facebook
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
Dialog 3000Skylla
IT SYSTEMS 10/2019 , IT právo

GDPR a registr smluv

Mgr. Jan Malý, Mgr. Petr Pernica


Je nutné uveřejnit smlouvu o zpracování osobních údajů v registru smluv? Jaké jsou následky jejího neuveřejnění a kdo nese odpovědnost za uzavření smlouvy o zpracování osobních údajů ve světle GDPR?


Smlouva o zpracování osobních údajů

S nabytím účinnosti obecné nařízení o ochraně osobních údajů, které je obecně známé pod zkratkou GDPR, se zvýšilo obecné povědomí o nutnosti zabezpečit řádné nakládání s osobními údaji. Jedním z institutů, kterému je ze strany správců a zpracovatelů osobních údajů věnována zvýšená pozornost, je institut smlouvy o zpracování osobních údajů. Minimální náležitosti smlouvy o zpracování osobních údajů, která má být uzavřena mezi správcem a zpracovatelem za účelem nastavení minimálního standardu ochrany osobních údajů při jejich zpracování zpracovatelem, zakotvoval již zákon č. 101/2000 Sb., o ochraně osobních údajů, (dále jen „ZOOÚ“), ve svém § 6.

GDPR pak přineslo novou úpravu zpracovatelské smlouvy, která spočívá zejména v podrobnějším vymezení okruhu minimálních náležitostí smlouvy, které jsou zevrubně popsány v čl. 28 odst. 3 GDPR a s tím související úpravu sankcí, které lze mimo jiné uložit i za neuzavření zpracovatelské smlouvy, a to ve výši až 10 000 000 EUR, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší. K uvedenému je nutno zdůraznit, že uzavření zpracovatelské smlouvy je povinností jak správce, tak zpracovatele.

GDPR = Nařízení evropského parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

Dnem nabytí účinnosti GDPR však nebyl zrušen ZOOÚ a tyto dva předpisy byly účinné vedle sebe, přičemž GDPR mělo před ZOOÚ tzv. aplikační přednost a to až do dne 24.04.2019, kdy nabyl účinnosti zákon č. 110/2019 Sb., zákon o zpracování osobních údajů, který ZOOÚ v celém rozsahu zrušil. Jednou z novinek, kterou zákon o zpracování osobních údajů zavedl, je prominutí sankcí orgánům veřejné moci a veřejným subjektům.

Nezávisle na nové právní úpravě ochrany osobních údajů nabyl dne 01.07.2016 účinnosti zákon č. 340/2015 Sb., zákon o registru smluv, ve znění pozdějších předpisů, který odkládá účinnost soukromoprávních smluv, jejíž stranou je některý ze subjektů, uvedených v § 2 odst. 1 zákona o registru smluv, až na den jejich uveřejnění v předmětném registru. Nebude-li smlouva, která má být uveřejněna v registru smluv, uveřejněna ani do tří měsíců ode dne, kdy byla uzavřena, platí, že je zrušena od počátku (sankce absolutní neplatnosti smlouvy).

Uveřejnění smlouvy o zpracování osobních údajů v registru smluv

S ohledem na výše uvedené je třeba vyjasnit, zdali je nutné v registru smluv uveřejnit i smlouvu o zpracování osobních údajů, je-li její smluvní stranou některý ze subjektů uvedených v § 2 odst. 1 zákona o registru smluv.

Správci a zpracovatelé v této souvislosti řeší zpravidla dvě situace. Za prvé mají uzavřenu smlouvu o zpracování osobních údajů dle ZOOÚ jako součást jiné smlouvy (dále jen „smlouva hlavní“), nebo jako smlouvu samostatnou vedle smlouvy hlavní. Ustanovení takových smluv ovšem nabytím účinnosti GDPR v určitém rozsahu pozbyla platnosti. Za druhé uzavírají zcela novou smlouvu o zpracování osobních údajů, ať už z důvodu dřívějšího nesplnění povinnosti dle § 6 ZOOÚ, nebo z důvodů nově vzniknuvší potřeby zabezpečit zpracování osobních údajů jinou osobou.

