvždytak,abyexistovalidôkaznéprostriedkyoichminimálnychobsahovýchnáležitostiachpodľaods.3apodľazákladnýchpožiadaviek kladenýchnaprávneúkonyvzmysleust.§34anasl.Občianskehozákonníka.Zdôrazňujemevšak, žepovereniesprostredkovateľanazapojenieďalšiehosprostredkovateľadospracúvaniavmeneprevádzkovateľa musí byť realizované v písomnej forme.

Akosmeužuviedlivzmysle§40ods.4Občianskehozákonníka,písomnáformajezachovaná, akjeprávnyúkonurobenýtelegraficky,ďalekopisomaleboelektronickýmiprostriedkami,ktoré umožňujúzachytenieobsahuprávnehoúkonuaurčenieosoby,ktoráprávnyúkonurobila.Písomná formajezachovanávždy,akprávnyúkonurobenýelektronickýmiprostriedkamijepodpísanýzaručeným elektronickým podpisom alebo zaručenou elektronickou pečaťou.

Nariadenievzťahumedziprevádzkovateľomasprostredkovateľomalebosprostredkovateľom aďalšímsprostredkovateľomsamôžuúplnealebosčastipoužiťštandardnézmluvnédoložky,ktoré stanoví priamo Komisia alebo prijme dozorný orgán v súlade s mechanizmom konzistentnosti.

Komisiazatiaľvydalaštandardnézmluvnédoložkytýkajúcesaprenosovosobnýchúdajovdotretíchkrajínamedzinárodnýmorganizáciám[bližšievkomentárikčl.46ods.2písm.c)Nariadenia].367)

Vovzťahukdozornémuorgánudávamedopozornostištandardnézmluvnédoložkyupravujúce vzťahmedzisprostredkovateľomaprevádzkovateľom,ktorépredložilvsúladesmechanizmomkonzistentnostidánskydozornýorgán.JednotlivédokumentynájdetenastránkeVýboru https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-142019-draft -standard-contractual-clauses_en.

K ods. 10

Sprostredkovateľjeoprávnenýspracúvaťosobnéúdajevmeneprevádzkovateľaibanazáklade zmluvyaleboinéhoprávnehoaktupodľaprávaÚniealeboprávačlenskéhoštátuzaväzujúceho sprostredkovateľavočiprevádzkovateľovi,atoibavsúladesostanovenýmúčelomspracúvania.

Sprostredkovateľmusíspracúvaťosobnéúdajelennazákladepokynovprevádzkovateľa,ktorémusiabyťzdokumentované.Vprípade,aksprostredkovateľporušíNariadenietým,žeurčíúčelyaprostriedkyspracúvania,napr.rozšírialebozmeníúčelspracúvania,považujesavsúvislostisdaným spracúvanímsámzaprevádzkovateľa.Vtakomprípadesananehovplnomrozsahuaplikujúvšetky ustanovenia, resp. povinnosti Nariadenia vzťahujúce sa na prevádzkovateľa.

Z judikatúry:

K Rozsudok Súdneho dvora EÚ z 22. novembra 2012 vo veci C-119/12 Josef Probst

2Tentonávrhbolpodanývrámcisporumedzispoločnosťoumr.nexnetGmbH(ďalejlen„nexnet), ktorájepostupníčkoupohľadávokvyplývajúcichzposkytovaniaslužiebprístupukinternetuspoločnosťouVerizonDeutschlandGmbH(ďalejlen„Verizon“),apánomProbstom,príjemcomuvedenýchslužieb.

8 článok 6 smernice 2002/58 stanovuje:

„1.Prevádzkovédáta[údajeoprenosedát– neoficiálnypreklad]týkajúcesaúčastníkovaužívateľov, spracovávanéauloženéposkytovateľomverejnejkomunikačnejsietealeboverejnedostupnejelektronickejkomunikačnejslužby,samusiavymazaťalebozanonymniť,akužnaďalejniesúpotrebnéna účely prenosu správy, bez vplyvu na odseky 2, 3 a 5 tohto článku…

367)RozhodnutieKomisiez15.júna2001oštandardnýchzmluvnýchdoložkáchnaprenososobnýchúdajov do tretích krajín podľa smernice 95/46/ES, 2001/497/ES.

RozhodnutieKomisiez27.decembra2004,ktorýmsameníadopĺňarozhodnutie2001/497/ESozavedení alternatívnehosúboruoštandardnýchzmluvnýchdoložkáchnaprenososobnýchúdajovdotretíchkrajín, 2004/915/ES.

