GDPR vnáší do ochrany osobních údajů nové aspekty a pojmy. Důležité je, abyste věděli, zda jste správce nebo zpracovatel osobních údajů.
Obecné nařízení na ochranu osobních údajů (GDPR) začalo být účinné 25. května 2018. Pro řadu organizací a firem to znamenalo nutnost úpravy dokumentů, interních směrnic, postupů a procesů, jak s osobními údaji nakládat. Abyste zajistili soulad s GDPR, je nutné vědět, zda spadáte do kategorie správce nebo zpracovatele osobních údajů.
Je v tom totiž rozdíl.
Co je uvedeno na papíře, musí odpovídat realitě, to je jedna ze zásad GDPR. Ve většině případů proto nebude stačit vydat jednotný „dotazník zpracovatele osobních údajů“ organizacím, kterým jste v posledních třech letech fakturovali. Ve skutečnosti to může být i kontraproduktivní, zvlášť pokud se nejedná o vztah správce/zpracovatel.
Definice správce osobních údajů a zpracovatele osobních údajů se nijak zásadně od původní legislativy neliší, ačkoli GDPR je definuje konkrétněji.
Z definic vyplývá, že vztah správce/zpracovatele není dán tím, kdo komu platí, ale na jaké straně stojí osoba, jež má pravomoc rozhodovat o zpracování osobních údajů. Je důležité zjistit, kdo je ve vztahu správce a kdo zpracovatel. A zdokumentovat to. Odpovědnost za zajištění výkonu práv subjektů údajů a právní odpovědnost totiž nese vždy v konečném důsledku správce.
Uvádíme tři typické vztahy, které mezi dvěma organizacemi zpracovávajícími osobní údaje mohou vzniknout.
Příklad: Pokud využíváte pro zpracování mzdové agendy externí účetní, stává se zpracovatelem, zatímco vy jste správcem.
Příklad: Pokud si najmete eventovou společnost, která zorganizuje dotovaný bungee jumping, je třeba nakládání s osobními údaji ošetřit.
Příklad: Takový vztah může nastat mezi zaměstnavatelem a poskytovatelem penzijního připojištění pro zaměstnance.
Vyhněte se některým chybám a domněnkám, které by později mohly způsobit potíže nebo rozpory.
„Platíme za službu, proto můžeme být správcem údajů jedině my.“
Správcem je organizace, která rozhoduje o zpracování údajů, a to bez ohledu na směr toku financí. Pokud si například najmete advokátní kancelář pro poradenství ve sporu se zaměstnanci, bude správcem advokátní kancelář, protože bude muset použít vlastní odborný úsudek, aby posoudila, jak s údaji, které jste jim předali, nakládat. Zároveň bude muset vést vlastní záznamy pro své profesní a auditní účely.
Jestliže škola zavede systém pro správu domácích úkolů přes internet, stane se správcem v případech, kdy studenti systém využívají. Nicméně pokud zároveň poskytovatel takového systému sbírá analytické údaje o studentech (například kontaktní údaje, věk, GPS údaje, informace o zařízení, které používají, sledování chování) pro vlastní účely (například pro vývoj produktu, cílený marketing nebo pro zprostředkování profilů údajů), je správcem i poskytovatel systému.
I když je povoleno používat obecná nebo modelová ujednání smluv, je třeba, aby v nich byl uveden konkrétní údaj, který závazkový vztah specifikuje. Mezi tyto konkrétní údaje patří podrobnosti zpracování, které zpracovatel provádí, a ujednání upravující řešení incidentů a upravující vyřizování žádostí subjektů údajů, kteří se domáhají svých práv.
V případě společných správců údajů musí být dohoda nebo smlouva mnohem konkrétnější a musí zahrnovat následující body:
V případě dohody mezi společnými správci neexistuje žádná šablona ani standardní ustanovení, které by obsahovalo veškeré údaje, protože se budou lišit podle organizace, účelů zpracování, typu subjektů údajů a kategorií osobních údajů.
U přímého převodu osobních údajů od jednoho správce druhému není třeba u krátkodobého sladění zpracování sepisovat smlouvu. Důrazně ale doporučujeme uzavřít dohodu o sdílení údajů. Sjednáno by mělo být následující:
Abyste zjistili, zda je váš dodavatel, poskytovatel služeb nebo partner správcem, či zpracovatelem údajů, položte si několik základních otázek:
Pokud ne, bude druhá strana velmi pravděpodobně zpracovatel.
Pokud ano, bude druhá strana velmi pravděpodobně zpracovatel.
Pokud ano, druhá strana určitě nebude zpracovatel.
Pokud ano, druhá strana určitě nebude zpracovatel.
Pokud ano, druhá strana určitě nebude zpracovatel.
Abyste splnili povinnosti vyplývající z GDPR, je třeba si určit své místo v celém procesu zpracování údajů a rozhodnout, zda ve vztahu plníte roli správce, nebo zpracovatele. Vztah a povinnosti je nutné formalizovat, například ve smlouvě. Ideálně byste záznamy o činnostech zpracování měli vést společně s druhou organizací.
Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!