Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2024
  6. Kontrolní činnost v oblasti ochrany osobních údajů
  7. Kraj (UOOU-03589/23)

Kraj (UOOU-03589/23)

Kontrola zpracovatelských smluv

Cílem kontrolní činnosti bylo zmapování oblasti zpracovatelských smluv uzavíraných kraji. Věcně tak tato kontrola navazovala na kontroly zpracovatelských smluv provedené u obcí.

V rámci kontroly kontrolující nejprve zjišťovali, zda kontrolovaná osoba jakožto správce osobních údajů využívá zpracovatele pro své zpracování osobních údajů a zda s nimi uzavřela písemné smlouvy. V další fázi pak již Úřad posuzoval, zda dvě jím vybrané smlouvy o zpracování osobních údajů obsahují úpravu veškerých článkem 28 GDPR požadovaných náležitostí.

Kontrolující konstatovali, že ve vztahu k prvnímu zpracovateli kontrolovaná osoba porušila některé z povinností podle článku 28 GDPR. Jednalo se o absenci úpravy popisu povahy zpracování osobních údajů prováděného zpracovatelem pro kontrolovanou osobu (čl. 28 odst. 3 GDPR), o absenci úpravy požadavku na doložitelnost pokynů udílených správcem zpracovateli [čl. 28 odst. 3 písm. a) GDPR], o absenci popisu technických a organizačních opatření, které je zpracovatel povinen ve vztahu ke zpracování přijmout [čl. 28 odst. 3 písm. c) GDPR], o nedostatečnou úpravu konkrétních povinností zpracovatele týkajících se nápomoci při vyřizování žádostí o výkon práv subjektů údajů [čl. 28 odst. 3 písm. e) GDPR], o nedostatečnou úpravu konkrétních povinností při nápomoci zpracovatele správci při zajišťování souladu s články 32 až 36 GDPR [čl. 28 odst. 3 písm. f) GDPR] a o nedostatečnou konkretizaci závazku zpracovatele umožnit správci provádění auditů a inspekcí [čl. 28 odst. 3 písm. h) GDPR].

Ve vztahu k druhému zpracovateli pak kontrolující konstatovali, že kontrolovaná osoba rovněž porušila některé z povinností podle článku 28 GDPR. Jednalo se o nedostatečný popis typů zpracovávaných osobních údajů (čl. 28 odst. 3 GDPR), o absenci ujednání o zpracování osobních údajů zpracovatelem pouze na základě pokynů správce (čl. 28 odst. 3 GDPR), o absenci úpravy dodržování podmínek zpracovatele pro zapojení dalšího zpracovatele [čl. 28 odst. 3 písm. d) GDPR], o absenci úpravy konkrétních povinností zpracovatele týkajících se nápomoci při vyřizování žádostí o výkon práv subjektů údajů [čl. 28 odst. 3 písm. e) GDPR], o nedostatečnou úpravu konkrétních povinností při nápomoci zpracovatele správci při zajišťování souladu s články 32 až 36 GDPR [čl. 28 odst. 3 písm. f) GDPR] a o absenci úpravy závazku zpracovatele umožnit správci provádění auditů a inspekcí [čl. 28 odst. 3 písm. h) GDPR].

Proti kontrolním zjištěním kontrolovaná osoba nepodala námitky.

Doplňující informace: Úřad upozorňuje na skutečnost, že při uzavírání zpracovatelské smlouvy je třeba dbát na to, aby její obsah nespočíval jen v přepisu jednotlivých náležitostí zpracovatelských smluv uvedených v článku 28 odst. 3 GDPR, ale aby na jejich základě zpracovatelská smlouva upravovala konkrétní práva a povinnosti smluvních stran obecně uvedená v čl. 28 GDPR.