Sprostredkovateľ podľa čl. 28 GDPR - s kým musíte uzavrieť sprostredkovateľskú zmluvu

Vo všeobecnosti existujú len tri základné možnosti: (i) prevádzkovateľ; (ii) spoločný prevádzkovateľ s iným spoločným prevádzkovateľom; alebo (iii) sprostredkovateľ. Teoreticky existuje aj štvrtá možnosť, viď predposledný bod. V tomto príspevku sa zameriame na najčastejšie otázky, ktoré sa týkajú sprostredkovateľa a jeho vzťahu s prevádzkovateľom.

Kto je sprostredkovateľ?

Sprostredkovateľ nemá nič spoločné so sprostredkovaním v obchodnom slova zmysle. Ide o historický pojem z prvého česko-slovenského zákona o ochrane osobných údajov z roku 1992, ktorý pracoval s pojmom sprostredkovateľ informácií.

Tento pojem sa síce dostal do slovenskej jazykovej verzie GDPR, ale európska legislatíva dlhodobo pracuje s pojmom processor (po česky správnejšie ako spracovatel). Jednoduchá definícia hovorí, že sprostredkovateľ je osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa. Výklad spojenia „v mene prevádzkovateľa“ je však v praxi ďaleko komplexnejší ako gramatický alebo právny význam daného spojenia. Podľa Pracovnej skupiny čl. 29:

„Konanie v mene iného znamená slúženie záujmom iného a navodzuje právny koncept „zastúpenia“. V prípade legislatívy na ochranu osobných údajov, sprostredkovateľ je povolaný aby uskutočnil pokyny udelené prevádzkovateľom minimálne vo vzťahu k účelu spracúvania a základných elementov prostriedkov spracúvania.“

Veľmi zjednodušene povedané, sprostredkovateľ nemá skutočnú „moc“ nad osobnými údajmi a vo všetkých ohľadoch podlieha pri spracúvaní osobných údajov inej osobe a jej pokynom – prevádzkovateľovi, ktorý sa rozhodol a vybral si sprostredkovateľa na vykonanie spracúvania osobných údajov v jeho mene.

Čo to prakticky znamená?

Znamená to, že každý bežný podnikateľ je v prvom rade prevádzkovateľ a  zároveň využíva aj sprostredkovateľov, s ktorými by mal mať uzatvorené zmluvy podľa čl. 28 GDPR. V niektorých prípadoch je ten istý podnikateľ zároveň sprostredkovateľ pre niekoho iného, kedy je tiež potrebné mať uzatvorenú zmluvu podľa čl. 28 GDPR v opačnom garde. Avšak, tieto možnosti najčastejšie existujú popri sebe a neplatia plošne, ale platia samostatne vo vzťahu k rôznym účelom spracúvania (viď Google a Facebook). To znamená, že vo vzťahu k niektorým účelom môže byť podnikateľ prevádzkovateľ a vo vzťahu k iným účelom môže byť sprostredkovateľ. 

Kde začať?

Odporúčaným postupom je začať tým, že si interne vypracujete zoznam svojich dodávateľov služieb a najmä softvérových riešení. Je veľmi pravdepodobné, že týmto krokom identifikuje veľkú časť Vašich sprostredkovateľov. Je mnoho dodávateľov, ktorí sa už v rámci svojej prípravy na GDPR zamysleli nad vyššie uvedenými základnými otázkami a pomáhajú svojim klientom veľmi aktívne pri zabezpečovaní súladu ich vzťahu s GDPR. Títo dodávatelia pochopili, že proaktívny prístup je v tomto smere obrovskou konkurenčnou výhodou. Nižšie nájdete zoznam často používaných dodávateľov online služieb, ktorí sami seba považujú za sprostredkovateľov.

Zmluva podľa čl. 28 GDPR

Mnoho klientov sa stále domnieva, že k uzatvoreniu zmluvy môže dôjsť len jej vytlačením a podpísaním. V skutočnosti však s väčšinou dodávateľov online služieb dochádza k elektronickému uzatváraniu zmlúv samotným používaním služieb alebo online akceptáciou obchodných podmienok. Napr., ak Vaša spoločnosť používa cloudové služby Googlu alebo spravuje firemný profil na Facebook alebo LinkedIn – vedzte, že zmluvu o spracúvaní osobných údajov podľa čl. 28 GDPR s týmito sprostredkovateľmi už uzatvorenú máte. Možno ide o úplne jednoduché zmluvy, ktoré sa len veľmi okrajovo dotýkajú požiadaviek čl. 28 GDPR, zmluvy týkajúce sa spracúvania osobných údajov to však evidentne sú. V princípe existujú štyri kategórie sprostredkovateľov:

