Chybějící zpracovatelské smlouvy. Dlouhodobý prohřešek firem má napravit GDPR

Máte písemně uzavřenou smlouvu o zpracovávání osobních údajů jinými subjekty? Tuto povinnost máte už od roku 2000 a je na čase ji naplnit.

Firmy, které v roli správce delegují zpracování osobních údajů na zpracovatele, musejí o tomto uzavírat takzvanou zpracovatelskou smlouvu. Naprostá většina podniků ale tímto dokumentem nedisponuje. Shodují se na tom právníci a další odborníci, kteří se specializují na ochranu osobních údajů a na brzy účinné evropské nařízení o ochraně osobních údajů známé pod zkratkou GDPR. Zpracovatelská smlouva přitom bude v případě kontroly jedním z prvních dokumentů, který budou chtít zástupci Úřadu pro ochranu osobních údajů vidět.

Povinnost ji mít není nová a nevyplývá jen z GDPR. Požaduje ji i český zákon 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. V jeho § 6 stojí, že pokud zmocnění nevyplývá z právního předpisu, musí správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Tato smlouva pak musí mít písemnou formu a musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá. Dále musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. Pokud tuto smlouvu správce osobních údajů nemá, dopouští se už dnes přestupku a stejně na to pohlíží i Obecné nařízení o ochraně osobních údajů. Doporučuji dát to do pořádku. V případě, že používáte například rozšířené služby Google Analytics nebo MailChimp, je možné si dokument snadno stáhnout z jejich webu. Pokud ho už máte, nezapomeňte k němu přiložit také dodatek týkající se GDPR, komentuje advokátka z advokátní kanceláře eLegal Petra Dolejšová.

Pokračujte na: Jak dopadne nová regulace GDPR na české e-shopy a weby?

Náležitosti zpracovatelské smlouvy

Požadavky na zpracovatelskou smlouvu jsou přesně formulovány i v Obecném nařízení o ochraně osobních údajů, konkrétně v jeho článku 28. Podle něj se zpracování zpracovatelem řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce.

Tyto informace jsou jakousi ochranou a zaručují, že zpracovatel:

• zpracovává osobní údaje pouze na základě doložených pokynů správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Unie nebo členského státu, které se na správce vztahuje; v takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;
• zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
• přijme všechna opatření požadovaná podle článku 32;
• dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2 a 4;
• zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v GDPR kapitole III;
• je správci nápomocen při zajišťování souladu s povinnostmi podle článků 32 až 36, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici;
• v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;
• poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.

Zpracovatelská smlouva nebo jiný právní akt musí být podle nařízení GDPR vyhotoveny písemně, nikoli však nutně na papíře. Počítá se i elektronická forma dokumentu. Dále není nutné, aby se jednalo o samostatnou smlouvu. Požadované náležitosti je možné zakomponovat i do jiné smlouvy, kterou správce se zpracovatelem v rámci obchodního či jiného vztahu uzavírá.

Zní to možná jako formalita, ale taková smlouva je důležitou ochranou před problémy, které v souvislosti s ochranou osobních údajů hrozí každému správci. Správce má totiž zákonnou povinnost využít ke zpracování těchto dat pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky nařízení GDPR a byla zajištěna ochrana práv subjektu údajů. Na můj dotaz, co mají dělat například freelanceři a lidé, kteří používají zdarma dostupné cloudy a software, které nepatří mezi nejbezpečnější, reagoval Úřad pro ochranu osobních údajů tak, že pokud člověk nemá na to, aby si pořídil bezpečné nástroje, neměl by v podstatě podnikat, upozorňuje advokátka Petra Dolejšová. 

Toto vyjádření a zejména zákony ale není třeba brát až tak vážně. Podle současné legislativy by totiž prakticky nebylo vhodné používat ani Google. Vzhledem k online marketingovým nástrojům a všem dalším „velkým bratrům“, kteří jsou schopni použít do vyhledávače jednou vložená data na různých frontách, se totiž nejedná o bezpečné zpracování. Přesto je vyhledávač používaný a nikdo za to není postihován. Aby se tak stalo, muselo by dojít k opravdu závažnému problému. Pak by úřady mohly přistoupit k udělení pokuty, protože podnikatel odpovídá za to, že používá právě bezpečné nástroje.

Psali jsme: Nejlepším řešením GDPR pro malé firmy bude přechod na cloud