Město (UOOU-02926/22)

Kontrola zpracovatelských smluv

Úřad provedl kontrolu zpracovatelských smluv u města s počtem obyvatel do 3000. Předmětem kontroly bylo dodržování povinností stanovených GDPR a zákonem o zpracování osobních údajů v souvislosti se zapojením zpracovatele či zpracovatelů do zpracování osobních údajů.

U každého smluvního vztahu (resp. zpracovatelské smlouvy) hodnotil Úřad z hlediska souladu s GDPR celkem 13 kritérií odpovídajících požadavkům čl. 28 odst. 3 GDPR. Úřad v případě daného města konstatoval, že podstatná část v rámci těchto kritérií byla upravena chybně, nebo absentovala zcela. Správce ve vztahu ke zpracovateli například nestanovil zcela jasně předmět zpracování, dobu trvání zpracování, povahu a účel zpracování, typ zpracovávaných osobních údajů a kategorie subjektů údajů. Dále kontrolující konstatovali pochybení v části týkající se opatření podle čl. 32 GDPR (tj. opatření v oblasti zabezpečení osobních údajů), podmínek pro zapojení dalšího zpracovatele, nápomoc správci při vyřizování žádostí o výkon práv subjektů údajů a při zajišťování souladu s čl. 32-36 GDPR, stanovení postupu po ukončení spolupráce správce a zpracovatele a doložení plnění povinností a umožnění auditů a inspekcí. V tomto konkrétním případě šlo o zpracovatele, kteří jsou poskytovateli softwarových nástrojů a cloudových řešení.

Kontrolovaná osoba námitky proti kontrolním zjištěním uvedeným v protokolu o kontrole nepodala.

Doplňující informace: S ohledem na záměr a cíle kontrolní činnosti definované kontrolním plánem budou zjištěné skutečnosti Úřadu dále sloužit jako zdroj informací využitelných pro další metodické vedení obcí.