Smlouva o zpracování osobních údajů (GDPR)

I předchozí právní úprava zakotvovala povinnost pro správce a zpracovatele osobních údajů uzavřít smlouvu o zpracování osobních údajů. Konkrétně byla tato povinnost vyjádřena v ustanovení § 6 zákona o ochraně osobních údajů , přičemž požadavkům na obsah smlouvy o zpracování osobních údajů jsme se věnovali v právním oběžníku č. 11/2015. Vzhledem k tomu, že nařízení Evropského parlamentu a Rady 2016/679 označované jako GDPR (dále jen „nařízení“) požadavky na obsah takové smlouvy dále rozšiřuje a vzhledem k tomu, že drtivá většina internetových obchodníků využívá při své činnosti zpracovatele osobních údajů (může se jednat o služby v oblasti hostingu, marketingu, správy software, účetnictví apod.), rozhodli jsme se touto problematikou zabývat blíže také v tomto právním oběžníku.

Obsahové požadavky smlouvy jsou stanoveny v ustanovení čl. 28 odst. 3 nařízení. Obecné požadavky na obsah smlouvy jsou uvedeny v první větě tohoto ustanovení, jež uvádí, že zpracování zpracovatelem se řídí smlouvou, která zavazuje zpracovatele vůči správci a v níž je „stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce.“ Tento výčet obecných obsahových požadavků je poměrně nesourodý. Kupříkladu uvedení „práv a povinností“ nedává příliš smysl, neboť každá smlouva obsahuje nějaká práva a povinnosti. Další konkrétní obsahové náležitosti jsou pak poměrně rozsáhle rozvedeny v druhé větě ustanovení čl. 28 odst. 3 nařízení. Vzhledem k tomu, že rozsah těchto obsahových požadavků značně převyšuje požadavky současné právní úpravy, bude nutné ke dni účinnosti nařízení (25/5/2018) existující smluvní vztahy nahradit novými (či uzavřít příslušné dodatky) tak, aby bylo plně vyhověno nové právní úpravě.

Jak bylo naznačeno, povinnost mít uzavřenu smlouvu o zpracování dopadá jak na správce osobních údajů, tak i na zpracovatele. Podle ustanovení čl. 28 odst. 9 nařízení smlouva musí být smlouva vyhotovena „písemně, v to počítaje i elektronickou formu.“ Smlouva o zpracování osobních údajů nemusí být nezbytně vyhotovena v samostatném dokumentu a v praxi tak může být zahrnuta v rozsáhlejších smluvních ujednáních mezi stranami (kupříkladu v podmínkách hostingových služeb apod.). Lze předpokládat, že kupříkladu velké nadnárodní společnosti poskytující cloudová řešení, budou mít tuto otázku ošetřenu ve vzorové dokumentaci (nicméně to neznamená, že nutně ku prospěchu svých zákazníků).

Ustanovení čl. 28 odst. 6 až odst. 8 nařízení předpokládají možnost, že Evropská komise či jednotlivé dozorové orgány národních států vydají standardizované smluvní doložky v této oblasti: „aniž jsou dotčeny individuální smlouvy mezi správcem a zpracovatelem, mohou být smlouvy nebo jiné právní akty podle odstavců 3 a 4 tohoto článku založeny zcela nebo částečně na standardních smluvních doložkách…“ Taktéž je předpokládána možnost řešení těchto vztahů prostřednictvím akceptace standardizovaného kodexu chování zpracovatelem (čl. 28 odst. 5 nařízení). Nicméně dle našich informací není žádná z těchto variant (standardizované smluvní doložky či kodexy chování) v současné době v praxi dispozici.

V této souvislosti je vhodné také zmínit, že v rámci nařízení byla přidána role tzv. dalšího zpracovatele. Kupříkladu pokud společnost, která zajišťuje pro obchodníka provoz internetového obchodu, využívá pro ukládání osobních údajů kupujících úložiště třetí osoby (cloudové řešení), je taková třetí osoba (provozovatel úložiště) tímto dalším zpracovatelem. Na dalšího zpracovatele taktéž dopadá regulace daná nařízením, a to včetně požadavku na uzavření smlouvy o zpracování osobních údajů (v tomto případě tedy smlouva mezi zpracovatelem a dalším zpracovatelem). Obsahové náležitosti této smlouvy o zpracování osobních údajů jsou shodné jako v případě vztahu mezi správcem a zpracovatelem (viz výše).

Josef Aujezdský, advokát

Advokátní kancelář Mašek, Kočí, Aujezdský
www.e-Advokacie.cz – on-line právní poradenství

Tento text byl advokátní kanceláří Mašek, Kočí, Aujezdský původně vyhotoven ve spolupráci se spolkem Asociace pro elektronickou komerci (APEK) jako právní oběžník č. 11/2017 určený členům tohoto spolku.

20.10.2019
autor: Josef Aujezdský