Správce, zpracovatel a subjekt údajů

11.05.2017

GDPR rozlišuje tři subjekty, kteří se podílí na zpracování osobních údajů. Jaká je jejich definice a jaké mají povinnosti?

SPRÁVCE - ZPRACOVATEL - SUBJEKT ÚDAJŮ

SPRÁVCE je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. 

  • je odpovědný za jakékoliv zpracování osobních údajů prováděné správcem nebo pro něj
  • je zejména povinen zavést vhodná a účinná opatření a být schopen doložit, že činnosti zpracování jsou v souladu s nařízením GDPR
  • opatření by měla zohledňovat povahu, rozsah, kontext a účely zpracování a riziko pro práva a svobody fyzických osob 

ZPRACOVATEL je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. 

  • například dodavatel IT řešení, marketingová agentura
  • zpracování zpracovatelem se řídí smlouvou o zpracování údajů mezi správcem a zpracovatelem
  • poskytuje dostatečné záruky zavedení vhodných technických a organizačních opatření splňující požadavky GDPR (etický kodex?)
  • má sdílenou odpovědnost se správcem
  • zpracovává osobní údaje pouze na základě doložených pokynů správce 
  • zpracovatelé se mohou řetězit pouze s vědomím správce a platnou smlouvou
  • jedna osoba může být zároveň správcem i zpracovatelem

SUBJEKT ÚDAJŮ je identifikovaná nebo identifikovatelná fyzická osoba, které se údaje týkají

  • Typicky se jedná o klienta