Úřad pro ochranu osobních údajů


International


Vyhledávání

 

GDPR telefonní linka

Základní odkazy


Cesta: Titulní stránka

 

Zpracovatel

 

 
 
Jaké jsou povinnosti zpracovatele?

Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů správce. Zpracovatel musí postupovat podle smlouvy nebo právního předpisu, které jej zavazují vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Osobní údaje musí být adekvátně zabezpečeny i u zpracovatele. Zpracovatel nesmí zapojit do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. Zpracovatel je povinen dodržovat další povinnosti uvedené zejména v článku 28 GDPR.

Kdo je typickým zpracovatelem v oblasti dodávek služeb IT?

Provozovatel (části) informačního systému pro správce osobních údajů, externí správce sítě, externí bezpečnostní správce, poskytovatel datového úložiště (cloudu).

Zajišťuji podporu, která nezahrnuje operace zpracování a ochrany osobních údajů (ale z povahy věci mohu občas data vidět). Provádím opravy zařízení a výpočetní techniky. Jsem dodavatelem drobných služeb spočívajících v servisu PC. Jsem zpracovatelem?

Ne. Zpracovateli nejsou osoby, které se při provádění svých služeb, tj. plnění  smlouvy s objednatelem (jinak správcem osobních údajů), mohou pouze nahodile dostat do styku s osobními údaji zpracovávanými tímto správcem, aniž by osobní údaje jakkoliv zpracovávaly. Náplň vaší činnosti byste měl mít jasně popsanou ve smlouvě, aby bylo zřejmé, že předmětem smlouvy mezi objednatelem a vámi není  – a mezi vaše povinnosti coby dodavatele nepatří – osobní údaje zpracovávat. Současně lze doporučit, abyste se vůči objednateli smluvně zavázal k mlčení o veškerých bezpečnostních opatřeních a dále k tomu, že při jakémkoliv nahodilém přístupu k údajům budete tyto údaje chránit a zejména nezpřístupníte a nepředáte údaje nikomu dalšímu.

K rozesílání objednaného zboží využívám poštovní a přepravní společnosti. Musím s nimi mít uzavřenou smlouvu o zpracování osobních údajů?

V případě výkonu základních (poštovních) služeb spočívající pouze ve vlastním doručování zásilek, jde o samostatnou činnost dodavatele těchto služeb, tedy správce údajů, který provádí zpracování nebytné pro jím stanovený účel doručování. Tím, že obdrží od původního správce (např. od eshopu) doručovací adresy (osobní údaje adresátů pro účely doručení) a zajistí doručení zásilek, neprovádí zpracování údajů jako zpracovatel. Doručovatel zásilek tedy jedná na vlastní odpovědnost a není nutno s ním uzavírat zvláštní zpracovatelskou smlouvu. Pokud však správce sjedná s dodavatelem poštovních služeb další činnosti, např. kompletaci zásilek, vč. tisku oznámení obsahující osobní údaje a jejich vkládání do obálek, jedná se již o činnost zpracovatele a v takovém případě je nutné, na tento rozsah činnosti, uzavřít smlouvu o zpracování osobních údajů dle čl. 28 GDPR, případně může být její ujednání součástí podmínek poskytované služby.

V jakých případech může zpracovatel v souladu s GDPR užívat služeb dalších subdodavatelů při zpracování osobních údajů?

Subdodavatelé jsou vázáni čl. 29 GDPR, který stanoví, že zpracovatel a jakákoliv osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce, ledaže jí jejich zpracování ukládá právo Unie nebo členského státu. Pokud tyto osoby jednají z pověření správce a na jeho pokyn, mohou mít přístup k osobním údajům. Správce tedy musí o všech těchto „subzpracovatelích“ vědět a stanovit či schválit pravidla o tom, jak budou s osobními údaji zacházet.
 
Zodpovídá: Mgr. Vojtěch Marcín
Vytvořeno / změněno: 6.4.2018 / 6.4.2018

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém