Správci, zpracovatelé a společní správci podle pokynů EDPB

2021-09-29, JUDr. Eva Fialová, LL.M., Ph.D.


Pokyny EDPB jsou poměrně rozsáhlé, takže se v tomto článku zaměřím jen na jejich nejdůležitější body. Prvním nich je vzájemný vztah správce a zpracovatele, druhým pak problematika společných správců.

Vztah mezi správcem a zpracovatelem

EDPB opakuje, že správce určuje účel a  prostředky zpracování a o zpracování rozhoduje. Toto ovšem nevylučuje, aby zpracovatel činil některá méně zásadní rozhodnutí o zpracování. Příkladem méně zásadního rozhodnutí je volba hardwaru nebo softwaru ke zpracování osobních údajů nebo konkrétní způsoby zabezpečení osobních údajů. Rozhodující pro určení, zda se jedná o správce nebo zpracovatele, je samozřejmě jejich skutečné postavení či okolnosti zpracování, a nikoliv to, jak si smluvní strany ujednají svůj vzájemný vztah a  role. Někteří správci mají tuto roli danou přímo zákonem (např. provádění sociálního zabezpečení).
Zpracovatel by měl mít odborné znalosti, např. technické znalosti o bezpečnostních opatřeních a datových únicích. Zpracovatel by měl být dále důvěryhodný a mít prostředky pro zpracování osobních údajů. Správce by se neměl spokojit s garancí zpracovatelovy způsobilosti ve smlouvě, ale měl by si jeho způsobilost pravidelně ověřovat. Smlouva mezi správcem a zpracovatelem musí být písemná. Odpovědnými za nedostatek písemné formy jsou správce i zpracovatel a dozorový úřad může udělit pokutu oběma podle okolností případu. 

Poskytovatelé služeb vždy jako zpracovatelé?

EDPB se zabývá i poskytovateli služeb, kteří jsou v praxi často objednatelem považováni za zpracovatele a je jim k podpisu předložena zpracovatelská smlouva. To, zda se při poskytování služby bude jednat o zpracování jménem správce ve smyslu Obecného nařízení (GDPR), musí být určeno podle povahy poskytované služby. Pokud poskytovaná služba není zaměřena na zpracování osobních údajů nebo pokud zpracování osobních údajů nepředstavuje klíčový prvek služby, může být poskytovatel služby v takovém postavení, že samostatně a nezávisle určuje účel a prostředky zpracování. Zpracování osobních údajů tímto poskytovatelem může být nezbytné k poskytnutí služby. Tento poskytovatel je ve vztahu k objednateli v postavení dalšího správce osobních údajů, nikoliv zpracovatele. Poskytovatelem takové služby je např. advokátní kancelář. Advokát zpracovává osobní údaje, které nezbytně potřebuje pro zastupování klienta. Smlouva mezi advokátem a klientem není zaměřena na zpracování osobních údajů a advokát jedná do značné míry nezávisle, tj. při zpracování osobních údajů se neřídí pokyny klienta. Advokát je proto správcem osobních údajů. Jako další příklad uvádí EDPB podporu firemních IT systémů oproti konzultaci za účelem opravy chyb v systému. V prvním případě má společnost poskytující tyto služby přístup k  osobním údajům. Přestože zpracovávání osobních údajů není hlavním předmětem služby, má IT firma při poskytování podpory k osobním údajům systematický přístup. V takovém případě je IT firma v pozici zpracovatele. Naopak, jestliže by služba IT firmy spočívala pouze v opravě chyb, bude mít IT firma sice také přístup k osobním údajům, ale jen náhodný a velmi omezený. IT firma není zpracovatelem ve vztahu k objednateli (a ani samostatným správcem).

Společní správci

Dalším důležitým tématem, kterým se pokyny zabývají, je společné správcovství. Nejpodstatnějším znakem společného správcovství je společné určení účelů a prostředků zpracování. Zpracování osobních údajů dvěma nebo více správci může vzniknout na základě společného rozhodnutí nebo může být výsledkem shodujících se rozhodnutí dvou nebo více správců, která se týkají účelů a prostředků zpracování. Zpracování osobních údajů by nebylo možné bez účasti jednoho ze správců a zároveň je zpracování všech správců navzájem propojeno. Zpracování by tedy nebylo možné bez účasti všech správců. Zpracování všech správců je od sebe neoddělitelné. Skutečnost, že jeden ze správců nemá k osobním údajům přístup, nemá na posouzení společného správcovství vliv (Svědci Jehovovi, věc C-25/17).
Společnými správci budou správci osobních údajů jen ve vztahu k operacím zpracování, u kterých všichni správci určují účel a prostředky zpracování. U zpracování, které těmto operacím předchází, nebo po nich následuje, může být správce pouze jediný, pokud sám určuje účel a prostředky zpracování dotčených osobních údajů (Fashion ID). Společné správcovství ale neznamená stejnou odpovědnost za zpracování. Tu je nutné posoudit u každého správce zvlášť podle konkrétních okolností.

