Smluvní pokuta ve zpracovatelské smlouvě

Nejprve je třeba určit, zda jste skutečně ve vztahu k Vašim klientům v postavení zpracovatele jejich (jim svěřených) osobních údajů. Úkolem zpracovatele je zpracovávat osobní údaje pro správce, přičemž se jedná o takové operace zpracování, které by měl primárně dělat správce. Jako typickým příklad vztahu správce a zpracovatel lze uvést situaci, kdy správce najme externí účetní kancelář, aby za čelem zpracování účetnictví a mzdové agendy. Jedná se o osobní údaje, které má zpracovávat správce, nicméně s ohledem na absenci jeho expertízy (případně nevoli zaměstnat účetního) tuto svoji povinnost přenese na externí subjekt. 

Dále je třeba uvést, že ustanovení o smluvní pokutě není nezbytnou náležitostí zpracovatelské smlouvy tak, jak předpokládá ustanovení čl. 28 GDPR. Jedná se pouze o ustanovení doporučované. Neexistence takového ujednání nebude mít na platnost takové zpracovatelské smlouvy žádný vliv.

Pokud byste i přes výše uvedené dospěli k závěru, že se jedná skutečně o případ, kdy vystupujete jako zpracovatel osobních údajů a zároveň nechcete uzavírat smlouvu s ujednáním o smluvní pokutě, lze doporučit k takto navrženým smluvním pokutám 

následující odpověď:

K návrhu smlouvy, ve kterém je pro nás jakožto pro zpracovatele stanovena smluvní pokuta ve výši [DOPLNIT ČÁSTKU DLE KONKRÉTNÍHO NÁVRHU] za každé jednotlivé porušení smlouvy, uvádíme, že vedle plnění povinností dle příslušných ustanovení GDPR ještě existuje obecná právní úprava odpovědnosti za škodu. Pro případ, pokud by v souvislosti s naším porušením povinností dle GDPR vznikla Vám jakožto správci osobních údajů škoda, a to zejména v podobě pokuty od Úřadu na ochranu osobních údajů (přičemž by se tak stalo v důsledku našeho porušení zákonné či smluvní povinnosti), budete mít nárok vůči nám na náhradu škody. Věříme, že právě zmíněná skutečnost je pro Vás dostatečnou právní jistotou. S ohledem na vše uvedené navrhujeme ustanovení o smluvní pokutě vypustit.