epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    9. 3. 2022
    ID: 114357upozornění pro uživatele

    K odpovědnosti smluvních partnerů při zpracování osobních údajů

    Již téměř 4 roky je účinné Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES („obecné nařízení o ochraně osobních údajů, dále jen „GDPR“). Výkladová praxe se však teprve utváří v rámci rozhodovací činnosti Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“).

    Rozhodnutí ÚOOÚ následně prochází přezkumem ve správním soudnictví. Jedním z mála dosud vydaných rozhodnutí Nejvyššího správního soudu je nedávné rozhodnutí č. j. 7 As 146/2021-26 ze dne 7. 10. 2021, které se týká jedné ze stěžejních otázek problematiky ochrany a zpracování osobních údajů, kterou je vymezení postavení správce a zpracovatele a odpovědnosti správce za zpracování prováděné zpracovatelem. Této problematice ve světle uvedeného rozhodnutí Nejvyššího správního soudu (dále jako „posuzovaný případ“) se věnuje tento příspěvek.

    Role jednotlivých obchodních partnerů, jak je vnímají podnikatelské subjekty, ne vždy zcela korespondují s právním vymezením postavení těchto partnerů z hlediska právních požadavků kladených na správce a na zpracovatele. Pochopení postavení správce a zpracovatele může být zásadní pro smluvní nastavení obchodní spolupráce mezi podnikateli, při níž dochází ke zpracování osobních údajů, a to včetně související odpovědnosti.

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE

    Pro připomenutí, správcem je dle čl. 4 odst. 7 GDPR fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Zpracovatelem je dle čl. 4 odst. 8 GDPR fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. Zpracováním je dle čl. 4 odst. 2 GDPR jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

    V posuzovaném případě nejprve ÚOOÚ, následně v řízení proti rozhodnutí ÚOOÚ Městský soud v Praze a posléze v řízení o kasační stížnosti Nejvyšší správní soud posuzovali postavení dvou spolupracujících podnikatelských subjektů z hlediska zpracování osobních údajů a odpovědnost správce za zpracování prováděné zpracovatelem.

    Reklama
    Novelizace rodinného práva od 1. 1. 2026 a procesní souvislosti (online - živé vysílání) - 12.9.2025
    Novelizace rodinného práva od 1. 1. 2026 a procesní souvislosti (online - živé vysílání) - 12.9.2025
    12.9.2025 09:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit

    K okolnostem posuzovaného případu: ÚOOÚ v předmětném rozhodnutí mimo jiné uložil společnosti provést výmaz osobních údajů vztahujících se k osobám, vůči kterým je tato společnost v postavení správce a k jejichž zpracování prováděnému pro ni jinou osobou nedoložila adekvátní právní titul. Věcně se jednalo o posouzení zpracování osobních údajů v rámci činnosti při distribuci pojištění dle zákona 170/2018 Sb., o distribuci pojištění a zajištění, mezi samostatným zprostředkovatelem (zastoupeným) a (jeho) vázaným zástupcem. V rámci činnosti vázaného zástupce docházelo i ke shromažďování osobních údajů potenciálních klientů. Zastoupený se, zjednodušeně řečeno, bránil tím, že zpracování osobních údajů prováděné jeho vázaným zástupcem, je činností tohoto zástupce, za které neodpovídá. Nejvyšší správní soud dovodil, že vázaný zástupce oslovuje potenciálního klienta za účelem nabídnutí služeb zastoupeného, neboť právě v tom zprostředkování pojištění spočívá. Dle názoru ÚOOÚ, který obstál v soudním přezkumu, určoval účel shromaždování a zpracování osobních údajů potenciálních klientů zastoupený, pro kterého vázaný zástupce vyvíjel činnost. Zprostředkování se nečiní samoúčelně, podstatou zprostředkovatelské služby je určitá vazba na zprostředkovávanou službu. Neobstála proto obrana spočívající v tom, že v prvotní fázi oslovení klienta zpracovává vázaný zástupce osobní údaje subjektu údajů za účelem vybudování si své vlastní zákaznické sítě, které následně bude v rámci své podnikatelské činnosti nabízet své vlastní služby. Skutečnost, že spolupracovník (zde vázaný zástupce) je samostatný podnikatelský subjekt, není – z hlediska zpracování osobních údajů - relevantní. Právní úprava za správce považuje toho, kdo určuje účely a prostředky zpracování osobních údajů. Zpracovatelem je pak ten, kdo zpracovává osobní údaje pro správce. V posuzovaném případě byl zastoupený odpovědný jako správce za zpracování osobních údajů, které pro něj zpracovává vázaný zástupce, neboť účel zpracování určil zastoupený.

    GDPR stojí na principu odpovědnosti správce (čl. 5 odst. 2 GDPR). Správce musí být schopen doložit soulad zpracování s GDPR, mimo jiné zákonnost zpracování, tedy právní titul k prováděnému zpracování v konečném důsledku ve vztahu ke každému subjektu údajů.  V posuzovaném případě došly ÚOOÚ i správní soudy k závěru, že správce musí doložit právní titul u všech osobních údajů zpracovávaných pro něj zpracovatelem. V případě, že zpracovatel ve své činnosti pochybí, konečnou odpovědnost za správné zpracování osobních údajů má správce, v jehož prospěch zpracovatel vyvíjí činnost. GDPR za nositele odpovědnosti považuje správce, jakožto toho, kdo určuje účel a prostředky zpracování osobních údajů.

    Lze doplnit, že ve vztahu k subjektu údajů odpovídá správce zapojený do zpracování za újmu, kterou způsobí zpracováním, jež porušuje GDPR. Zpracovatel je za takovou újmu odpovědný pouze v případě, že nesplnil povinnosti stanovené GDPR konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi. Viz čl. 82 GDPR.

    Uvedené odpovídá právnímu rámci vztahu správce a zpracovatel stanovenému GDPR. Správce odpovídá za zpracování a za plnění povinností dle GDPR. V prvé řadě odpovídá správce za výběr zpracovatele, tedy že jako zpracovatele použije subjekt, který poskytuje dostatečné záruky pro splnění požadavků GDPR, srov. čl. 28 odst. 1 GDPR. Zpracovatel je oprávněn zpracovávat osobní údaje pouze na základě pokynů správce. Ostatně veškeré zpracování má mít „na povel“ správce – zpracování se řídí pokyny správce i v případě zpracování z pověření správce či zpracovatele dle čl. 29 GDPR  (např. zaměstnanci správce). Právě prostřednictvím pokynů a nastavení podmínek zpracování se zpracovatelem má správce kontrolu nad zpracováním prováděným zpracovatelem, kterým může být a zpravidla je na správci nezávislý subjekt.  V neposlední řadě je správce oprávněn provádět u zpracovatele audit (viz čl. 28 odst. 3 písm. h) GDPR).

    Zpracovatel odpovídá za svou činnost, a to jak ve vztahu k subjektům údajů, tak ve vztahu k vlastní deliktní odpovědnosti.

    Vztah mezi správcem a zpracovatelem musí být vždy upraven smlouvou o zpracování osobních údajů. Pochopitelně tato smlouva zpravidla nemá pro podnikatelskou praxi význam sama o sobě, ke zpracování osobních údajů nedochází samoúčelně pro zpracování jako takové, ale děje se tak pro naplnění obchodní spolupráce. Smlouva o zpracování osobních údajů může být uzavřena samostatně nebo být zahrnuta přímo v obchodní smlouvě.

    Smlouva o zpracování osobních údajů musí být uzavřena písemně. I v případě, kdy vlastní spolupráce mezi podnikatelskými subjekty probíhá neformálně prostřednictvím ústní smlouvy, formou objednávek apod., musí problematiku zpracování osobních údajů spolupracující subjekty v postavení správce a zpracovatele upravit písemně vždy.

    Náležitosti smlouvy o zpracování osobních údajů jsou stanoveny v čl. 28 odst. 3 GDPR. Častým pochybením, s nímž se stále setkáváme, je, že smlouva se soustředí na konkrétní povinnosti zpracovatele dle GDPR (tj. náležitosti vyjmenované pod jednotlivými písmeny odstavce 3) a přitom nedostatečně vymezí základní náležitosti či některou z nich opomene. Těmito náležitostmi jsou předmět a dobu trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorií subjektu údajů, povinnosti a práva správce (viz první věta odstavce 3).

    Rozhodovací praxe jednoznačně potvrzuje primární odpovědnost správce za zpracování osobních údajů. Pro podnikatelskou praxi z toho vyplývá, že smlouva o zpracování osobních údajů rozhodně není a nemůže být jen dokumentem uzavíraným pro formu, dokumentem, který se podepíše pro „papírové splnění povinnosti“ a založí „do šuplíku“.

    Naopak, při uzavírání smlouvy o zpracování osobních údajů by obě smluvní strany, primárně však zcela jistě správce, měly věnovat náležitou pozornost:

    • jak při plnění obchodní činnosti či při poskytování služby, jíž se vztah mezi správcem a zpracovatelem týká, dochází ke zpracování osobních údajů, tedy jaké zpracování má být pro splnění obchodního účelu spolupráce prováděno a jak jsou splněny požadavky GDPR kladené na zpracování osobních údajů (viz zásady zpracování dle čl. 5 GDPR), a také
    • nastavení jednotlivých procesů při činnostech zpracování osobních údajů.

    Příkladem může být například obchodní spolupráce obdobná posuzovanému případu, která zahrnuje sběr dat vč. osobních údajů. Vůči subjektům údajů má informační povinnost dle čl. 13 a násl. GDPR správce, může ji však plnit prostřednictvím zpracovatele, který pro něj danou činnost provádí. V rámci nastavení vztahu se zpracovatelem by pak měl správce ve vlastním zájmu dostatečně instruovat zpracovatele, jak má informační povinnost plnit, např. poskytnutím vzorové dokumentace, včetně požadavků na zajištění adekvátních právních titulů.

    Zpracovatel by si pak měl být vědom toho, že pokud sám (nad rámec pokynů správce) určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce a za takové zpracování plně jako správce odpovídá.

    Lze doporučit, aby smlouva o zpracování osobních údajů obsahovala také ujednání týkající se odpovědnosti jednotlivých smluvních stran, včetně sjednání regresů v případě postižení správce za nedostatky v činnosti zpracovatele. Pravidelným ujednáním bývá také sjednání smluvních pokut sankcionujících porušení povinností zpracovatele.

    Posouzení problematiky zpracování osobních údajů je při nastavení obchodní spolupráce včetně smluvních podmínek nutno věnovat pozornost. Vždy je potřeba vyhodnotit, zda jsou obchodní partneři v postavení dvou samostatných správců, postavení správce a zpracovatele či společných správců. Zahrnuje-li obchodní spolupráce zpracování osobních údajů pro smluvního partnera, odpovídá za ně nejen subjekt, který je provádí, ale i tento smluvní partner, pro něhož je zpracování prováděno.  


    Mgr. Martina Staňková,
    advokátka

    Advokátní kancelář Muzikář & Partners

    Havlíčkova 13
    602 00 Brno

    Tel.: +420 543 236 362
    e-mail:
    sekretariat@mpak.cz


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    Mgr. Martina Staňková (Muzikář & Partners)
    9. 3. 2022

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Matzner: Řešme také jak dál s AML. A vyvarujme se nadměrné zátěži a zbytečné byrokracie
    • Určení výše přiměřené slevy z kupní ceny
    • Dočasný zákaz výkonu funkce statutára dle zákona o kybernetické bezpečnosti a nové povinnosti pro statutáry
    • Soudní ombudsman jako most mezi soudy, advokacií a veřejností
    • Byznys a paragrafy, díl 17.: Přístup do datové schránky právnické osoby při úmrtí jednatele
    • Realitní obchod, provize zprostředkovatele a právní důsledky odstoupení od kupní smlouvy
    • Limity nároku poškozeného na náhradu nákladů za nájem náhradního vozidla
    • Druhá vlna povinností dle AI Aktu
    • Smlouva uzavřená mezi studentem a soukromou vysokou školou jako smlouva spotřebitelská – nález Ústavního soudu ze dne 5. února 2025, sp. zn. IV. ÚS 2093/24
    • Specifika výpovědi podnájemní smlouvy bytu optikou judikatury Nejvyššího soudu
    • Kyberbezpečnost v civilním letectví a její právní rámec