Pomineme-li podmínky naplnění ostatních výjimek uvedených v § 3 zákona o registru smluv, nejčastěji se správci a zpracovatelé zabývají otázkou naplnění podmínky pro využití výjimky dle § 3 odst. 2 písm. i) zákona o registru smluv, tj. zda hodnota předmětu smlouvy přesahuje 50 000 Kč bez DPH. Pro tento případ platí, že přesahuje-li sjednaná cena daný limit, je smlouvu o zpracování osobních údajů nutno v registru smluv uveřejnit. Problémem je, že v případě smlouvy o zpracování osobních údajů se cena předmětu smlouvy běžně nesjednává, neboť cena není dle GDPR její podstatnou náležitostí, navíc zpracování osobních údajů ve většině případů doprovází plnění smlouvy hlavní. Na tomto místě je tudíž třeba upozornit, že není-li cena zpracování osobních údajů sjednána, musí se správce a zpracovatel zabývat otázkou hodnoty zpracování osobních údajů, jak to vyžaduje zákon o registru smluv. Hodnotou se pak rozumí cena věci vyjádřená v penězích, zjednodušeně řečeno cena v místě a čase obvyklá. V tomto případě zákon o registru smluv záměrně hovoří o hodnotě předmětu smlouvy, nikoliv o jeho ceně, z důvodu možného obcházení zákona o registru smluv v případě sjednání bezúplatného plnění či plnění za „korunu“ apod.

Pokud tedy hodnota plnění přesáhne 50 000 Kč bez DPH, jsou strany povinny pod sankcí absolutní neplatnosti smlouvu v registru smluv uveřejnit nezávisle na tom, jakou cenu si strany ve smlouvě sjednaly, či zda si žádnou cenu ve smlouvě nesjednaly. V souvislosti s uvedeným tak lze doporučit smlouvu o zpracování osobních údajů v registru smluv uveřejnit i v případě, že není jasné, jaká je hodnota plnění, popř. nelze tuto hodnotu spolehlivě určit, a předejít tak případnému zrušení smlouvy od počátku.

Smlouvu o zpracování osobních údajů doporučujeme uveřejnit v registru smluv i v případě, byla-li v registru smluv uveřejněna smlouva hlavní, neboť obvykle nelze zpracování osobních údajů od plnění hlavní smlouvy oddělit a určit jeho hodnotu. Pro úplnost dodáváme, že v případě dodatku hlavní smlouvy, jež mění smlouvu uveřejněnou v registru smluv, není z podstaty věci pochyb o tom, že takový dodatek musí být v registru smluv uveřejněn bez ohledu na jeho hodnotu.

Následky neuveřejnění a odpovědnost

Nebude-li smlouva o zpracování osobních údajů, ve které hodnota plnění přesáhne 50 000 Kč bez DPH, v registru smluv uveřejněna, jde tato skutečnost zejména k tíži zpracovatele. Jednak proto, že dle zákona o registru smluv jsou za uveřejnění smlouvy v registru smluv odpovědny obě smluvní strany, jednak proto, že subjekty uvedené v § 2 odst. 1 zákona o registru smluv jsou veřejnými subjekty, na které dopadá výjimka dle § 62 odst. 1) písm. a) a § 62 odst. 5) zákona o zpracování osobních údajů ve spojení s čl. 83 odst. 7 GDPR a těmto subjektům nemůže být uložena sankce za neuzavření smlouvy o zpracování osobních údajů.

V praxi tak může nastat situace, kdy „souhrou okolností“ dojde k tomu, že smlouva nebude zveřejněna v registru smluv, ač zveřejněna být měla, v souladu s § 7 odst. 1 zákona o registru smluv dojde po 3 měsících od jejího uzavření k jejímu zrušení od počátku (absolutní neplatnost), smlouva tak vůbec nevznikne a ta smluvní strana, která není veřejným subjektem, může být sankcionována Úřadem pro ochranu osobních údajů.

K uvedenému je rovněž nutné dodat, že smlouva o zpracování osobních údajů musí obsahovat všechny náležitosti uvedené v čl. 28 odst. 3 GDPR. Nebude-li smlouva některou z těchto obligatorních náležitostí obsahovat, může být shledána neplatnou. V takovém případě jde tato skutečnost opět k tíži té smluvní strany, která není veřejným subjektem, neboť jí může být udělena sankce Úřadem pro ochranu osobních údajů ve výši uvedené v předchozím odstavci.

Mgr. Jan Malý Mgr. Petr Pernica
Autoři článku, Mgr. Jan Malý a Mgr. Petr Pernica působí v advokátní kanceláři Fiala, Tejkal a partneři.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

CRM, DMS a docházkové systémy, ITIL 4 a firewally

Obsahu aktuálního vydání IT Systems dominují témata CRM a DMS, což jsou zkratky, se kterými se v oblasti podnikového IT setkáváme již mnoho let, ale přesto bychom jim stále měli věnovat pozornost. Rozhodně se totiž nejedná o vyřešenou a uzavřenou záležitost, protože nové technologie přináší také nové možnosti, a to jak do oblasti řízení vztahů se zákazníky, tak i do oblasti správy dokumentů, jejich digitalizace a řízení oběhu v rámci workflow, protože až s ním dostává DMS skutečný smysl.