Smluvní pokuta ve zpracovatelské smlouvě

Často se na nás obracejí naši klienti s žádostí, abychom jim podepsali smlouvu, ve které je naše společnost uvedena jako zpracovatel. Nezřídka se stává, že v zaslaném návrhu zpracovatelské smlouvy je jakékoli porušení některé z našich povinností zajištěno smluvní pokutou, která bývá v řádech statisíců českých korun. Nejčastěji se však objevuje smluvní pokuta ve výši 500.000,- Kč. Musí být ve zpracovatelské smlouvě vůbec smluvní pokuta uvedena?

Pojmy

Pro úplnost doplňujeme vysvětlení rozdílu mezi správcem a zpracovatelem osobních údajů.

Správcem osobních údajů je taková osoba, která provádí zpracování osobních údajů. Správcem může být jak právnická, tak fyzická osoba. Správcem podle GDPR není fyzická osoba, která s osobními údaji nakládá pouze v rámci osobní nebo domácí činnosti (tedy pro osobní potřebu).

Zpracovatelem je osoba, která zpracovává osobní údaje pro správce. Může se jednat o fyzickou i právnickou osobu. O zpracovateli lze hovořit pouze ve vztahu k osobním údajům, které mu předal správce. Pokud tato osoba zpracovává údaje sama pro sebe, pak není zpracovatelem, ale správcem.

Nejprve je třeba určit, zda jste skutečně ve vztahu k Vašim klientům v postavení zpracovatele jejich (jim svěřených) osobních údajů. Úkolem zpracovatele je zpracovávat osobní údaje pro správce, přičemž se jedná o takové operace zpracování, které by měl primárně dělat správce. Jako typickým příklad vztahu správce a zpracovatel lze uvést situaci, kdy správce najme externí účetní kancelář, aby za čelem zpracování účetnictví a mzdové agendy. Jedná se o osobní údaje, které má zpracovávat správce, nicméně s ohledem na absenci jeho expertízy (případně nevoli zaměstnat účetního) tuto svoji povinnost přenese na externí subjekt. 

Dále je třeba uvést, že ustanovení o smluvní pokutě není nezbytnou náležitostí zpracovatelské smlouvy tak, jak předpokládá ustanovení čl. 28 GDPR. Jedná se pouze o ustanovení doporučované. Neexistence takového ujednání nebude mít na platnost takové zpracovatelské smlouvy žádný vliv.

Pokud byste i přes výše uvedené dospěli k závěru, že se jedná skutečně o případ, kdy vystupujete jako zpracovatel osobních údajů a zároveň nechcete uzavírat smlouvu s ujednáním o smluvní pokutě, lze doporučit k takto navrženým smluvním pokutám 

následující odpověď:

K návrhu smlouvy, ve kterém je pro nás jakožto pro zpracovatele stanovena smluvní pokuta ve výši [DOPLNIT ČÁSTKU DLE KONKRÉTNÍHO NÁVRHU] za každé jednotlivé porušení smlouvy, uvádíme, že vedle plnění povinností dle příslušných ustanovení GDPR ještě existuje obecná právní úprava odpovědnosti za škodu. Pro případ, pokud by v souvislosti s naším porušením povinností dle GDPR vznikla Vám jakožto správci osobních údajů škoda, a to zejména v podobě pokuty od Úřadu na ochranu osobních údajů (přičemž by se tak stalo v důsledku našeho porušení zákonné či smluvní povinnosti), budete mít nárok vůči nám na náhradu škody. Věříme, že právě zmíněná skutečnost je pro Vás dostatečnou právní jistotou. S ohledem na vše uvedené navrhujeme ustanovení o smluvní pokutě vypustit.


Je-li v textu článku vyjádřen právní názor, pak pro úplnost dodáváme, že takový právní názor není právně závazný. K závaznému výkladu právních předpisů jsou v konkrétních případech oprávněny pouze příslušné soudy či správní orgány.

28.10.2018

Mgr. Bc. Georgios Tucoglidis

georgios@3cm.cz

3CM s.r.o.
se sídlem Husova 1848
530 03 Pardubice
IČ: 05177791
DIČ: CZ05177791

Společnost je zapsána v Obchodním rejstříku vedeném krajským soudem v Hradci Králové, oddíl C, vložka 37310

2018 ©  3CM s.r.o. – Všechna práva vyhrazena