1. Sprostredkovatelia, s ktorými máte automaticky uzatvorené zmluvy o spracúvaní osobných údajov nakoľko ide o súčasť ich štandardných online podmienok;

2. Sprostredkovatelia, ktorí používajú vlastné vzorové (samostatné) zmluvy o spracúvaní osobných údajov, o ktorých uzatvorenie musíte požiadať;

3. Sprostredkovatelia, ktorí nepoužívajú vlastné vzorové zmluvy o spracúvaní osobných údajov ale sú ochotní navrhnutú zmluvu so zákazníkom uzatvoriť;

4. Sprostredkovatelia, ktorí tvrdia že nie sú sprostredkovatelia alebo že nespracúvajú osobné údaje vôbec (viď posledný bod).

Preto odporúčame klientom mať vytvorenú aj vlastnú vzorovú zmluvu podľa čl. 28 GDPR a zaslať ju na vyplnenie a podpis sprostredkovateľom z tretej kategórie vyššie.

Je potrebný súhlas dotknutej osoby s poverením prevádzkovateľa?

Nie je. Ide o spracúvanie, ktoré síce vykonáva iná osoba ale v mene, na základe poverenia (podľa čl. 29 GDPR v angličtine: under the authority) a podľa pokynov prevádzkovateľa. GDPR neobsahuje požiadavku na získanie súhlasu dotknutej osoby s poverením sprostredkovateľa.

Je potrebné informovať dotknuté osoby o sprostredkovateľoch?

Vo všeobecnosti áno. Sprostredkovateľ patrí pod širšiu definíciu pojmu príjemca osobných údajov. Každý prevádzkovateľ by mal informovať podľa čl. 13 a 14 GDPR o príjemcoch alebo kategóriách príjemcov napr. prostredníctvom podmienok ochrany súkromia na webe (privacy policy). Je preto potrebné nastaviť v informačných povinnostiach najmä kategórie príjemcov dostatočne jasne a zároveň široko takým spôsobom, aby boli pokryté všetky možné oblasti príjemcov.

Je potrebné preverovať sprostredkovateľov?

Prevádzkovateľ môže používať len sprostredkovateľov, ktorí poskytujú dostatočné záruky na splnenie požiadaviek GDPR a ochranu práv dotknutých osôb. Neexistuje preto výslovná požiadavka preverovať sprostredkovateľov, ale existuje všeobecná povinnosť preukázať, že sprostredkovatelia poskytujú dostatočné záruky. V praxi sa preto vyvinuli rôzne screening procesy na preverenie sprostredkovateľov, pretože nie vždy existuje iný spôsob preukázania záruk.

Naša vzorová interná politika ochrany osobných údajov napr. obsahuje pravidlá výberu sprostredkovateľov a postupnosť krokov, ktoré sa majú vykonať pri výbere sprostredkovateľa.  Zároveň, naša vzorová zmluva o spracúvaní osobných údajov podľa čl. 28 GDPR obsahuje zaškrtávaciu prílohu (áno/nie) vo vzťahu k bezpečnostným opatreniam prijatých sprostredkovateľom, o ktorej vyplnenie prosíme sprostredkovateľa pred uzatvorením zmluvy. Samotná výmena týchto informácií je svojim spôsobom preverenie sprostredkovateľa a zároveň prvkom špecificky navrhnutej ochrany osobných údajov.

Etablovaných dodávateľov ako Facebook alebo Google ich zákazníci nemajú praktickú možnosť preveriť, ale existujú možnosti preukázania záruk a to najmä prostredníctvom kódexov správania, certifikácií (EU-US Privacy Schield, ISO 27k), pečatí, ocenení, kvalitnej privacy policy alebo kvalitných zmluvných podmienok dodávateľa. Už samotná pripravenosť na debatu o GDPR vrátane vlastnej vzorovej zmluvy o spracúvaní osobných údajov je prejavom záruk, ktoré daný sprostredkovateľ ponúka.

Praktická rada pre sprostredkovateľov – majte pripravenú sadu dokumentácie ku GDPR nad rámec zmluvy podľa čl. 28 GDPR a využite GDPR ako konkurenčnú výhodu. Niektorí naši klienti sprostredkovatelia napr. dobrovoľne vykonali simulované posúdenie vplyvu v prospech svojich zákazníkov prevádzkovateľov alebo pripravili obsiahlu prezentáciu o celkovom prístupe spoločnosti ku GDPR. Takýto prístup upokojí právne a compliance oddelenia klientov prevádzkovateľov práve z dôvodu, že je možné tieto kroky použiť na preukázanie záruk poskytovaných sprostredkovateľom.

