Ochrana osobních údajů
2. GDPR
2.8. Smlouvy se zpracovateli
Správce osobních údajů je ten, kdo určuje účel a prostředky zpracování osobních údajů. V běžných situacích je to škola.
Zpracovatel je ten, kdo zpracování za správce provádí. Zpracovatelem však není zaměstnanec. Typickými zpracovateli jsou poskytovatelé cloudových nebo jiných IT řešení.
Význam dělení na správce a zpracovatele spočívá v tom, že mezi nimi musí být vždy uzavřena písemná smlouva, přičemž za písemnou se považuje i elektronická podoba.
Zpracovatelská smlouva, aby vyhovovala GDPR, by měla obsahovat následující náležitosti:
předmět a doba trvání zpracování osobních údajů, povahu a účel zpracování, typ osobních údajů a kategorii subjektů údajů;
ustanovení, že zpracovatel osobních údajů nesmí do zpracování osobních údajů zapojit žádného dalšího zpracovatele bez předchozího konkrétního či obecného souhlasu správce;
ustanovení, že zpracovatel bude zpracovávat osobní údaje pouze v rozsahu stanoveném smlouvou mezi ním a správcem, případně na základě doložených pokynů správce;
ustanovení, že na osoby zpracovatele, které zpracovávají osobní údaje, se vztahuje zákonná povinnost mlčenlivosti nebo je zpracovatel k této mlčenlivosti smluvně zaváže;
ustanovení, že se zpracovatel zaváže přijmout taková technická, organizační a jiná potřebná opatření, spočívající např. v šifrování, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití;
ustanovení, že zpracovatel je povinen správci poskytnout součinnost pro případ výkonu jiných povinností správce podle GDPR, např. realizace práv subjektů údajů na přístup k osobním údajům či povinnosti ohlašovat porušení zabezpečení osobních údajů;
ustanovení, že zpracovatel je povinen vrátit správci po ukončení zpracování osobních údajů všechny osobní údaje, pokud to není v rozporu s jinými právními předpisy;
ustanovení, že zpracovatel poskytne správci veškeré informace potřebné k doložení splnění povinností podle GDPR a umožní správci kontrolu zákonnosti zpracování osobních údajů, pokud to neodporuje právnímu předpisu.