Obec (UOOU-02226/22)

Kontrola zpracovatelských smluv

Úřad provedl kontrolu zpracovatelských smluv u malé obce s počtem obyvatel do 1000. Předmětem kontroly bylo dodržování povinností stanovených GDPR a zákonem o zpracování osobních údajů v souvislosti se zapojením zpracovatele či zpracovatelů do zpracování osobních údajů.

U každého smluvního vztahu (resp. zpracovatelské smlouvy) hodnotil Úřad z hlediska souladu s GDPR celkem 13 kritérií odpovídajících požadavkům čl. 28 odst. 3 GDPR. Úřad v případě dané obce konstatoval, že podstatná část v rámci těchto kritérií byla upravena chybně, nebo absentovala zcela. Správce ve vztahu ke zpracovateli například nestanovil zcela jasně předmět zpracování, dobu trvání zpracování, povahu a účel zpracování, typ zpracovávaných osobních údajů a kategorie subjektů údajů. Dále kontrolující konstatovali pochybení v části týkající se opatření podle čl. 32 GDPR (tj. opatření v oblasti zabezpečení osobních údajů), podmínek pro zapojení dalšího zpracovatele, stanovení postupu po ukončení spolupráce správce a zpracovatele a doložení plnění povinností a umožnění auditů a inspekcí. V tomto konkrétním případě šlo o zpracovatele, kteří jsou poskytovateli softwarových nástrojů a cloudových řešení.

Kontrolovaná osoba nevyužila možnosti podat proti kontrolním zjištěním uvedeným v kontrolním protokolu námitky.

Doplňující informace: S ohledem na záměr a cíle kontrolní činnosti definované kontrolním plánem budou zjištěné skutečnosti Úřadu dále sloužit jako zdroj informací využitelných pro další metodické vedení obcí.