Menu
Zpracovatelská smlouva
Co je to zpracovatelská smlouva?
Zpracovatelskou smlouvou se rozumí právní vztah mezi správcem a zpracovatelem, při němž dochází mj. ke zpracování osobních údajů. V této souvislosti je třeba uvést, že nehovoříme o speciálním smluvním typu. Jako příklad lze uvést smlouvu o vedení účetnictví a zpracování mzdové agendy, která kromě povinných a obvyklých náležitostí bude doplněna o ustanovení, které vyžaduje ustanovení čl. 28 GDPR. Jedná se tedy stále o smlouvu o vedení účetnictví a zpracování mzdové agendy, ale tato smlouva je zároveň smlouvou zpracovatelskou, protože vymezuje vztah správce (objednatel dané služby) a zpracovatele (poskytovatel služby účetní kanceláře).
Dále je vhodné uvést, že GDPR výslovně stanoví povinnost, aby taková smlouva byla vyhotovena v písemné formě, přičemž písemnost je zachována i v případě, že bude smlouva uzavřena elektronicky.
Co by měla, mimo povinných a obvyklých náležitostí, smlouva mezi správcem a zpracovatelem obsahovat?
Vzhledem k povinnostem, které jsou stanoveny článkem 28 GDPR lze doporučit, aby správce zkontroloval, zda jeho smlouvy se zpracovatelem odpovídají alespoň tomuto minimálnímu standardu:
Ustanovení o tom, že:
- Zpracovatel je povinen jednat výhradně souladu s pokyny správce (pokud mu určité jednání nestanoví zvláštní právní předpis). Jinými slovy to znamená, že zpracovatel bude s osobními údaji nakládat tak, jak mu správce řekne.
- Zpracovatel přijme veškerá nezbytná technická a organizační opatření k tomu, aby zajistil minimalizaci rizika, resp. zajistil, že budou osobní údaje chráněny před zničením, poškozením, zneužitím nebo ztrátou (včetně specifikace takových technických a organizačních opatření).
- Zpracovatel zapojí do zpracování takové osoby (další zpracovatele nebo zaměstnance), kteří se zavázali k mlčenlivosti nebo na které se vztahuje zákonná mlčenlivost.
- Zpracovatel je oprávněn zapojit do zpracování další zpracovatele (tj. subzpracovatele) pouze za předpokladu, že mu k tomu dá správce písemný souhlas a zároveň tento vztah (zpracovatele a subzpracovatele) bude založen smlouvou v písemné podobě.
- Zpracovatel je povinen poskytnout správci veškerou nezbytnou součinnost k tomu, aby bylo možné zajistit subjektům údajů nerušený výkon jejich práv dle příslušných ustanovení GDPR.
- Zpracovatel je povinen poskytnout správci veškerou nezbytnou součinnost při plnění povinnosti ohlašovat případy porušení zabezpečení osobních údajů Úřadu na ochranu osobních údajů a povinnost oznamování případů porušení zabezpečení osobních údajů subjektům údajů, tak aby byla splněna lhůta požadovaná v článku 33 GDPR – do 72 hodin.
- Zpracovatel je povinen, po zániku smluvního vztahu mezi ním a správcem, zlikvidovat osobní údaje, které mu byly předány ke zpracování, samozřejmě za předpokladu, že právní předpis nestanoví něco jiného.
- Zpracovatel je povinen poskytnout správci veškeré informace potřebné k doložení souladu s výše uvedenými podmínkami. Dále je zpracovatel povinen umožnit audity (vč. inspekcí), které provede správce nebo auditor, kterého správce pověřil.
Dále lze doporučit:
- Zajištění povinností zpracovatele ve smlouvě smluvní pokutou.
- Stanovení možnosti správce, aby si ověřil, že zpracovatel postupuje v souladu se svými povinnostmi, které mu stanoví GDPR a zpracovatelská smlouva. Pro tento případ lze sjednat povinnost zpracovatele umožnit správci provést v jeho organizaci audit procesu nakládání s osobními údaji, které mu byly správcem svěřeny.
- Stanovení povinností zpracovatele mít sjednané pojištění kybernetických rizik.
Je-li v textu článku vyjádřen právní názor, pak pro úplnost dodáváme, že takový právní názor není právně závazný. K závaznému výkladu právních předpisů jsou v konkrétních případech oprávněny pouze příslušné soudy či správní orgány.
Další články
© 3CM s.r.o. – Všechna práva vyhrazena