Aké má sprostredkovateľ povinnosti?

Sprostredkovateľ má štyri samostatné povinnosti priamo vyplývajúce z GDPR, ktorých sa nie je možné zmluvne zbaviť a viac-menej nezávisia od zmluvného vzťahu. Pri týchto povinnostiach GDPR priamo odkazuje popri prevádzkovateľovi aj na sprostredkovateľa:

• Vymenovať zástupcu ak sú splnené podmienky podľa čl. 27 GDPR;

• Viesť záznamy o spracovateľských činnostiach ak sú splnené podmienky v čl. 30 GDPR;

• Prijať primerané bezpečnostné opatrenia podľa čl. 32 GDPR;

• Vymenovať zodpovednú osobu ak sú splnené podmienky podľa čl. 37 až 39 GDPR.

Zároveň existujú všeobecné povinnosti sprostredkovateľov podľa čl. 28 GDPR, ktoré naopak zmluva alebo pokyny prevádzkovateľa môžu bližšie špecifikovať. Pri definovaní týchto všeobecných povinností sprostredkovateľov v praxi  dochádza k praktikám neprimeraného prenášania zodpovednosti na druhú zmluvnú stranu, a to najmä v nasledovných oblastiach:

• Znášanie zodpovednosti za sankcie a pokuty udelené regulátormi nad rámec režimu čl. 82 GDPR;

• Odškodnenie zmluvnej strany alebo tretej strany nad rámec režimu čl. 82 GDPR;

• Znášanie nákladov za audit sprostredkovateľa vyvolaný prevádzkovateľom;

• Záväzok zabezpečiť konkrétnu certifikáciu s technickou normou;

• Vybavovanie podnetov dotknutých osôb;

• Znášanie nákladov za právne poradenstvo alebo zastúpenie v prípade súdneho alebo správneho konania;

• Miera v akej má byť sprostredkovateľ zapojený do posúdenia vplyvu alebo oznamovania porušenia ochrany osobných údajov.

Aj z týchto dôvodov je mať pripravenú vlastnú zmluvu podľa čl. 28 GDPR rovnakou výhodou aj pre prevádzkovateľa aj pre sprostredkovateľa. Naše vzorové zmluvy so sprostredkovateľmi obsahujú nasledovnú časť, ktorú pre transparentnosť vzťahu odporúčame upraviť aj keď nemusí ísť o výslovnú požiadavku GDPR:

Ďalšie podmienky spracúvania / Further conditions of processing

Akú má sprostredkovateľ zodpovednosť?

Sprostredkovateľ je zodpovedný len za škodu, ktorú spôsobil (čl. 82 ods. 2 GDPR):

• porušením výslovných povinností sprostredkovateľa;

• porušením pokynov prevádzkovateľa (vrátane zmluvy);

• konaním nad rámec pokynov prevádzkovateľa;

• sub-sprostredkovateľ sprostredkovateľa (t.j. dodávateľ v ďalšom rade).

Na rozdiel od toho prevádzkovateľ je v zásade zodpovedný za všetku škodu spôsobenú spracúvaním v rozpore s GDPR.  Ak spracúvanie vykonáva len prevádzkovateľ a sprostredkovateľ, môžu nastať dve situácie: (i) zodpovedný je prevádzkovateľ aj sprostredkovateľ alebo (ii) zodpovedný je len prevádzkovateľ.

V prvej situácii platí, že dotknutá osoba môže žiadať náhradu škody v plnej výške samostatne od prevádzkovateľa alebo sprostredkovateľa (čl. 82 ods. 4 GDPR), ktorí sa následne regresne odškodnia podľa podielu ich vzájomnej zodpovednosti (čl. 82 ods. 5 GDPR). V druhej situácii sprostredkovateľ nie je zodpovedný.

Mnoho kolujúcich zmlúv o spracúvaní osobných údajov však pracuje s iným nastavením zodpovednosti ako podľa čl. 82 GDPR. Otázke zodpovednosti a odškodnenia je potrebné preto venovať osobitnú pozornosť pri vyjednávaní zmlúv podľa čl. 28 GDPR.

Je sprostredkovateľom aj osoba, ktorá má len prístup k osobným údajom?

Ide o často diskutovanú problematiku tzv. servisných zásahov. Klient má napr. nainštalovaný on-premise softvér bez vzdialenej podpory alebo externého úložiska, ale dodávateľ v prípade servisných zásahov získava od administrátora prístup do systému a vidí v ňom osobné údaje. Typickým prípadom je tiež upratovačka, ktorá môže vstupom do kancelárií alebo serverovne získať prístup k osobným údajom.

