Obec (UOOU-02924/22)

Kontrola zpracovatelských smluv

Úřad provedl kontrolu zpracovatelských smluv u malé obce s počtem obyvatel do 1000. Předmětem kontroly bylo dodržování povinností stanovených GDPR a zákonem o zpracování osobních údajů v souvislosti se zapojením zpracovatele či zpracovatelů do zpracování osobních údajů.

U každého smluvního vztahu (resp. zpracovatelské smlouvy) hodnotil Úřad z hlediska souladu s GDPR celkem 13 kritérií odpovídajících požadavkům čl. 28 odst. 3 GDPR. Úřad v případě dané obce konstatoval, že podstatná část v rámci těchto kritérií byla upravena chybně, nebo absentovala zcela. Kontrolující konstatovali pochybení v části týkající se opatření podle čl. 32 GDPR (tj. opatření v oblasti zabezpečení osobních údajů) a podmínek pro zapojení dalšího zpracovatele.

V tomto konkrétním případě šlo o zpracovatele, kteří jsou poskytovateli softwarových nástrojů a cloudových řešení, dále byla zpracovatelem také knihovna a poskytovatel služeb v souvislosti s vodovody a odečty spotřeb vody a tepla.

Kontrolovaná osoba nevyužila možnosti podat proti kontrolním zjištěním uvedeným v kontrolním protokolu námitky.

Doplňující informace: S ohledem na záměr a cíle kontrolní činnosti definované kontrolním plánem budou zjištěné skutečnosti Úřadu dále sloužit jako zdroj informací využitelných pro další metodické vedení obcí.