RozhodnutieKomisiez5.februára2010oštandardnýchzmluvnýchdoložkáchpreprenososobnýchúdajov spracovateľomusadenýmvtretíchkrajináchpodľasmerniceEurópskehoparlamentuaRady95/46/ES, 2010/87/EÚ.

2.Prevádzkovédáta[údajeoprenosedát– neoficiálnypreklad]potrebnénaúčelyfakturácieúčastníka aplatbyzaspojeniesamôžuspracovávať.Takéspracovaniejepovolenélendokoncaobdobia,počas ktorého môže byť faktúra právne napadnutá alebo sa môže uplatniť nárok na platbu.

5.Spracovávanieprevádzkovýchdát[údajovoprenosedát– neoficiálnypreklad],vsúladesodsekmi1, 2,3a4,sa musíobmedziťnaosobykonajúcenapokynposkytovateľaverejnýchkomunikačnýchsietí averejnedostupnýchelektronickýchkomunikačnýchslužieb,ktorésúzodpovednézafakturovanie aleboriadenieprevádzky,vybavovaniedotazovzákazníkov,odhaľovaniepodvodov,marketingelektronickýchkomunikačnýchslužiebaleboposkytovanieslužbyspridanouhodnotou,amusísaobmedziť na to, čo je nevyhnutné na účely takých činností. …“

11PánProbstmátelefónnuprípojkuodDeutscheTelekomAG,cezktorújejehopočítačpripojenýna internet.Vobdobíod28.júnado6.septembra2009používaltelefónnečíslo,ktorémuposkytlaspoločnosť Verizon,nazískaniejednorazovéhoprístupunainternet.NajprvDeutscheTelekomAGzatietopripojenia vyúčtovalapánoviProbstovipoplatkypodnázvom„poplatkyinýchposkytovateľov“.VdôsledkunezaplateniapánomProbstomtýchtopoplatkovspoločnosťnexnet,postupníčkatejtopohľadávkynazákladefaktoringovejzmluvy,ktorúuzavreliprávnipredchodcoviaspoločnostíVerizonanexnet,odnehopožadovalazaplatenievyúčtovanýchsúmzvýšenýchorôznevýdavky.Vsúladesfaktoringovouzmluvouspoločnosť nexnet znáša riziko, že sa jej ich nepodarí vymôcť.

15ZatýchtookolnostíBundesgerichtshofrozhodolprerušiťkonanieapoložiťSúdnemudvorutúto prejudiciálnu otázku:

„Umožňuječlánok6ods.2a5 smernice2002/58/ESposkytovateľovislužiebpreniesťúdajeoprenose dátnapostupníkanadobúdajúcehopohľadávkuvyplývajúcuzodmenyzatelekomunikačnéslužby,akje postúpenieuskutočnenénaúčelvymáhaniaspätnepostúpenýchpohľadávok,okremvšeobecnejpovinnostizachovávaťtelekomunikačnétajomstvoaochranuúdajovvzmysleplatnejzákonnejúpravy,založené na nasledujúcich zmluvných podmienkach:

poskytovateľslužiebapostupníksazaviažuspracovávaťapoužívaťchránenéúdajeibavrámciich spolupráce a výlučne na cieľ sledovaný touto zmluvou a spôsobom, ktorý sa v nej uvádza, lenčoužchránenéúdajenebudúpotrebnénaspĺňanietohtocieľa,všetkyúdajezískanévtejtosúvislosti musia byť nenávratne vymazané alebo vrátené, zmluvnéstranysúoprávnenékontrolovaťdodržiavanieochranyabezpečnostiúdajovdruhouzmluvnou stranou v zmysle tejto dohody,

odovzdanédôvernédokumentyainformáciemôžubyťsprístupnenéibatýmzamestnancom,ktoríich potrebujú na plnenie zmluvy, zmluvnéstranyzaviažusvojichzamestnancovnazachovávaniedôvernosti,takakojetouvedenévtejto dohode,

nažiadosťniektorejzozmluvnýchstránalebonajneskôrpriukončeníichspoluprácemusiabyťvšetky dôvernéinformácie,ktorébolivtejtosúvislostizískané,nenávratnevymazanéalebovrátenédruhej zmluvnej strane?“

16Svojouotázkousavnútroštátnysúdvpodstatepýta,čiazaakýchpodmienokumožňuječlánok6 ods.2a5smernice2002/58poskytovateľovislužiebpreniesťúdajeoprenosedátnapostupníka,naktorého postúpil svoje pohľadávky, a tomuto postupníkovi spracovávať uvedené údaje.

