Městys (UOOU-02227/22)

Kontrola zpracovatelských smluv

Úřad provedl kontrolu zpracovatelských smluv u obce s počtem obyvatel do 3000. Předmětem kontroly bylo dodržování povinností stanovených GDPR a zákonem o zpracování osobních údajů v souvislosti se zapojením zpracovatele či zpracovatelů do zpracování osobních údajů.

U každého smluvního vztahu (resp. zpracovatelské smlouvy) hodnotil Úřad z hlediska souladu s GDPR celkem 13 kritérií odpovídajících požadavkům čl. 28 odst. 3 GDPR. Úřad v případě daného městyse konstatoval, že podstatná část v rámci těchto kritérií byla upravena chybně, nebo absentovala zcela. Správce ve vztahu ke zpracovateli například nestanovil zcela jasně kategorie subjektů údajů. Dále kontrolující konstatovali pochybení v části týkající se opatření podle čl. 32 GDPR (tj. opatření v oblasti zabezpečení osobních údajů), závazku zpracovatele zajistit, aby byly osoby oprávněné zpracovávat osobní údaje vázány mlčenlivostí, podmínek pro zapojení dalšího zpracovatele, stanovení postupu po ukončení spolupráce správce a zpracovatele, závazek zpracovatele být správci nápomocen při plnění povinnosti správce reagovat na žádosti o výkon práv subjektů údajů a doložení plnění povinností a umožnění auditů a inspekcí.

V tomto konkrétním případě šlo o zpracovatele, kteří jsou poskytovateli softwarových nástrojů a cloudových řešení, dále byla zpracovatelem také knihovna a poskytovatel služeb v souvislosti s instalací měřidel tepla a teplé a studené vody, provádění odečtů těchto měřidel a přípravou rozúčtování nákladů.

Kontrolovaná osoba nevyužila možnosti podat proti kontrolním zjištěním uvedeným v kontrolním protokolu námitky.

Doplňující informace: S ohledem na záměr a cíle kontrolní činnosti definované kontrolním plánem budou zjištěné skutečnosti Úřadu dále sloužit jako zdroj informací využitelných pro další metodické vedení obcí.