Úřad pro ochranu osobních údajů


International


Vyhledávání

 

GDPR telefonní linka

Základní odkazy


Cesta: Titulní stránka

 

Stanovisko č. 1/2009 - Zpracování osobních údajů na základě smluv uzavíraných se zpracovateli (tzv. řetězení zpracovatelů osobních údajů)

 

Odkazy


 
 

únor 2009, aktualizace březen 2010

 

Úvod

V souvislosti se zpracováním osobních údajů zejména velkými popřípadě nadnárodními společnostmi se Úřad setkává s otázkou tzv. řetězení zpracovatelů. Jedná se o situaci, kdy správcem osobních údajů pověřený zpracovatel sám přenáší některé operace s osobními údaji na další subjekty, přičemž otázkou je, zda i tyto subjekty jsou v postavení zpracovatele osobních údajů ve smyslu zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (dále jen „zákon o ochraně osobních údajů“).

Odůvodnění

Východiskem pro posouzení zmíněné otázky jsou především ustanovení definující správce a zpracovatele. Podle § 4 písm. j) a k) zákona o ochraně osobních údajů je správcem každý subjekt, který určuje účel a prostředky zpracování, provádí zpracování a odpovídá za něj, a zpracovatelem každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona. V souladu s § 4 písm. j) zákona o ochraně osobních údajů je oprávněn zpracováním zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak, pouze správce.

     S ohledem na uvedené je zřejmé, že je to právě správce, který rozhodne, že určitého cíle bude dosahovat pomocí zpracování osobních údajů, a jak konkrétně bude takové zpracování probíhat. Tato pozice (toho, kdo rozhodl o zpracování a jeho veškerých parametrech) se odráží v odpovědnosti správce za celé zpracování, která v sobě zahrnuje i odpovědnost za případné přenechání některých, popř. i všech, fází či kroků zpracování jiným subjektům – zpracovatelům. Je proto nepřípustné, aby zpracovatel, který je pověřen pouze jasně vymezenými úkoly, sám rozhodl o tom, že zpracování bude prováděno jiným způsobem. Takové řetězení zpracovatelů by ve svém důsledku mohlo vést ke vzniku stavu, kdy správce, který o zpracování rozhodl, a jehož jménem se celé zpracování provádí, přestává mít toto zpracování pod kontrolou a nemůže tak dostát svým povinnostem např. podle § 12 a 21 zákona o ochraně osobních údajů.

     Zajištění náležité úrovně ochrany osobních údajů, a tedy i ochrany soukromí, které je základním smyslem zákona o ochraně osobních údajů, je dáno i tím, že v případě, kdy správce ponechává zpracování na zpracovateli, je povinen uzavřít s ním smlouvu o zpracování osobních údajů podle § 6 zákona o ochraně osobních údajů, ve které vymezí úkoly zpracovatele a vyžádá si záruky ohledně zabezpečení dat. Ze znění tohoto ustanovení zcela jednoznačně vyplývá, že tuto smlouvu může uzavřít pouze správce se zpracovatelem, nikoli zpracovatel s dalším subjektem.

     Správce i zpracovatel však samozřejmě mohou využívat práce či služeb jiných osob (fyzických i právnických), a to v režimu § 14 zákona o ochraně osobních údajů. Toto ustanovení se vztahuje na zaměstnance správce či zpracovatele a dále na jiné osoby (fyzické i právnické), které zpracovávají údaje na základě smlouvy se správcem nebo zpracovatelem. Smlouvou je v tomto ustanovení myšlena pracovní či jiná obdobná smlouva, nikoli smlouva o zpracování osobních údajů podle § 6 zákona o ochraně osobních údajů.

     Zaměstnance nebo např. osoby spolupracující na základě dohody o pracovní činnosti či dohody o provedení práce nelze tedy označit za zpracovatele ve smyslu § 4 písm. k) zákona o ochraně osobních údajů. Na uvedeném nic nemění skutečnost, že osoby spolupracující v režimu podle § 14 zákona o ochraně osobních údajů provádějí, v rámci své pracovní činnosti pro správce nebo zpracovatele, s osobními údaji úkony, které lze označit jako zpracování ve smyslu zákona o ochraně osobních údajů.

     Odpovědnost za toto zpracování však nese pouze správce nebo zpracovatel (kromě povinnosti podle § 15 zákona o ochraně osobních údajů). Pro určení odpovědného subjektu v konkrétním případě je rozhodné, zda k zapojení těchto dalších osob na straně zpracovatele došlo v mezích oprávnění vyplývajících mu ze smlouvy uzavřené podle § 6 zákona o ochraně osobních údajů, a to především s ohledem na záruky ohledně zabezpečení ochrany osobních údajů, které zpracovatel v rámci smlouvy o zpracování osobních údajů poskytl, nebo nikoliv.

