Zapojení podzpracovatele podle GDPR aneb A co na to správce?

GDPR v oblasti zapojení podzpracovatelů (řetězení zpracovatelů) přirozeně navazuje na trendy, které jsme mohli v oblasti ochrany osobních údajů sledovat již před jeho účinností. V minulosti právní úprava řetězení zakazovala, následně ho povolila, ale pouze pro specifické případy. GDPR přináší úpravu, která zapojení podzpracovatelů umožňuje za aktivní součinnosti správce. Z přístupu některých evropských dozorových úřadů vyplývá, že by rozvolnění v této oblasti potenciálně mohlo zajít ještě dál…

Weinhold Legal, s.r.o. advokátní kancelář
GDPR, ochrana osobních údajů
Foto: Fotolia

Při zpracování osobních údajů se zpravidla setkáme na straně osob, které s osobními údaji nakládají, s tzv. správci osobních údajů a s tzv. zpracovateli osobních údajů.

Správcem osobních údajů je ve smyslu čl. 4 bod 7) obecného nařízení o ochraně osobních údajů [1] (GDPR) ten, kdo sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Zpracovatelem osobních údajů je pak ve smyslu čl. 4 bod 8) GDPR ten, kdo zpracovává osobní údaje pro správce. Pánem uvedeného vztahu je tedy jednoznačně správce – je na jeho volbě, koho si zvolí za zpracovatele a jak nastaví vzájemný vztah (podrobnosti upravuje kapitola IV GDPR).

Jak zapojit podzpracovatele? 

Na straně zpracovatele se může objevit potřeba zapojit do zpracování osobních údajů pro správce další osobu či osoby. S takovou situací se můžeme běžně setkat v IT prostředí, kdy poskytovatel určitého softwaru nebo webové služby (který vystupuje zpravidla v postavení zpracovatele osobních údajů, neboť jeho produkt je využíván různými správci pro realizace jejich účelů zpracování) outsourcuje poskytování části svých služeb prostřednictvím třetí osoby (např. hotline, call centrum nebo finální testování nového produktu na ostrých datech). Tato třetí osoba bude mít v nezbytném rozsahu přístup k osobním údajům zákazníků zpracovatele (tj. k osobním údajům zpracovávaným pro správce) a bude s nimi nakládat podle pokynů zpracovatele.

Z právního hlediska je nezbytné respektovat ustanovení čl. 28 odst. 2 GDPR, které stanoví, že zpracovatel je oprávněn zapojit do zpracování dalšího zpracovatele pouze tehdy, pokud disponuje předchozím konkrétním nebo obecným písemným povolením správce (přičemž za písemnou formu se považuje i forma elektronická). Pokud disponuje pouze obecným povolením, je nadto potřeba informovat správce o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo nahrazení těch stávajících. Nadto musí mít správce vždy příležitost vznést vůči plánovaným změnám své námitky.

Z uvedeného je zřejmé, že zpracovatel, pokud chce zapojit do zpracování podzpracovatele (=dalšího zpracovatele), musí:

  • disponovat písemným souhlasem správce se zapojením konkrétního podzpracovatele; nebo
  • disponovat obecným písemným souhlasem správce se zapojením dalšího podzpracovatele, a zároveň:
  • informovat správce předem o veškerých plánovaných změnách v podzpracovatelské struktuře (notifikace), a
  • umožnit správci vznést proti takovým změnám námitky.

Jak postupovat v praxi?

V době jednání o zpracovatelské smlouvě…

Pokud je zpracovateli už v době uzavírání zpracovatelské smlouvy známo, že potřebuje zapojit podzpracovatele, lze doporučit sjednat ve zpracovatelské smlouvě výslovný písemný souhlas správce se zapojením konkrétního(ch) podzpracovatele(ů). Aktuální seznam podzpracovatelů může např. tvořit přílohu zpracovatelské smlouvy.

Nadto lze doporučit vložit do zpracovatelské smlouvy obecný písemný souhlas správce se zapojením dalšího zpracovatele a mechanismus notifikace plánovaných změn a prostředek pro uplatnění případných námitek správce.

Za best practice lze v tomto ohledu považovat notifikaci prostřednictvím e-mailu nebo doporučeného dopisu (podle zavedené formy komunikace mezi smluvními stranami) se stanovením lhůty pro podání námitek stejnou cestou v délce např. 2 týdny od doručení notifikace.

Zejména pokud zpracovatel vstupuje do zpracovatelských vztahů s celou řadou správců, lze doporučit ujednat ve zpracovatelské smlouvě to, že správce nebude vznášet námitky proti zapojení dalšího zpracovatele, pokud k tomu nebude mít závažné důvody.

Po uzavření zpracovatelské smlouvy…

Může však nastat situace (v oblasti IT velmi běžná), kdy zpracovatel plánuje zapojit podzpracovatele pro zpracování osobních údajů celé řady správců, se kterými již má uzavřené zpracovatelské smlouvy.

