• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma
Späť na Blog

Povinnosti sprostredkovateľa údajov podľa GDPR

14. februára 2026

Späť na Blog

V dobe digitálnej transformácie a narastajúcej dôležitosti ochrany osobných údajov sa spracúvanie údajov v mene prevádzkovateľa stáva mimoriadne významnou témou. Prevádzkovatelia často zverujú spracúvanie osobných údajov iným subjektom – sprostredkovateľom – ktorí ich spracúvajú v ich mene. S týmto postavením sú však spojené špecifické právne povinnosti, ktoré musia sprostredkovatelia dôkladne poznať a dodržiavať. Cieľom tohto článku je podrobne vysvetliť, kto je sprostredkovateľ, aké sú jeho hlavné povinnosti podľa Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR), ako má byť vzťah medzi prevádzkovateľom a sprostredkovateľom upravený, a aké sú následky porušenia týchto povinností. Tento článok je určený najmä pre firmy, IT spoločnosti a poskytovateľov rôznych služieb, ktorí sa v rámci svojej činnosti stretávajú so spracúvaním osobných údajov ako sprostredkovatelia.

1. Kto je sprostredkovateľ údajov?

Sprostredkovateľom je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Nejde teda o osobu, ktorá rozhoduje o účeloch a prostriedkoch spracúvania, ale len vykonáva spracúvanie podľa pokynov prevádzkovateľa.

Sprostredkovateľ môže byť napríklad:

  • spoločnosť poskytujúca IT služby a hosting
  • účtovná firma spracúvajúca mzdové údaje
  • marketingová agentúra rozosielajúca newsletter
  • zabezpečovateľ kontaktného centra alebo call centra

Rozlíšenie medzi prevádzkovateľom a sprostredkovateľom je kľúčové, pretože od neho závisí právna zodpovednosť a povinnosti vyplývajúce z GDPR.

2. Základné povinnosti sprostredkovateľa podľa GDPR

GDPR ukladá sprostredkovateľom niekoľko jasne stanovených povinností. Tieto povinnosti musia dodržiavať počas celého spracúvania osobných údajov:

2.1 Spracúvanie výlučne na základe pokynov prevádzkovateľa

Sprostredkovateľ môže spracúvať osobné údaje len na základe dokumentovaných pokynov prevádzkovateľa, okrem situácií, keď to vyžaduje právo EÚ alebo členského štátu. Bez týchto pokynov nie je oprávnený konať samostatne.

2.2 Utajenie a mlčanlivosť

Všetky osoby, ktoré spracúvajú údaje pod vedením sprostredkovateľa, musia byť viazané mlčanlivosťou. Ide o ochranu pred neoprávneným zverejnením alebo sprístupnením údajov.

2.3 Bezpečnostné opatrenia

Sprostredkovateľ je povinný prijať primerané technické a organizačné opatrenia na zabezpečenie primeranej úrovne ochrany osobných údajov. Tieto opatrenia zahŕňajú napríklad:

  • šifrovanie údajov
  • kontrola prístupu
  • zálohovanie
  • fyzičnú bezpečnosť serverov

2.4 Zapojiť subdodávateľa len so súhlasom prevádzkovateľa

Ak sprostredkovateľ plánuje zapojiť ďalšieho sprostredkovateľa (subdodávateľa), musí mať predchádzajúci písomný súhlas prevádzkovateľa. Ďalší sprostredkovateľ má rovnaké povinnosti ako hlavný sprostredkovateľ.

2.5 Spolupráca s prevádzkovateľom

Sprostredkovateľ musí aktívne spolupracovať s prevádzkovateľom pri zabezpečovaní súladu s GDPR. Môže ísť napríklad o spoluprácu pri vybavovaní práv dotknutých osôb alebo pri oznamovaní porušenia ochrany údajov dozorovému orgánu.

3. Písomná zmluva medzi prevádzkovateľom a sprostredkovateľom

Zmluva alebo iný právny akt medzi prevádzkovateľom a sprostredkovateľom je nevyhnutný. Musí obsahovať všetky požadované náležitosti podľa článku 28 GDPR. Táto zmluva definuje účel, predmet, trvanie, druhy údajov a kategórie dotknutých osôb, ako aj povinnosti sprostredkovateľa.