Náš Úrad na ochranu osobných údajov historicky pracuje s konceptom medzi sprostredkovateľom a žiadnym spracúvaním osobných údajov, ktorý potvrdil vo svojom nedávnom metodickom usmernení k e-shopom:

„Ak tretia strana zabezpečuje pre e-shop technickú podporu, kedy pri odstraňovaní technických problémov môže tento subjekt, resp. jeho zamestnanci vidieť osobné údaje zákazníkov e-shopu a nedochádza zo strany subjektu vykonávajúceho technickú podporu k ďalšiemu spracúvaniu osobných údajov (t. j. osobné údaje napr. len „vidí“, ale ďalej ich nespracúva) postačuje, aby bola v zmluve medzi prevádzkovateľom a poskytovateľom technickej podpory ustanovená povinnosť zachovávať mlčanlivosť a prijať primerané bezpečnostné opatrenia (organizačné a technické). Uvedené platí aj vo vzťahu k vykonávaniu technickej podpory prostredníctvom vzdialeného prístupu.“  

Problémom je príliš otvorená definícia spracúvania osobných údajov, ktorá napríklad obsahuje aj „prehliadanie“ a skutočnosť, že v GDPR nenájdeme oporu vo výklade, že iba pozerať sa je v poriadku. Podľa nášho názoru by mal prevádzkovateľ buď zabezpečiť, že k osobným údajom dané osoby nemajú žiadny prístup alebo uzatvoriť s danými osobami zmluvu o spracúvaní osobných údajov.

Dodávatelia, ktorí deklarujú postavenie sprostredkovateľa

Nižšie uvádzame zoznam často používaných dodávateľov online služieb, ktorí deklarujú svoje postavenie sprostredkovateľa pri dodávaní určitých služieb a zároveň ponúkajú možnosť uzatvorenia zmluvy o spracúvaní osobných údajov.

Obchodné meno / služba

Adform - Na vyžiadanie dpo@adform.com

Adobe, Inc. - https://www.adobe.com/privacy/eu-dpa.html

Adroll, Inc. - https://www.adrollgroup.com/terms/data-processing

Amazon, Inc. - https://aws.amazon.com/blogs/security/aws-gdpr-data-processing-addendum/

AppNexus, Inc. - Na vyžiadanie https://www.appnexus.com/platform-privacy-policy/dpo-inquiry

Atlassian, Inc. - Dostupné pre zákazníkov na: https://www.atlassian.com/legal/data-processing-addendum

Cellense, s.r.o. - Na vyžiadanie.

CerebroAd - https://www.cerebroad.com/vseobecne-obchodni-podminky

Cloudflare, Inc. - Dostupné po prihlásení do účtu.

Digital Ocean - https://www.digitalocean.com/legal/data-processing-agreement/

Double click (patrí pod Google LLC) - https://cloud.google.com/terms/data-processing-terms

Dropbox, Inc. - https://assets.dropbox.com/documents/en/legal/data-processing-agreement-dfb-013118.pdf

ESET - Priamo v aplikácií.

etracker - https://www.etracker.com/av-vertrag/

Eventbrite, Inc. - https://www.eventbrite.com/support/articles/en_US/Troubleshooting/data-processing-addendum-for-organizers

Exponea s.r.o. - https://exponea.com/terms-of-service/data_processing_addendum.pdf

Facebook, Inc. (služby Facebook a Instagram) - https://help.instagram.com/196883487377501 a https://www.facebook.com/legal/terms/dataprocessing

Flurry, Inc. (súčasťou Oath / Yahoo) - https://developer.yahoo.com/flurry/legal-privacy/flurry-analytics-dpa.html

Fullstory, Inc. - Možno uzavrieť na https://na3.docusign.net/Member/PowerFormSigning.aspx?PowerFormId=80263e03-8609-4103-9a5e-324982f1d9ea

GiftHub - Je potrebné kontaktovať podporu na https://github.com/contact

Google LLC (služba Crashlytics) - https://fabric.io/dpst.pdf

Google LLC (služba Firebase) - https://firebase.google.com/terms/data-processing-terms/

Google, LLC. vo vzťahu k službám rodiny Ads (najmä Google Ads, AdMob, Google Analytics) - Dostupné po prihlásení do účtu.

