top of page

Co musí být ve smlouvě společných správců?

Obrázek autora: Josef BátrlaJosef Bátrla

Zamysleli jste se, zda při zpracování osobních údajů nevystupujete v roli společného správce? Je to častější, než jste si mysleli. Společným správcům GDPR ukládá několik povinností včetně uzavření smlouvy. Jak na to?

Vztahy povinných osob v rámci GDPR jsou kapitola sama o sobě. Ačkoliv GDPR je zde s námi již přes pět let (a tato povinnost dokonce vychází z původní směrnice), stále se setkáváme s obchodními případy, kde GDPR nehraje žádnou roli a je zcela opomíjeno.


Dlužno dodat, že situace je o něco lepší než dříve a v okamžiku předložení zpracovatelské smlouvy z jedné strany už většinou nepřicházejí zvídavé dotazy, proč takovou smlouvu uzavřít. Obě strany už zpravidla akceptují skutečnost, že dochází ke zpracování osobních údajů a že kdyby nedošlo k uzavření zpracovatelské smlouvy, mohou obě strany dostat pokutu.


Jenže vztah správce a zpracova­tele není jediným vztahem, s nímž se můžeme v rámci GDPR setkat. Naopak, s rozvojem business modelů různých služeb se stále častěji potkáváme se situacemi, kdy předmětný vztah není tvořen správcem a zpracovatelem (či správcem a správcem), ale zpracování probíhá v rovině společných správ­ců. Někdy se však na tento fakt úplně zapomíná, stejně jako na povinnosti, které v takových případech GDPR aktérům ukládá.

Na účelu a prostředcích zpracování se musíte domluvit

Ostatně není to ani tak dávno, co jsme informovali o pokutě CNIL poskytovateli remarketingových služeb, který se svými partnery neuzavíral předmětné smlouvy, a tím docházelo k porušení GDPR. V tomto článku se tedy podíváme na to, co by taková smlouva společných správců měla obsahovat.


Pro účely článku se obejdeme bez podrobného rozboru definice společných správců. Tato definice sice může v praxi působit potíže, ze strany WP29 či EDPB nicméně již přišlo mnoho vodítek a pokynů s praktickými příklady, díky nimž by si s tím každý člověk, který je v organizaci odpovědný za GDPR, měl poradit. Pro společné správce je příznačné, že společně určují účely a prostředky zpracování, nicméně stejně jako v případě vztahu správce a zpracovatel není vhodné tuto definici interpretovat pouze jazykovým výkladem.


Zaměřme se spíše na to, jaké povinnosti GDPR v takových případech ukládá. Nastavení vzájemných pravidel se věnuje GDPR relativně stroze v jednom článku (čl. 26) o třech odstavcích. Primárním způsobem regulace vztahů je požadavek na uzavření smlouvy (respektive slovy GDPR ujednání) mezi aktéry, jež má upravovat vzájemná práva a povinnosti, ale také povinnosti vůči třetím osobám.


Co se týče formálních náležitostí, GDPR žádné bližší podmínky neupravuje. Vlastně stanovuje pouze jedinou skutečnost, a sice že předmětné ujednání musí být transpa­rentní. Dle výkladu EDPB v pokynech č. 7/2020 je tak na smluvních stranách, pro kterou formu se svobodně rozhodnou, nicméně implicitně se předpokládá, že takovým ujednáním bude primárně smlouva, která by měla být uzavřena v právně závazné podobě, a to i s ohledem na zásadu odpovědnosti.

Společní správci musí uzavřít smlouvu, která upraví vzájemná práva a povinnosti

Stejně tak málo nám GDPR oproti zpracovatelské smlouvě (viz čl. 28 odst. 3 GDPR) sděluje o obsahových náležitostech takové smlouvy mezi společnými správci. GDPR výslovně hovoří o tom, že smluvní strany si mezi sebou „vymezí své podíly na odpovědnosti za plnění povinností podle tohoto nařízení, zejména pokud jde o výkon práv subjektu údajů, a své povinnosti poskytovat informace uvedené v článcích 13 a 14, pokud tuto odpovědnost správců nestanoví právo Unie nebo členského státu, které se na správce vztahuje“.


