Obec (UOOU-02285/22)

Kontrola zpracovatelských smluv

Kontrola byla zahájena na základě kontrolního plánu Úřadu pro rok 2022. Cílem kontrolní činnosti bylo dle kontrolního plánu zmapování oblasti zpracovatelských smluv uzavíraných obcemi. Obec se k této kontrole přihlásila dobrovolně.

Kontrola se zaměřila na smluvní dokumentaci se dvěma zpracovateli a porovnala ji s obligatorními náležitostmi zpracovatelských smluv ve smyslu čl. 28 GDPR.

Kontrolou bylo konstatováno, že ve vztahu k prvnímu zpracovateli porušila kontrolovaná osoba povinnost upravit zpracování osobních údajů zpracovatelskou smlouvu způsobem stanoveným čl. 28 odst. 3 a 9 GDPR. Specificky nebyly kontrolovanou osobou předloženy dokumenty obsahující ustanovení podle čl. 28 odst. 3 GDPR, upravující předmět a dobu trvání zpracování, povahu a účel zpracování, typ osobních údajů a kategorie subjektů údajů. Dále pak kontrolovaná osoba nepředložila dokumenty obsahující ustanovení vyžadovaná čl. 28 odst. 3 písm. a), d), e) a h) GDPR (zpracování pouze na základě doložených pokynů, dodržování podmínek pro zapojení dalšího zpracovatele, nápomoc při vyřizování žádostí o výkon práv subjektů údajů, doložení plnění povinností a umožnění auditů a inspekcí u zpracovatele). Pouze částečně pak byla v dokumentech obsažena ustanovení vyžadovaná čl. 28 odst. 3 písm. c) a f) GDPR (přijetí opatření k zabezpečení osobních údajů, nápomoc při zajišťování souladu s GDPR).

Předložené dokumenty upravující vztah mezi kontrolovanou osobou a druhým zpracovatelem obsahovaly veškeré náležitosti vymezené čl. 28 odst. 3 GDPR a splňovaly požadavek na písemnou formu dle čl. 28 odst. 9 GDPR.

Proti kontrolním zjištěním kontrolovaná osoba nepodala námitky.

Doplňující informace: S ohledem na záměr a cíle kontrolní činnosti definované kontrolním plánem budou zjištěné skutečnosti Úřadu dále sloužit jako zdroj informací využitelných pro další metodické vedení obcí.