Sprostredkovateľské zmluvy: kto je skutočne sprostredkovateľom a s kým musíte uzavrieť zmluvu? Často dobrý rébus…
Sprostredkovateľská zmluva medzi vami – t.j. prevádzkovateľom webstránky alebo majiteľom e-shopu a konkrétnym sprostredkovateľom – musí byť v písomnej podobe resp. v preukázateľnej elektronickej podobe. Bolo tomu tak pred GDPR a je tomu tak aj od 25. mája 2018. Je to zároveň povinná súčasť vašej GDPR dokumentácie.
Kto je vaším sprostredkovateľom a spracováva za vás ako podnikateľa/prevádzkovateľa osobné údaje?
Sprostredkovateľom je napr. Google; softvér pre e-mail marketing ako napr. SmartEmailing, MailChimp; externí spolupracovníci ako programátori, účtovníci, dizajnéri webu, marketingoví špecialisti a pod.; poskytovateľ platobnej brány napr. TrustPay/GoPay; platforma, na ktorej je postavený a beží e-shop; softvér/plugin umožňujúci pridávanie komentárov na webstránke; kuriérske spoločnosti; Facebook (ktorý je zároveň aj prevádzkovateľom – viac nižšie) a pod.
Sprostredkovateľ neurčuje účely spracovania osobných údajov, tie vždy určuje prevádzkovateľ. Prevádzkovateľ zároveň určuje aj podmienky spracovania osobných údajov – dobu spracovania, právne základy a pod. Sprostredkovateľ nesmie bez súhlasu prevádzkovateľa odoslať údaje na spracovanie iným sprostredkovateľom. Zároveň je povinný vždy a hneď informovať prevádzkovateľa o tom, že jeho pokyn nie je v súlade s pravidlami ochrany osobných údajov podľa GDPR a zákona = ide o vzťah obdobný vzťahu sluha – pán.
Pri veľkých hráčoch na trhu, ktorí sú vašimi sprostredkovateľmi, dostanete návrh sprostredkovateľskej zmluvy priamo od sprostredkovateľa – v praxi sa tak často deje v prípade takých hráčov, akými sú MailChimp, SmartEmailing, či Google Analytics. Návrh sprostredkovateľskej zmluvy na stránkach uvedených poskytovateľov služieb nájdete najčastejšie pod názvami ako Data Processing Agreement alebo Data Processing Addendum.
Pri menších sprostredkovateľoch akými sú vaši spolupracovníci, si túto zmluvu podľa zákona môžete vypracovať aj sami. Zároveň je potrebné mať na pamäti, aby ste si vyberali sprostredkovateľov primárne so softvérmi v EÚ.
Prečo je lepšie mať sprostredkovateľov so servermi v EÚ?
Ak osobné údaje vašich klientov opúšťajú EÚ, musia byť aj naďalej chránené rovnako, akoby v EÚ ostali – v opačnom prípade by ste vami zvolený softvér nemohli ďalej používať. Síce fakticky môcť mohli, no s rizikom pre bezpečnosť osobných údajov klientov a rovnako s rizikom pokuty.
Proces zistenia, či váš sprostredkovateľ so servermi umiestnenými mimo EÚ je pre vás OK, môže byť pomerne zložitý. V prípade sprostredkovateľov na strane ktorých to nedokážete overiť či zistiť napr. z ich webstránky alebo príslušného zahraničného úradu (príp. cez revíziu uzavretých medzinárodných zmlúv v tejto oblasti), je potrebné požiadať o vyjadrenie Úrad na ochranu osobných údajov. V praxi môže vydanie stanoviska úradu určitú dobu trvať.
V zmysle informácií, ktoré na svojej webstránke zverejnil úrad, vás v prípade sprostredkovateľa so servermi v USA môže „zachrániť“, ak je tento sprostredkovateľ certifikovaný v zmysle Medzinárodnej zmluvy EU-US Privacy Shield. Viac informácií získate na stránke úradu a overiť platnosť certifikátu EU-US Privacy Shield (aktívny – neaktívny) môžete napr. pri poskytovateľovi softvéru MailChimp zas na tejto stránke.
