dnes je 13.12.2024

Input:

Smlouva o zpracování osobních údajů

2.2.2009, Zdroj: Verlag Dashöfer

15.7.13.1
Smlouva o zpracování osobních údajů

Základním právním předpisem v oblasti ochrany osobních údajů je zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen "zákon o ochraně osobních údajů“). Účelem zákona o ochraně osobních údajů je zajistit ochranu osobních údajů fyzických osob, upravit práva a povinnosti při zpracování osobních údajů a stanovit podmínky, za nichž se uskutečňuje předání osobních údajů do jiných států.

Smlouva o zpracování osobních údajů je právním institutem, jehož cílem je upravit vzájemná práva a povinnosti mezi správcem a zpracovatelem při zpracování osobních údajů. Povinnost uzavřít smlouvu o zpracování osobních údajů zákon stanoví v případech, kdy dochází k předání osobních údajů správcem zpracovateli za účelem jejich zpracování. Obligatorní náležitosti smlouvy o zpracování osobních údajů jsou v podrobnostech popsány níže.

Povinnost písemné formy

Zákon o ochraně osobních údajů v ustanovení § 6 stanoví, že smlouva o zpracování osobních údajů mezi správcem a zpracovatelem musí být obligatorně uzavřena v písemné podobě. Jakákoliv jiná forma jejího uzavření způsobuje její neplatnost. Důvodová zpráva k návrhu zákona o ochraně osobních údajů k povinnosti písemné formy smlouvy o zpracování osobních údajů uvádí, že "v zájmu právní jistoty nejen správce a zpracovatele, ale i subjektů údajů a dalších osob je, aby [...] pověření smlouvou mělo písemnou podobu“.

Podstatné obsahové náležitosti smlouvy o zpracování osobních údajů

Již výše zmiňovaný § 6 zákona o ochraně osobních údajů stanoví obligatorní obsahové náležitosti smlouvy o zpracování osobních údajů. Ve smlouvě o zpracování osobních údajů musí být výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá, a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů, a to rovněž pod sankcí neplatnosti.

Účel zpracování osobních údajů

Jednou z hlavních povinností správce je předem stanovit účel zpracování osobních údajů, tj. stanovit proč a k jakému cíli se budou osobní údaje shromažďovat a poté i zpracovávat. Na základě takto stanoveného účelu pak vznikají dodatečné povinnosti (např. pro uchovávání údajů, jejich přenos do jiných států, atd.) včetně povinnosti tento účel výslovně upravit i v případné smlouvě o zpracování osobních údajů. Zákon o ochraně osobních údajů nepřipouští, aby správce, resp. zpracovatel, shromáždil osobní údaje k určitému účelu a následně je zpracoval k jinému účelu. K takové změně účelu je až na malé výjimky vždy nutný souhlas subjektu údajů. Velmi častým účelem zpracovávání osobních údajů bude např. organizování marketingových akcí s cílem nabízet produkty a služby fyzickým osobám.

Rozsah zpracování osobních údajů

Další z důležitých povinností správce je stanovení rozsahu, v němž mohou být osobní údaje shromažďovány a zpracovávány. Rozsah zpracování osobních údajů je stanoven buď přímo zákonem anebo vyplývá z účelu, pro který jsou dané osobní údaje shromažďovány a zpracovávány. I tato povinnost správce se musí promítnout do písemné smlouvy o zpracování osobních údajů. Smlouva pak bude většinou taxativním způsobem vypočítávat, jaké osobní údaje (např. jméno, příjmení, adresa, telefon) budou předmětem závazku vyplývajícího ze smlouvy o zpracování osobních údajů.

Doba zpracování osobních údajů

Smlouva o zpracování osobních údajů musí rovněž stanovit dobu, která je potřebná ke zpracovávání osobních údajů. Ta bude, ve většině případů, vyplývat z účelu, pro který byly osobní údaje shromážděny za účelem dalšího zpracovávání. V některých případech však doba zpracování může vyplývat přímo ze zákona (např. vedení evidence Rejstříku trestů podle zákona č. 269/1994 Sb., o Rejstříku trestů). Pokud stanovená doba, resp. lhůta, uplyne, je nutné zpracovávané osobní údaje zlikvidovat, popř. předat zpět správci osobních údajů (přesný postup likvidace, resp. způsobu předání zpět správci, by měl rovněž být obsahem smluvního závazku). Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely statistické, vědecké a pro účely archivnictví, a to pouze na základě a v mezích příslušných zákonů. Doba, po kterou bude smlouva o ochraně osobních údajů platná, bude většinou korespondovat s účelem, za kterým budou osobní údaje zpracovávány. Smlouva proto může být sjednána na jednorázové zpracování osobních údajů (např. provedení jediné marketingové akce) anebo na delší období za účelem déletrvajícího zpracovávání osobních údajů.

Technické a organizační zabezpečení osobních údajů při jejich zpracování

Zákon o ochraně osobních údajů vyžaduje, aby smlouva o zpracování osobních údajů kromě ostatních podstatných náležitostí obsahovala i záruku zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. Z ustáleného výkladu tohoto ustanovení vyplývá, že nebude postačovat pouhá zmínka o zárukách uvedená v textu smlouvy o zpracování osobních údajů. Smlouva samotná, popř. jiné navazující či prováděcí ujednání, by měly obsahovat konkrétní bezpečnostní opatření, která budou ze strany zpracovatele osobních údajů přijata. Výslovný výčet přijatých bezpečnostních opatření je nutný i z důvodu případné kontroly, zda jsou splněny zákonné požadavky. Směrnice Evropského parlamentu a Rady č. 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů ("Směrnice“) v článku 17 odst. 3 a 4 stanoví, že písemná forma této záruky ve smlouvě o zpracování osobních údajů je nutná zejména pro zachování důkazních prostředků.

Povinnosti zpracovatele při zabezpečení osobních údajů

Zákon o ochraně osobních údajů v § 13 odst. 1 stanoví, že zpracovatel má povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů (dále jen "bezpečnostní opatření“). Je nepochybné, že se jedná o zcela zásadní podmínku, bez které by zpracování osobních údajů nebylo právně přípustné. Výčet, stanovený v tomto odstavci, je výčtem pouze demonstrativním, který se snaží ukázat případy, před kterými je nezbytné osobní údaje chránit. Rámec bezpečnostních opatření popisuje článek 46 preambule Směrnice následujícím způsobem "[...] ochrana práv a svobod subjektů údajů v souvislosti se zpracováním osobních údajů vyžaduje, aby byla přijata příslušná technická a organizační opatření jak při přípravě zpracování, tak při jeho provádění, s cílem zajistit především bezpečnost a zabránit jakémukoli nepovolenému zpracování“.

Zákon o ochraně osobních údajů nestanoví, jaká konkrétní bezpečnostní opatření by měl zpracovatel přijmout. Je nepochybné, že tato bezpečnostní opatření budou záviset na účelu zpracování osobních údajů a rovněž na rozsahu a použití technických prostředků, které zpracovatel při

Nahrávám...
Nahrávám...