V tomto případě je vhodné ověřit, zda zpracovatelská smlouva obsahuje pravidla pro zapojení dalších zpracovatelů. Pokud ano, je na místě postupovat v souladu s nimi, pokud nikoli, je třeba vyžádat si od správce předchozí konkrétní nebo obecné písemné povolení se zapojením dalšího zpracovatele (podzpracovatele). V případě vyžádání konkrétního povolení správce k zapojení podzpracovatelů je třeba uvést do povolovacího aktu řádnou specifikaci dalších zpracovatelů (např. odkazem na seznam konkrétních podzpracovatelů). A dále v případě udělení obecného povolení správce k zapojení podzpracovatelů je třeba respektovat povinnost předchozí notifikace zpracovatele správci a možnost správce uplatnit námitky. 

Jak má notifikace vypadat?

Notifikace musí být v každém ohledu zejména učiněna před zapojením dalšího zpracovatele a měla by obsahovat jeho plnou identifikaci (jméno, datum narození a bydliště v případě fyzické osoby, obchodní firmu, sídlo a IČO v případě právnické osoby). Lze doporučit i uvést rozsah zapojení podzpracovatele a skutečnost, že budou splněny podmínky podle čl. 28 odst. 4 GDPR [2]

Při složitější podzpracovatelské struktuře lze doporučit připojit aktuální přehled s vyznačením plánovaných změn. Při velkém počtu správců, kterým je třeba změny notifikovat, lze zvážit automatizovanou notifikaci prostřednictví např. newsletterů s aktualitami z této oblasti. 

Za dostatečnou nelze dle aktuálních stanovisek zahraničních úřadů (např. zde) považovat neadresnou notifikaci – např. jen zveřejněním informace na webových stránkách, bez zaslání upozornění přímo správci. Nelze po správci spravedlivě požadovat, aby aktivně kontroloval webové stránky svých zpracovatelů a aktivně po takových informacích pátral, a to ani v případě, že by se k takové činnosti správce dobrovolně písemně zavázal ve zpracovatelské smlouvě.

Adresná notifikace by eventuelně mohla obsahovat odkaz na webové stránky, kde by byl zveřejněn aktuální seznam podzpracovatelů. Lze však doporučit, aby byly na takové webové stránce dohledatelné i změny v podzpracovatelských vztazích, tj. aby bylo zřejmé, kdy byla která zamýšlená změna zveřejněna a kdy ta která realizovaná změna nabyla účinnosti.

Nové trendy v oblasti řetězení zpracovatelů

Z výše popsaných důvodů nelze za stávající právní úpravy doporučit zapojit podzpracovatele bez předchozího oznámení správci osobních údajů a bez umožnění podat námitky proti plánované změně ve zpracovatelské struktuře, a to ani v případě, že si správce a zpracovatel takový postup sjednají ve zpracovatelské smlouvě. Takové ujednání by bylo v rozporu s GDPR.

Na druhou stranu můžeme na tomto místě upozornit na vzor zpracovatelské smlouvy připravený německým úřadem pro ochranu osobních údajů pro Baden-Württemberg (Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit), který variantně upravuje možnost zapojení podzpracovatele za podmínek, že je o takovém zapojení správce informován bez zbytečného odkladu (vzorová smlouva v anglickém znění je dostupná zde, viz § 9 odst. 1 varianta 3). Takový postup je však ve zjevném rozporu s čl. 28 odst. 2 GDPR i sdosavadní best practice v této oblasti v Německu a zatím se nezdá pravděpodobné, že by byl tento výklad bez změny právní úpravy dlouhodobě udržitelný.

Závěr

V otázkách zapojení podzpracovatele je nezbytné dbát o správné nastavení zpracovatelské smlouvy tak, aby pro obě smluvní strany nabízela praktické řešení, které je zároveň v souladu s čl. 28 odst. 2 GDPR. 

Pokud ustanovení zpracovatelské smlouvy zapojení podzpracovatele neupravují, je třeba respektovat znění závazného právního předpisu (GDPR) a vyžádat si od správce předchozí konkrétní nebo obecné písemné povolení se zapojením dalšího zpracovatele (podzpracovatele).

Dále, obsahuje-li zpracovatelská smlouva konkrétní povolení správce se zapojením dalšího zpracovatele (např. s uvedením odkazu na seznam podzpracovatelů v příloze smlouvy), bude v případě dalšího rozšíření okruhu podzpracovatelů zapotřebí požádat správce o písemný souhlas se zapojením dalšího řádně specifikovaného podzpracovatele, a to ještě předtím, než zpracovatel začne tohoto dalšího podzpracovatele skutečně zapojovat. 

A konečně, obsahuje-li zpracovatelská smlouva pouze obecné povolení správce se zapojením dalšího zpracovatele (podzpracovatele) bez jakékoli bližší specifikace podzpracovatele, postačí správci pouhá notifikace o zapojení dalšího podzpracovatele s tím, že souhlas správce se zapojením dalšího podzpracovatele nebude v tomto případě potřeba. Správci musí být jen umožněno vznést námitku proti navrhované změně v podzpracovatelské struktuře.



[1] Pokud zpracovatel zapojí dalšího zpracovatele, aby jménem správce provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy nebo jiného právního aktu podle práva Unie nebo členského státu stejné povinnosti na ochranu údajů, jaké jsou uvedeny ve smlouvě nebo jiném právním aktu mezi správcem a zpracovatelem podle odstavce 3, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky tohoto nařízení. Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá správci za plnění povinností dotčeného dalšího zpracovatele i nadále plně prvotní zpracovatel.

[2] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články