Zde je pro inspiraci seznam odkazů na Smlouvu o zpracování osobních údajů (DPA, Data processing agreement) mezi správcem osobních údajů a zpracovatelem od různých firem.

Smlouvy o zpracování osobních údajů se netýkají jen GDPR, ale podepisují se běžně také v ostatních částech světa: EU (GDPR), Brazílie (LGPD), USA California CCPA/CPRA, Virginia CDPA, Colorado CPA, Connecticut DPA, dále např. Dubai PDPA, Thajsko PDPA, Jihoafrické POPIA, atd..

Forma DPA smlouvy: musí být písemně nebo elektronicky – tedy doložitelně, nikoliv ústně. Pokud není, pak jako by neexistovala a sankce může dostat jak správce, tak zpracovatel.

buď jde o samostatnou smlouvu, často ale jde o přílohu nebo dodatek k rámcové smlouvě. V případě SaaS je obvyklejší DPA jako příloha (Annex, Addendum) k hlavním podmínkám použití (Terms and Conditions). Čili pokud souhlas s hlavní smlouvou zároveň konstituuje smlouvu o zpracování osobních údajů.

Co má obsahovat smlouva o zpracování osobních údajů

Každý zákon definuje povinné náležitosti, čili nutné minimum. V případě GDPR upravuje zpracovatelské smlouvy článek 28 a upřesňují EDPB Guidelines v článku 1.3, které v textech níže cituji. Smlouva o zpracování by neměla pouze přeformulovávat ustanovení GDPR

  • Předmět zpracování – musí být dostatečně specifikovaný, EDPB uvádí příklad „Záznamy dohledu pomocí videokamer zachycující osoby vstupující do zařízení s vysokým zabezpečením a opouštějící toto zařízení“)
  • Doba trvání zpracování – měla by být stanovena přesná doba nebo kritéria použitá k jejímu určení, lze například odkázat na dobu trvání dohody o zpracování (např. 30 dní od ukončení účtu).
  • Povaha zpracování – druh operací prováděných v rámci zpracování (například: „filmování“, „nahrávání“, „archivace obrázků“…) a účel zpracování – například: detekce neoprávněného vstupu. Tento popis by měl být co nejúplnější, v závislosti na konkrétní činnosti zpracování, aby externí strany (např. dozorové úřady) mohly pochopit obsah a rizika zpracování, které je zpracovateli svěřeno.
  • Druh osobních údajů – ten by měl být upřesněn co nejpodrobněji (např. videosnímky jednotlivců při vstupu do zařízení a odchodu z něj). Není vhodné pouze upřesnit, že se jedná o „osobní údaje podle čl. 4 odst. 1 GDPR“ nebo „zvláštní kategorie osobních údajů podle článku 9“. V případě zvláštních kategorií údajů by smlouva nebo právní akt měly přinejmenším upřesnit, o které druhy údajů se jedná, například „informace týkající se zdravotnické dokumentace“ nebo „informace o tom, zda je subjekt údajů členem odborové organizace“.
  • Kategorie subjektů údajů – tedy konkrétní skupiny lidí, jejich data se zpracovávají, zaměstnanec, návštěvník stránky, zaregistrovaný uživatel apod.
  • Práva a povinnosti správce – pokud jde o povinnosti správce, patří mezi ně například povinnost správce poskytnout zpracovateli údaje uvedené ve smlouvě, poskytnout a doložit jakýkoli pokyn týkající se zpracování údajů zpracovatelem, zajistit před zpracováním i v jeho průběhu dodržování povinností stanovených v GDPR zpracovatelem, dohlížet na zpracování, včetně provádění auditů a inspekcí u zpracovatele.

