Umíte si poradit se všemi náležitostmi zpracovatelské smlouvy? Které údaje činí v praxi největší problémy? Nezaměňujete účel zpracování s účelem smlouvy? Nová vodítka EDPB se vyplatí znát, protože sankce hrozí jak správci, tak zpracovateli.
Evropský sbor pro ochranu osobních údajů (dále jen EDPB) na plenárním zasedání přijal návrh vodítek č. 07/2020, jež se týkají koncepce správce a zpracovatele dle GDPR, přijaté 2. září 2020. Ačkoli se jedná o návrh, k němuž má veřejnost možnost uplatnit svoje připomínky do 19. října 2020, rozhodně tento dokument nemůžeme nechat bez povšimnutí.
Při sjednávání zpracovatelských smluv správcům i zpracovatelům často dělá problém správně implementovat povinnosti dle čl. 28 odst. 3 písm. a) až h) GDPR. Ještě častějším problémem je však implementace obecných povinností, které jsou stanoveny přímo v čl. 28 odst. 3. Tvůrci zpracovatelských smluv se tak velmi těžko vyrovnávají s pojmy, jako je povaha zpracování či typ osobního údaje. Pojďme se na to podívat zblízka a doplnit, co si o tom myslí EDPB.
Sankce dostane jak správce, tak zpracovatel
Forma zpracovatelské smlouvy
EPDB nepřichází prakticky s ničím novým v případě formy – zpracovatelská smlouva musí být uzavřena písemně, popřípadě v elektronické formě. V případě nepsané smlouvy EDPB potvrzuje, že se jedná o porušení GDPR, stejně jako v případě absolutní absence takové smlouvy. Toto porušení pak pochopitelně jde jak za správcem, tak i zpracovatelem, přičemž smluvní sankce lze v takovém případě udělit oběma.
Jednu zvláštnost však přece jen v rámci této části najdeme. EDPB se věnuje tématu postavení zpracovatele v případě, kdy je silnější smluvní stranou a diktuje podmínky. S ohledem na tyto skutečnosti EDPB uvádí, že v případě jednostranných změn zpracovatelské smlouvy (či zpracovatelské doložky) je nutno o této změně správce uvědomit a nechat ji schválit. Samotné zveřejnění změny na stránkách zpracovatele není dle EDPB v souladu s čl. 28 GDPR.
K obsahu zpracovatelské smlouvy
V praxi se často objevují zpracovatelské smlouvy, které jsou sice na dvě stránky, nicméně pouze doslovně kopírují text čl. 28 GDPR. K tomu se EDPB vyjadřuje tak, že zpracovatelská smlouva by neměla pouze „papouškovat“ text GDPR, nicméně i blíže uvádět konkrétnější informace o tom, jaká úroveň zabezpečení je například předmětem zpracovatelské smlouvy a podobně.
V každém případě by se mělo zohledňovat postavení jednotlivých zpracovatelů. To však neznamená, že by smlouva neměla obsahovat všechny požadavky čl. 28 odst. 3 GDPR. EDPB spíše hovoří o tom, že správce by měl do zpracovatelské smlouvy uvést i možný popis rizik a další prvky tak, aby zpracovatel rizikovost jednotlivých operací správně odhadl. Dále si rozebereme podrobněji každou z náležitostí zpracovatelské smlouvy i to, jak se k nim staví EDPB.
Pokud je zpracovatel pověřen zpracováním méně rizikových operací, neměly by mu být přisuzovány příliš přísné povinnosti
Předmět zpracování
Formulace předmětu zpracování nedělá obvykle potíže (pokud se ovšem na tuto náležitost ve zpracovatelské smlouvě nezapomene, což se stává docela často). EDPB v tomto bodě uvádí jako příklad pořizování videozáznamu lidí při vstupu do vysoce zabezpečeného zařízení a odchodu z něj. Při formulaci předmětu zpracování EDPB apeluje na to, aby byl specifikovaný tak, aby bylo zřejmé, co je hlavním cílem zpracování.
Trvání zpracování
Údaj o trvání zpracování by měl být uveden buď jako přesné vymezení časového údaje, nebo alespoň jako kritérium pro jejich určení. EDPB uvádí, že tato náležitost může být splněna i provázáním na dobu trvání samotné zpracovatelské smlouvy. S tímto se v praxi setkáváme nejčastěji, proto je potvrzení správného postupu ze strany EDPB více než vítané.
