Zamysleli jste se, zda při zpracování osobních údajů nevystupujete v roli společného správce? Je to častější, než jste si mysleli. Společným správcům GDPR ukládá několik povinností včetně uzavření smlouvy. Jak na to?
Vztahy povinných osob v rámci GDPR jsou kapitola sama o sobě. Ačkoliv GDPR je zde s námi již přes pět let (a tato povinnost dokonce vychází z původní směrnice), stále se setkáváme s obchodními případy, kde GDPR nehraje žádnou roli a je zcela opomíjeno.
Dlužno dodat, že situace je o něco lepší než dříve a v okamžiku předložení zpracovatelské smlouvy z jedné strany už většinou nepřicházejí zvídavé dotazy, proč takovou smlouvu uzavřít. Obě strany už zpravidla akceptují skutečnost, že dochází ke zpracování osobních údajů a že kdyby nedošlo k uzavření zpracovatelské smlouvy, mohou obě strany dostat pokutu.
Jenže vztah správce a zpracovatele není jediným vztahem, s nímž se můžeme v rámci GDPR setkat. Naopak, s rozvojem business modelů různých služeb se stále častěji potkáváme se situacemi, kdy předmětný vztah není tvořen správcem a zpracovatelem (či správcem a správcem), ale zpracování probíhá v rovině společných správců. Někdy se však na tento fakt úplně zapomíná, stejně jako na povinnosti, které v takových případech GDPR aktérům ukládá.
Na účelu a prostředcích zpracování se musíte domluvit
Ostatně není to ani tak dávno, co jsme informovali o pokutě CNIL poskytovateli remarketingových služeb, který se svými partnery neuzavíral předmětné smlouvy, a tím docházelo k porušení GDPR. V tomto článku se tedy podíváme na to, co by taková smlouva společných správců měla obsahovat.
Pro účely článku se obejdeme bez podrobného rozboru definice společných správců. Tato definice sice může v praxi působit potíže, ze strany WP29 či EDPB nicméně již přišlo mnoho vodítek a pokynů s praktickými příklady, díky nimž by si s tím každý člověk, který je v organizaci odpovědný za GDPR, měl poradit. Pro společné správce je příznačné, že společně určují účely a prostředky zpracování, nicméně stejně jako v případě vztahu správce a zpracovatel není vhodné tuto definici interpretovat pouze jazykovým výkladem.
Zaměřme se spíše na to, jaké povinnosti GDPR v takových případech ukládá. Nastavení vzájemných pravidel se věnuje GDPR relativně stroze v jednom článku (čl. 26) o třech odstavcích. Primárním způsobem regulace vztahů je požadavek na uzavření smlouvy (respektive slovy GDPR ujednání) mezi aktéry, jež má upravovat vzájemná práva a povinnosti, ale také povinnosti vůči třetím osobám.
Co se týče formálních náležitostí, GDPR žádné bližší podmínky neupravuje. Vlastně stanovuje pouze jedinou skutečnost, a sice že předmětné ujednání musí být transparentní. Dle výkladu EDPB v pokynech č. 7/2020 je tak na smluvních stranách, pro kterou formu se svobodně rozhodnou, nicméně implicitně se předpokládá, že takovým ujednáním bude primárně smlouva, která by měla být uzavřena v právně závazné podobě, a to i s ohledem na zásadu odpovědnosti.
Společní správci musí uzavřít smlouvu, která upraví vzájemná práva a povinnosti
Stejně tak málo nám GDPR oproti zpracovatelské smlouvě (viz čl. 28 odst. 3 GDPR) sděluje o obsahových náležitostech takové smlouvy mezi společnými správci. GDPR výslovně hovoří o tom, že smluvní strany si mezi sebou „vymezí své podíly na odpovědnosti za plnění povinností podle tohoto nařízení, zejména pokud jde o výkon práv subjektu údajů, a své povinnosti poskytovat informace uvedené v článcích 13 a 14, pokud tuto odpovědnost správců nestanoví právo Unie nebo členského státu, které se na správce vztahuje“.
