Otázka postavení správce a zpracovatele podle Nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen „Obecné nařízení“, je v praxi řešeno velmi často. Z jednoznačného určení pozic v rámci ochrany osobních údajů vyplývá plnění dalších povinností, které vyplývají z Obecného nařízení, dále vzájemné vztahy odpovědnosti, možnost udílet pokyny a v neposlední řadě i podoba smluvního vztahu a obsah smlouvy. Obvykle nebývá příliš komplikované definovat, kdo v daném vztahu je správce a kdo zpracovatel, či zda se jedná o vztah dvou správců. Oblast, kde se otázky objevují opakovaně, je oblast IT. Dodavatele služeb v oblasti IT využívá téměř každý napříč obory v soukromé i veřejné sféře, a to včetně obcí a jejich příspěvkových organizací. Mezi správcem a zpracovatelem musí být uzavřena smlouva, jejíž parametry jsou poměrně podrobně stanoveny v Obecném nařízení. Rozpoznání jednotlivých úloh je proto klíčové nejen pro správné nastavení smluvního vztahu, ale i pro nastavení odpovědnosti. Z praxe vyplývá, že dodavatel, byť je v pozici zpracovatele, se sám k odpovědnosti nehlásí, a je třeba podmínky zakotvit ve smlouvě.
Postavení správce a zpracovatele v oblasti IT
Vydáno:
12 minut čtení
Postavení správce a zpracovatele v oblasti IT
JUDr.
Eva
Janečková,
Michal
Merta,
MBA, MSc., LL.M.,
Jiří
Jurajda,
MSc.
Pozice správce a zpracovatele obecně
Správcem je podle článku 4 odst. 7 Obecného nařízení fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.
Jinak řečeno, správcem je každý, kdo určuje prostředky a účel zpracování osobních údajů, přičemž není rozhodné, zda se jedná o fyzickou či právnickou osobu, rozhodná není ani její povaha. Důležité a rozhodující je, že se dotyčný rozhodl osobní údaje systematicky zpracovávat nebo je mu zpracování uloženo zákonem jako povinnost (např. orgány veřejné správy).
Zpracováním osobních údajů může správce provádět sám, nebo může k této činnosti někoho zmocnit nebo pověřit. Podle čl. 4