  • Povinnosti zpracovatele:
    • zpracovávat data jen na základě doložitelných instrukcí správce
    • zabezpečit údaje provedením vhodných technických a organizačních bezpečnostních opatření (obvykle je přílohou DPA seznam opatření – pseudonymizace a šifrování, důvěrnost, integrita, dostupnost a odolnost systémů, obnovení dostupnosti údajů a přístupu k nim, testování opatření pro ochranu údajů)
    • zajistit mlčenlivost všech osob, které údaje zpracovávají
    • subprocessing – pokud je to třeba, zapojit do zpracování jen schválené subdodavatele (subprocessors), musí mezi sebou uzavřít smlouvu, která ukládá stejné povinnosti v oblasti ochrany osobních údajů jako původnímu zpracovateli. Zpracovatel odpovídá správci za to, že ostatní zpracovatelé dodržují povinnosti v oblasti ochrany údajů.
    • pomoc správci s vyřizováním žádostí subjektů „prostřednictvím vhodných technických a organizačních opatření, pokud je to možné“. Podrobnosti pomoci, kterou má zpracovatel poskytnout, by měly být obsaženy ve smlouvě. Zatímco pomoc může spočívat pouze v bezodkladném předání jakékoli obdržené žádosti a/nebo umožnění správci přímo získat a spravovat příslušné osobní údaje, budou zpracovateli za určitých okolností uloženy konkrétnější, technické povinnosti, zejména pokud je v pozici, kdy získává a spravuje osobní údaje. Ačkoli lze praktické vyřizování jednotlivých žádostí zadávat zpracovateli, za splnění těchto požadavků nese odpovědnost správce. Posouzení, zda jsou žádosti subjektů údajů přípustné a/nebo zda jsou splněny požadavky stanovené v GDPR, by proto měl správce provádět buď případ od případu, nebo na základě jasných pokynů poskytnutých zpracovateli ve smlouvě před zahájením zpracování. Dohoda by měla obsahovat konkrétní podrobnosti o tom, jak zpracovatel bude požádán, aby správci pomohl plnit uvedené povinnosti. Například postupy a vzory formulářů mohou být do zohledňovat povahu zpracování poskytovat správci součinnost při zpracování osobních údajů.
    • pomoc správci při plnění povinnosti oznamovat porušení zabezpečení osobních údajů dozorovému úřadu a subjektům údajů. Zpracovatel musí informovat správce, kdykoli zjistí porušení zabezpečení osobních údajů, které má dopad na zařízení/informační systémy zpracovatele nebo dílčího zpracovatele, a musí správci pomoci získat informace, které je třeba uvést ve zprávě pro dozorový úřad.
    • pomoc při provádění posouzení dopadu na ochranu údajů a při konzultaci s dozorovým úřadem, pokud výsledek odhalí, že existuje vysoké riziko, které nelze zmírnit.
    • poskytnout správci podklady, ze kterých bude možné zjistit, že splnil své zákonné povinnosti, umožnit audity a inspekce prováděné správcem.
    • po skončení smlouvy vymazat osobní údaje nebo je „vrátit“ správci

Nepovinná ustanovení, která se často do smlouvy aplikují:

  • Limitace náhrady škody (Limitation of Liability): když je cena za službu v řádu několika stovek dolarů ročně, tak mi nedává smysl mít neohraničenou zodpovědnost, zvlášť když uživatelé do platformy zbytečně importují osobní údaje (ačkoliv je systém upozorňuje, ať to nedělají). A problém může nastat kdykoliv, i když se snažíte sebevíc. Takže mám ve smlouvě uveden limit „do výše ročního poplatku“ – klientům se to občas nelíbí, ale zatím jsem vždy jejich procurement nebo právníka přesvědčil, že to dává smysl.
  • Ošetřit stav, když se zpracovatel domnívá, že správce porušuje předpisy na ochranu osobních údajů. EDPB doporučuje, aby správce a zpracovatel ve smlouvě dohodly důsledky zpracovatelem zaslaného oznámení pokynu porušujícího nařízení a pro případ nečinnosti správce v této souvislosti. Jedním z příkladů by bylo vložení ustanovení o ukončení smlouvy pro případ, že správce trvá na nezákonném pokynu. Dalším příkladem by bylo ustanovení o možnosti zpracovatele pozastavit provádění dotčeného pokynu, dokud správce svůj pokyn nepotvrdí, nezmění nebo neodvolá.

Změny a jejich oznamování

Nejčastější změnou v online platformách je nový subdodavatel, např. zapojení nového emailingového řešení, hostingu, změna účetní, integrace nové služby, atd.

Nestačí změny jen publikovat na svém webu. V případě jednostranné změny smlouvy musí zpracovatel správce o změně uvědomit a nechat ji schválit. To se obvykle děje pomocí notifikačního mechanismu (poslat na dotčené uživatele platformy, případně pomocí notifikačního mechanismu poslat na jeho odběratele. Více viz stanovisko EDPB.

Vzor zpracovatelské smlouvy GDPR

Legito: Smlouva o zpracování osobních údajů (česky): https://marketplace.legito.com/CZ/cs/smlouva-o-zpracovani-osobnich-udaju

GDPR.eu: Data Processing Agreement template (anglicky): https://gdpr.eu/data-processing-agreement/
iubenda : Data processing agreement (GDPR template)

Příklady smlouvy o zpracování osobních údajů

Další užitečné zdroje:

https://binarystream.com/blog/a-breakdown-of-key-clauses-commonly-found-in-saas-contracts/