Kvůli pokutám? Kdeže.
Zpracovatelské smlouvy jsou součástí našich obchodních vztahů, ať se nám to líbí, nebo ne. Pokud tedy dochází k uzavírání nových obchodních smluv, pozornost se často věnuje zpracování osobních údajů, a to nejen v rámci IT.
Nemá smysl bavit se o tom, jaká je šance, že konkrétní zpracovatelská smlouva bude kontrolována ze strany ÚOOÚ. Důvod, proč je dobré mít uspokojivě vyřešenou problematiku zpracování osobních údajů a mít popř. dobře upravenou zpracovatelskou smlouvu, jsou trochu jinde.
Vyjednávání o podmínkách smlouvy není vždy rovnocenné
V rámci vyjednávání o obchodní smlouvě jsem se často setkal s případy, kdy jedna ze smluvních stran z povahy věci diktuje podmínky a její poslední slovo je to, co platí. Mnohdy tak s klienty společně bojujeme (zejména u SaaS) o to, aby poskytovatel garantoval alespoň základní parametry služby. Odpověď bývá většinou tato - "V takovém případě ale odměna neodpovídá parametrům služby a budeme ji muset zvednout".
V tomto okamžiku však přichází kouzlo zpracovatelských smluv.
Zpracovatelská smlouva jako nástroj k lepším podmínkám
Můžete mi věřit, že mi pod rukama prošlo bezpočet zpracovatelských smluv. Některé byly skvělé, některé byly mizerné. Pro všechny však platilo jedno, vždy, když se řešilo obchodní nastavení, vyjednávání vyhrál ten, kdo měl zpracovatelskou smlouvu v pořádku, popř. ustál základní podmínky.
Moje nejčastější taktika při vyjednávání tak spočívá v tom, že věnuji pozornost nejen samotné obchodní smlouvě, ale i zpracovatelské smlouvě. Díky chybám a upozorněním na nedostatky najednou klient získává lepší vyjednávací pozici.
Poskytovatel nechce garantovat dostupnost atd.? Ok, jak se tedy vypořádáme s tím, že podle čl. 28 odst. 3 písm. c) GDPR je poskytovatel "povinen" přijmout "všechna" opatření požadovaná podle čl. 32 GDPR, mezi něž patří i schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování. Nebo ještě lépe - schopnost obnovit dostupnost údajů a přístup k nim včas v případě fyzických či technických incidentů?
Jak se vyrovnat s tím, že obchodní smlouva (hlavní smlouva) stanovuje menší garanci, než povinný obsah zpracovatelské smlouvy?
V rámci vyjednávání není lepšího odstranění "dead-locku", než upozornění protistrany, že uzavřením smlouvy v předloženém znění by došlo k porušení zákona z obou stran. Jakmile se otevře vyjednávání ohledně zpracovatelské smlouvy, otevírají se jednání ohledně základního nastavení právního vztahu a není nic lepšího, než tuto situaci využít.
Moje zkušenost se zpracovatelskými smlouvami předloženými protistranou
Většinou platí, že žádný správce (analogicky i zpracovatel) nechce mít s každým obchodním partnerem jinou smlouvu (je to totiž super nepraktické a nepřehledné).
V takovém případě tak "silnější" smluvní strana předkládá svoji zpracovatelskou smlouvu. Dlužno dodat, že pro málokoho je problematika ochrany osobních údajů a priori důležitá (to často ani pro klienta). Můj postup tak je tak většinou jednoduchý a doporučuji ho všem. Stačí se totiž podívat na zpracovatelskou smlouvu předloženou protistranou, věnovat 30 minut na sepsání chyb. V závislosti na chybách (a tomu, jak moc věnujete pozornost sepsání chyb) je pak protistrana v pozici, kdy se musí rozhodnout, zda se vypořádat s připomínkami či umožnit předložení jiné zpracovatelské smlouvy.
V 9/10 případů se protistrana rozhodne neutrácet za vypořádání připomínek a raději si nechá předložit "cizí" zpracovatelskou smlouvu.
Věřte nebo ne, u jednoho klienta, který takových smluv podepisuje fakt hodně, to vedlo skutečně k tomu, že většina zpracovatelských smluv se podařilo nahradit vlastním vzorem klienta.
Jakmile však překládáte svoji zpracovatelskou smlouvu, dostáváte se částečně do silnějšího postavení. V takovém případě totiž můžete např. komplexní úpravu práva na audit, která je dobře nastavena pro vás (např. kvůli hrazení nákladů apod.) vyměnit za něco lepší podmínky ve smlouvě hlavní.
Proč je důležité nad tím přemýšlet?
Myslet si, že donutíte smluvní strany, aby vám poskytla lepší SLA jen proto, že její zpracovatelská smlouva neobsahuje všechny náležitosti dle čl. 28 GDPR, je lichá.
To však neznamená, že se toho nedá pořád využít.
Žádná ze zpracovatelských smluv není vyrovnaná (obecně smlouvy nejsou vyrovnané, zde to však platí obzvláště). Pokud jste zpracovatel, jste povinen umožnit dle čl. 28 odst. 3 písm. h) GDPR. To je fakt, se kterým se musíme všichni smířit a nezohlednění této skutečnosti ve zpracovatelské smlouvě je automaticky porušením GDPR.
Rozdíl je však v tom, jestli je audit omezen, ať už rozumným rozsahem nebo časově. Na tom přeci záleží, stejně tak jako na tom, kdo ponese náklady takového auditu, jak moc dopředu je nutno jej oznámit, jak často se takový audit může provést apod.
Těchto maličkostí je však ve smlouvě mraky.
Co si z toho odnést?
Dejte si zpracovatelskou smlouvu do pořádku. Nestačí udělat CTRL+C čl. 28 GDPR a CTRL + V jej vložit do hlavičkového papíru. Zamyslete se nad tím, jak správně zpracovatelskou smlouvu nastavit, aby Vám dávala smysl, ale zároveň ji dotáhněte tak, aby to byla právě Vaše zpracovatelská smlouva, kterou se bude vztah řídit.
Sledujte jaké zpracovatelské smlouvy uzavíráte a přemýšlejte nad tím, jak využít příležitosti k vyjednávání o smluvních podmínkách.
Sledujte mě na twitteru a přidejte si mě na LinkedIn a dejte mi vědět v komentářích, jaká je vaše zkušenost.