K odpovědnosti smluvních partnerů při zpracování osobních údajů
Již téměř 4 roky je účinné Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES („obecné nařízení o ochraně osobních údajů, dále jen „GDPR“). Výkladová praxe se však teprve utváří v rámci rozhodovací činnosti Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“).
Rozhodnutí ÚOOÚ následně prochází přezkumem ve správním soudnictví. Jedním z mála dosud vydaných rozhodnutí Nejvyššího správního soudu je nedávné rozhodnutí č. j. 7 As 146/2021-26 ze dne 7. 10. 2021, které se týká jedné ze stěžejních otázek problematiky ochrany a zpracování osobních údajů, kterou je vymezení postavení správce a zpracovatele a odpovědnosti správce za zpracování prováděné zpracovatelem. Této problematice ve světle uvedeného rozhodnutí Nejvyššího správního soudu (dále jako „posuzovaný případ“) se věnuje tento příspěvek.
Role jednotlivých obchodních partnerů, jak je vnímají podnikatelské subjekty, ne vždy zcela korespondují s právním vymezením postavení těchto partnerů z hlediska právních požadavků kladených na správce a na zpracovatele. Pochopení postavení správce a zpracovatele může být zásadní pro smluvní nastavení obchodní spolupráce mezi podnikateli, při níž dochází ke zpracování osobních údajů, a to včetně související odpovědnosti.
Pro připomenutí, správcem je dle čl. 4 odst. 7 GDPR fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Zpracovatelem je dle čl. 4 odst. 8 GDPR fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. Zpracováním je dle čl. 4 odst. 2 GDPR jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
V posuzovaném případě nejprve ÚOOÚ, následně v řízení proti rozhodnutí ÚOOÚ Městský soud v Praze a posléze v řízení o kasační stížnosti Nejvyšší správní soud posuzovali postavení dvou spolupracujících podnikatelských subjektů z hlediska zpracování osobních údajů a odpovědnost správce za zpracování prováděné zpracovatelem.
K okolnostem posuzovaného případu: ÚOOÚ v předmětném rozhodnutí mimo jiné uložil společnosti provést výmaz osobních údajů vztahujících se k osobám, vůči kterým je tato společnost v postavení správce a k jejichž zpracování prováděnému pro ni jinou osobou nedoložila adekvátní právní titul. Věcně se jednalo o posouzení zpracování osobních údajů v rámci činnosti při distribuci pojištění dle zákona 170/2018 Sb., o distribuci pojištění a zajištění, mezi samostatným zprostředkovatelem (zastoupeným) a (jeho) vázaným zástupcem. V rámci činnosti vázaného zástupce docházelo i ke shromažďování osobních údajů potenciálních klientů. Zastoupený se, zjednodušeně řečeno, bránil tím, že zpracování osobních údajů prováděné jeho vázaným zástupcem, je činností tohoto zástupce, za které neodpovídá. Nejvyšší správní soud dovodil, že vázaný zástupce oslovuje potenciálního klienta za účelem nabídnutí služeb zastoupeného, neboť právě v tom zprostředkování pojištění spočívá. Dle názoru ÚOOÚ, který obstál v soudním přezkumu, určoval účel shromaždování a zpracování osobních údajů potenciálních klientů zastoupený, pro kterého vázaný zástupce vyvíjel činnost. Zprostředkování se nečiní samoúčelně, podstatou zprostředkovatelské služby je určitá vazba na zprostředkovávanou službu. Neobstála proto obrana spočívající v tom, že v prvotní fázi oslovení klienta zpracovává vázaný zástupce osobní údaje subjektu údajů za účelem vybudování si své vlastní zákaznické sítě, které následně bude v rámci své podnikatelské činnosti nabízet své vlastní služby. Skutečnost, že spolupracovník (zde vázaný zástupce) je samostatný podnikatelský subjekt, není – z hlediska zpracování osobních údajů - relevantní. Právní úprava za správce považuje toho, kdo určuje účely a prostředky zpracování osobních údajů. Zpracovatelem je pak ten, kdo zpracovává osobní údaje pro správce. V posuzovaném případě byl zastoupený odpovědný jako správce za zpracování osobních údajů, které pro něj zpracovává vázaný zástupce, neboť účel zpracování určil zastoupený.
GDPR stojí na principu odpovědnosti správce (čl. 5 odst. 2 GDPR). Správce musí být schopen doložit soulad zpracování s GDPR, mimo jiné zákonnost zpracování, tedy právní titul k prováděnému zpracování v konečném důsledku ve vztahu ke každému subjektu údajů. V posuzovaném případě došly ÚOOÚ i správní soudy k závěru, že správce musí doložit právní titul u všech osobních údajů zpracovávaných pro něj zpracovatelem. V případě, že zpracovatel ve své činnosti pochybí, konečnou odpovědnost za správné zpracování osobních údajů má správce, v jehož prospěch zpracovatel vyvíjí činnost. GDPR za nositele odpovědnosti považuje správce, jakožto toho, kdo určuje účel a prostředky zpracování osobních údajů.
Lze doplnit, že ve vztahu k subjektu údajů odpovídá správce zapojený do zpracování za újmu, kterou způsobí zpracováním, jež porušuje GDPR. Zpracovatel je za takovou újmu odpovědný pouze v případě, že nesplnil povinnosti stanovené GDPR konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi. Viz čl. 82 GDPR.
