Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2024
  6. Kontrolní činnost v oblasti ochrany osobních údajů
  7. Kraj (UOOU-03595/23)

Kraj (UOOU-03595/23)

Kontrola zpracovatelských smluv

Cílem kontrolní činnosti bylo zmapování oblasti zpracovatelských smluv uzavíraných kraji. Věcně tak tato kontrola navazovala na kontroly zpracovatelských smluv provedené u obcí.

V rámci kontroly kontrolující nejprve zjišťovali, zda kontrolovaná osoba jakožto správce osobních údajů využívá zpracovatele pro své zpracování osobních údajů a zda s nimi uzavřela písemné smlouvy. V další fázi pak již Úřad posuzoval, zda dvě jím vybrané smlouvy o zpracování osobních údajů obsahují úpravu veškerých článkem 28 GDPR požadovaných náležitostí.

Kontrolující konstatovali, že ve vztahu k prvnímu zpracovateli kontrolovaná osoba porušila některé z povinností podle článku 28 GDPR. Jednalo se o absenci úpravy popisu povahy zpracování osobních údajů prováděného zpracovatelem pro kontrolovanou osobu (čl. 28 odst. 3 GDPR), o nedostatečnou úpravu konkrétních informací o technických a organizačních opatřeních, které je zpracovatel povinen ve vztahu ke zpracování přijmout [čl. 28 odst. 3 písm. c) GDPR], o nedostatečnou úpravu konkrétních povinností zpracovatele týkajících se nápomoci při vyřizování žádostí o výkon práv subjektů údajů [čl. 28 odst. 3 písm. e) GDPR] a o nedostatečnou konkretizaci závazku zpracovatele umožnit správci provádění auditů a inspekcí [čl. 28 odst. 3 písm. h) GDPR].

Ve vztahu k druhému zpracovateli pak kontrolující konstatovali, že kontrolovaná osoba rovněž porušila některé z povinností podle článku 28 GDPR. Jednalo se o neuvedení popisu povahy zpracování osobních údajů prováděného zpracovatelem pro kontrolovanou osobu (čl. 28 odst. 3 GDPR), o nedostatečnou úpravu konkrétních informací o technických a organizačních opatřeních, které je zpracovatel povinen ve vztahu ke zpracování přijmout [čl. 28 odst. 3 písm. c) GDPR] a o nedostatečnou konkretizaci závazku zpracovatele dodržovat podmínky pro zapojení dalšího zpracovatele [čl. 28 odst. 3 písm. h) GDPR].

Proti kontrolním zjištěním kontrolovaná osoba nepodala námitky.

Doplňující informace: Úřad upozorňuje na skutečnost, že při uzavírání zpracovatelské smlouvy je třeba dbát na to, aby její obsah nespočíval jen v přepisu jednotlivých náležitostí zpracovatelských smluv uvedených v článku 28 odst. 3 GDPR, ale aby na jejich základě zpracovatelská smlouva upravovala konkrétní práva a povinnosti smluvních stran obecně uvedená v čl. 28 GDPR.