Při provozu většiny internetových obchodu dochází ke zpracování osobních údajů. Skoro stejně často jsou pak osobní údaje zpracovávané provozovatelem internetového obchodu svěřovány třetím osobám (kupříkladu hostingovým společnostem, marketingových společnostem apod.). Přestože povědomí podnikatelů o existenci regulace v oblasti osobních údajů a jejím obsahu vzrůstá, málokdy jsou všechny požadavky zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o zpracování osobních údajů“), v praxi také naplňovány.

Jednou z těchto trochu zanedbávaných oblastí je i úprava vztahů mezi správcem osobních údajů a zpracovatelem osobních údajů. Porušení zákona o ochraně osobních údajů nese v současné době pro obchodníky spíše reputační riziko, než že by hrozilo udělení podstatné správní sankce Úřadem pro ochranu osobních údajů, ale i tu nelze zcela vyloučit (zejména v případě udání).

Internetový obchodník bude ve většině případů vystupovat v roli tzv. správce osobních údajů. Správce osobních údajů vymezuje ustanovení § 4 písm. j) zákona o ochraně osobních údajů jako „subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj.“ Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele. I s ohledem na poměrně široké vymezení pojmu zpracování osobních údajů v zákoně o ochraně osobních budou takovým zpracovatelem zejména subjekty, které pro obchodníka zajišťují hostingové, marketingové či mailingové služby (kupříkladu včetně osob, které obchodník pověřil zajišťováním jeho spotřebitelských soutěží). Tedy každá osoba, která „na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje…“.

Ustanovení § 6 zákona o ochraně osobních údajů zakotvuje, že správce osobních údajů „musí se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu.“ Tato povinnost nebývá v praxi často naplněna. Může se jednat buď o zvláštní smlouvu o zpracování osobních údajů, nebo mohou být ujednání týkající se zpracování osobních údajů součástí jiné písemné smlouvy uzavírané mezi správcem a zpracovatelem (kupříkladu hostingová společnost má ujednání o zpracování osobních údajů integrovány do své standardizované smluvní dokumentace).

Ustanovení § 6 zákona o ochraně osobních údajů pak obsahuje také vymezení podstatných náležitostí smlouvy o zpracování osobních údajů. „Musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů.“ Míra komplexity těchto smluvních ujednání se v praxi značně liší. Někdy se jedná o ujednání na jednu normostranu a jindy o celou komplexní smluvní dokumentaci (zejména v případě peněžních institucí). Při koncipování obsahu smlouvy o zpracování osobních údajů je nutné mít na paměti také další požadavky a konsekvence vyplývající ze zákona o ochraně osobních údajů (ve vztahu ke správci či zpracovateli), včetně skutečnosti, že správce osobních údajů nese v této oblasti odpovědnost za jednání zpracovatele.

Závěrem je vhodné uvést, že výše zmiňovaný vztah mezi správcem a zpracovatelem osobních údajů je nutné vždy odlišovat od situace, kdy ze strany obchodníka dochází k předání osobních údajů jinému správci. Tento problematice se budeme případně věnovat v některém z dalších právních oběžníků.

Josef Aujezdský

Advokátní kancelář Mašek, Kočí, Aujezdský
www.e-Advokacie.cz – on-line právní poradenství

Tento text byl advokátní kanceláří Mašek, Kočí, Aujezdský původně vyhotoven ve spolupráci se spolkem Asociace pro elektronickou komerci (APEK) jako právní oběžník č. 11/2015 určený členům tohoto spolku.