Seriál k GDPR – IV. Správce a zpracovatel

Pro přehlednost bychom rádi zopakovali, kdo je správce a kdo zpracovatel. Správce osobních údajů je ten, kdo určuje účel a prostředky zpracování osobních údajů. V běžných situacích to může být škola, společnost, úřad, atd. Zpracovatel je ten, kdo zpracování za správce provádí. Zpracovatelem však není zaměstnanec! Typickými zpracovateli jsou poskytovatelé cloudových nebo jiných IT řešení. Již existující zpracovatelské smlouvy je nutné upravit, případně sepsat dodatek podle čl. 28 GDPR.

Význam dělení na správce a zpracovatele spočívá v tom, že mezi nimi musí být vždy uzavřena písemná smlouva, přičemž za písemnou se považuje i elektronická podoba.

Zpracovatelská smlouva, aby vyhovovala GDPR, by měla obsahovat následující náležitosti:
-    předmět a doba trvání zpracování osobních údajů, povahu a účel zpracování, typ osobních údajů a kategorii subjektů údajů;
-    ustanovení, že zpracovatel osobních údajů nesmí do zpracování osobních údajů zapojit žádného dalšího zpracovatele bez předchozího konkrétního či obecného souhlasu správce;
-    ustanovení, že zpracovatel bude zpracovávat osobní údaje pouze v rozsahu stanoveném smlouvou mezi ním a správcem, případně na základě doložených pokynů správce;
-    ustanovení, že na osoby zpracovatele, které zpracovávají osobní údaje, se vztahuje zákonná povinnost mlčenlivosti nebo je zpracovatel k této mlčenlivosti smluvně zaváže;
-    ustanovení, že se zpracovatel zaváže přijmout taková technická, organizační a jiná potřebná opatření, spočívající např. v šifrování, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití;

-    ustanovení, že zpracovatel je povinen správci poskytnout součinnost pro případ výkonu jiných povinností správce podle GDPR, např. realizace práv subjektů údajů na přístup k osobním údajům či povinnosti ohlašovat porušení zabezpečení osobních údajů;
-    ustanovení, že zpracovatel je povinen vrátit správci po ukončení zpracování osobních údajů všechny osobní údaje, pokud to není v rozporu s jinými právními předpisy;
-    ustanovení, že zpracovatel poskytne správci veškeré informace potřebné k doložení splnění povinností podle GDPR a umožní správci kontrolu zákonnosti zpracování osobních údajů, pokud to neodporuje právnímu předpisu.

V některých případech je rozeznání smlouvy mezi správcem a zpracovatelem velice jednoduché. Naopak jsou i případy, kdy to je trochu složitější. Pokud byste měli zájem o přípravu smlouvy,dodatku na míru, či jste měli jakékoliv dotazy týkající se GDPR, jsme Vám rádi k dispozici. Naše zkušenosti s GDPR i v oblasti pověřence pro ochranu osobních údajů dokládá i to, že pravidelně vystupujeme na konferencích pro školy a obce, kde sdělujeme praktické zkušenosti z výkonu pověřence a také školíme samotné pověřence pro ochranu osobních údajů.