deposit-smlouva-spoluprace-podpis-dohoda-1-prev

NÁLEŽITOSTI ZPRACOVATELSKÉ SMLOUVY DLE GDPR

Září 26, 2018 9:10 am

V souvislosti s účinností GDPR došlo masovému uzavírání zpracovatelských smluv, čímž správci osobních údajů zareagovali na tento „nový“ institut. Proč uvozovky? Protože povinnost mít uzavřenou zpracovatelskou smlouvu vychází již z § 6 zákona č. 101/2000 Sb., o ochraně osobních údajů, tudíž povinnost k uzavření písemné smlouvy o zpracování osobních údajů mezi správcem a zpracovatelem není ničím novým. Rozdíl nacházíme pouze v náležitostech smlouvy.

V případě existence zpracovatelského vztahu je podle GDPR nutné uzavřít písemnou smlouvu. Zpracovatelskou smlouvou se rozumí rovněž samotný smluvní vztah mezi správcem a zpracovatelem. Pokud má například podnikatel smlouvu s účetní společností a tato obsahuje náležitosti popsané v čl. 28 GDPR, není nutné uzavírat ještě zvlášť zpracovatelskou smlouvu. Pokud však taková smlouva požadované náležitosti neobsahuje, je nutné vedle této smlouvy uzavřít ještě smlouvu zpracovatelskou, případně původní smlouvu rozšířit dodatkem.

Co všechno musí být obsaženo ve zpracovatelské smlouvě? Zpracovatel musí být zavázán zpracovávat osobní údaje jen na základě doložených pokynů a musí být vázán mlčenlivostí. Zpracovatel musí být povinen zohledňovat povahu zpracování. Smlouva musí zpracovateli ukládat povinnost vymazat v souladu s rozhodnutím správce všechny osobní údaje nebo je vrátit správci po ukončení poskytování služeb spojených se zpracováním. Jednotlivé povinnosti zpracovatele mohou být zajištěny smluvní pokutou.

Na co si dát pozor při uzavírání zpracovatelské smlouvy? Za sjednání odpovídá správce, který nemůže předávat osobní údaje zpracovateli, se kterým nemá smluvní vztah naplňující í všechny požadavky čl. 28 GDPR. Správce by měl sám iniciovat uzavření zpracovatelské smlouvy. Běžnou chybou je nepřesná formulace jednotlivých povinností zpracovatele. Věta „Zpracovatel se zavazuje poskytnout správci veškerou potřebnou součinnost…“ nenahrazuje přesný výčet povinností správce, jak požaduje Nařízení. Pokud už se smluvní strany rozhodnou neuvádět ve smlouvě přesný výčet povinností zpracovatele podle Nařízení, měla by smlouva obsahovat přinejmenším formulaci v tomto nebo obdobném znění: „Zpracovatel se výslovně zavazuje, že splní všechny povinnosti vyjmenované v čl. 28 odst. 3 Nařízení.“  Obecné formulace o poskytnutí veškeré součinnosti ze strany zpracovatele nemohou nahradit přesné pojmenování jeho povinností nebo výslovný odkaz na citovaný článek Nařízení.

Pokud budete chtít vytvořit zpracovatelskou smlouvu na míru Vašim požadavkům tak, aby zároveň splňovala všechny náležitosti dle GDPR, neváhejte se obrátit na naši AK.