Google, LLC. vo vzťahu k službe Google Cloud Platform - https://cloud.google.com/terms/data-processing-terms

Hetzner - https://www.hetzner.com/news/vertrag-zur-auftragsverarbeitung-gemaess-art-28-ds-gvo-steht-ab-sofort-online-zur-verfuegung-eintrag/?country=gb

Hotjar - https://www.hotjar.com/legal/support/dpa

Hubspot - https://legal.hubspot.com/dpa

Websupport - bod 13.7 - https://www.websupport.sk/obchodne-podmienky

Hubspot, Inc. - https://legal.hubspot.com/dpa

IBM - https://www.ibm.com/support/customer/zz/en/dpa.html

InVisionApp Inc. (služba invisionapp.com) DPA - https://na3.docusign.net/Signing/?insession=1&ti=c5d009f3344e4747b33894711686d717 a https://support.invisionapp.com/hc/en-us/articles/115003634123-Does-InVision-comply-with-the-General-Data-Protection-Regulation-for-EU-customers

LinkedIn Corporation - https://legal.linkedin.com/dpa

Lucky Orange, LLC (služba luckyorange.com) DPA súčasťou terms of service - https://www.luckyorange.com/terms.php

Mailchimp je možné podpísať - https://mailchimp.com/help/gdpr-faq/

Mailjet možno vyžiadať - https://www.mailjet.com/support/do-you-provide-a-data-processing-agreement-for-your-clients,641.htm

Mapbox, Inc. je možné získať cez e-mail - privacy@mapbox.com

micropayment - dostupné pre zákazníkov https://tollwerk.github.io/data-processing-agreements/

Microsoft Corporation (Services Terms) - http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=46

Mouseflow, Inc - https://www.mouseflow.com/gdpr/

Newsletter2go - https://www.newsletter2go.de/datenschutz-uebersicht/

Oath, Inc. - https://policies.oath.com/us/en/oath/terms/vendor/dataprocessingagr/index.html

OneSignal, na vyžiadanie https://onesignal.com/blog/product-policy-updates-for-gdpr/

Oracle, Inc. - http://www.oracle.com/us/corporate/contracts/data-processing-agreement-011218-4261005.pdf

Piano Software, Inc. - na vyžiadanie

Pinterest, Inc. - https://business.pinterest.com/sk/business-terms-of-service

Pipedrive Inc. (softvér pipedrive) - https://www.pipedrive.com/en/privacy https://www.pipedrive.com/en/terms-of-service

Play Buzz, Ltd. - http://www.playbuzz.com/OnlineTerms DPA zmluva, ktorá pokrýva publisherov - https://cdn.playbuzz.com/content/legal/PlaybuzzDataProectionAddendumMay2018.pdf

Postmark - https://postmarkapp.com/eu-privacy

Salesforce - https://www.salesforce.com/content/dam/web/en_us/www/documents/data-processing-addendum.pdf

Simplecast - https://simplecast.com/dpa

Slack - https://a.slack-edge.com/6a098/marketing/downloads/legal/slack-data-processing-addendum.pdf

Snapchat - https://www.snap.com/en-GB/terms/

SoundCloud (Nemecko) - https://developers.soundcloud.com/docs/api/terms-of-use#other https://soundcloud.com/terms-of-use

Stack Exhange, Inc. (služba Stack Overflow) - https://stackoverflow.com/legal/gdpr/data-processing-agreement-processor

Stripe Po prihlásení do užívateľského účtu dostupné - https://dashboard.stripe.com/login

Flegal Teads SA - https://misc.teads.tv/DPA/data-protection-addendum-EN.pdf

Twitter, Inc. - https://gdpr.twitter.com/en/dpa.html

Uberspace - https://uberspace.de/dpa

UX Cam Inc. DPA je možné podpísať po prihlásení - https://secure.na2.echosign.com/public/esignWidget?wid=CBFCIBAA3AAABLblqZhCV1AcgPKepncszpf2--l1kPZU-bOaY8593S26gk8-Rp0KM9Iy9B8PWukfkGMjLBNE*

Vimeo, Inc. - https://vimeo.com/privacy a https://developer.vimeo.com/guidelines/terms a https://vimeo.com/terms

WhatsApp, Inc. - https://www.whatsapp.com/legal/?lang=sk#privacy-policy-affiliated-companies

Websupport - https://www.websupport.sk/obchodne-podmienky (bod 13.7)

Widgix LLC dba SurveyGizmo (služba surveygizmo) DPA je možné podpísať po prihlásení do užívateľského účtu - https://help.surveygizmo.com/help/complete-a-dpa

Wistia, Inc. - https://wistia.com/support/account/gdpr

Wordpress je možné vyžiadať - https://automattic.com/automattic-and-the-general-data-protection-regulation-gdpr/#contact

Youtube, LLC - https://www.youtube.com/t/terms_dataprocessing?gl=GB&hl=en-GB

Zendesk, Inc. je možné vyžiadať cez privacy@zendesk.com