19Zcelkovéhozneniaustanovenísmernice2002/58vyplýva,žeposkytovateľslužiebmôžepreniesť údajeoprenosedátnapostupníka,naktoréhopostúpilsvojepohľadávkynaichvymáhanie,atenichmôže spracovávaťpodpodmienkou,žejednakuvedenéúdajespracováva„napokyn“poskytovateľaslužiebajednakspracovávalenúdajeoprenosedát,ktorésúnevyhnutnénavymáhanieuvedenýchpohľadávok.

20Trebakonštatovať,žeanismernica2002/58,anidokumentyrelevantnéprejejvýklad,akýmisú travauxpréparatoires,neposkytujúvysvetleniapresnéhodosahupojmu„napokyn“.Zatýchtookolností vsúladesjudikatúrouSúdnehodvorasavýznamtohtopojmumusíurčiťpodľajehoobvykléhovýznamu vbežnomjazyku,pričomsazároveňzohľadniasúvislosti,vktorýchsapoužíva,akoajúčelsledovaný právnouúpravou,vktorejsanachádza(pozrivtomtozmyslerozsudkyz10.marca2005,easyCar, C-336/03, Zb. s. I-1947, body 20 a 21, ako aj z 5. júla 2012, Content Services, C-49/11, bod 32).

21Pokiaľideoobvyklývýznamtohtopojmuvbežnomjazyku,trebasadomnievať,žeosobakonána pokyn inej osoby vtedy, keď prvá osoba koná na základe pokynov a pod dohľadom druhej osoby.

23Článok6ods.2a5 smernice2002/58obsahujevýnimkuzpovinnostizabezpečiťdôvernosťspráv stanovenejvčlánku5ods.1tejtosmernicetým,žepovoľujespracovávaťúdajeoprenosedátvsúvislosti

spožiadavkamispojenýmisčinnosťamifakturácieslužieb(pozrivtomtozmyslerozsudokz29.januára 2008,Promusicae,C-275/06,Zb.s.I-271,bod48).Keďžeideovýnimku,totoustanoveniesmernice,ateda ajpojem„napokyn“,trebavykladaťdoslovne[pozrirozsudokzo17.februára2011,TheNumber(UK) aConduitEnterprises,C-16/10,Zb.s.I-691,bod31].Takýtovýkladznamená,žeposkytovateľslužieb musímaťmožnosťvykonávaťúčinnýdohľad,ktorýmuumožňujeoveriť,čipostupníkpohľadávokdodržiava povinnosti, ktoré má pri spracovaní údajov o prenose dát.

27Zvyššieuvedenéhovyplýva,žebezohľadunakvalifikáciuzmluvyopostúpenípohľadávoknaúčelyichvymáhaniakonápostupníkpohľadávkyvyplývajúcejzposkytovaniatelekomunikačnýchslužieb „napokyn“poskytovateľauvedenýchslužiebvzmyslečlánku6ods.5smernice2002/58,akprispracovaníúdajovoprenosedát,ktorétakáčinnosťzahŕňa,konátentopostupníklennazákladepokynovapoddohľadomdanéhoposkytovateľa.Zmluvauzavretámedziposkytovateľomslužieb,ktorýpostupujesvoje pohľadávky,apostupníkomtýchtopohľadávokmusínajmäobsahovaťustanovenia,ktorézabezpečujú, žepostupníkbudespracovávaťúdajeoprenosedátvsúladesozákonom,aumožňujúposkytovateľovislužieb kedykoľvek sa ubezpečiť, či postupník dodržiava tieto ustanovenia.

29Sozreteľomnapredchádzajúceúvahytrebanapoloženúotázkuodpovedaťtak,žečlánok6ods.2 a5smernice2002/58samávykladaťvtomzmysle,žeposkytovateľovislužiebumožňujepreniesťúdaje oprenosedátnapostupníka,naktoréhopostúpilsvojepohľadávkyvyplývajúcezposkytovaniatelekomunikačnýchslužiebnaichvymáhanie,pričomtentopostupníkmôžedanéúdajespracovávaťpodpodmienkou,žeichjednakspracovávanapokynposkytovateľaslužiebajednakspracovávalenúdajeoprenose dát, ktoré sú nevyhnutné na vymáhanie postúpených pohľadávok.

