Ne každý ví, co je to zpracovatelská smlouva (pro někoho též smlouva o zpracování osobních údajů), jak mohu posoudit z praxe pověřence pro ochranu osobních údajů na základě jednání se svými klienty. Proto bude vhodné uvést na pravou míru, kdo je zpracovatel, v jakém je postavení vůči správci osobních údajů, a připomenout, jaké jsou náležitosti zpracovatelské smlouvy, z čeho vycházejí a jaká jsou úskalí při jejich sepisování.
Zpracovatelem je každý, kdo pro správce a pouze na jeho pokyn zpracovává osobní údaje, které souvisí s činností správce
Zpracování osobních údajů může být tedy například uložení dat u poskytovatele datového prostoru, zpracování agendy jako takové (účetní a mzdové firmy), firma nabízející službu dálkového dohledu PCO nebo zajišťující informování občanů o dění v obci; společnost, která pro školu vypracuje podklad pro diagnostiku předškolní zralosti, plavecká škola apod. Příkladů zpracování osobních údajů je mnoho, a ne vždy může být pro správce zřejmé, že se jedná o zpracování osobních údajů.
Každopádně z výše uvedených příkladů vyplývá, že zpracování se týká valné, ne-li přímo většiny správců osobních údajů, resp. dá se předpokládat, že většina správců spolupracuje alespoň s jedním zpracovatelem, resp. má alespoň jednu zpracovatelskou smlouvu.
„Kdo vám tu agendu zpracovává?” „A kde máte ta data uložená?” „Máte na webu odpovědní formulář?” „Kdo vám spravuje e-mailovou doménu?” To jsou jen příklady otázek, které mě dovedou k tomu, že klient má zpracovatele, byť ani sám netuší, že se o zpracovatele osobních údajů jedná.
Setkávám se i se situacemi, kdy přestože existuje vztah správce-zpracovatel, smlouva o zpracování osobních údajů neexistuje. Přitom zájem na tom, aby nakládání s osobními údaji bylo smluvně ošetřeno, by měl mít jak správce, tak zpracovatel. Oba nakládají se stejnými osobními údaji – správce na základě právních titulů dle čl. 6 ON a zpracovatel na pokyn správce, stále se však jedná o tytéž osobní údaje. Většina správců si to ale neuvědomuje, protože „… to účetnictví nám naše firma dělá už léta a nikdy s tím nebyl problém…”, „… ale oni do těch mzdových dat vůbec nevidí, máme je u nich jen uložená…”
Že jsou vám tato slova povědomá?
Ano, to jsou argumenty mnoha mých klientů v reakci na to, že nemají se zpracovatelem uzavřenou smlouvu o zpracování osobních údajů. Když jim ale připomenu, že zpracováním osobních údajů se rozumí „… jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení” (čl. 4, odst. 2) ON), je potom zřejmé, že se jedná o široké spektrum operací, které lze považovat za zpracování, a každý, kdo provádí na pokyn správce byť jedinou operaci z výše uvedených, je zpracovatel.
Ve své praxi řeším absenci zpracovatelských smluv zejména mezi obcí, resp. školou, a menšími, často tzv. „lokálními“ zpracovateli, kdy se ve valné většině jedná o účetní a mzdové firmy. Důvodem je prý to, že moc firem v dané oblasti není. Klienti tak nemají na výběr a spolupracují s tím, kdo je tzv. k dispozici, nebo s tím, koho jim doporučila jiná obec, resp. škola. Zpracovatelská smlouva se všemi náležitostmi je tím pádem jedním z posledních kritérií, kterým se správce při výběru dodavatele, resp. zpracovatele, řídí.
To, jak bude zpracovatel nakládat se svěřenými osobními údaje od správce, by přitom mělo být na jednom z prvních míst při výběru dodavatele. Vždyť správce za osobní údaje odpovídá, a nemělo by mu tedy být lhostejné, kdo k nim má na straně zpracovatele přístup, jak jsou zálohovány, jak se bude postupovat v případě incidentu atd.
