Kraj (UOOU-03596/23)

Kontrola zpracovatelských smluv

Cílem kontrolní činnosti bylo zmapování oblasti zpracovatelských smluv uzavíraných kraji. Věcně tak tato kontrola navazovala na kontroly zpracovatelských smluv provedené u obcí.

V rámci kontroly kontrolující nejprve zjišťovali, zda kontrolovaná osoba jakožto správce osobních údajů využívá zpracovatele pro své zpracování osobních údajů a zda s nimi uzavřela písemné smlouvy. V další fázi pak již Úřad posuzoval, zda dvě jím vybrané smlouvy o zpracování osobních údajů obsahují úpravu veškerých článkem 28 GDPR požadovaných náležitostí.

Kontrolující konstatovali, že ve vztahu k prvnímu zpracovateli kontrolovaná osoba zcela porušila článek 28 GDPR, neboť se zpracovatelem žádnou smlouvu o zpracování osobních údajů neuzavřela. Kontrolovaná osoba měla za to, že se o zpracovatele ve vztahu k danému zpracování osobních údajů nejedná, a tudíž že jí tato povinnost nevznikla. Jednalo se přitom o dodavatele informačního systému.

Ve vztahu k druhému zpracovateli pak kontrolující konstatovali, že kontrolovaná osoba dostatečně neuvedla povahu zpracování osobních údajů, a porušila tak v této části článek 28 odst. 3 GDPR.

Proti kontrolním zjištěním kontrolovaná osoba nepodala námitky.

Doplňující informace: Úřad upozorňuje na skutečnost, že je nezbytné důsledně vyhodnocovat, zda v případech např. plnění smlouvy o dílo týkající se informačního systému bude zhotovitel, s ohledem na možnost následného přístupu k datům zpracovávaným v tomto systému, v postavení zpracovatele osobních údajů. Obecně je pak třeba při uzavírání zpracovatelské smlouvy dbát na to, aby její obsah nespočíval jen v přepisu jednotlivých náležitostí zpracovatelských smluv uvedených v článku 28 odst. 3 GDPR, ale aby na jejich základě zpracovatelská smlouva upravovala konkrétní práva a povinnosti smluvních stran obecně uvedená v čl. 28 GDPR.