aneb Jak uklidit smluvní guláš a udržet soulad s GDPR
Iluze je nejčastější kořenící přípravek do smluvního guláše. Iluze, že zpracovatel „to má přece smluvně podchycené“. Iluze, že když je objednávka v e-mailu, tak to nějak platí. Iluze, že si to někdo jiný přece pamatuje. Ve veřejné správě se uzavírá tolik smluv, dodatků a objednávek, že se snad ztratí přehled o tom, co je ještě platné, co se fakticky nepoužívá a co nikdo nikdy neukončil.
Zvlášť v oblasti čistě digitálních řešení bývají ujednání se zpracovatelem roztroušená v e-mailech nebo ukrytá za odkazy na proměnlivé webové podmínky. Pokud správce přikoupí nový modul a zpracovatel při té příležitosti jednostranně změní podmínky, oznámením v e-mailu, málokdy někdo zkoumá, co tím bylo ve skutečnosti nahrazeno a zda správce se změnou vůbec souhlasil. Zůstává iluze, že smluvní vztah je v pořádku. Ale co všechno a jak služba skutečně zpracovává, kdo má k údajům přístup a kde všude končí jejich kopie, to často nikdo neví.
Některé nesrovnalosti jsou viditelné na první pohled, například když v evidenci figuruje pouze rámcová smlouva z roku 2018, a přitom správce už dávno využívá jiné funkce nebo rozšířené služby. Jindy pověřenec během rozhovoru zjistí, že se zpracováním dané agendy fakticky pomáhá externí subjekt, ke kterému ale není dohledatelná žádná aktuální smlouva. Objevují se i případy, kdy jedna obecná věta „zajištění výběru stravného“ zastírá rozdílné povahy několika samostatných služeb, které přitom zahrnují různé zpracovatelské operace. Pod jedním účelem se tak skryje zpracování údajů v platebním systému, v komunikačním portálu i ve stravovacím softwaru, aniž by bylo jasné, kdo přesně zpracovává, jaké údaje a na jakém právním základě.
Prvním krokem je vůbec si přiznat, že chaos existuje, a vymýtit tím iluzi, že vztahy se zpracovateli jsou v pořádku jen proto, že „někde něco máme“. Úkolem není převzít agendu správy smluv za správce, ale pomoci mu vytvořit mapu, kde je jasné, kdo s kým, proč a jaká data proudí. A na základě toho navrhnout konkrétní kroky, které pomohou vztahy zpřehlednit a alespoň částečně srovnat s realitou. Nejde o ideální stav, ale o dosažitelný posun, který sníží rizika a usnadní správci vysvětlování při kontrole nebo incidentu.
Proto potřebuje pověřenec vidět celé znění smluvních dokumentů. Základ obvykle tvoří hlavní (kmenová) smlouva, ke které se postupně uzavírají dodatky. Každý dodatek ale musí splňovat formu, která je ve smlouvě sjednána, jinak není právně účinný. Pokud například zpracovatel pošle změnu e-mailem, ale původní smlouva trvá na písemné formě s podpisy, žádná změna vlastně nenastala.
Další vrstvou jsou obchodní nebo smluvní podmínky, leckdy uvedené jen jako dostupné online. Přitom právě ty mohou obsahovat důležité informace o rozsahu a způsobech zpracování, ale i základních bezpečnostních opatřeních. Pokud se na tyto podmínky smlouva odkazuje, je nezbytné, aby správce jejich znění alespoň při uzavření smlouvy archivoval – ideálně včetně data, kdy byly staženy. Bez této opory nelze zpětně doložit, k čemu správce dal souhlas a co mělo být závazné.
Zásadní jsou i přílohy typu „pokyny správce“. Tyto dokumenty určují, jak má zpracovatel konkrétně jednat, ale bývají oddělené od hlavního textu smlouvy. Často na ně hlavní smlouva nebo smlouva o zpracování osobních údajů odkazuje, ale samotné pokyny nejsou nikde k nalezení. Takový odkaz je pak problematický a fakticky zavádějící. Pokud se na ně odkazuje, měly by být skutečně k dispozici, v aktuální podobě a měly by odpovídat skutečné praxi. Pokud nejsou, je lepší na ně vůbec neodkazovat.
Nestačí pouze znát název smlouvy a vědět, že nějaká smlouva byla kdysi podepsána. V praxi často dochází k tomu, že ke smlouvě existují různé dodatky, které se na první pohled tváří jako aktuální, ale neřeší vztah k předchozím verzím. Pokud například dodatek č. 2 nezruší dodatek č. 1, platí oba současně a je nutné číst je společně. To je častý zdroj nedorozumění. Bez jasného sledování návazností a zrušovacích klauzulí hrozí, že správce bude při kontrole čelit zmatku, kdy nelze přesně určit, co vlastně s daty platí a kdo za co odpovídá. A pověřenec nebude schopen vyhodnotit, jestli smlouva skutečně reflektuje realitu a naplňuje náležitosti podle čl. 28 odst. 3 GDPR – zejména bezpečnost, mlčenlivost, pravidla pro subdodavatele, součinnost při uplatňování práv subjektů údajů a způsob ukončení zpracování.
Je třeba jednotlivé části identifikovat a upozornit na případy, kdy dokumentace nedává dohromady právně funkční celek. Každá část (hlavní smlouva, dodatky, přílohy, obchodní podmínky) může obsahovat podstatné ujednání o zpracování osobních údajů. A každá z těchto částí může být neplatná, případně překrytá jinou, pokud chybí formální náležitosti nebo jasná zrušovací ustanovení.
Bez jasného sledování návazností a zrušovacích klauzulí hrozí, že správce bude při kontrole čelit zmatku, kdy nelze přesně určit, co vlastně s daty platí a kdo za co odpovídá. K tomu je třeba připočítat ještě další riziko – odvolávání se na neexistující nebo změněné podmínky. Pokud správce tvrdí, že „zpracovatel přece měl zajistit to a to“, ale opírá se o podmínky, které už neexistují nebo nebyly nikdy odsouhlaseny, pak takovou obranu nelze uznat.
Co tedy má smysl řešit jako první?
- Zmapujte vztahy – kolik máte zpracovatelů a jaké agendy řeší.
- Zjistěte, co máte podepsáno – a co skutečně platí. Zkuste dohledat aktuální dodatky, archivované podmínky i odkazované přílohy.
- Zkontrolujte, zda každý zpracovatel má smlouvu odpovídající čl. 28 odst. 3 GDPR – ať už jako samostatný dokument, nebo součást jiného ujednání.
- Nespoléhejte na to, že „to nějak dopadne“. U zpracování osobních údajů bývá smluvní nepořádek první věc, které si kontrola všimne.
Úklid smluvního guláše není o dokonalosti. Ale i malý posun směrem k přehlednosti a právní jistotě může správci zásadně pomoci, až přijdou potíže.
Zuzana Krausová
Pověřenec pro ochranu osobních údajů