Medzi základné súčasti takejto zmluvy patria:

  • predmet a trvanie spracúvania
  • typ a kategórie spracúvaných údajov
  • povinnosť mlčanlivosti
  • zabezpečenie bezpečnosti údajov
  • spolupráca pri vybavovaní práv dotknutých osôb
  • postup po ukončení zmluvy (vrátane vymazania alebo vrátenia údajov)

4. Práva a povinnosti dotknutých osôb

Ochrana práv dotknutých osôb je jadrom GDPR. Sprostredkovateľ sa musí ubezpečiť, že jeho spracúvanie nebude narušovať výkon týchto práv:

  • právo na prístup k údajom
  • právo na opravu
  • právo na výmaz („právo na zabudnutie“)
  • právo na obmedzenie spracúvania
  • právo na prenos údajov
  • právo namietať proti spracúvaniu

Hoci sprostredkovateľ nenesie priamu zodpovednosť za vybavovanie týchto práv, musí spolupracovať s prevádzkovateľom pri ich plnení.

5. Zodpovednosť a sankcie za porušenie povinností

Sprostredkovateľ môže niesť priamu zodpovednosť, ak poruší povinnosti priamo uložené GDPR. Napríklad, ak použije údaje na iný účel, ako bol zmluvne definovaný, alebo nezabezpečí údaje pred neoprávneným prístupom, môže byť sankcionovaný. Sankcie zo strany úradu na ochranu osobných údajov môžu dosiahnuť výšku až 10 miliónov eur, resp. 2 % z ročného obratu firmy.

Dôležité je aj to, že poškodené osoby môžu voči sprostredkovateľovi uplatniť nárok na náhradu škody. To ešte viac zdôrazňuje potrebu starostlivého plnenia povinností a minimalizácie rizík.

6. Audity a kontroly prevádzkovateľa

Prevádzkovateľ je oprávnený vykonávať audity alebo iné kontroly spolu s nezávislými audítormi. Sprostredkovateľ je povinný umožniť ich vykonanie a spolupracovať pri ich priebehu. Mnohé firmy si túto povinnosť riešia prostredníctvom doloženia certifikátov alebo dokumentácie o bezpečnostných opatreniach.

Záver

Postavenie sprostredkovateľa v rámci spracúvania osobných údajov je podrobne upravené legislatívou EÚ, predovšetkým GDPR. Sprostredkovateľ vystupuje ako „nástroj“ prevádzkovateľa, ktorému zveruje spracúvanie údajov, pričom je však viazaný povinnosťou konať výlučne podľa jeho pokynov. Táto zodpovednosť nie je len formálna – sprostredkovateľ musí aktívne zabezpečiť ochranu údajov, byť pripravený na spoluprácu, dbať na bezpečnostné opatrenia a chrániť práva dotknutých osôb.

Prakticky to znamená, že každá organizácia, ktorá vystupuje v postavení sprostredkovateľa, by mala:

  • mať jasne definované zmluvné vzťahy s každým prevádzkovateľom
  • zaviesť vnútorné kontrolné a bezpečnostné mechanizmy
  • školenie zamestnancov o GDPR a bezpečnostných postupoch
  • pravidelne revidovať a aktualizovať spracovateľské procesy

Správne a zákonné spracúvanie údajov ako sprostredkovateľ nie je len otázkou dodržiavania predpisov, ale aj konkurenčnou výhodou. Firmy, ktoré preukážu dôveryhodnosť a transparentnosť, získavajú dôveru klientov aj obchodných partnerov. Preto je dôležité túto oblasť vnímať ako strategickú a investovať do nej primerané zdroje, vzdelanie a pozornosť.

Kategórie:

Toto je nadpis

Analytik

Lorem ipsum dolor sit amet consectetur adipiscing elit. Quisque faucibus ex sapien vitae pellentesque sem placerat. In id cursus mi pretium tellus duis convallis. Tempus leo eu aenean sed diam urna tempor. Pulvinar vivamus fringilla lacus nec metus bibendum egestas. Iaculis massa nisl malesuada lacinia integer nunc posuere. 

/ Blog /

Súvisiace články

Digitálna identita, biometria a passkeys vo financiách

autor

14. februára 2026

Zero Trust ako nový štandard pre kybernetickú bezpečnosť

autor

14. februára 2026

GDPR a bezpečnostné zložky ochrana údajov v praxi

autor

14. februára 2026

GDPR a e-shopy Ako chrániť osobné údaje zákazníkov

autor

14. februára 2026

Ako odhaliť a zabrániť webovému phishingu online

autor

13. februára 2026

Kyberútoky a sociálne inžinierstvo v praxi a prevencia

autor

13. februára 2026

Odoberajte novinky od osobnyudaj.sk

Vaša e-mailová adresa je u nás v bezpečí, prečítajte si naše podmienky zpracovania osobných údajov.