Otázka: Sme poskytovateľ internetového rozhrania elektronického obchodu. Inak povedané, prenajímame e-shopové riešenia pre firmy. Vystupujeme tak v pozícií sprostredkovateľa. Zároveň však aj my spolupracujeme s ďalšími dodávateľmi, ktorých služby využívame. Sú nimi napríklad naši externí IT špecialisti (zväčša ako živnostníci), poskytovatelia externých dátových úložísk a podobne. Z času na čas dôjde v nich k zmenám. S niektorým spolupracovať prestaneme, s novými naopak začneme. Je nutné o týchto zmenách informovať našich zákazníkov – prevádzkovateľov e-shopov?
Odpoveď: Podobnú situáciu ako vy, riešia aj iní sprostredkovatelia poskytujúci služby, súčasťou ktorých je aj systematická manipulácia s osobnými údajmi. Napríklad taký externý spracovateľ miezd a účtovníctva, ktorý nezamestnáva vlastných zamestnancov, ale spolupracuje so živnostníkmi.
Odpoveď na vašu otázku nachádzame v čl. 28 ods. 2 všeobecného nariadenia o ochrane údajov, podľa ktorého: “Sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. V prípade všeobecného písomného povolenia sprostredkovateľ informuje prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov, čím sa prevádzkovateľovi dá možnosť namietať voči takýmto zmenám.”
Dôležitá je preto zmluva, ktorú máte s vašimi zákazníkmi (v terminológii GDPR – s prevádzkovateľmi). Pri poskytovateľoch služby, ktorú vykonávate, v nej obvykle nachádzame “všeobecné povolenie” pre zapojenie ďalšieho prevádzkovateľa. Napríklad ako text: