Kdo je správce a kdo je zpracovatel?

Ale popořádku – jaký je vlastně rozdíl mezi správcem osobních údajů a jejich zpracovatelem? Jak dosavadní zákon č. 101/2000 Sb. o ochraně osobních údajů (dále jen „ZOOÚ), tak i Nařízení se shodují v tom, že správcem osobních údajů je subjekt, který určuje účel a prostředky zpracování osobních údajů (Nařízení trochu obšírněji vyjmenovává, že se může jednat o „fyzickou nebo právnickou osobu, orgán veřejné moci, agenturu nebo jiný subjekt“). Správcem je tedy každý, kdo zpracovává osobní údaje pro své vlastní účely (provozovatel e-shopu zpracovávající osobní údaje kupujících, nemocnice vedoucí údaje o pacientech nebo banka zpracovávající informace o svých klientech). V tomto ohledu je nutno mít na paměti, že zpracování jako takové je v obou zmíněných předpisech shodně definováno velmi široce – příkladmo vypočteno může být zpracováním uspořádání, strukturování, uložení, vyhledání, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování nebo výmaz osobních údajů. Správce může s osobními údaji provádět jen jednu z těchto operací, anebo (což je běžnější) s nimi provádí operací více, vždy tím však sleduje nějaký vlastní účel.

Oproti tomu zpracovatel osobních údajů rovněž provádí s osobními údaji jednu nebo více operací, sám však účel jejich zpracování nestanoví – tento účel stanoví správce, pro něhož zpracovatel zpracování provádí. Zpracovatel je vždy relativní kategorií, existující ve vztahu k určitému správci osobních údajů. Typicky je zpracovatelem externí účetní, vedoucí pro podnikatele účetnictví – účetní při zpracovávání účetních dokladů přichází do styku s identifikačními údaji dodavatelů a odběratelů, které jsou na těchto dokladech uvedeny, a na základě těchto údajů může doklady třídit nebo jinak strukturovat. Účel zpracování – tedy vedení účetnictví – v takovém vztahu určuje jednoznačně podnikatel, který je ze zákona povinen účetnictví vést a za toto vedení odpovídá, což mimo jiné vyžaduje i evidenci a zpracování jednotlivých účetních dokladů a údajů na nich uvedených. Pokud podnikatel tuto činnost outsourcuje, a zpracování účetních dokladů včetně údajů na nich uvedených za něj provádí externí účetní (myšleno jak fyzická tak i právnická osoba), vykonává tento účetní jednu nebo více činností zpracování osobních údajů za podnikatele, aniž by sám určoval účel tohoto zpracování. Základem tohoto zpracování je smlouva o poskytování účetních služeb, uzavřená mezi podnikatelem a účetním. Podobný vztah nalezneme například mezi uživatelem hostované e-mailové služby a jejím poskytovatelem (včetně služeb freemailových), mezi zaměstnavatelem a externím poskytovatelem HR služeb, nebo mezi zaměstnavatelem nebo marketingovou agenturou připravující propagační materiál s fotografiemi a jmény zaměstnanců. Lze tedy zobecnit, že zpracovatel standardně poskytuje správci údajů služby, u nichž je nutné, aby nakládal s osobními údaji, a to nikoliv s údaji správce samotného (je-li tento fyzickou osobou), ale s údaji jiných fyzických osob.

