Dňa 4. 5. 2016 bolo v úradnom Vestníku Európskej únie uverejnené Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. 4. 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „nariadenie“). Nariadenie je označované aj ako GDPR (General Data Protection Regulation).
Nariadenie nadobudlo platnosť dňa 24. 5. 2016 a účinnosť nadobudne dňa 25. 5. 2018. Spolu s nariadením nadobudne účinnosť aj zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 18/2018 Z. z.“), ktorý nahradí ešte stále účinný zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v z. n. p. (ďalej len „zákon č. 122/2013 Z. z.“).
Nová právna úprava týkajúca sa ochrany osobných údajov sa v zásade dotkne každého subjektu, ktorý osobné údaje spracúva, vrátane orgánov štátnej aj verejnej správy.
Tento článok poukazuje na zmeny, ktoré nová právna úprava so sebou prináša v postavení sprostredkovateľa a v právnej úprave vzťahu medzi prevádzkovateľom a sprostredkovateľom.
Sprostredkovateľ
Nariadenie v článku 4 ods. 8 [podobne § 5 písm. p) zákona č. 18/2018 Z. z.] za sprostredkovateľa považuje „fyzickú alebo právnickú osobu, orgán verejnej moci, agentúru alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa“.
Prevádzkovateľ môže časť spracúvania osobných údajov alebo i spracúvanie celého informačného systému (v ktorom sa spracúvajú osobné údaje za určitým účelom) prenechať sprostredkovateľovi. V prípade sprostredkovateľa ide o osobu, ktorá je odlišná od prevádzkovateľa a má svoju právnu subjektivitu.
Sprostredkovateľmi sú spravidla subjekty, ktoré externe vedú a spracúvajú personálnu a mzdovú agendu pre prevádzkovateľa alebo p