Uvedené odpovídá právnímu rámci vztahu správce a zpracovatel stanovenému GDPR. Správce odpovídá za zpracování a za plnění povinností dle GDPR. V prvé řadě odpovídá správce za výběr zpracovatele, tedy že jako zpracovatele použije subjekt, který poskytuje dostatečné záruky pro splnění požadavků GDPR, srov. čl. 28 odst. 1 GDPR. Zpracovatel je oprávněn zpracovávat osobní údaje pouze na základě pokynů správce. Ostatně veškeré zpracování má mít „na povel“ správce – zpracování se řídí pokyny správce i v případě zpracování z pověření správce či zpracovatele dle čl. 29 GDPR (např. zaměstnanci správce). Právě prostřednictvím pokynů a nastavení podmínek zpracování se zpracovatelem má správce kontrolu nad zpracováním prováděným zpracovatelem, kterým může být a zpravidla je na správci nezávislý subjekt. V neposlední řadě je správce oprávněn provádět u zpracovatele audit (viz čl. 28 odst. 3 písm. h) GDPR).
Zpracovatel odpovídá za svou činnost, a to jak ve vztahu k subjektům údajů, tak ve vztahu k vlastní deliktní odpovědnosti.
Vztah mezi správcem a zpracovatelem musí být vždy upraven smlouvou o zpracování osobních údajů. Pochopitelně tato smlouva zpravidla nemá pro podnikatelskou praxi význam sama o sobě, ke zpracování osobních údajů nedochází samoúčelně pro zpracování jako takové, ale děje se tak pro naplnění obchodní spolupráce. Smlouva o zpracování osobních údajů může být uzavřena samostatně nebo být zahrnuta přímo v obchodní smlouvě.
Smlouva o zpracování osobních údajů musí být uzavřena písemně. I v případě, kdy vlastní spolupráce mezi podnikatelskými subjekty probíhá neformálně prostřednictvím ústní smlouvy, formou objednávek apod., musí problematiku zpracování osobních údajů spolupracující subjekty v postavení správce a zpracovatele upravit písemně vždy.
Náležitosti smlouvy o zpracování osobních údajů jsou stanoveny v čl. 28 odst. 3 GDPR. Častým pochybením, s nímž se stále setkáváme, je, že smlouva se soustředí na konkrétní povinnosti zpracovatele dle GDPR (tj. náležitosti vyjmenované pod jednotlivými písmeny odstavce 3) a přitom nedostatečně vymezí základní náležitosti či některou z nich opomene. Těmito náležitostmi jsou předmět a dobu trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorií subjektu údajů, povinnosti a práva správce (viz první věta odstavce 3).
Rozhodovací praxe jednoznačně potvrzuje primární odpovědnost správce za zpracování osobních údajů. Pro podnikatelskou praxi z toho vyplývá, že smlouva o zpracování osobních údajů rozhodně není a nemůže být jen dokumentem uzavíraným pro formu, dokumentem, který se podepíše pro „papírové splnění povinnosti“ a založí „do šuplíku“.
Naopak, při uzavírání smlouvy o zpracování osobních údajů by obě smluvní strany, primárně však zcela jistě správce, měly věnovat náležitou pozornost:
- jak při plnění obchodní činnosti či při poskytování služby, jíž se vztah mezi správcem a zpracovatelem týká, dochází ke zpracování osobních údajů, tedy jaké zpracování má být pro splnění obchodního účelu spolupráce prováděno a jak jsou splněny požadavky GDPR kladené na zpracování osobních údajů (viz zásady zpracování dle čl. 5 GDPR), a také
- nastavení jednotlivých procesů při činnostech zpracování osobních údajů.
Příkladem může být například obchodní spolupráce obdobná posuzovanému případu, která zahrnuje sběr dat vč. osobních údajů. Vůči subjektům údajů má informační povinnost dle čl. 13 a násl. GDPR správce, může ji však plnit prostřednictvím zpracovatele, který pro něj danou činnost provádí. V rámci nastavení vztahu se zpracovatelem by pak měl správce ve vlastním zájmu dostatečně instruovat zpracovatele, jak má informační povinnost plnit, např. poskytnutím vzorové dokumentace, včetně požadavků na zajištění adekvátních právních titulů.
Zpracovatel by si pak měl být vědom toho, že pokud sám (nad rámec pokynů správce) určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce a za takové zpracování plně jako správce odpovídá.
Lze doporučit, aby smlouva o zpracování osobních údajů obsahovala také ujednání týkající se odpovědnosti jednotlivých smluvních stran, včetně sjednání regresů v případě postižení správce za nedostatky v činnosti zpracovatele. Pravidelným ujednáním bývá také sjednání smluvních pokut sankcionujících porušení povinností zpracovatele.
Posouzení problematiky zpracování osobních údajů je při nastavení obchodní spolupráce včetně smluvních podmínek nutno věnovat pozornost. Vždy je potřeba vyhodnotit, zda jsou obchodní partneři v postavení dvou samostatných správců, postavení správce a zpracovatele či společných správců. Zahrnuje-li obchodní spolupráce zpracování osobních údajů pro smluvního partnera, odpovídá za ně nejen subjekt, který je provádí, ale i tento smluvní partner, pro něhož je zpracování prováděno.
Mgr. Martina Staňková,
advokátka
Advokátní kancelář Muzikář & Partners
Havlíčkova 13
602 00 Brno
Tel.: +420 543 236 362
e-mail: sekretariat@mpak.cz
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