Velmi často se tak v praxi setkáváme se smlouvami, které jsou velmi krátké a na slovo skoupé a zpravidla obsahují pouze ustanovení, jež říká, že „za plnění povinnosti dle čl. 13 a 14 GDPR je odpovědný společný správce A, totéž platí o výkonu práv“. Jak však k tomuto ustanovení uvádí EDPB, „použití výrazu ,zejména‘ však značí, že povinnosti, na něž se vztahuje rozdělení odpovědnosti za plnění jednotlivými zúčastněnými stranami v souladu s tímto ustanovením, nejsou vyčerpávající“.


Dle EDPB by totiž taková smlou­va měla obsahovat i další ujednání, které řeší:


  • provádění obecných zásad ochrany osobních údajů (článek 5);

  • právní základ zpracování (článek 6);

  • bezpečnostní opatření (článek 32);

  • ohlašování porušení zabezpečení osobních údajů dozorovému úřadu a subjektu údajů (články 33 a 34);

  • posouzení vlivu na ochranu osobních údajů (články 35 a 36);

  • využití zpracovatele (článek 28);

  • předávání údajů do třetích zemí (kapitola V);

  • uspořádání kontaktů se subjekty údajů a dozorovými úřady.


Zde však obsahové požadavky EDPB nekončí. EDPB k tomu totiž v obecné podobě dodává: „V zájmu lepšího vymezení rozdělení odpovědnosti mezi stranami doporučuje EDPB, aby toto ujednání poskytovalo rovněž obecné informace o společném zpracování, a to zejména upřesněním předmětu a účelu zpracování, druhu osobních údajů a kategorií subjektů údajů.“


EDPB se totiž domnívá, že předmětná smlouva by se měla ideálně věnovat i tématům, jako je omezení používání osobních údajů pro jiný účel jedním ze společných správců a podobně.


GDPR zpřesňuje obsahové požadavky dále v čl. 26 odst. 2, dle kterého jsou správci povinni náležitě zohlednit své úlohy a vztahy vůči subjektům údajů. I když se totiž společní správci mohou dohodnout na tom, kdo bude za oba plnit úkoly vůči subjektům údajů, dle čl. 26 odst. 3 GDPR platí, že za plnění povinností v rámci výkonu práv subjektu údajů jsou odpovědní vždy oba, respektive že subjekt údajů se se svým požadavkem může obrátit na kteréhokoliv z nich.


V rámci smlouvy mezi společnými správci by měl být také věnován prostor vztahům se třetími stranami. Předně EDPB doporučuje, aby smlouva upravovala i povinnosti ve vztahu k poskytování součinnosti vůči dozoro­vým orgánům (jakkoliv takovým ujednáním nejsou dozorové orgány vázány).

Za plnění povinností vůči subjektům údajů jsou odpovědní oba společní správci

Přímo z GDPR také vyplývá jedna z klíčových povinností. V okamžiku, kdy jsou do zpracování osobních údajů zapojeni dva společní správci, mají vůči subjektům údajů zvýšenou informační povinnost. Kromě obsahových náležitostí dle čl. 13 a 14 GPDR mají povinnost informovat i o podstatných náležitostech jejich vzájemného ujednání, tedy smlouvy společných správců. Ačkoliv GPDR neuvádí, co považuje za podstatné náležitosti takového ujednání, EDPB se poměrně logicky domnívá, že kromě obsahových náležitostí čl. 13 a 14 GDPR by se mělo jednat o ty části, kde se řeší jednotlivé vztahy a odpověd­nosti vůči jednání se subjekty údajů (například proces výkonu práv subjektu údajů včetně kontaktního místa a podobně).


Z výše uvedeného je tak patrné, že sepsání takové smlouvy je zpravidla o dost komplikovanější než sepsání zpracovatelské smlouvy. V rámci zpracovatelské smlouvy máme relativně pevně daný obsah a také mnoho výkladových materiálů a podkladů, díky nimž jsme schopni napsat smlouvu, která bude v souladu s GDPR, relativně jednoduše.


U smlouvy společných správců máme podstatně méně indicií a sepsání takové smlouvy si vyžaduje již poměrně dobrou znalost pravidel ochrany osob­ních údajů, ale také parametrů spolupráce. Bez detailních znalostí v obou sférách totiž pravděpodobně nevznikne dokument, se kterým by byl EDPB spokojen a který by potenciálně nepřinášel riziko odpovědnosti.


Commenti


bottom of page