     Zapojení třetích osob na straně zpracovatele je tedy nutno posuzovat primárně z hlediska požadavků podle § 13 zákona o ochraně osobních údajů, a to včetně zajištění kontroly dodržování bezpečnostních opatření a plnění pokynů pro zpracování osobních údajů – obdobně, jako by se jednalo o vlastní zaměstnance zpracovatele.

     K uvedenému výkladu je dále možné doplnit, že v postavení zpracovatele se ocitá pouze ten, kdo se skutečně podílí na zpracování osobních údajů, tj. vykonává pro správce určité operace s těmito daty, nikoli však ten, kdo správci např. pouze poskytuje infrastrukturu (zejména HW či SW) a s osobními údaji jinak nenakládá.

     V případě, kdy zpracovatel překročí oprávnění, které mu vyplývá z pověření správce, tj. ze smlouvy podle § 6 zákona o ochraně osobních údajů, fakticky stanoví nový účel zpracování, pro nějž se stává správcem (oprávněným, či neoprávněným) s veškerou z toho vyplývající odpovědností.

Závěr

Řetězení zpracovatelů, tj. situace, kdy by se z rozhodnutí zpracovatele na zpracování údajů podílel další subjekt v postavení zpracovatele ve smyslu § 4 písm. k) zákona o ochraně osobních údajů, není tímto zákonem umožněno, což nevylučuje, aby se na zpracování osobních údajů ve výše uvedeném smyslu podílely i jiné osoby.

Informace o rozhodnutí Evropské komise 2010/87/EU

Rozhodnutí Evropské komise ze dne 5. 2. 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES, přináší (s účinností od 15. května 2010) z hlediska problematiky pojednávané v tomto stanovisku určité doplnění. Přestože se uvedené rozhodnutí zabývá výhradně otázkou předávání osobních údajů do tzv. třetích zemí, tj. zemí, které nejsou členskými státy Evropské unie a jejichž právní předpisy negarantují dostatečnou úroveň ochrany osobních údajů, nelze opomíjet fakt, že tímto právním předpisem byl vztah správce – zpracovatel doplněn o vztah zpracovatel – dílčí zpracovatel (v terminologii používané v oblasti předávání osobních údajů do zahraničí jde o vztah vývozce údajů – dovozce údajů, resp. dovozce údajů – dílčí zpracovatel). Vývozcem údajů je tedy správce usazený v Evropské unii, který předává osobní údaje, a dovozcem údajů je pak zpracovatel usazený ve třetí zemi, který se zavazuje přijímat od vývozce údajů osobní údaje a zpracovávat je jeho jménem. Evropská komise se tím snaží zohlednit obvyklou praxi, kdy zpracovatel osobních údajů umístěný ve třetí zemi spolupracuje s dalšími subjekty, a formalizovat tyto vztahy za účelem zvýšení bezpečnosti zpracovávaných osobních údajů.

Dle rozhodnutí 2010/87/EU se „dílčím zpracovatelem“ rozumí „zpracovatel najatý dovozcem údajů nebo jiným dílčím zpracovatelem dovozce údajů, který se zavazuje přijímat od dovozce údajů nebo od jiného dílčího zpracovatele dovozce údajů osobní údaje určené výhradně pro činnosti spojené se zpracováním jménem vývozce údajů po předání v souladu s pokyny vývozce údajů, standardními smluvními doložkami stanovenými v příloze a podmínkami písemné smlouvy o dílčím zpracování“.

V souladu s citovaným rozhodnutím může tedy zpracovatel údajů ve třetí zemi (tj. dovozce údajů) pověřit částí zpracování další subjekt, který se tím dostane do pozice dílčího zpracovatele. Podmínkou pro takový postup je však předchozí písemný souhlas správce údajů (vývozce) a existence písemné smlouvy mezi zpracovatelem a dílčím zpracovatelem, v níž jsou dílčímu zpracovateli uloženy stejné povinnosti ohledně ochrany osobních údajů, jakými je vázán dovozce. Plnou odpovědnost vůči správci údajů (vývozci) má však vždy zpracovatel údajů (dovozce), tj. odpovídá i za porušení pravidel na straně dílčího zpracovatele.

Nicméně i nadále platí, že bez souhlasu správce se na zpracování nemůže podílet další subjekt v pozici zpracovatele osobních údajů a s odpovědností z toho vyplývající. Za určitých podmínek však lze – v rámci zpracování osobních údajů předaných do zahraničí – další subjekty, které se podílejí na činnosti zpracovatele, označit jako „dílčí zpracovatele“.

 

Odkazy


Hesla rejstříku této stránky

 
Zodpovídá: PhDr. David Pavlát
Vytvořeno / změněno: 21.3.2013 / 21.3.2013

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém