Když v roce 2018 začalo platit Obecné nařízení o ochraně osobních údajů (tzv. GDPR), přibyly mnoha firmám povinnosti týkající se zpracování dat. Pokud je pro ně zpracovávání provádí jiná osoba, musí s ní mít uzavřenou dohodu. Smlouva o zpracování osobních údajů musí svou podobou odpovídat požadavkům GDPR.
K čemu slouží smlouva o zpracování osobních údajů?
Protože problematika GDPR je celkem složitá, pojďme si na začátek vysvětlit pár pojmů. GDPR má sloužit k tomu, aby byla chráněna práva občanů členských států EU. Stanoví proto povinnosti všem, kdo nějakým způsobem nakládají s osobními údaji ať už svých klientů, partnerů, dodavatelů či zaměstnanců. Osobní údaje pak jsou jakákoliv data, která mohou přímo či nepřímo identifikovat fyzické osoby, tzv. subjekty údajů. Jedná se např. o jméno, rodné číslo, adresu či fotografii.
Osoba, která shromažďuje, zpracovává a uchovává osobní údaje, je správcem osobních údajů. Její povinností je dodržovat požadavky GDPR. Má povinnost zavést technická a organizační opatření, která zajistí, že osobní údaje nebudou moci být nijak zneužívány.
Správce může pověřit zpracovatele osobních údajů, aby pro něj zpracovával data. Jakým způsobem tak bude činit, řeší právě smlouva o zpracování osobních údajů. Zpracovatel osobních údajů pak provádí zpracování dat pouze na základě zpracovatelské smlouvy.
Právní úprava zpracovatelské smlouvy
Smlouva o zpracování osobních údajů byla upravena už v zákoně o ochraně osobních údajů. Správci a zpracovatelé jí však nevěnovali vyšší pozornost, protože právní úprava byla vágní a její nedodržení nebylo jinak trestáno. GDPR však stanovil podrobně náležitosti zpracovatelské smlouvy. Navíc porušení povinností, které stanoví, je sankcionováno správními pokutami, které se mohou vyšplhat až do výše 10 milionů eur či 2% celkového ročního obratu.
Úpravu zpracovatelské smlouvy najdeme v čl. 28 GDPR. Podle něj má správce povinnost najít si takového zpracovatele, který bude schopen zpracovávat osobní údaje podle požadavků GDPR. Je povinností správce uzavřít zpracovatelskou smlouvu se všemi náležitostmi, které požaduje nařízení. Je tedy i odpovědný za její obsah.
Zpracovatelská smlouva musí být uzavřena písemně (může existovat v elektronické podobě).
Náležitosti zpracovatelské smlouvy
Ve smlouvě musí být vždy stanoveno:
- Jaký je předmět a doba trvání zpracování,
- Povaha a účel zpracování,
- jaký typ osobních údajů se jedná a jaké jsou zde kategorie subjektů,
- Práva a povinnosti správce.
Následně musí smlouva o zpracování osobních údajů obsahovat povinnost zpracovatele, které GDPR stanoví. Jsou to např. povinnost:
- zpracovávat osobní údaje pouze podle doložených pokynů správce,
- zabezpečit osobní údaje pomocí vyjmenovaných opatření (povinnost pseudonymizace a šifrování, zajistit důvěrnost, integritu, dostupnost a odolnost systémů, obnovit dostupnost údajů a přístup k nim, pravidelně testovat opatření pro ochranu údajů,¨
- zajistit povinnost mlčenlivosti u osob, které údaje zpracovávají,
- zohledňovat povahu zpracování, napomáhat správci při zpracování poskytnutím organizačních a technických opatření,
- po skončení smlouvy vymazat osobní údaje či je vrátit správci,
- poskytnout správci podklady, ze kterých bude možné zjistit, že splnil své zákonné povinnosti, umožnit audity a inspekce prováděné správcem.
Zpracovatel bez předchozího písemného povolení správce nemůže do zapracování zapojit dalšího zpracovatele. Ustanovení o tom, zda je možné zapojit i další zpracovatele tak může být přímo součástí smlouvy. Pokud půjde jen o obecné zmocnění zpracovatele delegovat práci, musí být vždy správce informován o tom, jaké další zpracovatele zvažuje zpracovatel zapojit.
Jak jsme již uvedli, odpovídá za obsah smlouvy především správce osobních údajů. Pokud tedy chce lépe zajistit, že zpracovatel bude dodržovat své povinnosti, může do smlouvy zakotvit za jejich porušení smluvní pokuty.
Vzor smlouvy o zpracování osobních údajů naleznete zde.
Pro podrobné informace týkající se GDPR získáte na stránkách Úřadu pro ochranu osobních údajů.