15.7.13.1
Smlouva o zpracování osobních údajů
Základním právním předpisem v oblasti ochrany osobních údajů je
zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve
znění pozdějších předpisů (dále jen "zákon o ochraně osobních údajů“). Účelem
zákona o ochraně osobních údajů je zajistit ochranu osobních údajů fyzických
osob, upravit práva a povinnosti při zpracování osobních údajů a stanovit
podmínky, za nichž se uskutečňuje předání osobních údajů do jiných států.
Smlouva o zpracování osobních údajů je právním institutem, jehož
cílem je upravit vzájemná práva a povinnosti mezi správcem a zpracovatelem při
zpracování osobních údajů. Povinnost uzavřít smlouvu o zpracování osobních
údajů zákon stanoví v případech, kdy dochází k předání osobních údajů správcem
zpracovateli za účelem jejich zpracování. Obligatorní náležitosti smlouvy o
zpracování osobních údajů jsou v podrobnostech popsány níže.
NahoruPovinnost písemné formy
Zákon o ochraně osobních údajů v ustanovení § 6 stanoví, že smlouva
o zpracování osobních údajů mezi správcem a zpracovatelem musí být obligatorně
uzavřena v písemné podobě. Jakákoliv jiná forma jejího uzavření
způsobuje její neplatnost. Důvodová zpráva k návrhu zákona o ochraně
osobních údajů k povinnosti písemné formy smlouvy o zpracování osobních údajů
uvádí, že "v zájmu právní jistoty nejen správce a zpracovatele, ale i subjektů
údajů a dalších osob je, aby [...] pověření smlouvou mělo písemnou podobu“.
Podstatné obsahové náležitosti smlouvy o zpracování osobních
údajů
Již výše zmiňovaný § 6 zákona o ochraně osobních údajů stanoví
obligatorní obsahové náležitosti smlouvy o zpracování osobních údajů. Ve
smlouvě o zpracování osobních údajů musí být výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá, a
musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení
ochrany osobních údajů, a to rovněž pod sankcí neplatnosti.
NahoruÚčel zpracování osobních údajů
Jednou z hlavních povinností správce je předem stanovit účel zpracování osobních údajů, tj. stanovit proč a k jakému cíli se budou osobní
údaje shromažďovat a poté i zpracovávat. Na základě takto stanoveného účelu pak
vznikají dodatečné povinnosti (např. pro uchovávání údajů, jejich přenos do
jiných států, atd.) včetně povinnosti tento účel výslovně upravit i v případné
smlouvě o zpracování osobních údajů. Zákon o ochraně osobních údajů
nepřipouští, aby správce, resp. zpracovatel, shromáždil osobní údaje k určitému
účelu a následně je zpracoval k jinému účelu. K takové změně účelu je až na
malé výjimky vždy nutný souhlas subjektu údajů. Velmi častým účelem
zpracovávání osobních údajů bude např. organizování marketingových akcí s cílem
nabízet produkty a služby fyzickým osobám.
NahoruRozsah zpracování osobních údajů
Další z důležitých povinností správce je stanovení rozsahu, v
němž mohou být osobní údaje shromažďovány a zpracovávány. Rozsah zpracování
osobních údajů je stanoven buď přímo zákonem anebo vyplývá z účelu, pro který
jsou dané osobní údaje shromažďovány a zpracovávány. I tato povinnost správce
se musí promítnout do písemné smlouvy o zpracování osobních údajů. Smlouva pak
bude většinou taxativním způsobem vypočítávat, jaké osobní údaje (např. jméno,
příjmení, adresa, telefon) budou předmětem závazku vyplývajícího ze smlouvy o
zpracování osobních údajů.
NahoruDoba zpracování osobních údajů
Smlouva o zpracování osobních údajů musí rovněž stanovit dobu, která je potřebná ke zpracovávání osobních údajů. Ta bude, ve
většině případů, vyplývat z účelu, pro který byly osobní údaje shromážděny za
účelem dalšího zpracovávání. V některých případech však doba zpracování může
vyplývat přímo ze zákona (např. vedení evidence Rejstříku trestů podle zákona
č. 269/1994 Sb., o Rejstříku trestů). Pokud stanovená doba, resp. lhůta,
uplyne, je nutné zpracovávané osobní údaje zlikvidovat, popř. předat zpět
správci osobních údajů (přesný postup likvidace, resp. způsobu předání zpět
správci, by měl rovněž být obsahem smluvního závazku). Po uplynutí této doby
mohou být osobní údaje uchovávány pouze pro účely statistické, vědecké a pro
účely archivnictví, a to pouze na základě a v mezích příslušných zákonů. Doba,
po kterou bude smlouva o ochraně osobních údajů platná, bude většinou
korespondovat s účelem, za kterým budou osobní údaje zpracovávány. Smlouva
proto může být sjednána na jednorázové zpracování osobních údajů (např.
provedení jediné marketingové akce) anebo na delší období za účelem
déletrvajícího zpracovávání osobních údajů.
Technické a organizační zabezpečení osobních údajů při jejich
zpracování
Zákon o ochraně osobních údajů vyžaduje, aby smlouva o zpracování
osobních údajů kromě ostatních podstatných náležitostí obsahovala i záruku
zpracovatele o technickém a organizačním zabezpečení ochrany osobních
údajů. Z ustáleného výkladu tohoto ustanovení vyplývá, že nebude postačovat
pouhá zmínka o zárukách uvedená v textu smlouvy o zpracování osobních údajů.
Smlouva samotná, popř. jiné navazující či prováděcí ujednání, by měly obsahovat
konkrétní bezpečnostní opatření, která budou ze strany zpracovatele osobních
údajů přijata. Výslovný výčet přijatých bezpečnostních opatření je nutný i z
důvodu případné kontroly, zda jsou splněny zákonné požadavky. Směrnice
Evropského parlamentu a Rady č. 95/46/ES ze dne 24. října 1995 o ochraně
fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu
těchto údajů ("Směrnice“) v článku 17 odst. 3 a 4 stanoví, že písemná forma
této záruky ve smlouvě o zpracování osobních údajů je nutná zejména pro
zachování důkazních prostředků.
Povinnosti zpracovatele při zabezpečení osobních
údajů
Zákon o ochraně osobních údajů v § 13 odst. 1 stanoví, že
zpracovatel má povinnost přijmout taková opatření, aby nemohlo dojít k
neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně,
zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému
zpracování, jakož i k jinému zneužití osobních údajů (dále jen "bezpečnostní
opatření“). Je nepochybné, že se jedná o zcela zásadní podmínku, bez které by
zpracování osobních údajů nebylo právně přípustné. Výčet, stanovený v tomto
odstavci, je výčtem pouze demonstrativním, který se snaží ukázat případy, před
kterými je nezbytné osobní údaje chránit. Rámec bezpečnostních opatření
popisuje článek 46 preambule Směrnice následujícím způsobem "[...] ochrana práv a
svobod subjektů údajů v souvislosti se zpracováním osobních údajů vyžaduje, aby
byla přijata příslušná technická a organizační opatření jak při přípravě
zpracování, tak při jeho provádění, s cílem zajistit především bezpečnost a
zabránit jakémukoli nepovolenému zpracování“.
Zákon o ochraně osobních údajů nestanoví, jaká konkrétní
bezpečnostní opatření by měl zpracovatel přijmout. Je nepochybné, že tato
bezpečnostní opatření budou záviset na účelu zpracování osobních údajů a rovněž
na rozsahu a použití technických prostředků, které zpracovatel při…