Společní správci u GDPR budete i s Facebookem, ten si to ale zatím nepřipouští

15. 5. 2018
Doba čtení: 3 minuty

Sdílet

Jedna z věcí, kterou byste neměli podceňovat, je společné správcovství osobních údajů. To, na rozdíl od ostatních záležitostí, GDPR zavádí jako novinku.

Společné správcovství osobních údajů totiž současný zákon o ochraně osobních údajů nezná. Společní správci budete například i s Facebookem, který se ale zatím snaží stavět do role zpracovatele. Dokud si svou reálnou roli skutečně nepřizná, máte jako inzerent v podstatě svázané ruce.

Jak poznat, zda se vás tato situace týká a co s tím dělat?

Jakmile pracujete s osobními údaji, jste buď správce, nebo zpracovatel. Jak poznat, kdo je kdo? Zjednodušeně řečeno, správce určuje, které osobní údaje se mají sbírat a jak s nimi kdo naloží, zpracovatel se řídí jeho pokyny. Z toho plynou i odlišné povinnosti správců a zpracovatelů. Pro správce platí přísnější podmínky. V momentě, kdy s určitou databází nakládá více správců, musí mezi sebou mít uzavřenou tzv. smlouvu společných správců.

Příkladem společných správců můžou být například mateřské společnosti, které mají lokální obchodní zastoupení a obě např. sbírají data o návštěvnících společného webu a dále s nimi nezávisle na sobě marketingově pracují. Nebo může jít třeba o obchodní partnery, kteří sdílejí klientskou databázi, jeden z nich určuje účel zpracování a druhý prostředky – role si tedy rozdělí s tím, že z výsledku budou profitovat oba. Společní správci budete například i s Facebookem, kterému dodáte data o svých klientech a on s nimi může dál pracovat bez ohledu na vaše „pokyny“. Facebook sám se zatím nicméně snaží postavit do role zpracovatele, a dokud si svou reálnou roli skutečně nepřizná, máte jako inzerent v podstatě svázané ruce.

Není přitom podstatné, jestli ke zpracování jednotlivými správci dochází současně – společnými správci jste i tehdy, pokud osobní údaje zpracováváte v různém období.
Správně rozeznat, jestli se jedná o častější a podstatně jednodušší vztah správce – zpracovatel, nebo o společné správce, bývá trochu oříšek a často je potřeba hloubkový audit nakládání s osobními údaji, který vám v tom udělá jasno.

Co si ve vztahu společných správců nastavit?

V první řadě – mějte smlouvu. V ní si nejprve stanovte, jaké osobní údaje, kde, za jakým účelem a na jak dlouho zpracováváte. Potud budete mít asi jasno. Složitější část přichází s rozdělením povinností a odpovědnosti. Přesně si mezi sebou vymezte, co je čí parketa. Kdo bude odpovědný za aktuálnost a evidenci všech souhlasů a informací nebo za zabezpečení jednotlivých databází? Jak si nastavíte předávání osobních údajů dalším zpracovatelům?

Nezapomeňte také, že osoby, jejichž údaje spravujete, mají svá práva, kterých se můžou kdykoliv začít domáhat. Ve smlouvě byste měli mít jasně řečeno, co kdo z vás musí udělat, když se tak stane. Kdo bude vyřizovat žádosti na opravu údajů, výmaz nebo přenositelnost údajů? Vždy ten, komu žádost přijde? Nebo si mezi sebe tyto povinnosti nějak rozdělíte? Ať už tak či onak, vězte, že takové rozdělení by mělo být vyvážené. Nemůžete hodit většinu odpovědnosti na toho ze správců, který se na zpracování osobních údajů podílí jen minimálně. Zároveň mějte na paměti, že lidé můžou uplatňovat svá práva u kteréhokoliv ze společných správců a vy už si jejich požadavky musíte vnitřně přerozdělit podle smlouvou nastavených kompetencí.

Zní to komplikovaně?

Klienti se nás často ptají, jestli je možné situaci zjednodušit tím, že se mezi sebou správci domluví a nastaví si smlouvu tak, že jeden z nich bude „jenom“ zpracovatel. To bohužel nejde – společné správcovství je faktická situace, reflektující praxi, ne jenom stav vycházející ze smluvních ujednání.

Abych ale nekončil pesimisticky – společného správcovství se nemusíte bát. Pokud si správně nastavíte povinnosti, přinese vám stejnou volnost při nakládání s osobními údaji, jako když je spravujete jen vy sami, a může vám dokonce ušetřit spoustu administrativy a peněz.

Autor článku

Martin Kurka se specializuje se na GDPR a správní právo. Vystudoval právo na Masarykově univerzitě, prošel praxí v několika advokátních kancelářích, až zakotvil v AK eLegal, kde právníci nejsou „kufřík, kravata a řeč protkaná paragrafy“.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).