Chybějící zpracovatelské smlouvy. Dlouhodobý prohřešek firem má napravit GDPR

Máte písemně uzavřenou smlouvu o zpracovávání osobních údajů jinými subjekty? Tuto povinnost máte už od roku 2000 a je na čase ji naplnit.

Firmy, které v roli správce delegují zpracování osobních údajů na zpracovatele, musejí o tomto uzavírat takzvanou zpracovatelskou smlouvu. Naprostá většina podniků ale tímto dokumentem nedisponuje. Shodují se na tom právníci a další odborníci, kteří se specializují na ochranu osobních údajů a na brzy účinné evropské nařízení o ochraně osobních údajů známé pod zkratkou GDPR. Zpracovatelská smlouva přitom bude v případě kontroly jedním z prvních dokumentů, který budou chtít zástupci Úřadu pro ochranu osobních údajů vidět.

Povinnost ji mít není nová a nevyplývá jen z GDPR. Požaduje ji i český zákon 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. V jeho § 6 stojí, že pokud zmocnění nevyplývá z právního předpisu, musí správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Tato smlouva pak musí mít písemnou formu a musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá. Dále musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. Pokud tuto smlouvu správce osobních údajů nemá, dopouští se už dnes přestupku a stejně na to pohlíží i Obecné nařízení o ochraně osobních údajů. Doporučuji dát to do pořádku. V případě, že používáte například rozšířené služby Google Analytics nebo MailChimp, je možné si dokument snadno stáhnout z jejich webu. Pokud ho už máte, nezapomeňte k němu přiložit také dodatek týkající se GDPR, komentuje advokátka z advokátní kanceláře eLegal Petra Dolejšová.

Pokračujte na: Jak dopadne nová regulace GDPR na české e-shopy a weby?

Náležitosti zpracovatelské smlouvy

Požadavky na zpracovatelskou smlouvu jsou přesně formulovány i v Obecném nařízení o ochraně osobních údajů, konkrétně v jeho článku 28. Podle něj se zpracování zpracovatelem řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce.

Tyto informace jsou jakousi ochranou a zaručují, že zpracovatel:

• zpracovává osobní údaje pouze na základě doložených pokynů správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Unie nebo členského státu, které se na správce vztahuje; v takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;
• zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
• přijme všechna opatření požadovaná podle článku 32;
• dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2 a 4;
• zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v GDPR kapitole III;
• je správci nápomocen při zajišťování souladu s povinnostmi podle článků 32 až 36, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici;
• v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;
• poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.

Zpracovatelská smlouva nebo jiný právní akt musí být podle nařízení GDPR vyhotoveny písemně, nikoli však nutně na papíře. Počítá se i elektronická forma dokumentu. Dále není nutné, aby se jednalo o samostatnou smlouvu. Požadované náležitosti je možné zakomponovat i do jiné smlouvy, kterou správce se zpracovatelem v rámci obchodního či jiného vztahu uzavírá.

Zní to možná jako formalita, ale taková smlouva je důležitou ochranou před problémy, které v souvislosti s ochranou osobních údajů hrozí každému správci. Správce má totiž zákonnou povinnost využít ke zpracování těchto dat pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky nařízení GDPR a byla zajištěna ochrana práv subjektu údajů. Na můj dotaz, co mají dělat například freelanceři a lidé, kteří používají zdarma dostupné cloudy a software, které nepatří mezi nejbezpečnější, reagoval Úřad pro ochranu osobních údajů tak, že pokud člověk nemá na to, aby si pořídil bezpečné nástroje, neměl by v podstatě podnikat, upozorňuje advokátka Petra Dolejšová. 

Toto vyjádření a zejména zákony ale není třeba brát až tak vážně. Podle současné legislativy by totiž prakticky nebylo vhodné používat ani Google. Vzhledem k online marketingovým nástrojům a všem dalším „velkým bratrům“, kteří jsou schopni použít do vyhledávače jednou vložená data na různých frontách, se totiž nejedná o bezpečné zpracování. Přesto je vyhledávač používaný a nikdo za to není postihován. Aby se tak stalo, muselo by dojít k opravdu závažnému problému. Pak by úřady mohly přistoupit k udělení pokuty, protože podnikatel odpovídá za to, že používá právě bezpečné nástroje.

Psali jsme: Nejlepším řešením GDPR pro malé firmy bude přechod na cloud

Žádné novinky, jen náprava dlouholetých restů

Každého správce se nařízení GDPR dotkne jiným způsobem, a to v závislosti na aspektech zpracování, které provádí. Tomu musí odpovídat i přípravy správce na Obecné nařízení o ohraně osobních údajů, upozorňuje Úřad pro ochranu osobních údajů. Přístup založený na riziku váže některé povinnosti pouze na riziková či vysoce riziková zpracování, tudíž některé povinnosti mnoho správců nebude muset plnit, zatímco na jiné správce budou dopadat více méně všechny stanovené povinnosti. 

Každý správce by si měl udělat vlastní analýzu zpracování, které provádí, čímž zjistí, jaké eventuální povinnosti se na něj vztahují. Součástí analýzy může být i vytipování slabých míst správce, například v zabezpečení, či provedení revize právních důvodů a jejich uvedení do souladu s podmínkami obecného nařízení (například pokud správce využívá souhlas se zpracováním osobních údajů, provést zhodnocení, zdali udělené souhlasy budou použitelné i v době účinnosti obecného nařízení). Správce se přizváním zpracovatele nezbavuje odpovědnosti za zpracování osobních údajů. Více o tom v článku Odpovědnost za osobní údaje je na správci. Na cloudové služby se nevymluvíte. 

Pokud správce řádně plní povinnosti vyplývající ze současného zákona o ochraně osobních údajů, nemělo by pro něj Obecné nařízení o ochraně osobních údajů představovat výrazný problém, se kterým by si neporadil, dodává mluvčí Úřadu pro ochranu osobních údajů Tomáš Paták. Důležité je podle něj nezapomenout na osvětu zaměstnanců.