Nová úskalí smlouvy o zpracování osobních údajů

Ivana Nemčeková, Tomáš Nielsen

Nová úskalí smlouvy o zpracování osobních údajů ve světle GDPR

Dlouho očekávané Obecné nařízení o ochraně osobních údajů (GDPR)[1] přichází s novými, velmi specifickými požadavky na smlouvu o zpracování osobních údajů. Tato smlouva je nezbytným předpokladem pro spolupráci mezi správcem a zpracovatelem osobních údajů. Smlouva sama o sobě není žádnou novinkou. Povinnost jejího uzavření byla zakotvena v národních právních řádech (a směrnici)[2] již několik let. Stávající právní úprava vztahující se na smlouvu o zpracování, alespoň v České republice, je však v tuto chvíli velmi střídmá. Smlouvu o zpracování upravuje pouze § 6 zákona o ochraně osobních údajů o jednom odstavci. Podle něj tato smlouva musí mít písemnou formu, musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá, a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů.

S ohledem na minimální požadavky nebyla smlouvě o zpracování přikládána ze strany správců ani zpracovatelů věnována velká pozornost. Navíc povinnost mít takovou smlouvu upravující vztah správce a zpracovatele byla často ignorována, nebo alespoň podceňována. Jedním z důvodů bylo i to, že porušení povinnosti dle ust. § 6 zákona o ochraně osobních údajů nebylo a není spojeno s žádnou sankcí.

GDPR tuto situaci dramaticky mění. Nařízení významně rozšiřuje obsahové požadavky na zpracovatelskou smlouvu, navíc porušení povinností správce nebo zpracovatele dle článku 28 GDPR představuje porušení spojené s možností uložit správní pokutu až do výše 10.000.000 Eur nebo (jedná-li se o podnik) až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší.

Jak na tuto změnu reagují správci a zpracovatelé? Poměrně často uplatní nejrychlejší (a na první pohled nejjednodušší) řešení – zkopírují znění článku 28 GDPR pro splnění jeho požadavků v podstatě slovo od slova. Zajímavou otázkou však je, zda strany takové smlouvy reálně vědí, jaké povinnosti na sebe takovým postupem přebírají. A to se týká zejména zpracovatelů.

Zaměřme se nyní na některá ustanovení odstavce 3 článku 28 GDPR. Například dle písmena e) tohoto článku má smlouva mezi správcem a zpracovatelem obsahovat povinnost zpracovatele, zohledňujíc povahu zpracování, být správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III GDPR. Dále si zkusme představit, že toto obecné ustanovení bude bez dalšího přejato do smlouvy mezi poskytovatelem cloudových služeb a obchodní společností, která na cloudové úložiště ukládá osobní údaje svých zákazníků. Obě strany budou spokojené s tím, že formálně splnily požadavek článku 28 GDPR. Jaký však bude skutečný dopad na osobní údaje zpracovávané poskytovatelem cloudové služby jako zpracovatelem pro správce?

Do našeho případu uveďme, že správce využívá CRM systém[3] pro správu a ukládání osobních údajů svých zákazníků, který využívá cloudové úložiště poskytované zpracovatelem. Pak se jednoho dne na správce obrátí bývalý zaměstnanec správce se žádostí o výmaz jeho kontaktních údajů, které správce poskytoval zákazníkům pro vzájemnou komunikaci. Správce tuto žádost předá poskytovateli cloudu s žádostí, aby ověřil, zda se dané údaje nacházejí v cloudu, a pokud ano, aby je vymazal ze všech míst a databází spojených s CRM systémem.

Poskytovatel cloudu informuje správce, že neumí rozlišit jednotlivá data uložená v cloudu správcem a že tyto úkony má správce provést sám. Správce však bude na své požadavku trvat s prohlášením, že poskytovatel služby je odborníkem v této oblasti a že nemá interní kapacity na to, aby osobní údaje dohledával a mazal. Navíc, což může být klíčové, dle smlouvy o zpracování se zpracovatel zavázal, že bude správci v takovýchto situacích nápomocen. Náš příklad ukončíme zde, abychom nevstupovali do dalších spekulací.

Pointou je, že takováto “standardní” situace může vést k vážnému konfliktu mezi správcem a zpracovatelem. Znění předmětného ustanovení GDPR je tak obecné, že je zjevně otevřené pro různý výklad, a to i takový, kde správce očekává, že zpracovatel bude za něj odpovídat na žádosti subjektů údajů. Jinými slovy obyčejné zkopírování textu nařízení může vést k situaci, kdy se zpracovatel zaváže k plnění povinností správce, nebo to alespoň takto správce může vykládat, i když to není z hlediska služeb jím poskytovaných možné.

