Kontrolujete své zpracovatele? Měli byste!

Někteří správci se stále domnívají, že s uzavřením vzorové zpracovatelské smlouvy jejich práce končí. Tak to však bohužel nefunguje. Stejně jako na vaší straně i u zpracovatele se může časem mnohé změnit. Jako správci byste ho proto měli pravidelně kontrolovat. Jak na to?

Řízení dodavatelů v rámci jakékoliv organizace není zrovna snadné. S příchodem GDPR se navíc požadavky na tuto agendu ještě více zpřísnily. Pět let od účinnosti GDPR se stále najde mnoho správců (a zpracovatelů), kteří berou povinnosti týkající se zpracovatelských smluv na lehkou váhu a riskují tak pokutu jak pro sebe, tak pro své klienty/dodavatele. Jim ale dnešní článek určen není, neboť v okruhu pravidelných čtenářů Zpravodaje se jistě nenajde nikdo, koho by se tento problém týkal. Pojďme se však podívat na praktické požadavky a zkušenosti, jež se s řízením zpracovatelů pojí.

Zpracovatelskou smlouvou to nezačíná

Než se pustíme do praktických bodů spojených se zpracovatelským vztahem, zastavme se ještě na chvíli u obsahových požadavků na zpracovatelskou smlouvu. Článek 28 (zejména pak odst. 2, 3 a 4) sice stanovuje obsahové požadavky na zpracovatelskou smlouvu, nicméně její obsah by neměl být pouhým překopírováním předmětného textu do těla smlouvy. Tomuto tématu jsme se ve Zpravodaji věnovali už několikrát (například zde), proto zopakujeme jen pár základních pravidel.

Předně, zpracovatelská smlouva by měla obsahovat skutečně všechny body, které jsou uvedeny v čl. 28 odst. 3 GDPR, přičemž by neměla být příliš stručná. Schválně si vezměte libovolnou zpracovatelskou smlouvu, a pokud v ní najdete větu: „Zpracovatel se zavazuje zpracovávat osobní údaje pouze na základě doložitelných pokynů správce.“ bez dalšího upřesnění, je skutečně čas na revizi vašeho dokumentu. Ostatně, toto není výmysl právníků či právní názor malé části advokátů, jedná se o informace z pokynů EDPB (viz výše odkazovaný článek).

Co všechno bychom měli udělat předtím, než vůbec zpracovatelskou smlouvu uzavřeme? I tomuto tématu jsme se věnovali v článku Prověřte si zpracovatele aneb jenom smlouva vás nezachrání (viz zde) a připravili jsme pro vás interaktivní dotazník, který vám významně ulehčí implementaci souvisejících povinností do vašich procesů (viz zde).

Základní otázka zní: Jakého zpracovatele může správce pověřit zpracováním osobních údajů? Pouze takového, který poskytuje dostatečné záruky za zavedení vhodných technických a organizačních opatření. Navazující otázka: Stačí nám tedy uzavřít zpracovatelskou smlouvu, kde se zpracovatel k takovým věcem zaváže? Odpověď zní, jak samozřejmě tušíte – nikoliv.

Pokud bychom totiž zvolili zpracovatele a slepě věřili jeho prohlášení ve smlouvě, aniž bychom udělali krok navíc a ověřili si, že jeho prohlášení je pravdivé, před ÚOOÚ bychom nejspíše neobstáli.

Uzavřením zpracovatelské smlouvy to nekončí

V posledním prosincovém čísle jsme vás vyzývali k provedení reauditu plnění povinností vyplývajících z GDPR. Ostatně, součástí zásady odpovědnosti je i vyhodnocování toho, zda se nezměnily parametry námi prováděných zpracování, zda se nezměnil jejich rozsah, doba uložení, způsob nakládání s údaji či technologie, kterou pro zpracování využíváme.

Podobně bychom měli přistupovat k našim zpracovatelům. Bez čeho se samozřejmě neobejdeme, je důkladná evidence našich dodavatelů/zpracovatelů, která by měla obsahovat veškeré klíčové informace, tak abychom byli schopni se během pár okamžiků zorientovat v úkolech každého ze zpracovatelů a taktéž dohledat zpracovatelskou smlouvu. To však neplatí jen pro naše dodavatele, s nimiž uzavíráme zpracovatelskou smlouvu obvyklým způsobem, ale i pro zpracovatele/nástroje a služby, u nichž se zpracovatelská smlouva uzavírá v rámci akceptace obchodních podmínek. I v tomto případě bychom měli být schopni během okamžiku najít aktuální a účinnou smluvní dokumentaci, kterou jsme vázáni.

Vedení náležité dokumentace by mělo být samozřejmostí. Bez tohoto seznamu dodavatelů/zpracovatelů bychom nebyli schopni obstát před kontrolou ÚOOÚ, který se téměř vždy ptá na to, kdo všechno má k osobním údajům přístup, a očekává, že takový seznam zpracovatelů obdrží.

Vraťme se však k procesu reauditu. Ve chvíli, kdy zjišťujeme, co se změnilo u nás, měli bychom svoji pozornost obrátit i na zpracovatele. Pokud totiž kontrolujeme neměnnost určitých parametrů, musíme podobnou evaluaci provést i u našich dodavatelů. V praxi se nejedná o nic složitého. Měli bychom znovu provést klasifikaci zpracovatele a zaslat mu již jednou zaslaný dotazník (viz odkazovaný článek výše) s žádostí o formální potvrzení správnosti, popřípadě požádat o nové vyplnění.

V případě, kdy máme indicie, že ke změně došlo, ačkoliv ji zpracovatel popírá či nepřiznává, měli bychom využít našeho oprávnění dle čl. 28 odst. 3 písm. h) GDPR, jež má být promítnuto do zpracovatelské smlouvy – a sice využít naše právo na informace a provedení auditu. Cílem auditu by mělo být ověření skutečnosti, že nedochází k porušování GDPR, a tím pádem zpracovatelské smlouvy. Podezření, že došlo ke změně parametrů na straně zpracovatele, je na místě například v okamžiku, kdy na naší straně auditu zjistíme, že předáváme jiný rozsah zpracovávaných údajů či že došlo ke změně technologie, popřípadě že se na straně zpracovatele změnili subdodavatelé.

Pravidelná kontrola je nutná

Ochrana osobních údajů nespočívá pouze v nastavení základních procesů, které odpovídají GDPR. Součástí našich povinností je i pravidelné vyhodnocování, zda jsou naše opatření dostatečná či zda se nezměnil status quo. Prakticky každý rok dochází k vydávání nových a nových stanovisek EDPB či se posouvá rozhodovací praxe dozorových úřadů – včetně výkladu některých ustanovení. I když jste v roce 2018 provedli (tehdy) bezchybnou implementaci GDPR, s přihlédnutím k vývoji v oblasti ochrany osobních údajů už dnes nemusíte být nutně v souladu s GDPR. Totéž platí i pro vaše zpracovatele.

Je třeba připomenout, že za výběr zpracovatele a za to, že tento zpracovatel plní, co slíbil, nesete jako správci zodpovědnost. Jestliže vám GDPR výslovně umožňuje provést audit zpracovatele (či po něm požadovat informace), je třeba počítat s tím, že pokud tohoto práva nevyužijete, měli byste být schopni před ÚOOÚ v souladu se zásadou odpovědnosti vysvětlit, z jakého důvodu jste této možnosti nevyužili.

Článek byl publikován v Elektronickém zpravodaji pro pověřence