Smlouva o zpracování osobních údajů

Když v roce 2018 začalo platit Obecné nařízení o ochraně osobních údajů (tzv. GDPR), přibyly mnoha firmám povinnosti týkající se zpracování dat. Pokud pro ně zpracování provádí jiná osoba, musí s ní uzavřít dohodu. Smlouva o zpracování osobních údajů musí svou podobou odpovídat požadavkům GDPR.

K čemu slouží smlouva o zpracování osobních údajů

Protože problematika GDPR je celkem složitá, pojďme si na začátek vysvětlit pár pojmů.

GDPR slouží k ochraně práv občanů členských států EU. Stanoví proto povinnosti každému, kdo nějakým způsobem nakládá s osobními údaji. Ať už klientů, obchodních partnerů, dodavatelů či zaměstnanců. To se označuje jako zpracování osobních údajů.

Osobní údaje pak představují jakákoliv data, která mohou přímo či nepřímo identifikovat fyzické osoby, tzv. subjekty údajů. Jedná se např. o jméno, rodné číslo, adresu či fotografii.

Samotnou smlouvou o zpracování osobních údajů pověřuje správce osobních údajů určitou osobu, aby pro něj tyto osobní údaje zpracovávala. Jde přitom o osobní údaje poskytnuté správci při výkonu jeho činnosti samotnými subjekty údajů (např. zákazníky při objednávkách z jeho e-shopu).

Kdy se využívá smlouva o zpracování osobních údajů

Smlouvu o zpracování osobních údajů by měl správce uzavřít vždy, kdy přenechává zpracování těchto údajů jiné osobě.

V praxi se s ní tudíž nejčastěji setkáte při zpracovávání osobních údajů:

v oblasti IT služeb (např. při externí správě informačních systémů, datových sítí, či cloudových úložišť obsahujících osobní údaje zaměstnanců či zákazníků),
v oblasti pracovních vztahů (např. při zpracovávání údajů zaměstnanců externí mzdovou či účetní firmou),
v oblasti bezpečnosti (např. provoz a sledování podnikových kamerových systémů externí bezpečnostní agenturou),
v oblasti marketingu a e-commerce (např. zpracování údajů zákazníků e-shopu při správě jeho věrnostních programů externí agenturou).

Správce osobních údajů

Osoba, která shromažďuje, zpracovává a uchovává osobní údaje, se nazývá správce osobních údajů.

Její povinností je dodržovat požadavky GDPR a nese za to plnou odpovědnost. Musí tudíž zavést technická a organizační opatření, která zajistí, že osobní údaje nebudou nijak zneužity.

Správcem osobních údajů může být jakákoli právnická i fyzická osoba. Nejde tedy jen o velké společnosti, ale např. i o provozovatele e-shopů či některé řemeslníky.

Správce, který z různých důvodů nemůže či nechce zajišťovat plnění všech povinností sám, může pověřit zpracováním údajů tzv. zpracovatele osobních údajů.

Zpracovatel osobních údajů

Zpracovatelem osobních údajů se opět může stát jakákoli fyzická či právnická osoba. Zpravidla však půjde o specializované společnosti schopné garantovat splnění požadavků GDPR a ochranu práv subjektu údajů.

Jakým způsobem a v jakém rozsahu bude tyto údaje zpracovávat, řeší právě smlouva o zpracování osobních údajů.

Zpracovatel osobních údajů pak provádí zpracování dat pouze na základě zpracovatelské smlouvy a je při něm vázán pokyny správce. Zpracovatel přitom musí upozornit správce na případnou nezákonnost jeho pokynu.

Jelikož za možná selhání zpracovatele odpovídá především sám správce, doporučujeme výběr konkrétního zpracovatele pečlivě zvážit.

Právní úprava zpracovatelské smlouvy

Smlouva o zpracování osobních údajů byla zakotvena již v zákoně o ochraně osobních údajů. Správci a zpracovatelé jí však nevěnovali vyšší pozornost, protože v případě jejího nedodržení nebyli sankcionováni.

GDPR však podrobně stanovil náležitosti zpracovatelské smlouvy. Navíc za porušení povinností, které z ní vyplývají, se udělují sankce ve formě správních pokut, jež se mohou vyšplhat až do výše 10 milionů eur či 2 % celkového ročního obratu.

