Směrnice GDPR – otázky – 7. Správce, zpracovatel

7. Správce, zpracovatel

Za co správce odpovídá?

Správce odpovídá za dodržování povinností kladených Obecným nařízením. Zcela zásadní je dodržování zásad zpracování, jejichž dodržování zároveň musí být správce schopen doložit. Základním nezbytným předpokladem je existence řádného právního důvodu zpracování osobních údajů, kterým správce musí disponovat, aby vůbec mohl osobní údaje zpracovávat. Zároveň je nutné osobní údaje dostatečně zabezpečit. Samozřejmostí však musí být plnění i dalších povinností stanovených Obecným nařízením.

Mohou být společní správci?

Ano, nově Obecné nařízení výslovně počítá i s možností tzv. společných správců. Jde o případ, kdy účel a prostředky zpracování stanoví společně dva nebo více správců, kteří si mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za plnění povinností.

Jak se mě, jako správce, dotkne Obecné nařízení?

Každého správce se Obecné nařízení dotkne jiným způsobem, a to v závislosti na aspektech zpracování, které provádí. Tomu musí odpovídat i přípravy správce na Obecné nařízení. Přístup založený na riziku váže některé povinnosti pouze na riziková či vysoce riziková zpracování, tudíž některé povinnosti mnoho správců nebude muset plnit, zatímco na jiné správce budou dopadat více méně všechny stanovené povinnosti. Každý správce by si měl udělat vlastní analýzu zpracování, které provádí, čímž zjistí, jaké eventuální povinnosti se na něj vztahují. Součástí analýzy může být i vytipování slabých míst správce, např. v zabezpečení, či provedení revize právních důvodů a jejich uvedení do souladu s podmínkami Obecného nařízení (např. pokud správce využívá souhlas se zpracováním osobních údajů, provést zhodnocení, zdali udělené souhlasy budou použitelné i v době účinnosti Obecného nařízení).

Pokud správce řádně plní povinnosti vyplývající ze současného zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, nemělo by Obecné nařízení pro něj představovat výrazný problém, se kterým by si neporadil.

Důležité též je nezapomenout na osvětu zaměstnanců.

Jak na vztah správce – zpracovatel?

Správce může ke zpracování osobních údajů přibrat jiný subjekt, který pro něj bude osobní údaje zpracovávat. Správce by měl využít pouze takového zpracovatele, který s ohledem na povahu, kontext, kategorii osobních údajů a jejich možností, poskytuje dostatečné záruky vhodných technických a organizačních opatření, tak aby zpracování osobních údajů prostřednictvím zpracovatele splňovalo požadavky Obecného nařízení a byla zajištěna ochrana práv subjektu údajů. Za tím účelem musí být mezi správcem a zpracovatelem uzavřena písemná smlouva, v níž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Smlouva dále musí zaručovat určité okolnosti zpracování, viz článek 28 odst. 3 Obecného nařízení.

Není nutné, aby se jednalo o samostatnou smlouvu, lze požadované náležitosti zakomponovat i do jiné smlouvy, kterou správce se zpracovatelem uzavírá v rámci např. obchodního či jiného vztahu.

Správce se přizváním zpracovatele nezbavuje odpovědnosti za zpracování osobních údajů.

Může zpracovatel zapojit do zpracování jiného zpracovatele?

Jde o tzv. řetězení zpracovatelů, které není a priori zakázáno, nicméně je nutné, aby správce k tomuto dal písemné svolení zpracovateli. Svolení může být dáno k dalšímu konkrétnímu zpracovateli, nebo může být dáno obecné svolení, v takovém případě však zpracovatel musí správce informovat o veškerých přijetích dalších zpracovatelů nebo jejich nahrazení. Účelem tak je, aby správce, který za zpracování osobních údajů primárně odpovídá, věděl, které subjekty pro něj osobní údaje zpracovávají.


Viz také:


zdroj: Pracovní skupina WP29, www.uoou.cz, aktualizováno 26.6.2017