pravnik@pravopropodnikatele.cz
222 250 000
+420 222 250 000

Správce a zpracovatel osobních údajů

Ochrana osobních údajů je v České republice upravena zákonem o ochraně osobních údajů (č. 101/2000 Sb., dále jen jako „zákon o OOÚ“). Tento zákon mimo jiné upravuje i povinnosti pro správce a zpracovatele osobních údajů. Kdo je správce a kdo je zpracovatel osobních údajů? Kdo odpovídá za zpracování osobních údajů a jaké hrozí pokuty při porušení zákona o OOÚ? Pojďme se na to blíže podívat.

Správce osobních údajů

Za správce považuje zákon o OOÚ každý subjekt (tedy jak fyzickou, tak právnickou osobu), který určuje účel a prostředky zpracování osobních údajů, provádí zpracování osobních údajů a odpovídá za něj. Zpracováním osobních údajů může správce pověřit zpracovatele (viz dále). Nezáleží přitom, zda se jedná o podnikající, či nepodnikající subjekt – povinnost se vztahuje na oba.

Zpracováním osobních údajů je jednoduše řečeno jakákoliv operace s osobními údaji (např. shromažďování, zveřejňování nebo používání). Pověření může být buď částečně (zpracovatel může zpracovávat jen např. daňovou a účetní agendu), nebo v celém rozsahu.

 Zpracovatel osobních údajů

Zpracovatelem je dle zákona o OOÚ každý subjekt (tedy opět jak fyzická, tak právnická osoba), který zpracovává osobní údaje na základě zvláštního zákona nebo na základě pověření správcem.

Určení zpracovatele přímo v právním předpisu není příliš časté. Výslovné označení zpracovatele můžeme najít např. v transplantačním zákoně (kde je jako zpracovatel osobních údajů výslovně označeno Koordinační středisko transplantací) či v zákoně o evidenci obyvatel (kde je jako zpracovatel osobních údajů výslovně označeno Ministerstvo vnitra).

Mnohem obvyklejším případem je pověření zpracovatele ke zpracování určité agendy na základě písemné smlouvy o zpracování osobních údajů, kterou uzavírá zpracovatel se správcem osobních údajů. Tato smlouva by měla hlavně řešit otázku zabezpečení ochrany osobních údajů. Pokud např. e-shop (vystupující jako správce osobních údajů) pověří marketingovou agenturu (vystupující jako zpracovatel osobních údajů) organizací spotřebitelské soutěže, již by spolu tyto dvě společnosti měly uzavřít smlouvu o zpracování osobních údajů.

Zpracovateli zákon o OOÚ stanoví jednu specifickou povinnost – pokud zpracovatel zjistí, že správce porušuje povinnosti stanovené zákonem o OOÚ, je povinen na to správce upozornit a zastavit zpracování osobních údajů.

Odpovědnost a pokuty při porušení odpovědnosti správce nebo zpracovatele

Odpovědnost za zpracování osobních údajů nese správce osobních údajů. V případě, že zpracování za správce provádí také zpracovatel, za zpracování odpovídají oba.

Pokud zpracovatel neupozorní správce a nezastaví zpracování osobních údajů, ačkoliv zjistí, že správce porušuje povinnosti stanovené zákonem o OOÚ, odpovídá za škodu způsobenou subjektům osobních údajů společně a nerozdílně se správcem.

Podnikající fyzické osobě nebo právnické osobě, která vystupuje jako správce nebo jako zpracovatel osobních údajů, hrozí při porušení povinností stanovených zákonem o OOÚ (např. zpracovávání osobních údajů bez souhlasu subjektu údajů nebo zpracovávání nepřesných osobních údajů) pokuta ve výši až 5 000 000 Kč (v případě ohrožení většího počtu osob až 10 000 000 Kč). Pokud jako správce nebo jako zpracovatel osobních údajů vystupuje fyzická osoba nepodnikající, pokuta může dosáhnout výše až 1 000 000 Kč (v případě ohrožení většího počtu osob až 5 000 000 Kč).

Dosud nejvyšší pokutu ve výši 3 600 000 Kč udělil Úřad pro ochranu osobních údajů společnosti T-Mobile v roce 2016. Společnosti T-Mobile byly tehdy odcizeny osobní údaje více než 1 000 000 klientů.

Novinky v oblasti ochrany osobních údajů v roce 2018

Ochrana osobních údajů v celé Evropské unii projde v roce 2018 výraznými změnami. Dne 25. 5. 2018 vstoupí v účinnost nové obecné nařízení Evropské unie o ochraně osobních údajů (známé také jako GDPR). GDPR ve velké míře nahradí zákon o OOÚ, mezi jinými i v oblasti sankcí za porušení povinností při správě osobních údajů. Více se o GDPR dozvíte v našem dřívějším článku zde.

Závěrem

Ochrana osobních údajů je velkým tématem poslední doby, zejména v internetovém prostředí. Není radno ji podceňovat, ať již vystupujete jako správce či jako zpracovatel osobních údajů. Pokud si v pozici správce osobních údajů necháváte tyto údaje zpracovávat třetí osobou, vyžaduje zákon o OOÚ téměř vždy uzavření smlouvy o zpracování osobních údajů. Sankce v případě, že porušíte své povinnosti při správě osobních údajů, mohou být velmi vysoké. Sankce se od května roku 2018 navíc ještě zvýší. Rozhodně nedoporučujeme podcenit bezpečnost ochrany Vámi zpracovávaných osobních údajů.

Nejste si jisti, jestli vystupujete jako správce, popřípadě zpracovatel osobních údajů? Potřebujete pomoci při přípravě smlouvy o zpracování osobních údajů? Obraťte se na náš tým zkušených právníků.


Michal Schejbal

Vedoucí advokát

m.schejbal@kropaceklegal.cz

Nejnovější články

Jak se může zaměstnanec bránit proti ukončení pracovního poměru – a co s tím může dělat zaměstnavatel?
eTurista: Nová pravidla pro ubytování v Česku – usnadnění nebo byrokracie?
Nová pravidla zdaňování kryptoměn při podnikání
Předmanželská smlouva: Ochrana majetku nebo zbytečná formalita?

Kategorie

Kontaktní formulář

Zásady ochrany osobních údajů
Čekejte prosím, odesílám Váš dotaz