Mějme prosím na paměti, že zpracovatel dostává k dispozici od správce osobní údaje, mnohdy i ty citlivé (příkladem je již zmiňovaná mzdová agenda). V tu chvíli nad nimi správce ztrácí kontrolu (i kdyby se jednalo pouze o kopie osobních údajů) a je v kompetenci zpracovatele, jak s nimi bude naloženo, kdo další s nimi přijde do styku, jak budou u zpracovatele chráněny, jak zde budou zálohovány, co se s nimi stane, když spolupráce se správcem skončí…
Jak by měla tedy taková zpracovatelská smlouva vypadat?
U každé zpracovatelské smlouvy je vždy třeba vycházet z konkrétního typu zpracování. Nicméně základní body, které by každá zpracovatelská smlouva měla obsahovat, jsou dané a jejich plný výčet nalezneme v Nařízení Evropského parlamentu a rady (EU) 2016/679 (dále jen ON), zejména v článcích 28 a 32.
Důležitý je způsob, jakým správce zpracovateli osobní údaje předává
Z mého pohledu je důležitý, a zároveň se velmi často opomíjí, způsob, jakým správce zpracovateli osobní údaje předává. Jako nejbezpečnější se jeví osobní předání, tzv. z ruky do ruky. Nevýhodou jakéhokoliv komunikačního kanálu (e-mail, datová schránka, pošta atd.) je totiž to, že se předávané osobní údaje, byť mnohdy jen na krátkou chvíli, ocitají mimo dohled správce i zpracovatele. Dobře zabezpečená by měla být datová schránka – je zde jasně identifikovatelný příjemce, navíc pouze příjemce může zprávu otevřít pomocí unikátního přístupového hesla. Naproti tomu je nejméně bezpečným způsobem zasílání podkladů e-mailem. Pokud je to ovšem jediná cesta, vždy doporučuji posílat osobní údaje, resp. podklady s osobními údaji, v šifrovaném souboru, a klíč pro otevření souboru poslat příjemci jiným komunikačním kanálem, např. přes SMS. Zasílání podkladů poštou bych volila až jako poslední možnou variantu, pokud ani jedna z předchozích není možná, a navíc pouze za předpokladu využití poštovní služby EMS (expresní dodání zásilky přímo do rukou adresáta).
Jak má zpracovatel osobní údaje zálohované a kdo všechno k nim má přístup
Dalším (z mého pohledu) velmi důležitým bodem každé zpracovatelské smlouvy je způsob, jakým má zpracovatel osobní údaje zálohované, a kdo všechno k nim má přístup.
Další náležitosti zpracovatelské smlouvy jsou samozřejmě neméně důležité a při výběru dodavatele je tudíž vždy třeba pečlivě zvážit, zda je správcem vybraný dodavatel/zpracovatel schopen dostatečně ochránit osobní údaje, které mu správce v rámci spolupráce předá.
Občas se setkávám u klientů s tím, že za zpracovatelskou smlouvu považují tu o dílo, resp. tu hlavní. Nebo naopak, že mi na vyžádání předloží smlouvu zpracovatelskou a já se pak při její kontrole nemám o co opřít – nevím, jaký je důvod zpracování osobních údajů.
Pokud při zpracování osobních údajů vystupuje vedle správce i zpracovatel, je třeba vždy vycházet z obou smluv – jednak ze smlouvy o dílo, nebo jinak také tzv. „smlouvy hlavní“, aby bylo zřejmé, čeho se zpracování týká, a za druhé ze smlouvy o zpracování osobních údajů, aby bylo zřejmé, že i zpracovatel se svěřenými osobními údaji nakládá v souladu s ON.
Pokud je pro vás jako pro správce osobních údajů při jejich zpracování nezbytná součinnost se zpracovatelem, zvažte pečlivě, jakého dodavatele/zpracovatele si vyberete. Pamatujte, že mu svěřujete osobní údaje – a jak již bylo uvedeno – nezřídka i ty citlivé, za které nesete odpovědnost vy a nikdo jiný. A zpracovatelská smlouva, která má všechny náležitosti vycházející z ON, je nejen základem dobré spolupráce, ale také nutností.
Kateřina Mitlöhnerová
Pověřenkyně pro ochranu osobních údajů