Úřad pro ochranu osobních údajů


International


Vyhledávání

 

Základní odkazy


Cesta: Titulní stránka > Hlavní menu > Poradna

 

Zpracovatel

 

 
 
Jaké jsou povinnosti zpracovatele?

Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů správce. Zpracovatel musí postupovat podle smlouvy nebo právního předpisu, které jej zavazují vůči správci a v nichž je stanoven 
  • předmět a doba trvání zpracování, 
  • povaha a účel zpracování, 
  • typ osobních údajů a kategorie subjektů údajů, 
  • povinnosti a práva správce. 
Osobní údaje musí být adekvátně zabezpečeny i u zpracovatele. Zpracovatel nesmí zapojit do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. Zpracovatel je povinen dodržovat další povinnosti uvedené zejména v článku 28 GDPR.

Kdo je typickým zpracovatelem v oblasti dodávek služeb IT?

Provozovatel (části) informačního systému pro správce osobních údajů, externí správce sítě, externí bezpečnostní správce, poskytovatel datového úložiště (cloudu).

Zajišťuji podporu, která nezahrnuje operace zpracování a ochrany osobních údajů (ale z povahy věci mohu občas data vidět). Provádím opravy zařízení a výpočetní techniky. Jsem dodavatelem drobných služeb spočívajících v servisu PC. Jsem zpracovatelem?

Ne. Zpracovateli nejsou osoby, které se při provádění svých služeb, tj. plnění  smlouvy s objednatelem (jinak správcem osobních údajů), mohou pouze nahodile dostat do styku s osobními údaji zpracovávanými tímto správcem, aniž by osobní údaje jakkoliv zpracovávaly. Náplň vaší činnosti byste měl mít jasně popsanou ve smlouvě, aby bylo zřejmé, že předmětem smlouvy mezi objednatelem a vámi není  – a mezi vaše povinnosti coby dodavatele nepatří – osobní údaje zpracovávat. 

Současně lze doporučit, abyste se vůči objednateli smluvně zavázal k mlčení o veškerých bezpečnostních opatřeních a dále k tomu, že při jakémkoliv nahodilém přístupu k údajům budete tyto údaje chránit a zejména nezpřístupníte a nepředáte údaje nikomu dalšímu.

K rozesílání objednaného zboží využívám poštovní a přepravní společnosti. Musím s nimi mít uzavřenou smlouvu o zpracování osobních údajů?

V případě výkonu základních (poštovních) služeb, spočívajících pouze ve vlastním doručování zásilek, jde o samostatnou činnost dodavatele těchto služeb, tedy správce údajů, který provádí zpracování nebytné pro jím stanovený účel doručování. Tím, že obdrží od původního správce (např. od e-shopu) doručovací adresy (osobní údaje adresátů pro účely doručení) a zajistí doručení zásilek, neprovádí zpracování údajů jako zpracovatel

Doručovatel zásilek tedy jedná na vlastní odpovědnost a není nutno s ním uzavírat zvláštní zpracovatelskou smlouvu

Pokud však správce sjedná s dodavatelem poštovních služeb další činnosti, např. kompletaci zásilek, vč. tisku oznámení obsahujících osobní údaje a jejich vkládání do obálek, jedná se již o činnost zpracovatele. V takovém případě je nutné na tento rozsah činnosti uzavřít smlouvu o zpracování osobních údajů dle čl. 28 GDPR, případně může být její ujednání součástí podmínek poskytované služby.

V jakých případech může zpracovatel v souladu s GDPR užívat služeb dalších subdodavatelů při zpracování osobních údajů?

Subdodavatelé jsou vázáni čl. 29 GDPR. Ten stanovuje, že zpracovatel a jakákoliv osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce. Výjimkou jsou pouze situace, kdy jí jejich zpracování ukládá například právo Unie nebo členského státu. 

Pokud tyto osoby jednají z pověření správce a na jeho pokyn, mohou mít přístup k osobním údajům. Správce tedy musí o všech těchto „subzpracovatelích“ vědět a stanovit či schválit pravidla o tom, jak budou s osobními údaji zacházet.

V jakých situacích je dodavatel kamerového systému zpracovatelem?

1) Dodavatel poskytuje pouze řešení kamerového systému a jeho instalaci – v jeho provozu se však dále neangažuje. V tomto případě není dodavatel systému zpracovatelem.

2) Zákazník se s dodavatelem dohodne i na průběžné kontrole a údržbě kamerového systému, kdy zaměstnanci servisní společnosti v rámci výkonu těchto služeb nahlíží do pořízených záznamů a tyto spravují na pokyn a pro potřebu správce. V takovém případě je servisní společnost v postavení zpracovatele osobních údajů a jí a jejím zaměstnancům pověřeným nahlížet do záznamů vyplývají  obdobné povinnosti podle GDPR jako správci – objednateli služeb a jeho zaměstnancům. V takovém případě je nezbytné splnit následující náležitosti:
  • Správce využije pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů.
  • Správce uzavře smlouvu o zpracování osobních údajů, ve které je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Smlouva o zpracování osobních údajů nemusí být samostatná smlouva, ale podstatné je, aby zmíněné náležitosti byly obsahem smluvního ujednání mezi správcem a zpracovatelem. K podrobnostem smlouvy viz čl. 28 GDPR. 
 
Zodpovídá: Mgr. Vojtěch Marcín
Vytvořeno / změněno: 6.4.2018 / 15.10.2018

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém