Názor k článku Chybějící zpracovatelské smlouvy. Dlouhodobý prohřešek firem má napravit GDPR od Tomáš Neugebauer - Já nejsem anonym, já používám své jméno. Vy...

Já nejsem anonym, já používám své jméno. Vy hvězdičku.

Už v úvodu jste se dopustil jedné chyby požadavek na zpracovatele zformulovaný, jak vy uvádíte "udělejte to tak, aby to bylo správně a nehrozily mi pokuty" je možný jen v některých vámi uvedených případech. V bezpečnosti práce je to stejně nedostatečné jako v GDPR, neboť GDPR je vytvořeno právě na stejných principech, na kterých byla v roce 1989 vytvořena BOZP, a jak je požadováno její plnění v ČR od 1. 1. 2001. Tedy platí stejná zásada, že zaměstnavatel si stanovuje pravidla zajištění BOZP, nikoliv dodavatel slůžeb (pro příklad zaměstnavatel určuje obsah tzv. školení BOZP, nikoliv dodavatel služeb).

Nyní k tématu. Správce by měl vybrat důvěryhodného zpracovatele, poskytujícího dostatečné záruhy. Zpracovatel může zpracovávat osobní údaje jen na základě pokynů správce (na základě ujednání).

Smlouva mezi nimi musí být uzavřena písemně a stanovit, že zpracovatel zpracovává osobní údaje pouze doložených pokynů správce, zajišťuje, aby se osoby oprávněné zpracovat osobní údaj zavázaly k mlčenlivosti, příjme opatření k zabezpečení osobních údajů, dodržuje podmínky pro zapojení dalšího zpracovatele, zohledňuje povahu zpracování, je zprávci nápomocen v technických a organizačních opatřeních, vymaže nebo vrátí správci osobní údaje po ukončení poskytování služeb a poskytne správci informace potřebné k doložení toho, že byly splněny povinnosti podle čl. 28, včetně inspekcí.