Cílem článku je vyčlenit situace, ve kterých mají školy uzavřít „smlouvu o zpracování osobních údajů“, a nastínit obsah této smlouvy.
Smlouva o zpracování osobních údajů
Institut „smlouvy o zpracování osobních údajů“ znal zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a byl převzat též do nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“).
Nově se smlouva obsahově vymezená v čl. 28 odst. 3 GDPR označuje jako „smlouva mezi správcem a zpracovatelem“, „zpracovatelská smlouva“ či „smlouva o zpracování osobních údajů“. V článku se dále označuje jako „zpracovatelská smlouva“.
Kdo uzavírá zpracovatelskou smlouvu?
Správce osobních údajů je dle čl. 4 odst. 7 GDPR definován jako fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. V oblasti vzdělávání bude správcem téměř vždy škola (např. Základní škola Rájec, příspěvková organizace).
Správce může
*
sám provádět zpracování osobních údajů,
*
při zpracování osobních údajů využívat služeb tzv. třetí osoby.
Uvedenou třetí osobou je zpracovatel osobních údajů. Dle čl. 4 odst. 8 GDPR je definován jako fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
V souvislosti s výše uvedenými vymezeními správce a zpracovatele je vhodné zdůraznit následující momenty:
a)
Správce může a nemusí sám zpracovávat osobní údaje. V některých případech povolá ke zpracování osobních údajů zpracovatele. Zpracovatel naopak vždy zpracovává osobní údaje. Status správce se však podstatně liší od statusu zpracovatele, protože správce (na rozdíl od zpracovatele) určuje účely a prostředky zpracování osobních údajů. Naopak zpracovatel se musí podřídit správci a zpracovávat osobní údaje pouze k účelu, který stanovil správce, a pouze prostředky, které stanovil správce.
b)
Zpracovatel je osoba odlišná od správce a zároveň osoba, která není zaměstnancem správce1).
c)
Ze skutečnosti, že správce a zpracovatel jsou odlišné osoby, plyne jednoduchý závěr. Aby se z určité osoby stal zpracovatel (zpracovávající osobní údaje pro správce), musí mezi správcem a danou osobou vzniknout vztah, a to v souladu s GDPR. Podle čl. 28 odst. 3 GDPR je uvedený vztah založen
*
smlouvou nebo
*
zákonem nebo podzákonným právním předpisem.
Lze proto uzavřít, že zpracovatelská smlouva se zásadně uzavírá mezi správcem osobních údajů a zpracovatelem osobních údajů. Z tohoto úhlu pohledu vyčlenění zpracovatelské smlouvy nevyvolává problémy.
Je subjekt, který spolupracuje se správcem, zpracovatel?
V praxi škola (jako správce) při zpracování osobních údajů spolupracuje s velkým množstvím osob. V širším slova smyslu je lze chápat jako „dodavatele“ určitých činností, kteří v určité míře
*
přicházejí do styku s osobními údaji (neboť jim je správce zpřístupní nebo předá) nebo
*
dále operují s osobními údaji předanými správcem (např. je shromažďují, zaznamenávají).
Není vždy jednoduché určit, zda uvedený „dodavatel“2) je
1.
samostatným správcem osobních údajů,
2.
zpracovatelem osobních údajů, nebo
3.
subjektem, který se podílí na tak nahodilém zpracování osobních údajů, že se na jeho činnost GDPR nevztahuje.
Specifika vztahu správce a uvedených tří subjektů jsou okomentována níže.
1. Subjekty, které jsou vůči škole samostatnými správci osobních údajů
První situace, která může nastat, je situace, kdy škola předává osobní údaje jinému subjektu a tento uvedený jiný subjekt je také v rámci „své“ agendy samostatným správcem osobních údajů, tj. určuje účel a prostředky zpracování. V takovém případě (za předpokladu, že se druhý správce nachází na území Evropského hospodářského prostoru) není třeba uzavírat zpracovatelskou smlouvu ani jinak upravovat vztah mezi dvěma správci.
Typicky se bude jednat o situaci, kdy škola předává osobní údaje České školní inspekci, pedagogicko-psychologické poradně, obci (v souvislosti s činností OSPOD), Policii ČR nebo zřizovateli, který provozuje informační systém k přijímání prvňáčků3).
Samostatnými správci osobních údajů jsou dále ve vztahu k osobním údajům zaměstnanců školy finanční úřad, inspektorát práce, Česká správa sociálního zabezpečení, soudní exekutor apod.
Dále je nutné považovat za samostatné správce osobních údajů hotely, cestovní kanceláře, organizace zajišťující výuku plavání, muzea, dopravce apod.
Nejasná situace panovala ohledně výkonu činnosti smluvního lékaře, neboť nebylo zřejmé, kdo je osobou určující účel a prostředky zpracování osobních údajů. Úřad pro ochranu osobních údajů však již několikrát prezentoval názor, že vztah mezi zaměstnavatelem a smluvním lékařem považuje za vztah mezi dvěma správci.
Závěr: Každý správce osobních údajů odpovídá samostatně za splnění povinností vyplývajících z GDPR. Mezi dvěma samostatnými správci není uzavřena žádná smlouva týkající se zpracování osobních údajů.
2. Subjekty, které jsou vůči škole zpracovateli osobních údajů
Druhá situace, se kterou se pro školu přímo pojí povinnosti, nastane, pokud externí subjekt zpracovává osobní údaje pro školu na základě jejích pokynů.
Není pochyb o tom, že zpracovatelem je poskytovatel e-mailových služeb4), poskytovatel (části) informačního systému pro školy (v prostředí škol se bude zpravidla jednat o systém Bakaláři, dm Software, iŠkola, Škola OnLine aj.), externí správce sítě, externí bezpečnostní správce a poskytovatel datového úložiště (cloudu).5)
Školám lze pouze doporučit, aby za zpracovatele považovaly též osoby, které škole poskytují licenci k určitému programu, ve kterém jsou zpracovávány osobní údaje, a současně poskytují školám servisní služby k tomuto programu. Z tohoto úhlu pohledu se za zpracovatele ve smyslu GDPR považují též třetí osoby, které mají bez dohledu školy přístup k osobním údajům, ačkoliv spíše nahodilý. Autorky upozorňují, že toto je striktní pojetí zpracovatelského vztahu a některé dozorové orgány obdobné situace nepovažují za vztah mezi správcem a zpracovatelem ve smyslu GDPR.
Jak již bylo uvedeno, zpracovatel zpracovává osobní údaje podle pokynů správce (pokyny se vymezuje účel a prostředky zpracování). Základním „nástrojem“, pomocí kterého správce v tomto smyslu určuje činnost zpracovatele, je obsah zpracovatelské smlouvy.
Zpracovatelská smlouva, aby vyhovovala čl. 28 odst. 3 GDPR, by měla obsahovat následující náležitosti:
a)
předmět a doba trvání zpracování osobních údajů, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů,
b)
závazek, že zpracovatel osobních údajů nesmí do zpracování osobních údajů zapojit žádného dalšího zpracovatele bez předchozího konkrétního či obecného souhlasu správce,
c)
závazek, že zpracovatel bude zpracovávat osobní údaje pouze v rozsahu stanoveném smlouvou mezi ním a správcem, případně na základě doložených pokynů správce,
d)
závazek, že na osoby zpracovatele, které zpracovávají osobní údaje, se vztahuje zákonná povinnost mlčenlivosti nebo je zpracovatel k této mlčenlivosti smluvně zaváže,
e)
závazek, že zpracovatel přijme taková technická, organizační a jiná potřebná opatření, spočívající např. v šifrování, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož ani k jinému zneužití,
f)
závazek, že zpracovatel je povinen správci poskytnout součinnost pro případ výkonu jiných povinností správce podle GDPR, např. realizace práv subjektů údajů na přístup k osobním údajům či povinnosti ohlašovat porušení zabezpečení osobních údajů,
g)
závazek, že zpracovatel je povinen vrátit správci po ukončení zpracování osobních údajů všechny osobní údaje, pokud to není v rozporu s jinými právními předpisy,
h)
závazek, že zpracovatel poskytne správci veškeré informace potřebné k doložení splnění povinností podle GDPR a umožní správci kontrolu zákonnosti zpracování osobních údajů, pokud to neodporuje právnímu předpisu.
Závěr: Se zpracovateli osobních údajů musí být uzavřena písemná zpracovatelská smlouva, resp. dodatek k již existující smlouvě, přičemž za písemnou se považuje též smlouva v elektronické formě.
3. Subjekty, které nejsou správci ani zpracovateli osobních údajů
Další kategorií osob, které mají / mohou mít přístup k osobním údajům zpracovávaným správcem, jsou subjekty, které nejsou považovány ani za správce, ani za zpracovatele osobních údajů. Předmětem činnosti těchto subjektů pro správce (pro školu) jsou práce a služby, které nezahrnují zpracování osobních údajů. Nicméně z povahy jejich činnosti je možné, že jim mohou být nahodile přístupné určité osobní údaje (např. pracovníci externí firmy, která provádí úklidové služby, opravářské služby apod., mohou nahodile nahlédnout do dokumentace obsahující osobní údaje nebo do systému, ve kterém se zpracovávají osobní údaje).
S danými subjekty není nutné uzavírat zpracovatelskou smlouvu. Nicméně je vhodné (avšak z hlediska GDPR nikoliv povinné) s těmito subjekty uzavřít smlouvu,
*
ze které vyplyne, že činností uvedených subjektů není zpracování osobních údajů (např. předmětem činnosti je provedení úklidových prací),
*
kterou se zavážou k mlčenlivosti o osobních údajích, o kterých se dozvědí.6)
Jak již bylo uvedeno, tato smlouva není z hlediska GDPR povinná. Představuje však přijetí organizačního opatření ve smyslu čl. 25 GDPR.
Závěr: Se subjekty, které nejsou správci ani zpracovateli osobních údajů, je vhodné uzavřít smlouvu vymezující předmět činnosti pro školu a zavazující subjekt k povinnosti mlčenlivosti. Nejedná se však o zpracovatelskou smlouvu.
Závěrem
Školy by měly nejdříve posoudit, zda konkrétní činnost dodavatele představuje činnost zpracovatele osobních údajů. V případě, že se jedná o takovou činnost, jsou povinny s daným dodavatelem uzavřít zpracovatelskou smlouvu, resp. dodatek smlouvy, se všemi potřebnými náležitostmi vymezenými GDPR.
Poznámka redakce: V zářijovém čísle Řízení školy autorky představí změny, které pro školy přináší zákon o zpracování osobních údajů.
1) Zaměstnancem se rozumí též osoba zaměstnaná na základě dohody o provedení práce a dohody o pracovní činnosti.
2) Pro úplnost uvádíme, že kromě tří dále uvedených možností GDPR definuje v čl. 26 tzv. společné správce osobních údajů. Autorky jsou však toho názoru, že společní správci budou v oblasti školství absolutní výjimkou, proto se tímto druhem správců osobních údajů nezabývají.
3) Viz odpověď na dotaz zveřejněný v poradně Úřadu pro ochranu osobních údajů. ÚOOÚ [online]. [cit. 2019-04-07]. Dostupné z: https://www.uoou.cz/ze%2Dskolstvi/ds-5088/archiv=0&p1=2611.
4) Opinion 1/2010 on the concepts of “controller” and “processor”. Adopted on 16 February 2010. 00264/10/ENWP 169, s. 26.
5) Viz odpověď na dotaz zveřejněnou v části Otázky a odpovědi Úřadu pro ochranu osobních údajů. ÚOOÚ [online]. [cit. 2019-04-07]. Dostupné z: https://www.uoou.cz/zpracovatel/d-29316/p1=4753.
6) Viz odpověď na dotaz zveřejněnou v části Otázky a odpovědi Úřadu pro ochranu osobních údajů. ÚOOÚ [online]. [cit. 2019-04-07]. Dostupné z: https://www.uoou.cz/zpracovatel/d-29316/p1=4753.