Smlouva o zpracování osobních údajů

Nejčastějším právním základem pro zpracování osobních údajů zpracovatelem je smlouva se správcem. V některých případech může být tímto titulem právní předpis – tak je tomu například v případě vedení systému centrální evidence obyvatel, který je fyzicky veden Ministerstvem vnitra, jako správci však s údaji v něm vedenými nakládají i územní samosprávné celky, případně další subjekty podle zákona o evidenci obyvatel. Pro běžné správce osobních údajů je však jediným relevantním právním důvodem spolupráce se zpracovatelem právě smlouva o zpracování osobních údajů. Tato smlouva může být pochopitelně součástí jiné, komplexní smlouvy o poskytování dané služby, nemusí se vždy jednat o samostatný dokument. Dosavadní ZOOU pro tuto smlouvu stanoví v § 6 pouze minimální požadavky, když musí upravovat alespoň rozsah, účel a dobu zpracování osobních údajů a záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. Co je podstatné, ZOOU pro tuto smlouvu stanoví povinně písemnou formu, což – přiznejme si – velice často není dodržováno. Málokdy se lze setkat s tím, že by například poskytovatel server-hostingových služeb uzavíral se svým uživatelem písemnou smlouvu s výše uvedenými náležitostmi, přitom však uživateli umožňuje, aby na jeho serverech provozoval aplikace, v rámci nichž jsou zpracovávány osobní údaje fyzických osob (zaměstnanců uživatele, jeho smluvních partnerů, uživatelů apod.). Nicméně pokud správce smlouvu o zpracování osobních údajů se zpracovatelem neuzavře, nejedná se podle ZOOU o správní delikt, za nějž by byla stanovena přímá sankce – neuzavření takové smlouvy může být považováno za porušení obecné povinnosti správce přijmout dostatečná bezpečnostní opatření, přístup Úřadu pro ochranu osobních údajů však už musí být odlišný, než kdyby posuzoval naplnění speciální skutkové podstaty správního deliktu, který by spočíval přímo v neuzavření smlouvy se zpracovatelem.

Pozor na pečlivý výběr zpracovatele

Nařízení zakládá právní vztah mezi správcem a zpracovatelem na stejných základech jako ZOOU - jako právní titul zpracování údajů zpracovatelem uvádí smlouvu nebo jiný právní akt podle práva EU nebo členského státu. Hlavním kritériem výběru zpracovatele je jeho schopnost poskytnout dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky Nařízení a aby byla zajištěna ochrana práv subjektů údajů. Nařízení tedy klade důraz na správce, aby posoudil schopnost zamýšleného zpracovatele dodržovat požadavky Nařízení v oblasti zabezpečení údajů a v oblasti výkonu práv subjektů, a aby výběr zpracovatele byl výsledkem určitého hodnotícího procesu. Lze očekávat, že neschopnost správce doložit náležité vyhodnocení výběru zpracovatele může být v případě vzniku bezpečnostního incidentu na straně zpracovatele přičítáno k tíži právě správci.

Možnost zavedení standardních smluvních doložek

U smluv o zpracování osobních údajů uzavíraných se zpracovateli nastalo oproti dosavadní úpravě několik změn. Především dává Nařízení možnost nahradit individuální smlouvu tzv. standardními smluvními doložkami. Tyto doložky si lze představit jako vzorová standardizovaná ujednání upravující určitou oblast zpracování osobních údajů, které schvaluje Evropská Komise nebo národní dozorový úřad (tedy Úřad pro ochranu osobních údajů). Vzhledem k tomu, že Nařízení podporuje standardizaci a jednotnost v ochraně osobních údajů, mohou být tyto doložky součástí osvědčení, udělovaného správcům nebo zpracovatelům příslušným národním dozorovým úřadem nebo zvláštním akreditačním orgánem ve formě certifikátů a známek osvědčujících soulad procesů daného subjektu s Nařízením. V Nařízení jsou standardní smluvní doložky zmíněny jednak v souvislosti se smlouvami o zpracování osobních údajů, a jednak v souvislosti s předáváním osobních údajů do třetích zemí (mimo EU), kdy mají představovat určitou záruku dostatečné ochrany osobních údajů na straně příjemce údajů v třetí zemi. Prozatím nebyly žádné doložky v tomto smyslu vydány, nicméně lze očekávat, že budou-li skutečně uvedeny do praxe, mohou znamenat značné zjednodušení procesu uzavírání smluv mezi správci a zpracovateli, alespoň v případě jednodušších forem zpracování osobních údajů.

