Zpracovatel
Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů správce. Zpracovatel musí postupovat podle smlouvy nebo právního předpisu, které jej zavazují vůči správci a v nichž je stanoven
- předmět a doba trvání zpracování,
- povaha a účel zpracování,
- typ osobních údajů a kategorie subjektů údajů,
- povinnosti a práva správce.
Osobní údaje musí být adekvátně zabezpečeny i u zpracovatele. Zpracovatel nesmí zapojit do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. Zpracovatel je povinen dodržovat další povinnosti uvedené zejména v článku 28 GDPR.
Provozovatel (části) informačního systému pro správce osobních údajů, externí správce sítě, externí bezpečnostní správce, poskytovatel datového úložiště (cloudu).
Ne. Zpracovateli nejsou osoby, které se při provádění svých služeb, tj. plnění smlouvy s objednatelem (jinak správcem osobních údajů), mohou pouze nahodile dostat do styku s osobními údaji zpracovávanými tímto správcem, aniž by osobní údaje jakkoliv zpracovávaly. Náplň vaší činnosti byste měl mít jasně popsanou ve smlouvě, aby bylo zřejmé, že předmětem smlouvy mezi objednatelem a vámi není – a mezi vaše povinnosti coby dodavatele nepatří – osobní údaje zpracovávat.
Současně lze doporučit, abyste se vůči objednateli smluvně zavázal k mlčení o veškerých bezpečnostních opatřeních a dále k tomu, že při jakémkoliv nahodilém přístupu k údajům budete tyto údaje chránit a zejména nezpřístupníte a nepředáte údaje nikomu dalšímu.
V případě výkonu základních (poštovních) služeb, spočívající pouze ve vlastním doručování zásilek, jde o samostatnou činnost dodavatele těchto služeb, tedy správce údajů, který provádí zpracování nebytné pro jím stanovený účel doručování. Tím, že obdrží od původního správce (např. od eshopu) doručovací adresy (osobní údaje adresátů pro účely doručení) a zajistí doručení zásilek, neprovádí zpracování údajů jako zpracovatel.
Doručovatel zásilek tedy jedná na vlastní odpovědnost a není nutno s ním uzavírat zvláštní zpracovatelskou smlouvu.
Pokud však správce sjedná s dodavatelem poštovních služeb další činnosti, např. kompletaci zásilek, vč. tisku oznámení obsahující osobní údaje a jejich vkládání do obálek, jedná se již o činnost zpracovatele. V takovém případě je nutné na tento rozsah činnosti uzavřít smlouvu o zpracování osobních údajů dle čl. 28 GDPR, případně může být její ujednání součástí podmínek poskytované služby.
Subdodavatelé jsou vázáni čl. 29 GDPR. Ten stanovuje, že zpracovatel a jakákoliv osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce. Výjimkou jsou pouze situace, kdy jí jejich zpracování ukládá například právo Unie nebo členského státu.
Pokud tyto osoby jednají z pověření správce a na jeho pokyn, mohou mít přístup k osobním údajům. Správce tedy musí o všech těchto „subzpracovatelích“ vědět a stanovit či schválit pravidla o tom, jak budou s osobními údaji zacházet.
- Dodavatel poskytuje pouze řešení kamerového systému a jeho instalaci - v jeho provozu se však dále neangažuje. V tomto případě není dodavatel systému zpracovatelem.
- Zákazník se s dodavatelem dohodne i na průběžné kontrole a údržbě kamerového systému, kdy zaměstnanci servisní společnosti v rámci výkonu těchto služeb nahlíží do pořízených záznamů a tyto spravují na pokyn a pro potřebu správce. V takovém případě je servisní společnost v postavení zpracovatele osobních údajů a jí a jejím zaměstnancům pověřeným nahlížet do záznamů vyplývají obdobné povinnosti podle GDPR jako správci – objednateli služeb a jeho zaměstnancům. V takovém případě je nezbytné splnit následující náležitosti:
- Správce využije pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů.
- Správce uzavře smlouvu o zpracování osobních údajů, ve které je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Smlouva o zpracování osobních údajů nemusí být samostatná smlouva, ale podstatné je, aby zmíněné náležitosti byly obsahem smluvního ujednání mezi správcem a zpracovatelem. K podrobnostem smlouvy viz čl. 28 GDPR.