Čo má sprostredkovateľská zmluva obsahovať?
V prvom rade v nej má byť ustanovené, na čom je založený vzťah medzi prevádzkovateľom a sprostredkovateľom – napr. na vašej doterajšej zmluve o spolupráci. Ďalej je v nej potrebné zakotviť:
- predmet a dobu spracúvania osobných údajov poskytnutých od prevádzkovateľa; povahu a účel ich spracúvania;
- zoznam alebo rozsah spracúvaných osobných údajov; kategórie dotknutých osôb – zákazníci, čitatelia atď.
- povinnosti a práva prevádzkovateľa;
- povinnosť sprostredkovateľa spracúvať osobné údaje len na základe písomných pokynov prevádzkovateľa; povinnosť zachovávať mlčanlivosť a zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú mlčanlivosť o informáciách;
- povinnosť dodržiavať opatrenia bezpečnosti spracúvania osobných údajov podľa najnovších poznatkov – kam patrí napr. šifrovanie, procesy obnovy prístupov cez dvojité autentifikácie a pod.;
- skutočnosť, že sprostredkovateľ môže zapojiť do procesu aj ďalších sprostredkovateľov (napr. marketingový špecialista si objednáva ďalšieho špecialistu – SEO odborníka), a to buď po vašom predchádzajúcom písomnom súhlase alebo na základe všeobecného písomného poverenia, no stále vás musí o tom vopred informovať. Zároveň v zmluve s týmto ďalším sprostredkovateľom si prvý sprostredkovateľ musí dohodnúť rovnaké povinnosti v oblasti ochrany osobných údajov, aké má on sám voči vám. Napr. ak dôjde k úniku dát na strane SEO odborníka, ktorého vybral váš marketér, zodpovednosť voči vám nesie váš marketér;
- povinnosť v čo najväčšej miere poskytnúť súčinnosť prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinností;
- povinnosť vymazať osobné údaje alebo vrátiť prevádzkovateľovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa a vymazať existujúce kópie;
- povinnosť poskytnúť prevádzkovateľovi informácie potrebné na preukázanie splnenia zákonných povinností.
Sprostredkovateľ aj prevádzkovateľ zároveň?
Pozor: mnohí sprostredkovatelia sú zároveň aj prevádzkovateľmi, presnejšie spoločnými prevádzkovateľmi spolu s vami. Typickým príkladom je Facebook.
Facebook má servery v Írsku, t.j. v EÚ – čo je, ako sme si už povedali, sčasti „safe“. No vami poskytnuté údaje nespracováva len na vami stanovené účely, ale aj na účely, ktoré si určí sám – s údajmi robí rozličné „zázraky“ a z uvedeného dôvodu musel prekonať v nedávnej dobe mnohé kauzy spojené s únikom dát. Keďže si účely spracovania stanovuje aj sám, je rovnako ako aj vy pri určitých činnostiach v oblasti ochrany osobných údajov v pozícii prevádzkovateľa.
A preto by ste s FB nemali uzavrieť len tu analyzovanú Sprostredkovateľskú zmluvu, ale aj Zmluvu o spoločných prevádzkovateľoch. Navzájom si tak ošetríte vzájomnú zodpovednosť = kto, za čo a do akej miery zodpovedá v prípade porušenia ochrany osobných údajov.
Všetky diely seriálu:
- GDPR 2018: strašiak alebo pomocník?
- GDPR a spracovanie osobných údajov: stačí súhlas?
- GDPR: o čom všetkom informovať zákazníka?
- GDPR: právo na zabudnutie a ďalšie práva I.
- GDPR: právo na zabudnutie a ďalšie práva II.
- GDPR a analýza správania zákazníkov
- GDPR: administratíva prevádzkovateľa
- GDPR: sprostredkovateľská zmluva (práve čítate)
- GDPR: kontrola, úrad, pokuty
- GDPR: 10 + 1 najčastejších otázok a odpovedí I.
- GDPR: 10 + 1 najčastejších otázok a odpovedí II.
Pridať komentár