Jak poznám, jestli jsem správcem nebo zpracovatelem osobních údajů?

Obecné nařízení na ochranu osobních údajů (GDPR) začalo být účinné 25. května 2018. Pro řadu organizací a firem to znamenalo nutnost úpravy dokumentů, interních směrnic, postupů a procesů, jak s osobními údaji nakládat. Abyste zajistili soulad s GDPR, je nutné vědět, zda spadáte do kategorie správce nebo zpracovatele osobních údajů.

Je v tom totiž rozdíl.

Co je uvedeno na papíře, musí odpovídat realitě, to je jedna ze zásad GDPR. Ve většině případů proto nebude stačit vydat jednotný „dotazník zpracovatele osobních údajů“ organizacím, kterým jste v posledních třech letech fakturovali. Ve skutečnosti to může být i kontraproduktivní, zvlášť pokud se nejedná o vztah správce/zpracovatel.

Definice správce osobních údajů a zpracovatele osobních údajů se nijak zásadně od původní legislativy neliší, ačkoli GDPR je definuje konkrétněji.

Z definic vyplývá, že vztah správce/zpracovatele není dán tím, kdo komu platí, ale na jaké straně stojí osoba, jež má pravomoc rozhodovat o zpracování osobních údajů. Je důležité zjistit, kdo je ve vztahu správce a kdo zpracovatel. A zdokumentovat to. Odpovědnost za zajištění výkonu práv subjektů údajů a právní odpovědnost totiž nese vždy v konečném důsledku správce.

Tři typické vztahy

Uvádíme tři typické vztahy, které mezi dvěma organizacemi zpracovávajícími osobní údaje mohou vzniknout.

Správce osobních údajů versus zpracovatel osobních údajů

• Správce nařizuje zpracovateli, proč a jak bude zpracování osobních údajů provádět.
• Zpracovatel může jednat pouze podle pokynů správce a nesmí sám použít údaje, určit účel jejich zpracování ani je zveřejnit bez výslovného souhlasu správce (případně subjektů údajů).
• V informacích o ochraně soukromí musí být uveden pouze správce.
• Správce je povinen uzavřít s jakýmkoli zpracovatelem, s nímž spolupracuje, závaznou dohodu (obvykle smlouvu) tak, aby byly upraveny náležitosti stanovené článkem 28 GDPR.

Příklad: Pokud využíváte pro zpracování mzdové agendy externí účetní, stává se zpracovatelem, zatímco vy jste správcem.

Společní správci osobních údajů

• O tom, proč a jak budou osobní údaje zpracovávány, rozhodují společně dva nebo více subjektů.
• Společní správci osobních údajů zpracovávají stejné údaje nebo používají údaje toho druhého pro vlastní účely. Údaje mohou zpracovávat stejným způsobem, ale pro různé účely. Mohou je také zpracovávat pro stejné účely, ale jinými prostředky.
• V informacích o ochraně soukromí musí být uvedeni všichni správci osobních údajů.
• Správci osobních údajů si musejí ujednat, kdo bude mít jaké povinnosti a kde jsou jejich hranice. Takové ujednání by mělo být formalizováno, buď v podobě smlouvy, nebo dohody o sdílení údajů.

Příklad: Pokud si najmete eventovou společnost, která zorganizuje dotovaný bungee jumping, je třeba nakládání s osobními údaji ošetřit.

Oddělení správců údajů

• Tento vztah obvykle nastává, pokud jedna organizace poskytne údaje jiné organizaci, ale každá organizace bude údaje zpracovávat nezávisle na té druhé a pro své vlastní účely.
• Obě organizace jsou povinny poskytnout informace o ochraně soukromí subjektům údajů.
• Každá z organizací je odpovědná za dodržení GDPR. Nicméně správce, který údaje předává, musí získat od správce, jenž je přijímá, dostatečné ujištění, že převedení neznamená zbytečné riziko pro subjekty údajů. Správce, který údaje přijímá, musí získat dostatečné ujištění od správce, jenž údaje předává, že je získal a předává je způsoby definovanými GDPR. Zejména musí být dodrženy zásady stanovené zákonem, spravedlnost a transparentnost.

Příklad: Takový vztah může nastat mezi zaměstnavatelem a poskytovatelem penzijního připojištění pro zaměstnance.

Pozor na domněnky

Vyhněte se některým chybám a domněnkám, které by později mohly způsobit potíže nebo rozpory.

„Platíme za službu, proto můžeme být správcem údajů jedině my.“

Správcem je organizace, která rozhoduje o zpracování údajů, a to bez ohledu na směr toku financí. Pokud si například najmete advokátní kancelář pro poradenství ve sporu se zaměstnanci, bude správcem advokátní kancelář, protože bude muset použít vlastní odborný úsudek, aby posoudila, jak s údaji, které jste jim předali, nakládat. Zároveň bude muset vést vlastní záznamy pro své profesní a auditní účely.