Toto pojednání nás vede k dalšímu problematickému bodu, a to k rozsahu zpracovatelské smlouvy, jak ji požaduje nařízení. GDPR výslovně uvádí, že smlouva (nebo jiný právní akt) „zejména stanoví, že zpracovatel:“ zpracovává osobní údaje pouze na základě doložených pokynů správce, je nápomocen správci s více jeho povinnostmi, umožní správci audity atd. Toto se vztahuje i na poskytovatele cloudových služeb[4], který uzavírají smlouvy o poskytování služeb jako smlouvy adhezní.

Většina klientů poskytovatele cloudových služeb bude očekávat, že poskytoval je odborníkem ve své oblasti. Toto staví poskytovatele cloudových služeb a další zpracovatele, kteří jsou odborníky ve své oblasti, pod větší tlak. Zákazníci (správci) si je budou vybírat právě pro jejich expertízu v dané oblasti.

Dle ust. § 5 odst. 1 občanského zákoníku: „Kdo se veřejně nebo ve styku s jinou osobou přihlásí k odbornému výkonu jako příslušník určitého povolání nebo stavu, dává tím najevo, že je schopen jednat se znalostí a pečlivostí, která je s jeho povoláním nebo stavem spojena. Jedná-li bez této odborné péče, jde to k jeho tíži.“

V návaznosti na to pak lze poukázat na ust. § 2950 občanského zákoníku, které uvádí, že „kdo se hlásí jako příslušník určitého stavu nebo povolání k odbornému výkonu nebo jinak vystupuje jako odborník, nahradí škodu, způsobí-li ji neúplnou nebo nesprávnou informací nebo škodlivou radou danou za odměnu v záležitosti svého vědění nebo dovednosti. Jinak se hradí jen škoda, kterou někdo informací nebo radou způsobil vědomě.“

V kontextu těchto norem je důležité zdůraznit, že zejména povinnost „být nápomocen“[5] formulovaná v článku 28 GDPR je velmi obecná. S ohledem na výše uvedené se tak jeví více než potřebné specifikovat ve smlouvě o zpracování osobních údajů formu takové nápomoci, zejména s ohledem na povahu zpracování.

Shrneme-li úvahy prezentované výše v textu, poskytovatelé cloudových služeb a dalších služeb, kteří jsou pro své zákazníky zároveň i zpracovateli osobních údajů, by měli věnovat pozornost formulaci jejich povinností v zpracovatelské smlouvě s cílem předejít nedorozuměním se správci (a odpovědnosti vyplývající z takového nedorozumění). Měli by se ujistit, že správci rozumí nejen rozsahu poskytovaných služeb, které dostanou, ale i rozsahu úkonů prováděných při zpracování osobních údajů pro správce, zejména těch, které zpracovatel neposkytuje (nebo alespoň ne zdarma).

To nás přivádí k dalšímu tématu, které se v souvislosti se zpracováním osobních údajů málo řeší, a to je, že GDPR neukládá zpracovatelům poskytovat nápomoc a plnit další povinnosti dle zpracovatelské smlouvy bezplatně. Kupříkladu dle čl. 28 odst. 3 písm. h) GDPR zpracovatel poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.

Z našeho pohledu jde o povinnost, kde by měly být náklady na audit, resp. inspekci, vyjasněny v rámci zpracovatelské smlouvy, aby se předešlo sporům mezi stranami. V opačném případě by pak každá ze stran mohla tvrdit, že náklady na takový audit ponese strana druhá – správce by argumentoval tím, že jde o povinnost zpracovatele, zpracovatel naopak může argumentovat tím, že audit byl zahájen z iniciativy správce a s ohledem na to by měl náklady nést správce. Takový spor může vést i k podání žaloby, obzvlášť proto, že některé z povinností zpracovatele odráží povinnosti správce, které má vůči subjektům údajů a které má dle GDPR plnit zdarma.

Z pohledu zpracovatelské smlouvy přináší GDPR mnoho výzev. Od potřeby aktualizovat stávající dokumenty a procesy, které nejsou s GDPR v souladu, po zajištění optimální rovnováhy mezi formálními (a v některých případech nerealistickými) požadavky článku 28 GDPR a reálným životem. V každém případě uzavření smlouvy o zpracování osobních údajů již nebude pro povinné osoby od května 2018 pouze formálním krokem.

Ivana Nemčeková

Tomáš Nielsen

(Autoři článku pracují v NIELSEN MEINL, advokátní kancelář, s.r.o.)



[1] NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

[2] Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

[3] Zkratka z anglického „Customer Relationship Management“, jde o systém pro řízení vztahů se zákazníky.

[4][4] Ke zpracování osobních údajů v cloudu viz např. „K právní ochraně osobních údajů při jejich předávání v rámci cloudových služeb“, materiál vydaný Úřadem pro ochranu osobních údajů, publikován ve Věstníku Úřadu pro ochranu osobních údajů v červenci 2013, částka 65.

[5] Pozn. v anglické verzi nařízení je použité slovo „assist“.