Úpravu zpracovatelské smlouvy naleznete v čl. 28 GDPR. Podle něj musí správce najít takového zpracovatele, který bude schopen zpracovávat osobní údaje podle požadavků GDPR. Správce má povinnost uzavřít zpracovatelskou smlouvu se všemi náležitostmi, které požaduje nařízení. Nese tedy odpovědnost i za její obsah.

Zpracovatelská smlouva musí být uzavřena písemně (může však existovat pouze v elektronické podobě). Lze ji uzavřít jako samostatnou smlouvu, nebo může tvořit součást jiné smlouvy uzavřené mezi správcem a zpracovatelem.

Náležitosti zpracovatelské smlouvy

Smlouva musí vždy obsahovat:

předmět zpracování,
dobu trvání zpracování osobních údajů,
povahu a účel zpracování,
typ osobních údajů, které se mají zpracovávat, včetně kategorií subjektů,
práva a povinnosti správce.

Zpracovatelská smlouva dále obsahuje povinnosti zpracovatele, které stanoví GDPR.

Jedná se například o:

zpracování osobních údajů pouze podle doložených pokynů správce,
zabezpečení osobních údajů pomocí vyjmenovaných opatření (povinná pseudonymizace a šifrování; zajištění důvěrnosti, integrity, dostupnosti a odolnosti systémů; obnovení dostupnosti údajů a přístupu k nim, pravidelné testování opatření pro ochranu údajů),
zajištění povinnosti mlčenlivosti u osob, které údaje zpracovávají,
zohledňování povahy zpracování,
napomáhání správci při zpracování prostřednictvím organizačních a technických opatření,
vymazání osobních údajů, popř. jejich navrácení správci, po ukončení smlouvy,
poskytnutí podkladů správci, které prokazují, že zpracovatel splnil své zákonné povinnosti,
umožnění auditů a inspekcí prováděných správcem.

Jelikož zpracovatelská smlouva bývá zpravidla smlouvou úplatnou, měla by zahrnovat též ujednání o odměně zpracovatele. Půjde buď o pevnou částku, nebo například o odměnu podle objemu zpracovaných údajů.

Zpracovatel bez předchozího písemného povolení správce nemůže do zapracování zapojit dalšího zpracovatele. Ustanovení o tom, zda je možné zapojit i další zpracovatele, můžete zanést přímo do smlouvy. Pokud půjde jen o obecné zmocnění zpracovatele delegovat práci na jinou osobu, musí vždy správce informovat o tom, jaké další zpracovatele zvažuje zpracovatel zapojit.

Za obsah smlouvy odpovídá především správce osobních údajů. Za účelem zvýšení jeho právního postavení může do smlouvy zakotvit smluvní pokuty za porušení povinností zpracovatele.

Další informace týkající se GDPR a ochrany osobních údajů získáte na stránkách Úřadu pro ochranu osobních údajů.

Smlouva o zpracování osobních údajů

Získejte nezávaznou cenovou nabídku pro sepsání smlouvy o zpracování osobních údajů od advokáta.

NEZÁVAZNÉ NACENĚNÍ

Poslední aktualizace: 23. července 2024

5/5 - hodnocení čtenářů

Za odložené věci neručíme: Odpovědnost podnikatelů

Rozdělení majetku partnerů: Přítel, přítelkyně, druh, družka

Započtení daru na povinný díl: Podmínky, postup a vyloučení

Kontrola z finančního úřadu: Průběh, sankce a tipy

Kontrola z inspekce práce: Jak probíhá a jak se připravit

NEJNOVĚJŠÍ Z BLOGU

Festival Krátkodobého ubytování

Co je eTurista? Nová pravidla nejen pro Airbnb a Booking

Prodej členské sekce online – právní minimum pro podnikatele

NEJČTENĚJŠÍ NÁVODY

Na co si dát pozor při exekuci dlužníka v insolvenci

Stížnost na nevhodné chování úředníka – jak na to?

Občanský průkaz není jediný průkaz totožnosti

PRÁVNÍ TÉMATA

Smlouva o zpracování osobních údajů