Máte ve zpracovatelské smlouvě přesné pokyny ke zpracování údajů? Zavázal se vám zpracovatel, že po skončení smlouvy smaže svěřené osobní údaje? Na základě nových vodítek EDPB poradíme, jak sestavit funkční smlouvu.
V minulém díle jsme se věnovali návrhu vodítek č. 07/2020, týkajících se koncepce správce a zpracovatele dle GDPR, která byla přijata Evropským sborem pro ochranu osobních údajů. Víme tedy, jak se vypořádat se základními parametry dle čl. 28 odst. 3 GDPR, jež musí být součástí každé zpracovatelské smlouvy. Je však vhodné pojednat i o dalších náležitostech zpracovatelské smlouvy, a to o povinnostech dle čl. 28 odst. 3 písm. a) až h) GDPR.
Doložitelné pokyny správce
Na několika místech GDPR se dočteme, že zpracovatel by měl zpracování provádět pouze v případě, že mu k tomu správce udělil pokyn. Tato informace je proto prakticky každému známá – přesto se správné zachycení této podmínky ve zpracovatelské smlouvě (tak, jak to požaduje čl. 28 odst. 3 písm. a) GDPR) nevidí v praxi často. Tato skutečnost je poměrně zarážející, neboť v případě, kdy zpracovatel překročí pokyny správce, se nejen dopouští porušení jeho povinností, ale také se sám dostává do pozice správce osobních údajů. Z toho důvodu by zpracování mělo probíhat na základě pokynů, které mohou (ale také nemusí) obsahovat bližší podmínky zpracování osobních údajů. Za zcela nesprávnou praxi lze označit postup, kdy pouze formalisticky do smlouvy umístíte ustanovení „zpracovatel se zavazuje zpracovávat osobní údaje pouze na základě doložitelných pokynů“, aniž by smluvní strany byť alespoň jednou měly v plánu takový pokyn udělit, přijmout a řídit se jím. EDPB potvrzuje, že je více než vhodné, aby samotná zpracovatelská smlouva obsahovala i mechanismus přijímání takových pokynů (například že pokyn bude zaslán e-mailem), a zároveň doporučuje uchovávat takové pokyny spolu se smlouvou.
EDPB se však vyhnul situacím, kdy udělení pokynu zpravidla nedává moc smysl – tak je tomu například v případě trvajících činností (jako je hosting, kde jsou uchovány osobní údaje) nebo v situacích, kdy správce využívá zpracovatele ve formě aplikace, která je však samoobslužná bez většího aktivního zapojení samotného zpracovatele. Zde se lze dále domnívat, že není vyloučen ani obecný pokyn, jímž může být i sama zpracovatelská smlouva – musí na to být však v textaci smlouvy myšleno.
V případě rozesílatele e-mailů, který má povinnost prostřednictvím své aplikace umožňovat odvolání souhlasu a vyloučení ze zasílání obchodních sdělení, je zřejmé, že samotné vypořádání této žádosti může učinit zpracovatel bez přímého vědomí správce
Zachování mlčenlivosti
V převážné většině případů zpracovatelská smlouva doprovází nějakou hlavní smlouvu (ať už je to smlouva o dílo, poskytování služeb, servisní smlouva, rámcová smlouva a podobně), tudíž povinnosti týkající se mlčenlivosti bývají již mezi smluvními stranami upraveny. Na jednu věc se však často zapomíná a i EDPB ji ve vodítkách připomíná – to, že máme zaměstnance zavázány mlčenlivostí, ještě neznamená, že bychom jako zpracovatelé neměli dbát na to, aby osobní údaje byly zpřístupněny pouze nezbytně nutnému počtu zaměstnanců. Bezpečnostní opatření
Další z povinností je, aby zpracovatelská smlouva obsahovala ustanovení o tom, že zpracovatel implementoval všechna opatření dle čl. 32 GDPR, tedy opatření týkající se bezpečnosti. Často se setkáváme s tím, že tato povinnost se „vyřeší“ tak, že se do smlouvy uvede pouze ustanovení „zpracovatel se zavazuje přijmout vhodná bezpečnostní opatření“ – toto však není podle EDPB dostatečné. Zpracovatelská smlouva by totiž měla být více konkrétní tak, aby na základě uvedených bezpečnostních opatření byl správce schopen odhadnout rizika, která se pojí se zpracováním, a zároveň byl schopen doložit soulad dle zásady odpovědnosti.
EDPB dokonce uvádí, že správce by měl zpracovateli poskytnout popis činností zpracování a požadovanou úroveň zabezpečení a schválit opatření navržená zpracovatelem – to vše by pak mělo být promítnuto do přílohy zpracovatelské smlouvy.
Řetězení zpracovatelů
Jak se staví GDPR k možnostem zapojení dalšího zpracovatele, víme – buď generální souhlas (a umožnění námitek), anebo ad hoc schválení každé změny zpracovatele. Nejhorší chybou je, pokud jsou v rámci zpracovatelské smlouvy uvedeny oba případy naráz, aniž to je jakkoli vysvětleno. Pro oba případy EDPB stanovuje, že by měl být ve smlouvě uveden detailnější popis procesu získávání souhlasu či řešení námitek správce (například ve formě vzorových formulářů takových změn v přílohách zpracovatelské smlouvy).
