Úřad pro ochranu osobních údajů


International


Vyhledávání

 

Základní odkazy


Cesta: Titulní stránka > Hlavní menu > Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění účinném od 1. července 2017

 

7. Správce, zpracovatel

 

 
 
Za co správce odpovídá?

Správce odpovídá za dodržování povinností kladených obecným nařízením. Zcela zásadní je dodržování zásad zpracování, jejichž plnění zároveň musí být správce schopen doložit. Základním nezbytným předpokladem je existence řádného právního důvodu zpracování osobních údajů, kterým správce musí disponovat, aby vůbec mohl osobní údaje zpracovávat (např. zpracovává osobní údaje zákazníků z titulu s nimi uzavřené smlouvy a pro uspokojování této smlouvy či v rámci povinné archivace). Zároveň je nutné osobní údaje dostatečně zabezpečit. Samozřejmostí však musí být plnění i dalších povinností stanovených obecným nařízením. Každý správce by si měl ověřit, v jakém rozsahu na něj obecné nařízení dopadá, zejména pokud jde o nové povinnosti založené na přístupu na riziku (např. může dopadat povinnost jmenovat pověřence, posoudit vliv na ochranu osobních údajů).

Mohou být společní správci?

Ano, nově obecné nařízení výslovně počítá i s možností tzv. společných správců. Jde o případ, kdy účel a prostředky zpracování stanoví společně dva nebo více správců, kteří si mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za plnění povinností.

Jak se mě, jako správce, obecné nařízení dotýká?

Každého správce se obecné nařízení dotýká jiným způsobem, a to v závislosti na aspektech zpracování, které provádí. Přístup založený na riziku váže některé povinnosti pouze na riziková či vysoce riziková zpracování, tudíž některé povinnosti mnoho správců nemusí plnit (např. mít pověřence není plošná povinnost), zatímco na jiné správce dopadají více méně všechny stanovené povinnosti (tj. včetně mít pověřence, posoudit vliv některých zpracování). Každý správce by si měl udělat vlastní analýzu zpracování, které provádí, čímž zjistí, jaké eventuální povinnosti se na něj vztahují. Součástí analýzy je i vytipování slabých míst správce, např. v zabezpečení, či provedení revize právních důvodů a jejich uvedení do souladu s podmínkami obecného nařízení (např. pokud správce využívá souhlas se zpracováním osobních údajů, provést zhodnocení, zdali udělené souhlasy jsou použitelné i v době účinnosti obecného nařízení).

Pokud správce řádně plnil povinnosti vyplývající ze zákona č. 101/2000 Sb., o ochraně osobních údajů, nemělo by pro něj obecné nařízení představovat výrazný problém, se kterým by si neporadil.

Důležité též je nezapomenout na osvětu zaměstnanců, aby především věděli, co se rozumí osobním údajem a byli si vědomi povinností, které musí dodržovat.

Jak na vztah správce – zpracovatel?

Správce může ke zpracování osobních údajů přibrat jiný subjekt, který pro něj bude osobní údaje zpracovávat. Správce by měl využít pouze takového zpracovatele, který s ohledem na povahu, kontext, kategorii osobních údajů a jejich možností, poskytuje dostatečné záruky vhodných technických a organizačních opatření, tak aby zpracování osobních údajů prostřednictvím zpracovatele splňovalo požadavky obecného nařízení a byla zajištěna ochrana práv subjektů údajů. Za tím účelem musí být mezi správcem a zpracovatelem uzavřena písemná smlouva, v níž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Smlouva dále musí zaručovat určité okolnosti zpracování, viz článek 28 odst. 3 obecného nařízení.

Není nutné, aby se jednalo o samostatnou smlouvu, požadované náležitosti lze zakomponovat i do jiné smlouvy, kterou správce se zpracovatelem uzavírá v rámci např. obchodního či jiného vztahu.

Správce se přizváním zpracovatele a priori nezbavuje odpovědnosti za zpracování osobních údajů.

Může zpracovatel zapojit do zpracování jiného zpracovatele?

Jde o tzv. řetězení zpracovatelů, které není a priori zakázáno, nicméně je nutné, aby správce k tomuto dal písemné svolení zpracovateli. Svolení může být dáno k dalšímu konkrétnímu zpracovateli, nebo může být dáno obecné svolení, v takovém případě však zpracovatel musí správce informovat o veškerých přijetích dalších zpracovatelů nebo jejich nahrazení, přičemž u přibrání nového zpracovatele může správce vznést námitku. Účelem tak je, aby správce, který za zpracování osobních údajů primárně odpovídá, věděl, které subjekty pro něj osobní údaje zpracovávají.

Musí být měněny „staré“ smlouvy o zpracování osobních údajů mezi správcem a zpracovatelem?

V případě, že smlouvy odpovídají obsahově požadavkům obecného nařízení, resp. nemají s ohledem na kontext a účel zpracování výrazné nedostatky, není nutné je nově uzavírat. V opačném případě je nutné provést jejich nové sjednání, resp. aktualizaci tak, aby odpovídaly požadavkům obecného nařízení.

 
Zodpovídá: Mgr. Vojtěch Marcín
Vytvořeno / změněno: 27.10.2017 / 25.4.2019

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém