epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    9. 3. 2022
    ID: 114357upozornění pro uživatele

    K odpovědnosti smluvních partnerů při zpracování osobních údajů

    Již téměř 4 roky je účinné Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES („obecné nařízení o ochraně osobních údajů, dále jen „GDPR“). Výkladová praxe se však teprve utváří v rámci rozhodovací činnosti Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“).

    Rozhodnutí ÚOOÚ následně prochází přezkumem ve správním soudnictví. Jedním z mála dosud vydaných rozhodnutí Nejvyššího správního soudu je nedávné rozhodnutí č. j. 7 As 146/2021-26 ze dne 7. 10. 2021, které se týká jedné ze stěžejních otázek problematiky ochrany a zpracování osobních údajů, kterou je vymezení postavení správce a zpracovatele a odpovědnosti správce za zpracování prováděné zpracovatelem. Této problematice ve světle uvedeného rozhodnutí Nejvyššího správního soudu (dále jako „posuzovaný případ“) se věnuje tento příspěvek.

    Role jednotlivých obchodních partnerů, jak je vnímají podnikatelské subjekty, ne vždy zcela korespondují s právním vymezením postavení těchto partnerů z hlediska právních požadavků kladených na správce a na zpracovatele. Pochopení postavení správce a zpracovatele může být zásadní pro smluvní nastavení obchodní spolupráce mezi podnikateli, při níž dochází ke zpracování osobních údajů, a to včetně související odpovědnosti.

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE

    Pro připomenutí, správcem je dle čl. 4 odst. 7 GDPR fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Zpracovatelem je dle čl. 4 odst. 8 GDPR fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. Zpracováním je dle čl. 4 odst. 2 GDPR jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

    V posuzovaném případě nejprve ÚOOÚ, následně v řízení proti rozhodnutí ÚOOÚ Městský soud v Praze a posléze v řízení o kasační stížnosti Nejvyšší správní soud posuzovali postavení dvou spolupracujících podnikatelských subjektů z hlediska zpracování osobních údajů a odpovědnost správce za zpracování prováděné zpracovatelem.

    Reklama
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    5.8.2025 13:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit

    K okolnostem posuzovaného případu: ÚOOÚ v předmětném rozhodnutí mimo jiné uložil společnosti provést výmaz osobních údajů vztahujících se k osobám, vůči kterým je tato společnost v postavení správce a k jejichž zpracování prováděnému pro ni jinou osobou nedoložila adekvátní právní titul. Věcně se jednalo o posouzení zpracování osobních údajů v rámci činnosti při distribuci pojištění dle zákona 170/2018 Sb., o distribuci pojištění a zajištění, mezi samostatným zprostředkovatelem (zastoupeným) a (jeho) vázaným zástupcem. V rámci činnosti vázaného zástupce docházelo i ke shromažďování osobních údajů potenciálních klientů. Zastoupený se, zjednodušeně řečeno, bránil tím, že zpracování osobních údajů prováděné jeho vázaným zástupcem, je činností tohoto zástupce, za které neodpovídá. Nejvyšší správní soud dovodil, že vázaný zástupce oslovuje potenciálního klienta za účelem nabídnutí služeb zastoupeného, neboť právě v tom zprostředkování pojištění spočívá. Dle názoru ÚOOÚ, který obstál v soudním přezkumu, určoval účel shromaždování a zpracování osobních údajů potenciálních klientů zastoupený, pro kterého vázaný zástupce vyvíjel činnost. Zprostředkování se nečiní samoúčelně, podstatou zprostředkovatelské služby je určitá vazba na zprostředkovávanou službu. Neobstála proto obrana spočívající v tom, že v prvotní fázi oslovení klienta zpracovává vázaný zástupce osobní údaje subjektu údajů za účelem vybudování si své vlastní zákaznické sítě, které následně bude v rámci své podnikatelské činnosti nabízet své vlastní služby. Skutečnost, že spolupracovník (zde vázaný zástupce) je samostatný podnikatelský subjekt, není – z hlediska zpracování osobních údajů - relevantní. Právní úprava za správce považuje toho, kdo určuje účely a prostředky zpracování osobních údajů. Zpracovatelem je pak ten, kdo zpracovává osobní údaje pro správce. V posuzovaném případě byl zastoupený odpovědný jako správce za zpracování osobních údajů, které pro něj zpracovává vázaný zástupce, neboť účel zpracování určil zastoupený.

    GDPR stojí na principu odpovědnosti správce (čl. 5 odst. 2 GDPR). Správce musí být schopen doložit soulad zpracování s GDPR, mimo jiné zákonnost zpracování, tedy právní titul k prováděnému zpracování v konečném důsledku ve vztahu ke každému subjektu údajů.  V posuzovaném případě došly ÚOOÚ i správní soudy k závěru, že správce musí doložit právní titul u všech osobních údajů zpracovávaných pro něj zpracovatelem. V případě, že zpracovatel ve své činnosti pochybí, konečnou odpovědnost za správné zpracování osobních údajů má správce, v jehož prospěch zpracovatel vyvíjí činnost. GDPR za nositele odpovědnosti považuje správce, jakožto toho, kdo určuje účel a prostředky zpracování osobních údajů.

    Lze doplnit, že ve vztahu k subjektu údajů odpovídá správce zapojený do zpracování za újmu, kterou způsobí zpracováním, jež porušuje GDPR. Zpracovatel je za takovou újmu odpovědný pouze v případě, že nesplnil povinnosti stanovené GDPR konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi. Viz čl. 82 GDPR.

    Uvedené odpovídá právnímu rámci vztahu správce a zpracovatel stanovenému GDPR. Správce odpovídá za zpracování a za plnění povinností dle GDPR. V prvé řadě odpovídá správce za výběr zpracovatele, tedy že jako zpracovatele použije subjekt, který poskytuje dostatečné záruky pro splnění požadavků GDPR, srov. čl. 28 odst. 1 GDPR. Zpracovatel je oprávněn zpracovávat osobní údaje pouze na základě pokynů správce. Ostatně veškeré zpracování má mít „na povel“ správce – zpracování se řídí pokyny správce i v případě zpracování z pověření správce či zpracovatele dle čl. 29 GDPR  (např. zaměstnanci správce). Právě prostřednictvím pokynů a nastavení podmínek zpracování se zpracovatelem má správce kontrolu nad zpracováním prováděným zpracovatelem, kterým může být a zpravidla je na správci nezávislý subjekt.  V neposlední řadě je správce oprávněn provádět u zpracovatele audit (viz čl. 28 odst. 3 písm. h) GDPR).

    Zpracovatel odpovídá za svou činnost, a to jak ve vztahu k subjektům údajů, tak ve vztahu k vlastní deliktní odpovědnosti.

    Vztah mezi správcem a zpracovatelem musí být vždy upraven smlouvou o zpracování osobních údajů. Pochopitelně tato smlouva zpravidla nemá pro podnikatelskou praxi význam sama o sobě, ke zpracování osobních údajů nedochází samoúčelně pro zpracování jako takové, ale děje se tak pro naplnění obchodní spolupráce. Smlouva o zpracování osobních údajů může být uzavřena samostatně nebo být zahrnuta přímo v obchodní smlouvě.

    Smlouva o zpracování osobních údajů musí být uzavřena písemně. I v případě, kdy vlastní spolupráce mezi podnikatelskými subjekty probíhá neformálně prostřednictvím ústní smlouvy, formou objednávek apod., musí problematiku zpracování osobních údajů spolupracující subjekty v postavení správce a zpracovatele upravit písemně vždy.

