20.11.2020
Informační systém dodává naší společnosti externí firma. Ručí za správné zpracování osobních údajů v něm ona, nebo my jakožto správce?
Na tuto aktuální otázku zveřejnil odpověď na svých webových stránkách Úřad pro ochranu osobních údajů.
ODPOVĚĎ: Za zpracování osobních údajů je vždy odpovědný správce osobních údajů. Ten má povinnost zajistit a být schopen doložit, že je zpracování prováděno v souladu s obecným nařízením.
Z hlediska ochrany osobních údajů je proto neakceptovatelné argumentovat skutečností, že správce využívá informační systém externího dodavatele, a že způsob či rozsah předmětného zpracování vyplývá z nastavení tohoto systému, který koupil či mu byl dodán.
Podle GDPR má každý, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, právo obdržet od správce nebo zpracovatele náhradu. Vzhledem k tomu by správce, který má pochybnosti o nastavení systému externím dodavatelem v souladu s obecným nařízením, měl zvážit spolupráci raději s takovým, který nastavení systému garantuje a případně by se na pokrytí újmy podílel.