Změny v obsahu smluv o zpracování osobních údajů

Další změnou jsou minimální obsahové náležitosti smlouvy o zpracování údajů. Oproti aktuálnímu ZOOÚ, stanovícímu pouze tři základní náležitosti uvedené výše, by měla smlouva se zpracovatelem upravit alespoň následující:

• předmět a dobu zpracování údajů;
• povahu a účel zpracování;
• typ a kategorie osobních údajů;
• povinnosti a práva správce;
• těmto právům odpovídající povinnosti zpracovatele, zejména:
  • závazek zpracovatele zpracovávat údaje pouze na základě doložených pokynů správce;
  • záruky mlčenlivosti osob, oprávněných zpracovávat osobní údaje na straně zpracovatele;
  • povinnost zpracovatele přijmout vyjmenovaná opatření k zabezpečení OÚ;
  • při zapojení dalšího zpracovatele zajišťovat z jeho strany stejné povinnosti a úroveň zabezpečení OÚ;
  • součinnost se správcem při plnění jeho povinností vůči subjektům OÚ;
  • nápomoc zpracovatele správci se zajištěním souladu s požadavky zabezpečení a hlášení incidentů;
  • úpravu postupu při ukončení zpracování (výmaz, předání OÚ správci);
  • součinnost se správcem při ověřování plnění povinností zpracovatele.

Jak je vidět, nároky na obsah smlouvy jsou oproti ZOOU vyšší. Pozitivní rozhodně je, že tvrdý požadavek písemné formy smlouvy stanovený ZOOU byl zmírněn tím, že za písemnou formu se považuje rovněž forma elektronická. Ze smyslu celého Nařízení dovozujeme, že tato forma je dodržena mimo jiné i odsouhlasením obsahu smlouvy bezvýhradným zakliknutím příslušného pole za předpokladu, že obsah smlouvy je jasně prokazatelný a archivovatelný. Toto zmírnění požadavku písemné formy zajisté zjednoduší uzavírání smluv s poskytovateli cloudových a dalších obdobných služeb, které jsou standardně uzavírány prostřednictvím internetu (a u nichž dosavadní povinnost písemné formy nebyla často dodržována).

Jaké povinnosti se vztahují přímo na zpracovatele?

Ve vztahu ke zpracovateli je nutno zmínit, že Nařízení výrazně rozšířilo katalog povinností, výslovně dopadajících i na zpracovatele. V Nařízení lze tyto povinnosti rozeznat podle toho, že je příslušné ustanovení uvozeno slovy „Správce nebo zpracovatel…“. Každý subjekt v postavení zpracovatele osobních údajů tak musí především:

• jmenovat svého zástupce v EU, je-li usazen mimo území EU;
• vést záznamy o činnostech zpracování ve smyslu čl. 30 Nařízení (tuto povinnost mají primárně podniky zaměstnávající více než 250 zaměstnanců, ovšem pozor – dopadá i na jakékoli subjekty menší, pokud zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, nebi zpracování není pouze příležitostné)
• spolupracovat s dozorovým úřadem pro účely výkonu jeho pravomocí;
• přijmout vhodná technická a organizační opatření k zajištění dostatečné úrovně zabezpečení údajů, odpovídající riziku vyplývajícímu z daného zpracování;
• jmenovat tzv. pověřence pro ochranu osobních údajů (DPO) v případech, kdy tak požaduje čl. 37 Nařízení;
• hlásit jakékoli případy porušení zabezpečení osobních údajů (bezpečnostní incidenty) správci, aby je mohl hlásit dozorovému úřadu s samotným subjektům údajů.

Oproti tomu pouze správci jsou uloženy následující povinnosti (a zpracovatel tedy nemůže odpovídat za jejich splnění):

• identifikace právního základu zpracování (správce musí ke každé činnosti zpracování stanovit, zda probíhá-li na základě souhlasu subjektu, anebo zda je nezbytné pro plnění smlouvy s ním uzavřené či například pro plnění zákonné povinnosti správce);
• určení účelu a prostředků zpracování osobních údajů;
• plnění přímých povinností vůči subjektům údajů (v rámci práva subjektů na informace o zpracování jeho osobních údajů, dále práva na výmaz, opravu, omezení zpracování osobních údajů, námitky proti zpracování, přenositelnost k jinému správci apod.) s tím, že zpracovatel je povinen k výkonu těchto povinností poskytnout správci veškerou potřebnou součinnost, např. zejména při vyhledání osobních údajů nebo jejich exportu);
• hlášení incidentů dozorovému úřadu a samotným subjektům údajů.