Účely a prostředky zpracování

Společní správci nemusí mít nutně totožný účel zpracování. Stačí, pokud jsou jejich účely provázané, nebo se navzájem doplňují. Vodítko k určení takových účelů a tím i společného správcovství je, že operace zpracování slouží ke vzájemnému prospěchu všech správců. Každý ze správců může mít na zpracování svůj vlastní zájem, ale společně určují účel a prostředky (Wirtschaftsakademie). Pokud by subjekt zpracovávající osobní údaje nesledoval vlastní zájem na zpracování, jednalo by se o zpracovatele, nikoliv o správce. Co se týče prostředků zpracování, společní správci je nemusí určit společně ve všech případech a ve stejné míře. O společné určení prostředků se může jednat i v situaci, kdy jeden ze správců disponuje prostředky zpracování a umožní jejich užívání dalším správcům. Příkladem mohou být platformy nebo standardizované nástroje pro zpracování osobních údajů. Společní správci pak určují, jakým způsobem je ke zpracování budou využívat. Rozhodnutí využívat systém nebo nástroj vyvinutý nebo provozovaný druhým subjektem se v podstatě rovná společnému rozhodnutí o  prostředku zpracování. Poskytovatel takového systému se také musí podílet na určení účelů a prostředků zpracování osobních údajů. Pokud tomu tak není, bude se jednat o zpracovatele. O společné správcovství se jednat nebude, pokud si správci vyměňují osobní údaje, ale neurčují společně účely a prostředky zpracování. V takovém případě půjde o předávání osobních údajů mezi dvěma samostatnými správci. Ani společná databáze osobních jů neznamená automaticky společné správcovství, pokud správci určují účely a prostředky zpracování nezávisle na sobě.

Odpovědnost a povinnosti společných správců

Společní správci si mezi sebou ujednají své podíly na odpovědnosti za plnění povinností podle Obecného nařízení (GDPR). To znamená, že si mezi sebou určí, jaké povinnosti má každý z nich tak, aby byla jasně vymezená odpovědnost za soulad s předpisy o ochraně osobních údajů. Rozdělení povinností a odpovědnosti se musí týkat zejména informování subjektů údajů a výkonu jejich práv. Společní správci si musí dohodnout, jak a kým budou poskytovány informace o zpracování a kdo bude mít povinnost zodpovídat dotazy subjektů údajů a reagovat na uplatňování jejich práv podle Obecného nařízení (GDPR). Dohoda mezi společnými Kritika Úřadu pro ochranu osobních údajů K dubnovému opatření ministerstva se kriticky vyjádřil Úřad pro ochranu osobních údajů (ÚOOÚ) 2) a mimořádným opatřením uloženou povinnosti provozovatelů vést evidenci zákazníků pro potřeby epidemiologického šetření označil za nepřípustnou. Úřad ministerstvu zejména vytýká: a) povinnost vést evidenci zákazníků, tj. zpracovávat jejich osobní údaje, stanoví velkému množství provozovatelů3), kteří doposud v řadě případů žádné zpracování údajů o svých zákaznících provádět nemuseli a  nemají pro vedení podobné evidence dostatek zkušeností, ani vytvořeny technické podmínky b) povinnost zpracovávat osobní údaje ministerstvo uložilo bez dostatečně konkrétního upřesnění účelu zpracování 4), rozsahu údajů5), doby jejich uchovávání, technického a organizačního zabezpečení, způsobu naplnění zásady transparentnosti a informační povinnosti vůči subjektům údajů c) absenci konzultační povinnosti předkladatele podle čl. 36 Obecného nařízení 6) v případě návrhu daného legislativních opatření. Úřad vyjádřil pochybnost, zda je ministerstvo oprávněno uložit provozovatelům služeb povinnost vést evidenci zákazníků, tj. zpracovávat blíže nespecifikovaný rozsah osobních údajů. Poukazuje na to, že zákon č. 94/2021 Sb., o mimořádných opatřeních při epidemii onemocnění COVID-19 zmocňuje ministerstvo k vydání mimořádného opatření omezit provozování vybraných služeb a stanovit podmínky provozování či poskytování, absentuje však oprávnění ukládat provozovatelům povinnost vést evidenci zákazníků. Úřad připomíná, že pokud by měla být povinnost uložena podzákonným právním předpisem, musí mít takový akt bezprostřední vazbu na prvotní normativní akt ve formě zákona a na limity v něm obsažené. Reakce ministerstva Ministerstvo obratem vydalo doplněné opatření, do kterého zapracovalo některé připomínky ÚOOÚ7). Z něj vyplývá, že účelem evidence údajů poskytovatelem služby je případné provedení epidemiologického šetření orgánem ochrany veřejného zdraví. Za tímto účelem je nezbytné zpracování údajů o zákazníkovi v rozsahu umožňujícím jeho identifikaci (jméno, příjmení), kontaktní údaje zákazníka (nejlépe telefonní číslo), informace o čase poskytnutí služby (odkdy, dokdy) a informace, který zaměstnanec poskytoval služby tomuto zákazníkovi. Tuto evidenci by měl poskytovatel uchovávat 30 dnů. správci by měla také zahrnovat povinnosti a odpovědnost za dodržování zásad zpracování osobních údajů, určení zákonného důvodu zpracování, bezpečnostní opatření, oznamování porušení zabezpečení, vypracování vlivu na zpracování osobních údajů, využití pověřence nebo předávání do třetích zemí, určení správce, který bude komunikovat s dozorovým úřadem. Společní správci musí každopádně zajistit úplný soulad s Obecným nařízením (GDPR).
Smlouva mezi společnými správci nemusí být na rozdíl od zpracovatelské smlouvy písemná. Nepřekvapí, že písemnou formu EDPB doporučuje. To vyplývá z její závaznosti pro společné správce a požadavku na jasný a srozumitelný jazyk dohody. S podstatou dohody mezi společnými správci by měl mít možnost seznámit se i subjekt údajů. EDPB doporučuje, aby byl subjekt údajů informován nejen o tom, který ze správců byl pověřen výkonem jeho práv, ale aby také věděl, kdo ze společných správců je odpovědný za zajištění souladu s Obecným nařízením (GDPR) u jednotlivých bodů obsažených v čl. 13 a 14 Obecného nařízení (GDPR).