2. GDPR

2.8. Smlouvy se zpracovateli

Správce osobních údajů je ten, kdo určuje účel a prostředky zpracování osobních údajů. V běžných situacích je to škola. 

Zpracovatel je ten, kdo zpracování za správce provádí. Zpracovatelem však není zaměstnanec. Typickými zpracovateli jsou poskytovatelé cloudových nebo jiných IT řešení. 

Význam dělení na správce a zpracovatele spočívá v tom, že mezi nimi musí být vždy uzavřena písemná smlouva, přičemž za písemnou se považuje i elektronická podoba. 

Zpracovatelská smlouva, aby vyhovovala GDPR, by měla obsahovat následující náležitosti: 

  • předmět a doba trvání zpracování osobních údajů, povahu a účel zpracování, typ osobních údajů a kategorii subjektů údajů; 

  • ustanovení, že zpracovatel osobních údajů nesmí do zpracování osobních údajů zapojit žádného dalšího zpracovatele bez předchozího konkrétního či obecného souhlasu správce; 

  • ustanovení, že zpracovatel bude zpracovávat osobní údaje pouze v rozsahu stanoveném smlouvou mezi ním a správcem, případně na základě doložených pokynů správce; 

  • ustanovení, že na osoby zpracovatele, které zpracovávají osobní údaje, se vztahuje zákonná povinnost mlčenlivosti nebo je zpracovatel k této mlčenlivosti smluvně zaváže; 

  • ustanovení, že se zpracovatel zaváže přijmout taková technická, organizační a jiná potřebná opatření, spočívající např. v šifrování, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití; 

  • ustanovení, že zpracovatel je povinen správci poskytnout součinnost pro případ výkonu jiných povinností správce podle GDPR, např. realizace práv subjektů údajů na přístup k osobním údajům či povinnosti ohlašovat porušení zabezpečení osobních údajů; 

  • ustanovení, že zpracovatel je povinen vrátit správci po ukončení zpracování osobních údajů všechny osobní údaje, pokud to není v rozporu s jinými právními předpisy; 

  • ustanovení, že zpracovatel poskytne správci veškeré informace potřebné k doložení splnění povinností podle GDPR a umožní správci kontrolu zákonnosti zpracování osobních údajů, pokud to neodporuje právnímu předpisu.