Povaha zpracování
V případě povahy zpracování narážíme na nejčastější problémy. Řada tvůrců zpracovatelských smluv považuje tuto povinnost za splněnou v případě, kdy uvedou informaci, zda je zpracování manuální, či automatizované. Druhý tábor naopak přesně vypisuje operace zpracování uvedené jako příklad v definicích v čl. 4 odst. 2 GDPR (tedy velmi konkrétně jako uložení, shromáždění, nahlížení a podobně). Pravdou však je, že smyslem smluvního zakotvení povahy zpracování je uvedení pouze typů operací, přičemž jako příklad EDPB uvádí natáčení, nahrávání, archivace obrázků. V tomto duchu tak není třeba věci komplikovat a vypisovat plejádu všech operací, ale skutečně uvést pouze jejich nadřazený pojem či jejich společných znak.
Účel zpracování
Účel zpracování bývá neméně častým problémem – schválně nahlédněte do několika zpracovatelských smluv, co máte právě po ruce, a podívejte se, zda místo účelu zpracování není spíše uveden účel samotné smlouvy (což je možná na první pohled detail, nicméně rozhoduje o tom, zda splňujete čl. 28 odst. 3 GDPR, či nikoli). EDPB v rámci příkladu uvádí účel detekce nezákonného přístupu – jistě uznáte, že jde o něco jiného než účel provozování kamerového systému. Dle pokynu EDPB by popis měl být co nejúplnější, aby například i třetí strany (jako ÚOOÚ) pochopily obsah a rizika svěřená zpracovateli.
Zkontrolujte, zda místo účelu zpracování neuvádíte účel samotné smlouvy
Typy osobních údajů
Nikdy jsem nestrávil tolik času výkladem jednoho slova, jako je pojem typ osobních údajů. S tímto pojmem se totiž v textu GDPR prakticky už nesetkáte. Z toho důvodu jsem vždy klientům doporučoval, aby do předmětných zpracovatelských smluv pro jistotu uváděli i kategorie osobních údajů (jako například adresní údaje zákazníků, mzdové údaje zaměstnanců a podobně), což je pojem, u něhož jsme si už jisti, jak jej chápat. EDPB v tomhle ohledu zastává stejný postoj.
EDPB totiž typ osobního údaje prakticky vykládá jako kategorii osobních údajů, a to aniž vysvětluje, co jej k tomu vede. V konečném důsledku lze jeho výklad chápat i tak, že typ osobních údajů je naopak podřízený pojem kategorii osobních údajů. Sám EDPB jako příklad typu osobního údaje uvádí videozáznam jednotlivců vstupujících do budovy a opouštějících budovu. V tomto duchu tak lze doporučit pokračovat v uvádění kategorií osobních údajů, přičemž v kombinaci s kategorií subjektů údajů lze jistě hovořit o naplnění smyslu a cíle ustanovení čl. 28 odst. 3 GDPR.
Kategorie subjektu údajů
V případě kategorií subjektů údajů nenastávají významnější potíže. I zde EDPB uvádí, že přípustné je pouze konkrétní vymezení, přičemž jako příklad uvádí návštěvníky, zaměstnance či doručovací službu. Pokud se na uvedení kategorie subjektu údajů přímo nezapomene, nečiní v praxi většinou problémy.
Povinnosti a práva správce
Uvedení práv a povinností správce je poslední z náležitostí samotného čl. 28 odst. 3 GDPR, přičemž tato práva a povinnosti jsou předmětem písm. a) až h) stejného článku a odstavce. Pokud jste tedy pod touto náležitostí hledali njaké bližší podmínky mimo ty jmenované v předmětných písmenech, hledali jste zbytečně.
Nicméně i EDPB uvádí, že v určitých případech může být rozsah povinností mezi správcem a zpracovatelem navzájem širší, než jak jej uvádí čl. 28 odst. 3 písm. a) až h) GDPR. V závislosti na kontextu zpracování mohou být uplatněny dodatečné podmínky (například v případě mezinárodního předávání osobních údajů zpracovatelem a podobně).
Závěr
Zpracovatelská smlouva patří mezi jeden z nejdůležitějších dokumentů, které bychom měli mít v souladu s GDPR. Z předchozích příspěvků víme, že zpracovatelská smlouva je často předmětem kontroly ÚOOÚ a v případě jejího rozporu s GDPR se nemůžeme vymlouvat, že její znění předložila druhá smluvní strana – stejně jako v případě absence GDPR mohou za toto porušení odpovídat obě smluvní strany.
V příštím díle vás seznámíme s ostatními požadavky GDPR na zpracovatelskou smlouvu včetně toho, jak k věci přistupuje EDPB v rámci návrhu samotných vodítek.
Článek vyšel v Elektronickém zpravodaji pro pověřence dne 1. 10. 2020