Aj údaje štatutárnych predstaviteľov firiem, zverejné v Obchodnom registri, sa považujú za osobné údaje. Aj keď sú zverejnené. Ich zverejnenie má jeden logický následok - že tieto dotknuté osoby nemajú právo požadovať, aby tieto údaje boli dôverné. Podobne je to so živnostníkmi; sú v Živnostenskom registri zverejnené ako fyzické osoby - podnikatelia, ale zostávajú fyzickými osobami.
Pokiaľ máte zmluvný prístup k nejakej databáze s osobnými údajmi, jej "pôvodca" (kto ju vytvoril a komu patrí) je jej prevádzkovateľom a Vy ste sprostredkovateľ. Prevádzkovateľ Vám má zmluvne určiť, aké máte k týmto dátam práva a povinnosti.

Ľubomír, ďakujem. jedná sa o SW, ktorý my iba poskytujeme na používanie, my ho nenapĺňame, iba ak by mala spoločnonosť problém, môžeme nás požiadať a vzdialeným prístupom sa vieme prihlásiť a poracovať na odstránení problému. Databázu vidíme, ale s ňou ďalej nenarábame. Keď som prečítala definovanie podľa čl.4, kde sa uvádza „sprostredkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa; tak sa mi nezdá, že termín "sprostredkovateľša" je pre nás ten správny.
Je to pre mňa celé zmätočné. Môj názor je, že by sme mali mať iba povinnosť zachovávania mlčanlivosti a nenarábania nijako s údajmi.
Samozrejme samotný SW by mal mať znaky možnosti zaheslenia a pod.

Takže ste sprostredkovateľ, spracúvate (aspoň potenciálne) klientove dáta.
Musíte mať zmluvu, aj ak máte k dátam iba pasívny prístup.
Máš pravdu, že podstatná je mlčanlivosť, ale v tomto prípade má GDPR formálne požiadavky, preto treba písomnú zmluvu s náležitosťami.
PS - je povinnosťou klienta, ktorý je prevádzkovateľom, aby vás zazmluvnil; vy mu môžete dať návrh zmluvy iniciatívne.

Ľubomír, ďakujem, že reaguješ.
Našla som tento článok. Výklad rôzny.Tak už sa v tom ozaj nevyznám.
K tomu spracúvaniu? Nič nespracúvame, pretože druhá strana vidí, čo sa deje, teda s dátami nemáme nič dočinenia, je pravda, že ich pasívne môžeme vidieť. Takýchto firiem je ale veľa. Napríklad program Kros, Olymp,... je niečo podobné.
Zdroj: https://dagital.sk/sprostredkovatelska-zmluva.
Taxatívne vymedzenie pojmov som nikde nenašla. Takže výklad rôzny. .

Aj pasívny prístup sa považuje za spracúvanie. Dodávateľ SW ale nemusí mať prístup k spracúvaným dátam, používatelia si môžu sťahovať upgrady a sami si ich inštalovať (takto to asi ale nerobíte?). Pokiaľ máte s klientom dohodnuté, že upgrade mu inštalujete vy, tak ste sprostredkovatelia a je povinný vám dať podpísať zmluvu s tými vštetkými formalitami. A pokiaľ máte s klientom dohodnuté, že mu robíte opravy dát (s prístupom napríklad cez teamviewer), tak už dokonca ide o aktívny prístup, môžete mu dáta "poškodiť".
PS - ten výklad väčšinou nie je problematický, ale treba si osvojiť jazyk tohto kmeňa :)

Ľubomír, ďakujem, v článku sa píše (advokátska kancelária, zaoberajúca sa ochranou osobných údajov):
"Ak nedochádza zo strany subjektu vykonávajúceho technickú podporu k ďalšiemu spracúvaniu osobných údajov (t. j. osobné údaje napr. len „vidí“, ale ďalej ich nespracúva) postačuje, aby bola v zmluve medzi prevádzkovateľom a poskytovateľom technickej podpory ustanovená povinnosť zachovávať mlčanlivosť a prijať primerané bezpečnostné opatrenia (organizačné a technické). Uvedené platí aj vo vzťahu k vykonávaniu technickej podpory prostredníctvom vzdialeného prístupu.“
Preto som sa domnievala, že nie je jednotný názor a výklad.
Tiež sa mi nezdá veta "Prevádzkovateľ týmto povereruje Sprostredkovateľa na spracúvanie osobných údajov", keď my žiadne osobné údaje nespracúvame. Je tá veta v poriadku? Mne to hlava akosi neberie.
Vidím, že sa v tom vyznáš. Je tá veta v poriadku, keď nespracúvame osobné údaje?
Chápem že musíme dbať o bezpečnosť, zachovaávať mlčanlivosť,... ale to všetko obsahuje už hlavná zmluva..

Právna úprava je jednoznačná, aj pasívny prístup je spracúvaním osobných údajov. Pokiaľ prevádzkovateľ umožnil podpore prístup, lebo ju poveril spravovaním dát a nemá nezávislé logy o prístupe podpory, tak ani netuší, či podpora reálne k dátam pristupuje alebo nie.

Dokrútka: Tu nejde o výklad právneho predpisu, ale o presné zistenie vecného stavu a aplikovanie predpisu na tento vecný stav.
Dokrútka 2: GDPR identifikuje "sprostredkovateľa" ako osobu, ktorá spracúva osobné údaje v mene sprostredkovateľa, z definície sa nevyžaduje poverenie na konkrétne operácie (to je iba v pozícii zmluvnej náležitosti a neplní úlohu definície) - dosť často nepochopený, ale podstatný rozdiel.