    Náležitosti smlouvy o zpracování osobních údajů jsou stanoveny v čl. 28 odst. 3 GDPR. Častým pochybením, s nímž se stále setkáváme, je, že smlouva se soustředí na konkrétní povinnosti zpracovatele dle GDPR (tj. náležitosti vyjmenované pod jednotlivými písmeny odstavce 3) a přitom nedostatečně vymezí základní náležitosti či některou z nich opomene. Těmito náležitostmi jsou předmět a dobu trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorií subjektu údajů, povinnosti a práva správce (viz první věta odstavce 3).

    Rozhodovací praxe jednoznačně potvrzuje primární odpovědnost správce za zpracování osobních údajů. Pro podnikatelskou praxi z toho vyplývá, že smlouva o zpracování osobních údajů rozhodně není a nemůže být jen dokumentem uzavíraným pro formu, dokumentem, který se podepíše pro „papírové splnění povinnosti“ a založí „do šuplíku“.

    Naopak, při uzavírání smlouvy o zpracování osobních údajů by obě smluvní strany, primárně však zcela jistě správce, měly věnovat náležitou pozornost:

    • jak při plnění obchodní činnosti či při poskytování služby, jíž se vztah mezi správcem a zpracovatelem týká, dochází ke zpracování osobních údajů, tedy jaké zpracování má být pro splnění obchodního účelu spolupráce prováděno a jak jsou splněny požadavky GDPR kladené na zpracování osobních údajů (viz zásady zpracování dle čl. 5 GDPR), a také
    • nastavení jednotlivých procesů při činnostech zpracování osobních údajů.

    Příkladem může být například obchodní spolupráce obdobná posuzovanému případu, která zahrnuje sběr dat vč. osobních údajů. Vůči subjektům údajů má informační povinnost dle čl. 13 a násl. GDPR správce, může ji však plnit prostřednictvím zpracovatele, který pro něj danou činnost provádí. V rámci nastavení vztahu se zpracovatelem by pak měl správce ve vlastním zájmu dostatečně instruovat zpracovatele, jak má informační povinnost plnit, např. poskytnutím vzorové dokumentace, včetně požadavků na zajištění adekvátních právních titulů.

    Zpracovatel by si pak měl být vědom toho, že pokud sám (nad rámec pokynů správce) určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce a za takové zpracování plně jako správce odpovídá.

    Lze doporučit, aby smlouva o zpracování osobních údajů obsahovala také ujednání týkající se odpovědnosti jednotlivých smluvních stran, včetně sjednání regresů v případě postižení správce za nedostatky v činnosti zpracovatele. Pravidelným ujednáním bývá také sjednání smluvních pokut sankcionujících porušení povinností zpracovatele.

    Posouzení problematiky zpracování osobních údajů je při nastavení obchodní spolupráce včetně smluvních podmínek nutno věnovat pozornost. Vždy je potřeba vyhodnotit, zda jsou obchodní partneři v postavení dvou samostatných správců, postavení správce a zpracovatele či společných správců. Zahrnuje-li obchodní spolupráce zpracování osobních údajů pro smluvního partnera, odpovídá za ně nejen subjekt, který je provádí, ale i tento smluvní partner, pro něhož je zpracování prováděno.  


    Mgr. Martina Staňková,
    advokátka

    Advokátní kancelář Muzikář & Partners

    Havlíčkova 13
    602 00 Brno

    Tel.: +420 543 236 362
    e-mail:
    sekretariat@mpak.cz


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    Mgr. Martina Staňková (Muzikář & Partners)
    9. 3. 2022

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Jak dlouho po podání žádosti o vydání stavebního povolení musí žadatel udržovat podkladová stanoviska platná a aktuální?
    • Ne/podceňování zastupitelnosti bezpečnostních rolí dle zákona o kybernetické bezpečnosti
    • Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost a další regulace
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Cena zvláštní obliby – kdy má citový vztah poškozeného k věci vliv na výši odškodného?
    • Umělá inteligence v právu: Efektivní pomoc nebo riziko pro odborný úsudek?
    • Úvodní vhled do klasifikace povinných osob dle návrhu nového zákona o kybernetické bezpečnosti
    • Rodinná nadace s dceřinou společností: Alternativa ke svěřenskému fondu pro správu rodinného majetku
    • Řádné prověření podnětu jako podklad pro místní šetření (nález Ústavního soudu)
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti

    Novinky v eshopu

    Aktuální akce

    • 05.08.2025ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    • 12.08.2025Claude (Anthropic) od A do Z v právní praxi (online - živé vysílání) - 12.8.2025
    • 19.08.2025Microsoft Copilot od A do Z v právní praxi (online - živé vysílání) - 19.8.2025
    • 26.08.2025Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 26.8.2025
    • 02.09.2025Pracovní smlouva prakticky (online - živé vysílání) - 2.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 18.09.2025Diskusní fórum: Daňové právo v praxi - 18.9.2025
    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Právo na víkend - týden v české justici očima šéfredaktora
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Od konkurenční doložky k právní nejistotě: kontroverzní výklad Nejvyššího soudu v rozsudku 27 Cdo 1236/2024
    • Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost a další regulace
    • Ne/podceňování zastupitelnosti bezpečnostních rolí dle zákona o kybernetické bezpečnosti
    • Sankční povinnost odevzdání řidičského průkazu v implikační souvislosti
    • Jak dlouho po podání žádosti o vydání stavebního povolení musí žadatel udržovat podkladová stanoviska platná a aktuální?
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost a další regulace
    • Sankční povinnost odevzdání řidičského průkazu v implikační souvislosti
    • Od konkurenční doložky k právní nejistotě: kontroverzní výklad Nejvyššího soudu v rozsudku 27 Cdo 1236/2024
    • Obchodní vedení společnosti
    • 10 otázek pro ... Jana Kohouta
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Ověření podpisu advokátem a „nestrannost“ advokáta
    • Projevy tzv. flexinovely zákoníku práce při skončení pracovního poměru výpovědí udělenou zaměstnanci ze strany zaměstnavatele
    • Bez rozvrhu pracovní doby to nepůjde
    • Nařízení odstranění černé stavby aneb Když výjimka potvrzuje pravidlo
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Umělá inteligence v právu: Efektivní pomoc nebo riziko pro odborný úsudek?
    • Finální podoba flexibilní novely zákoníku práce nabyla účinnosti - co nás čeká?

    Soudní rozhodnutí

    Nesprávné označení relevantní stěžovatelovy námitky (exkluzivně pro předplatitele)

    Nejvyšší správní soud nedostojí požadavkům na řádné odůvodnění soudního rozhodnutí vyplývajícím z čl. 36 odst. 1 Listiny základních práv a svobod, pokud nesprávně označí...

    Předběžná vazba (exkluzivně pro předplatitele)

    Při rozhodování o předběžné vazbě podle § 94 zákona o mezinárodní justiční spolupráci musí soudy dostatečně odůvodnit reálné riziko útěku vyžádané osoby, podložené jejím...

    Přeřazení odsouzeného do přísnějšího typu věznice (exkluzivně pro předplatitele)

    Rozhodnutí o přeřazení odsouzeného do věznice s přísnějším režimem představuje omezení práva na osobní svobodu podle článku 8 odst. 1 Listiny základních práv a svobod a obecné...

    Příspěvek na péči

    Příspěvek na péči a jeho právní úprava v zákoně č. 108/2006 Sb., o sociálních službách, je naplněním práva na přiměřené hmotné zabezpečení při nezpůsobilosti k práci podle...

    Střídavá péče (exkluzivně pro předplatitele)

    Nemožnost přítomného účastníka efektivně participovat na jednání prostřednictvím svého advokáta z důvodu jazykových omezení může za určitých okolností vést k porušení jeho...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.