Klíčové je také ustanovení, jež říká, že další zpracovatel by měl být vázán stejnými ustanoveními jako zpracovatel, což může mít velmi zajímavé konsekvence. Více se tomu budeme věnovat v dalších číslech.
Nápomoc při uplatňování práv
Povinnost napomáhat může mít několik podob v závislosti na tom, o jakou spolupráci se jedná. Zajímavý je přístup EDPB, který připouští, že ačkoli je za samotné vypořádání požadavků subjektů údajů zodpovědný správce, lze uvažovat nad situací, kdy takové požadavky bude vypořádávat sám zpracovatel. V takovém případě je však nezbytně nutné, aby byly zpracovateli před zahájením zpracování uděleny jasné pokyny, jak se s takovými žádostmi vypořádávat.
Nápomoc při zajišťování souladu s čl. 32 až 36
EDPB na několika místech vodítek opakuje to, že cílem úpravy čl. 28 odst. 3 GDPR není bezmyšlenkovité přejímání textu GDPR do zpracovatelské smlouvy. Pro povinnost být nápomocen správci při zajišťování souladu s čl. 32 až 36 to platí dvojnásob. Dle EDPB by totiž úprava této povinnosti měla být konkrétní a stanovovat jasný proces žádosti o součinnost, popřípadě v přílohách smlouvy obsahovat nezbytné formuláře.
Jednou z podob této povinnosti je nápomoc správci s přijetím dostatečných opatření. V této podobě tak zpracovatel nemá jen povinnost zajistit, aby sám přijal taková opatření, ale být i nápomocen správci. Druhá podoba této povinnosti dle EDPB kopíruje úpravu povinnosti zpracovatele upozornit správce na to, když dojde k porušení zabezpečení – dle sboru by tak měla smlouva obsahovat hodinový deadline a také kontaktní údaj pro taková oznámení.
Poslední z podob EDPB vnímá jako povinnost napomáhat s posouzením vlivu. Zde se často setkáme s ničím neohraničenou povinností zpracovatele být správci maximálně nápomocen. Často ale narážíme na nepochopení situace, kdy za posouzení vlivu je vždy odpovědný správce a zpracovatel je k dispozici při vyhotovení, a to pouze pokud je to nezbytně nutné.
Povinnost osobní údaje vrátit a smazat
Zpracovatelská smlouva by měla obsahovat závazek, že zpracovatel vrátí nebo smaže kopie osobních údajů, které má s ohledem na zpracování u sebe k dispozici. Zde EDPB uvádí poměrně zajímavou myšlenku: smluvní úprava by měla reflektovat možnost správce změnit svoje rozhodnutí (zda chce osobní údaje vrátit nebo smazat), a to až do okamžiku ukončení zpracování. Obecně by tak smlouva měla obsahovat mechanismus, jak budou tyto instrukce vydávány či měněny.
Doložení splnění povinností a audit
V době příchodu GDPR bylo provádění auditu uváděno jako jeden z největších problémů ve vztahu mezi správcem a zpracovatelem. Diskuze se totiž vedla nad tím, jak bude toto právo zneužíváno a jak bude konkurence nastrkávat svoje špiony, aby mohli po vzoru známého televizního pořadu „prošmejdit“ kanceláře svého konkurenta. Ve skutečnosti se však jedná o poměrně logický institut, neboť pokud je správce vázán zásadou odpovědnosti a prakticky takovou odpovědnost i nese, potřebuje mít účinné nástroje k tomu, aby si ověřil, zda vše, co je uvedeno ve zpracovatelské smlouvě, je skutečné. EDPB potvrzuje naši zkušenost z praxe v tom, že zpracovatelská smlouva by měla v tomto bodě obsahovat bližší úpravu, jež se bude týkat četnosti a způsobu provedení auditu. Co se týče obsahu takové kontroly (či ověření), zpracovatel by měl poskytnout všechny informace, které se týkají použitých informačních systémů, přijatých bezpečnostních opatření, doby uchování osobních údajů, jejich umístění, příjemcích a podobně.
Obsah smlouvy musí být funkční
Na základě některých kontrolních zjištění stále shledáváme, že některým správcům a zpracovatelům činí problém vůbec nějakou zpracovatelskou smlouvu uzavřít. Pokud se tedy do tohoto úkolu pustíte, dbejte na to, aby obsah, který ve zpracovatelské smlouvě je, byl hlavně funkční. Jak totiž i několikrát připomíná EDPB, smyslem čl. 28 odst. 3 GDPR není otrocké přejímání předepsané právní úpravy, ale smysluplná implementace ustanovení, která mají zajistit, že zpracování osobních údajů bude probíhat v souladu s cílem GDPR.
Článek byl publikován v Elektronickém zpravodaji pro pověřence dne 15.10.2020