25.09.2018
Správce versus Zpracovatel
V praxi se často setkáváme s tím, že považujeme některého z dodavatelů za zpracovatele, ale on se brání a tvrdí, že pouze poskytuje technické řešení, osobní údaje nezpracovává, a i když je může občas z povahy své práce vidět, není zpracovatelem. Při rozhodování o tom, kdo je zpracovatelem, je třeba vycházet
V praxi se často setkáváme s tím, že považujeme některého z dodavatelů za zpracovatele, ale on se brání a tvrdí, že pouze poskytuje technické řešení, osobní údaje nezpracovává, a i když je může občas z povahy své práce vidět, není zpracovatelem. Při rozhodování o tom, kdo je zpracovatelem, je třeba vycházet z definice pojmu „zpracování“ uvedené v článku 4 obecného nařízení. Zpracováním se rozumí jakákoliv operace nebo soubor operací, která je prováděna s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení a pozměnění atd. (viz článek 4 obecného nařízení). Správce určuje účel a prostředky zpracování a náplň činnosti by měl jasně stanovit dodavateli ve smlouvě. Pokud mezi povinnostmi dodavatele není osobní údaje zpracovávat, např. je pro správce shromažďovat, pak se nemůže jednat o zpracovatele. Zpracovatelem nebudou například osoby, které se při provádění svých služeb, tj. plnění smlouvy s objednatelem (správcem osobních údajů), mohou pouze nahodile dostat do styku s osobními údaji zpracovávanými tímto správcem, aniž by osobní údaje jakkoliv zpracovávaly. Oproti tomu typickým zpracovatelem bude například provozovatel informačního systému pro správce osobních údajů, externí správce sítě, externí bezpečnostní správce či poskytovatel datového úložiště (cloudu). Zpracovatelem může být i dodavatel poštovních služeb např. Česká pošta, pokud s ní správce sjedná činnosti, které zahrnují kompletaci zásilek, vč. tisku oznámení obsahující osobní údaje a jejich vkládání do obálek. Pokud však zásilky pouze doručuje, jedná se o samostatnou činnost dodavatele poštovních služeb, dodavatel jedná na vlastní odpovědnost a je tedy správcem osobních údajů nikoliv zpracovatelem.
Povinnosti zpracovatele jsou uvedeny v článku 28 obecného nařízení. Správce se zpracovatelem sjednává tzv. zpracovatelskou smlouvu, která nemusí být samostatná, ale může být součástí smlouvy jiné např. o poskytování služeb. V této smlouvě musí být stanoven předmět a doba trvání zpracování osobních údajů, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů a veškeré povinnosti a práva správce a zpracovatele. Ze smlouvy by mělo vyplývat, že zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů správce, zajistí, aby se osoby, které se na zpracování podílejí, zavázaly k mlčenlivosti anebo aby se na ně vztahovala zákonná povinnost mlčenlivosti, přijme bezpečnostní opatření v souladu s čl. 32 obecného nařízení, je nápomocen správci při žádosti subjektů při výkonu jejich práv a při zajišťování souladu s GDPR včetně dalších povinností dle článku 28 odst. 3 obecného nařízení. Na závěr je třeba zdůraznit, že správce se přizváním zpracovatele nezbavuje odpovědnosti za zpracování osobních údajů a že odpovídá i za výběr zpracovatele. Proto by měl vždy využít pouze takového zpracovatele, který poskytuje dostatečné záruky vhodných technických a organizačních opatření, tak aby zpracování osobních údajů splňovalo požadavky obecného nařízení a byla zajištěna ochrana práv subjektů údajů. Více informací ke správcům a zpracovatelům a rovněž i odpovědi na nejčastější otázky k této tématice si můžete přečíst na webu ÚOOÚ.
Zdroj: Úřad pro ochranu osobních údajů