Smlouvy o zpracování osobních údajů — kontrolní seznam a průvodce pro pověřence

Smlouva o zpracování je vyžadována vždy, když správce pověří zpracovatele zpracováním osobních údajů jeho jménem. Rozlišení mezi správcem a zpracovatelem je klíčové: správce určuje účely a prostředky zpracování, zatímco zpracovatel jedná pouze na pokyn správce. Běžné vztahy se zpracovateli vyžadující smlouvu zahrnují: poskytovatele cloudového hostingu, platformy e-mailového marketingu, poskytovatele mzdových služeb, CRM systémy, analytické nástroje, společnosti IT podpory s přístupem k osobním údajům a externí call centra. Ne každý dodavatelský vztah vyžaduje smlouvu. Pokud společnost využívá službu, při které nedochází ke zpracování osobních údajů (např. nákup kancelářských potřeb), smlouva není potřeba. Obdobně, pokud dvě strany nezávisle určují účely zpracování, jsou společnými správci podle článku 26 a potřebují dohodu o společné správě místo smlouvy o zpracování. Pro externí pověřence je jedním z nejčastějších auditních zjištění neúplné pokrytí smlouvami. Klienti mají často 20–30 vztahů se zpracovateli, ale pouze 10–15 platných smluv. Systematický přehled všech dodavatelských vztahů je nezbytným prvním krokem.

Článek 28 odst. 3 GDPR specifikuje minimální obsah smlouvy o zpracování. Každá smlouva musí obsahovat: předmět a dobu zpracování, povahu a účel zpracování, typy osobních údajů a kategorie subjektů údajů a povinnosti a práva správce. Kromě těchto základů musí smlouva stanovit, že zpracovatel: zpracovává údaje pouze na základě zdokumentovaných pokynů správce, zajistí, že oprávněné osoby jsou vázány povinností mlčenlivosti, zavede přiměřená technická a organizační opatření (článek 32), zapojí dílčí zpracovatele pouze s předchozím souhlasem a za rovnocenných smluvních podmínek, pomáhá správci s odpovědí na žádosti subjektů údajů, pomáhá s oznámením porušení zabezpečení a povinnostmi DPIA, po skončení smlouvy údaje vymaže nebo vrátí a zpřístupní veškeré informace potřebné k prokázání souladu včetně umožnění auditů. Mnohé organizace používají vzorové smlouvy poskytované zpracovatelem (např. AWS, Google, Microsoft). Ačkoliv tyto vzory často pokrývají povinné klauzule, mohou obsahovat ustanovení nevýhodná pro správce — jako jsou široká práva na dílčí zpracování, omezený přístup k auditům nebo minimální limity odpovědnosti. Smlouvy poskytované zpracovatelem vždy kriticky zkontrolujte.

Nejčastější chybou je absence smlouvy pro stávající zpracovatelské vztahy. Mnohé organizace uzavřely smlouvy s poskytovateli SaaS let před účinností GDPR a nikdy smlouvu o zpracování nedodaly. Tyto mezery patří k nejsnáze identifikovatelným auditním zjištěním dozorových úřadů. Dalším častým problémem jsou zastaralé smlouvy, které neodrážejí aktuální činnosti zpracování. Smlouva podepsaná v době, kdy společnost službu využívala pro základní e-mail, nemusí pokrývat rozšířené využití, které nyní zahrnuje marketingovou automatizaci, profilování a přeshraniční předávání údajů. Správa dílčích zpracovatelů je často zanedbávána. Podle článku 28 odst. 2 musí správce dílčí zpracovatele schválit — buď konkrétně, nebo obecně s právem vznést námitku. Mnozí zpracovatelé vedou seznamy dílčích zpracovatelů, které se pravidelně mění (zejména velcí poskytovatelé cloudu). Pověřenci by měli zajistit, aby klienti měli proces pro kontrolu změn dílčích zpracovatelů. Konečně jsou často přehlížena ustanovení o ukončení smlouvy. Specifikuje smlouva výmaz nebo vrácení údajů? V jakém časovém rámci? V jakém formátu? Tyto podrobnosti se stávají kritickými při přechodu k jinému poskytovateli nebo při ukončení zpracovatelského vztahu.

Pro externí pověřence spravující 10–20 klientů, z nichž každý má 15–30 zpracovatelských vztahů, se ruční sledování smluv stává nepraktickým. To je potenciálně 200–600 smluv k monitorování z hlediska dat expirace, změn dílčích zpracovatelů a mezer v souladu. Systematický přístup začíná centralizovaným úložištěm. Pro každého klienta veďte seznam všech zpracovatelských vztahů s odpovídajícím stavem smlouvy: platná, chybějící, prošlá nebo v revizi. Propojte každou smlouvu s relevantními činnostmi zpracování ve vašich záznamech — to vytvoří kompletní obraz souladu. Nastavte upozornění na expiraci pro smlouvy na dobu určitou. Mnohé smlouvy jsou vázány na základní servisní smlouvu a prodlužují se automaticky, ale některé mají pevný termín. Prošlá smlouva znamená zpracování bez platného právního ujednání — jasné porušení GDPR. Standardizujte svůj kontrolní seznam pro revizi smluv. Místo čtení každé smlouvy od nuly zkontrolujte povinné prvky článku 28 odst. 3, vyhodnoťte ustanovení o dílčích zpracovatelích, ověřte záruky pro předávání údajů (zejména po Schrems II) a potvrďte podmínky ukončení smlouvy. Trustee.eu vám umožní vše sledovat pro každého klienta s indikátory stavu a upozorněními na lhůty.