30Bezohľadunakvalifikáciuzmluvyopostúpenípohľadávoksamápostupníkpovažovaťzaosobu konajúcunapokynposkytovateľaslužiebvzmyslečlánku6ods.5smernice2002/58,akprispracovaní údajovoprenosedátkonálennazákladepokynovapoddohľadomdanéhoposkytovateľa.Zmluvauzavretámedzinimimusínajmäobsahovaťustanovenia,ktorézabezpečujú,žeúdajeoprenosedátbudúspracovávanévsúladesozákonom,aumožňujúposkytovateľovislužiebkedykoľveksaubezpečiť,žepostupník dodržiava tieto ustanovenia.

Článok 29

Spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľa

Sprostredkovateľakaždáosobakonajúcanazákladepovereniaprevádzkovateľaalebo sprostredkovateľa,ktorámáprístupkosobnýmúdajom,môžespracúvaťtietoúdajelennazákladepokynovprevádzkovateľasvýnimkouprípadov,keďsatovyžadujepodľaprávaÚniealebo práva členského štátu.

Súvisiace ustanovenia: recitál 29, články 83 a 84

Súvisiacepredpisy: článok16Smerniceoochraneosobnýchúdajov,novýzákonoochraneosobných údajov

Komentár k článku 29

Recitál29: Prevádzkovateľ,ktorýspracúvaosobnéúdaje,bymalurčiťoprávnenéosobyvrámci toho istého prevádzkovateľa.

DoterajšiaúpravaobsiahnutávSmernicioochraneosobnýchúdajovobsahovala,čosatýkavýznamu,obdobnéustanovenievčlánku16,vzmyslektoréhonesmelaakákoľvekosobakonajúca vprávomociprevádzkovateľaalebosprostredkovateľa,vrátanesamotnéhosprostredkovateľa,ktorá malaprístupkosobnýmúdajom,tietoúdajespracovať,svýnimkoutoho,akkonalanazákladepokynuprevádzkovateľaalebovprípadoch,keďsatovyžadovalovzmyslezákona.Smernicaoochrane osobnýchúdajovďalejvčlánku17obsahovalapovinnosťsprostredkovateľakonaťnazákladepokynov prevádzkovateľa.

Zákonč.122/2013Z.z.včastitýkajúcejsabezpečnostiosobnýchúdajovzakotvilpovinnosťprevádzkovateľaajsprostredkovateľa368) poučiťoprávnenúosobuojejprávachapovinnostiachprispracúvaní osobnýchúdajov.Podoprávnenouosoboupritomrozumelibafyzickúosobu,ktoráprichádzala

dostykusosobnýmiúdajmidotknutýchosôb,atovrámcisvojhopracovnoprávnehovzťahu,štátnozamestnaneckéhopomeru,služobnéhopomeru,členskéhovzťahu,nazákladepoverenia,zvolenia alebovymenovania,alebovrámcivýkonuverejnejfunkcie,aktorázároveňspracúvalaosobnéúdaje vrozsahuaspôsobomurčenýmvpoučení.Zaoprávnenúosobusatakpodľazákonač.122/2013

Z.z.považovalanapr.zamestnankyňaoddeleniaHR,internámzdováúčtovníčkaalebopersonalistka,administratívnypracovníkvybavujúciobjednávkyprijatéprostredníctvome-shopu,administratívnypracovníkvybavujúcisťažnostiareklamáciefyzickýchosôb,zamestnanecmajúcinazáklade svojejpracovnejpozícieprístupdoklientskehoinformačnéhosystému,atoakspracúvalosobné údaje v rozsahu a spôsobom určeným v poučení.

Nariadeniepracujespojmomoprávnenáosobaibavrecitáli,atokonkrétnevrecitáli29,vktoromstanovuje,žekaždýprevádzkovateľ,ktorýspracúvaosobnéúdaje,bymalurčiťoprávnenéosobyvrámcitohoistéhoprevádzkovateľa.Ustanoveniespomínanéhorecitálupokrývaibačasťprípadov, ktoré spadajú pod úpravu uvedenú v článku 29.