    Novinky v eshopu

    Aktuální akce

    • 12.09.2025Novelizace rodinného práva od 1. 1. 2026 a procesní souvislosti (online - živé vysílání) - 12.9.2025
    • 17.09.2025AI asistent pro právní výzkum a analýzu dokumentů (online - živé vysílání) - 17.9.2025
    • 19.09.2025Dopady novely znaleckého zákona na dokazování znaleckým posudkem v civilním řízení (online - živé vysílání) - 19.9.2025
    • 23.09.2025Investice do startupů – pohled VC fondu vs. pohled startup (online - živé vysílání) - 23.9.2025
    • 24.09.2025ESG Omnibus – Co se mění v reportingu a udržitelnosti? Úleva pro firmy, nebo ústup z odpovědnosti? Víte, co vás čeká? (online – živé vysílání) – 24.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • K otázce stupně intenzity porušení povinnosti zaměstnance
    • Právo na soukromí vs. transparentnost firem: Kontroverze kolem evidence skutečných majitelů
    • Konec snižování úrokových sazeb? Klíčová úroková sazba 2T repo zůstala v srpnu na 3,5 %
    • Matzner: Řešme také jak dál s AML. A vyvarujme se nadměrné zátěži a zbytečné byrokracie
    • Bezdůvodné obohacení
    • Osvobozený příjem nerovná se automaticky bez povinností: kdy musíte hlásit dar nebo dědictví?
    • Rozpor evidence skutečných majitelů s právem EU a jeho dopad na veřejné zakázky
    • Dobrá pověst
    • Flexinovela a změny v oblasti jiných důležitých osobních překážek v práci
    • Osvobozený příjem nerovná se automaticky bez povinností: kdy musíte hlásit dar nebo dědictví?
    • Realitní obchod, provize zprostředkovatele a právní důsledky odstoupení od kupní smlouvy
    • Dočasný zákaz výkonu funkce statutára dle zákona o kybernetické bezpečnosti a nové povinnosti pro statutáry
    • Soudní ombudsman jako most mezi soudy, advokacií a veřejností
    • Určení výše přiměřené slevy z kupní ceny
    • Rozpor evidence skutečných majitelů s právem EU a jeho dopad na veřejné zakázky
    • Byznys a paragrafy, díl 17.: Přístup do datové schránky právnické osoby při úmrtí jednatele
    • Oprávnění policejního orgánu k odemknutí mobilního telefonu nuceným přiložením prstu obviněného
    • Jak číst znalecký posudek: Právní orientace pro advokáty
    • V čem Nejvyšší soud selhává a proč by mu to advokáti měli říct
    • Neplatnost vydědění a její důsledky
    • Koncentrace řízení a kdy je čas na poučení
    • Specifika výpovědi podnájemní smlouvy bytu optikou judikatury Nejvyššího soudu
    • Praktické dopady tzv. flexi novely zákoníku práce na běh a délku výpovědní doby
    • Realitní obchod, provize zprostředkovatele a právní důsledky odstoupení od kupní smlouvy

    Soudní rozhodnutí

    Dobrá pověst

    V případě zániku právnické osoby s právním nástupcem vstupuje právní nástupce též do práv a povinností nemajetkové povahy zaniklé právnické osoby a může se domáhat práva na...

    Bezdůvodné obohacení

    Jednou ze skutkových podstat bezdůvodného obohacení ve smyslu § 2991 odst. 2 o. z. je i protiprávní užití cizí hodnoty, tedy stav, kdy je cizí nemovitá věc užívána subjektem...

    Zásada zákazu reformationis in peius v insolvenčním řízení

    Jestliže odvolací soud na základě odvolání podaného dlužníkem proti usnesení insolvenčního soudu o zrušení schváleného oddlužení a (současně) o zastavení insolvenčního...

    Výkon rozhodnutí

    Hlavním účelem vedlejšího účastenství je pomoc ve sporu jednomu z účastníků řízení, a jeho smyslem je posílit v konkrétním řízení postavení toho účastníka, na jehož straně...

    Odměna obhájce

    Ustanovení § 151 odst. 2 trestního řádu nezakládá bez dalšího nárok obhájce na odměnu a náhradu hotových výdajů za jakýkoli úkon právní služby poskytnutý obviněnému v...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.