Velmi často se tak v praxi setkáváme se smlouvami, které jsou velmi krátké a na slovo skoupé a zpravidla obsahují pouze ustanovení, jež říká, že „za plnění povinnosti dle čl. 13 a 14 GDPR je odpovědný společný správce A, totéž platí o výkonu práv“. Jak však k tomuto ustanovení uvádí EDPB, „použití výrazu ,zejména‘ však značí, že povinnosti, na něž se vztahuje rozdělení odpovědnosti za plnění jednotlivými zúčastněnými stranami v souladu s tímto ustanovením, nejsou vyčerpávající“.
Dle EDPB by totiž taková smlouva měla obsahovat i další ujednání, které řeší:
provádění obecných zásad ochrany osobních údajů (článek 5);
právní základ zpracování (článek 6);
bezpečnostní opatření (článek 32);
ohlašování porušení zabezpečení osobních údajů dozorovému úřadu a subjektu údajů (články 33 a 34);
posouzení vlivu na ochranu osobních údajů (články 35 a 36);
využití zpracovatele (článek 28);
předávání údajů do třetích zemí (kapitola V);
uspořádání kontaktů se subjekty údajů a dozorovými úřady.
Zde však obsahové požadavky EDPB nekončí. EDPB k tomu totiž v obecné podobě dodává: „V zájmu lepšího vymezení rozdělení odpovědnosti mezi stranami doporučuje EDPB, aby toto ujednání poskytovalo rovněž obecné informace o společném zpracování, a to zejména upřesněním předmětu a účelu zpracování, druhu osobních údajů a kategorií subjektů údajů.“
EDPB se totiž domnívá, že předmětná smlouva by se měla ideálně věnovat i tématům, jako je omezení používání osobních údajů pro jiný účel jedním ze společných správců a podobně.
GDPR zpřesňuje obsahové požadavky dále v čl. 26 odst. 2, dle kterého jsou správci povinni náležitě zohlednit své úlohy a vztahy vůči subjektům údajů. I když se totiž společní správci mohou dohodnout na tom, kdo bude za oba plnit úkoly vůči subjektům údajů, dle čl. 26 odst. 3 GDPR platí, že za plnění povinností v rámci výkonu práv subjektu údajů jsou odpovědní vždy oba, respektive že subjekt údajů se se svým požadavkem může obrátit na kteréhokoliv z nich.
V rámci smlouvy mezi společnými správci by měl být také věnován prostor vztahům se třetími stranami. Předně EDPB doporučuje, aby smlouva upravovala i povinnosti ve vztahu k poskytování součinnosti vůči dozorovým orgánům (jakkoliv takovým ujednáním nejsou dozorové orgány vázány).
Za plnění povinností vůči subjektům údajů jsou odpovědní oba společní správci
Přímo z GDPR také vyplývá jedna z klíčových povinností. V okamžiku, kdy jsou do zpracování osobních údajů zapojeni dva společní správci, mají vůči subjektům údajů zvýšenou informační povinnost. Kromě obsahových náležitostí dle čl. 13 a 14 GPDR mají povinnost informovat i o podstatných náležitostech jejich vzájemného ujednání, tedy smlouvy společných správců. Ačkoliv GPDR neuvádí, co považuje za podstatné náležitosti takového ujednání, EDPB se poměrně logicky domnívá, že kromě obsahových náležitostí čl. 13 a 14 GDPR by se mělo jednat o ty části, kde se řeší jednotlivé vztahy a odpovědnosti vůči jednání se subjekty údajů (například proces výkonu práv subjektu údajů včetně kontaktního místa a podobně).
Z výše uvedeného je tak patrné, že sepsání takové smlouvy je zpravidla o dost komplikovanější než sepsání zpracovatelské smlouvy. V rámci zpracovatelské smlouvy máme relativně pevně daný obsah a také mnoho výkladových materiálů a podkladů, díky nimž jsme schopni napsat smlouvu, která bude v souladu s GDPR, relativně jednoduše.
U smlouvy společných správců máme podstatně méně indicií a sepsání takové smlouvy si vyžaduje již poměrně dobrou znalost pravidel ochrany osobních údajů, ale také parametrů spolupráce. Bez detailních znalostí v obou sférách totiž pravděpodobně nevznikne dokument, se kterým by byl EDPB spokojen a který by potenciálně nepřinášel riziko odpovědnosti.
Commenti