„Jenom“ zpracovatel, anebo už správce osobních údajů?

Obecně lze říci, že základní rozdíl mezi správcem a zpracovatelem spočívá právě v určení účelu zpracování. Platí tak například, že poskytovatel cloudové aplikace – např. účetního software, umožňující uživateli aplikace ukládat osobní údaje jiných osob (tedy údaje jeho obchodních partnerů, jimž uživatel vystavuje účetní doklady nebo je od nich přijímá), poskytuje tomuto uživateli pouze prostředek ke zpracování údajů, účel tohoto zpracování však určuje právě tento uživatel. Uživatel by si k témuž účelu mohl stejně tak zvolit nějaký jiný obdobný software jiného poskytovatele, případně by mohl využívat on-premise řešení provozované přímo na jeho vlastní infrastruktuře (v takovém případě by dodavatel takového řešení vůbec nevystupoval v pozici zpracovatele osobních údajů, neboť by nevykonával žádnou z činností zpracování, ledaže by byl oprávněn nějakým způsobem nakládat s databází v rámci uživatelské podpory).

Ve stanovení účelu je základní dělící kritérium – jakmile zpracovatel začne stanovovat účel zpracování, stává se automaticky správcem osobních údajů, se všemi tomu odpovídajícími povinnostmi. Pokud tedy ve zmíněném případě zpracovatel začne data ukládaná uživatelem v dané cloudové aplikaci vyhodnocovat k marketingovým nebo analytickým účelům, pak určil nový účel zpracování, ve vztahu k němuž je sám v postavení správce údajů. Je poměrně běžné, že se zpracovatelé nacházejí zároveň v postavení správce osobních údajů – jako zpracovatelé nakládají s daty třetích osob poskytnutými ze strany svých zákazníků, smluvních partnerů, a jako správci nakládají s daty svých zaměstnanců anebo zákazníků samotných.

Na rozdíl od dosavadní právní úpravy zavádí Nařízení za porušení výše uvedených povinností pokuty nejen správci, ale i přímo zpracovateli – například pokutu za neuzavření smlouvy o zpracování osobních údajů. Z hlediska své výše patří tyto pokuty do nižší sazby, jejíž maximum může dosáhnout výše 10 mil. EUR, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok. Hovoříme-li o této maximální výši pokut, je nutno zároveň podotknout, že Nařízení obsahuje poměrně podrobná pravidla pro stanovení výše pokuty, která byla ještě upřesněna výkladovým stanoviskem skupiny WP29, a lze očekávat, že běžná výše ukládaných pokut bude dosahovat řádově nižších hodnot.

Závěr

Každý subjekt, který vykonává jakoukoli činnost zpracování osobních údajů, by měl v rámci implementace GDPR posoudit, zda se při některých operacích nenachází v postavení zpracovatele osobních údajů nebo zda zpracovatele k těmto operacím nevyužívá, a následně svůj vztah se svým protějškem (správcem či zpracovatelem) upravit tak, aby odpovídal výše uvedeným podmínkám. Obě strany by se tak měly snažit o úpravu smlouvy o zpracování osobních údajů (v horších případech teprve o její samotné uzavření) i o nastavení vyhovujících podmínek zabezpečení údajů a spolupráce v oblasti výkonu práv subjektů a informační povinnosti. Ze zkušenosti považujeme tuto otázku vztahu správce a zpracovatele za jednu z nejdůležitějších, ale zároveň mi nejzanedbávanějších záležitostí týkajících se ochrany osobních údajů.

Mgr. et Mgr. Petr Mališ Autor je společníkem v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, ochrannými známkami a internetovým právem.