PredmetnéustanovenieNariadeniaukladásprostredkovateľoviakaždejosobe,ktorákonánazákladepovereniaprevádzkovateľaalebosprostredkovateľaamásúčasnekosobnýmúdajomdotknutýchosôbprístup,povinnosťspracúvaťtietoúdajeibanazákladepokynovprevádzkovateľa.Výnimkutvoriaprípady,aksatovyžadujepodľaprávaÚniealeboprávačlenskéhoštátu.Pokynyprevádzkovateľanaspracúvanieosobnýchúdajovbymaliobsahovaťnajmävymedzenieosobnýchúdajov, kuktorýmmámaťkonkrétnaosobaprístupnaúčelplneniajejpovinnostíaleboúloh,určeniepostupov,ktoréjepoverenáosobapovinnáuplatňovaťprispracúvaníosobnýchúdajov,vymedzeniezákladnýchpostupovalebooperáciísosobnýmiúdajmi,akoajvymedzeniezodpovednostizaporušenieNariadeniaaleboinýchprávnychpredpisov.Uvedenápovinnosťsprostredkovateľaakaždejosobykonajúcejnazákladepovereniaodprevádzkovateľaalebosprostredkovateľaamajúcejprístup kosobnýmúdajomspracúvaťosobnéúdajevýlučnenazákladepokynovprevádzkovateľaveľmi úzkosúvisíspovinnosťouprevádzkovateľaasprostredkovateľaprijaťprimeranébezpečnostné opatreniascieľomzaistiťúroveňbezpečnostiprimeranúrizikuspracúvania.Pokynymusiabyťpoverenejosobedanépredtým,akouskutočneníprvúspracovateľskúoperáciusosobnýmiúdajmi. Vtomtosmerejeirelevantné,čisasamotnýdokumentbudenazývaťpoučeniealebopokyny,posudzovanýbudezhľadiskajehoobsahu.Ideoorganizačnéopatrenie,bezktoréhobyaniakékoľvek technickébezpečnostnéopatrenieneviedlokefektívnejaúčinnejochraneosobnýchúdajovfyzickýchosôb.Cieľomtejtoúpravyjepredovšetkýmminimalizovaťrizikonezákonnéhoaleboneoprávneného spracúvania osobných údajov.

Povinnosťspracúvaťosobnéúdajevýlučnenazákladepokynovprevádzkovateľasavzťahujena sprostredkovateľa,zamestnancovprevádzkovateľaasprostredkovateľa,akoajnaďalšieosoby,ktorépristupujúkosobnýmúdajovnazákladepovereniaprevádzkovateľaalebosprostredkovateľa.Poverenieprevádzkovateľaalebosprostredkovateľamôževyplývaťzpracovnoprávnehovzťahu,štátnozamestnaneckéhopomeru,služobnéhopomeru,členskéhovzťahu,akoajzozvolenia,vymenovaniadofunkcie,zozmluvyuzatvorenejsprevádzkovateľomalebosprostredkovateľomapod.Je rovnakobezpredmetné,čijeosobavpracovnompomerenazákladepracovnejzmluvyalebodohody oprácivykonávanejmimopracovnéhopomeru.Nariadeniepritomnevyžaduje,abymalopoverenie prevádzkovateľaalebosprostredkovateľapísomnúformu.Rovnakopreplatnosťpokynunevyžadujejehopísomnúformu.Vsúladesozásadouzodpovednosti,akoajvzhľadomnadôkaznébremeno prevádzkovateľa(čiužvočidozornémuorgánualebovočisúdu)jevšakžiaduce,abybolipokyny zdokumentované či už v písomnej, alebo inej forme.

Autoritohtokomentáraodporúčajú,abypokynyobsahovalipoučenieosoby(sprostredkovateľa akaždejosoby,ktorákonánazákladepovereniaprevádzkovateľaalebosprostredkovateľaamásúčasnekosobnýmúdajomdotknutýchosôbprístup)ojejprávachapovinnostiachvsúvislostiso spracúvanímosobnýchúdajov,ojejzodpovednostizaporušenieuvedenýchpovinností,abyurčovalipostupy,ktoréjeosobapovinnáuplatňovaťprispracúvaníosobnýchúdajov,vymedzovalizakázanépostupyaoperáciesosobnýmiúdajmiavymedzovaliosobnéúdaje,kuktorýmmámaťkonkrétna osobaprístupzaúčelomplneniasvojichpovinnostívyplývajúcichzpovereniaprevádzkovateľaalebo sprostredkovateľa.