Jestliže škola zavede systém pro správu domácích úkolů přes internet, stane se správcem v případech, kdy studenti systém využívají. Nicméně pokud zároveň poskytovatel takového systému sbírá analytické údaje o studentech (například kontaktní údaje, věk, GPS údaje, informace o zařízení, které používají, sledování chování) pro vlastní účely (například pro vývoj produktu, cílený marketing nebo pro zprostředkování profilů údajů), je správcem i poskytovatel systému.

I když je povoleno používat obecná nebo modelová ujednání smluv, je třeba, aby v nich byl uveden konkrétní údaj, který závazkový vztah specifikuje. Mezi tyto konkrétní údaje patří podrobnosti zpracování, které zpracovatel provádí, a ujednání upravující řešení incidentů a upravující vyřizování žádostí subjektů údajů, kteří se domáhají svých práv.

V případě společných správců údajů musí být dohoda nebo smlouva mnohem konkrétnější a musí zahrnovat následující body:

• Která ze stran bude řešit žádosti o výkon práv subjektů údajů? A kdy?
• Jaká je povinnost každého ze správců vůči ostatním správcům v případě nutnosti ohlásit bezpečnostní incident nebo porušení ochrany?
• Jak a kdy musí informace o ochraně soukromí uvádět, že zpracování provádějí všichni správci?
• Do jaké míry by měl přijímající společný správce nést odpovědnost za kontrolu přesnosti údajů, které jim poskytl/i ostatní správci v případě společných správců?
• Může jeden správce rozhodnout o použití údajů pro nový účel a je povinen to oznámit ostatním? Nebo je povinen žádat o souhlas?

V případě dohody mezi společnými správci neexistuje žádná šablona ani standardní ustanovení, které by obsahovalo veškeré údaje, protože se budou lišit podle organizace, účelů zpracování, typu subjektů údajů a kategorií osobních údajů.

U přímého převodu osobních údajů od jednoho správce druhému není třeba u krátkodobého sladění zpracování sepisovat smlouvu. Důrazně ale doporučujeme uzavřít dohodu o sdílení údajů. Sjednáno by mělo být následující:

• Jaké údaje se budou předávat?
• Kdy k předání dojde?
• Proč je předání nezbytné?
• Jakým způsobem se budou osobní údaje předávat?
• Jak budou subjekty údajů informovány o předání údajů?

Tipy, jak upravit vztahy se třetími stranami

• Obecná ustanovení, standardní klauzule a podmínky pravděpodobně dostatečně ani přiměřeně neochrání všechny strany (včetně subjektů údajů). Proto je třeba upravit podrobnosti zpracování a příslušné povinnosti ve formalizovaných dohodách.
• Správcovství údajů je dáno a této povinnosti se nelze zbavit, postoupit ji či delegovat smlouvou. Můžete do smlouvy zahrnout záruky a ujednání o odškodnění, aby se vaše společnost mohla vzpamatovat ze ztrát v případě problémů, které jste nezpůsobili. Ale pokud činíte rozhodnutí o zpracování údajů, nesete odpovědnost vy.
• Zvažte, jak budete postupovat v případě ukončení závazkového vztahu. Co se stane s údaji, pokud dojde k náhlému (ale i k plánovanému) ukončení závazkového vztahu mezi vámi a druhou stranou? Upravuje smlouva v takových případech vrácení, respektive držení údajů?

Dotazník: správce, nebo zpracovatel?

Abyste zjistili, zda je váš dodavatel, poskytovatel služeb nebo partner správcem, či zpracovatelem údajů, položte si několik základních otázek:

• Může druhá strana rozhodnout, že údaje použije jiným způsobem? Například začne zpracovávat údaje pro jiné účely nebo je bude předávat jinému správci?

Pokud ne, bude druhá strana velmi pravděpodobně zpracovatel.

• Může vaše organizace odstranit údaje, omezit jejich zpracování druhou stranou či zabránit tomu, aby údaje zpracovávala druhá strana, aniž by musela žádat o souhlas?

Pokud ano, bude druhá strana velmi pravděpodobně zpracovatel.

• Může druhá strana trvat na zachování důvěrnosti údajů vůči subjektům údajů a neumožnit vaší organizaci přístup k údajům?

Pokud ano, druhá strana určitě nebude zpracovatel.

• Trvá druhá strana na tom, že podrobnosti zpracování (jako je algoritmus, databáze chráněné autorským právem nebo důvěrné zdroje) jsou jejich majetkem a jsou chráněny obchodním tajemstvím?

Pokud ano, druhá strana určitě nebude zpracovatel.

• Má druhá strana povinnost vlastní zodpovědnosti za zpracování osobních údajů nebo má odpovědnost zpracovávat osobní údaje, i když jí uložíte, aby tak nečinila?

Pokud ano, druhá strana určitě nebude zpracovatel.

Abyste splnili povinnosti vyplývající z GDPR, je třeba si určit své místo v celém procesu zpracování údajů a rozhodnout, zda ve vztahu plníte roli správce, nebo zpracovatele. Vztah a povinnosti je nutné formalizovat, například ve smlouvě. Ideálně byste záznamy o činnostech zpracování měli vést společně s druhou organizací.