Smlouva o zpracování osobních údajů

S nabytím účinnosti obecné nařízení o ochraně osobních údajů, které je obecně známé pod zkratkou GDPR, se zvýšilo obecné povědomí o nutnosti zabezpečit řádné nakládání s osobními údaji. Jedním z institutů, kterému je ze strany správců a zpracovatelů osobních údajů věnována zvýšená pozornost, je institut smlouvy o zpracování osobních údajů. Minimální náležitosti smlouvy o zpracování osobních údajů, která má být uzavřena mezi správcem a zpracovatelem za účelem nastavení minimálního standardu ochrany osobních údajů při jejich zpracování zpracovatelem, zakotvoval již zákon č. 101/2000 Sb., o ochraně osobních údajů, (dále jen „ZOOÚ“), ve svém § 6.

GDPR pak přineslo novou úpravu zpracovatelské smlouvy, která spočívá zejména v podrobnějším vymezení okruhu minimálních náležitostí smlouvy, které jsou zevrubně popsány v čl. 28 odst. 3 GDPR a s tím související úpravu sankcí, které lze mimo jiné uložit i za neuzavření zpracovatelské smlouvy, a to ve výši až 10 000 000 EUR, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší. K uvedenému je nutno zdůraznit, že uzavření zpracovatelské smlouvy je povinností jak správce, tak zpracovatele.

Dnem nabytí účinnosti GDPR však nebyl zrušen ZOOÚ a tyto dva předpisy byly účinné vedle sebe, přičemž GDPR mělo před ZOOÚ tzv. aplikační přednost a to až do dne 24.04.2019, kdy nabyl účinnosti zákon č. 110/2019 Sb., zákon o zpracování osobních údajů, který ZOOÚ v celém rozsahu zrušil. Jednou z novinek, kterou zákon o zpracování osobních údajů zavedl, je prominutí sankcí orgánům veřejné moci a veřejným subjektům.

Nezávisle na nové právní úpravě ochrany osobních údajů nabyl dne 01.07.2016 účinnosti zákon č. 340/2015 Sb., zákon o registru smluv, ve znění pozdějších předpisů, který odkládá účinnost soukromoprávních smluv, jejíž stranou je některý ze subjektů, uvedených v § 2 odst. 1 zákona o registru smluv, až na den jejich uveřejnění v předmětném registru. Nebude-li smlouva, která má být uveřejněna v registru smluv, uveřejněna ani do tří měsíců ode dne, kdy byla uzavřena, platí, že je zrušena od počátku (sankce absolutní neplatnosti smlouvy).

Uveřejnění smlouvy o zpracování osobních údajů v registru smluv

S ohledem na výše uvedené je třeba vyjasnit, zdali je nutné v registru smluv uveřejnit i smlouvu o zpracování osobních údajů, je-li její smluvní stranou některý ze subjektů uvedených v § 2 odst. 1 zákona o registru smluv.

Správci a zpracovatelé v této souvislosti řeší zpravidla dvě situace. Za prvé mají uzavřenu smlouvu o zpracování osobních údajů dle ZOOÚ jako součást jiné smlouvy (dále jen „smlouva hlavní“), nebo jako smlouvu samostatnou vedle smlouvy hlavní. Ustanovení takových smluv ovšem nabytím účinnosti GDPR v určitém rozsahu pozbyla platnosti. Za druhé uzavírají zcela novou smlouvu o zpracování osobních údajů, ať už z důvodu dřívějšího nesplnění povinnosti dle § 6 ZOOÚ, nebo z důvodů nově vzniknuvší potřeby zabezpečit zpracování osobních údajů jinou osobou.

Pomineme-li podmínky naplnění ostatních výjimek uvedených v § 3 zákona o registru smluv, nejčastěji se správci a zpracovatelé zabývají otázkou naplnění podmínky pro využití výjimky dle § 3 odst. 2 písm. i) zákona o registru smluv, tj. zda hodnota předmětu smlouvy přesahuje 50 000 Kč bez DPH. Pro tento případ platí, že přesahuje-li sjednaná cena daný limit, je smlouvu o zpracování osobních údajů nutno v registru smluv uveřejnit. Problémem je, že v případě smlouvy o zpracování osobních údajů se cena předmětu smlouvy běžně nesjednává, neboť cena není dle GDPR její podstatnou náležitostí, navíc zpracování osobních údajů ve většině případů doprovází plnění smlouvy hlavní. Na tomto místě je tudíž třeba upozornit, že není-li cena zpracování osobních údajů sjednána, musí se správce a zpracovatel zabývat otázkou hodnoty zpracování osobních údajů, jak to vyžaduje zákon o registru smluv. Hodnotou se pak rozumí cena věci vyjádřená v penězích, zjednodušeně řečeno cena v místě a čase obvyklá. V tomto případě zákon o registru smluv záměrně hovoří o hodnotě předmětu smlouvy, nikoliv o jeho ceně, z důvodu možného obcházení zákona o registru smluv v případě sjednání bezúplatného plnění či plnění za „korunu“ apod.

Pokud tedy hodnota plnění přesáhne 50 000 Kč bez DPH, jsou strany povinny pod sankcí absolutní neplatnosti smlouvu v registru smluv uveřejnit nezávisle na tom, jakou cenu si strany ve smlouvě sjednaly, či zda si žádnou cenu ve smlouvě nesjednaly. V souvislosti s uvedeným tak lze doporučit smlouvu o zpracování osobních údajů v registru smluv uveřejnit i v případě, že není jasné, jaká je hodnota plnění, popř. nelze tuto hodnotu spolehlivě určit, a předejít tak případnému zrušení smlouvy od počátku.

Smlouvu o zpracování osobních údajů doporučujeme uveřejnit v registru smluv i v případě, byla-li v registru smluv uveřejněna smlouva hlavní, neboť obvykle nelze zpracování osobních údajů od plnění hlavní smlouvy oddělit a určit jeho hodnotu. Pro úplnost dodáváme, že v případě dodatku hlavní smlouvy, jež mění smlouvu uveřejněnou v registru smluv, není z podstaty věci pochyb o tom, že takový dodatek musí být v registru smluv uveřejněn bez ohledu na jeho hodnotu.

Následky neuveřejnění a odpovědnost

Nebude-li smlouva o zpracování osobních údajů, ve které hodnota plnění přesáhne 50 000 Kč bez DPH, v registru smluv uveřejněna, jde tato skutečnost zejména k tíži zpracovatele. Jednak proto, že dle zákona o registru smluv jsou za uveřejnění smlouvy v registru smluv odpovědny obě smluvní strany, jednak proto, že subjekty uvedené v § 2 odst. 1 zákona o registru smluv jsou veřejnými subjekty, na které dopadá výjimka dle § 62 odst. 1) písm. a) a § 62 odst. 5) zákona o zpracování osobních údajů ve spojení s čl. 83 odst. 7 GDPR a těmto subjektům nemůže být uložena sankce za neuzavření smlouvy o zpracování osobních údajů.

V praxi tak může nastat situace, kdy „souhrou okolností“ dojde k tomu, že smlouva nebude zveřejněna v registru smluv, ač zveřejněna být měla, v souladu s § 7 odst. 1 zákona o registru smluv dojde po 3 měsících od jejího uzavření k jejímu zrušení od počátku (absolutní neplatnost), smlouva tak vůbec nevznikne a ta smluvní strana, která není veřejným subjektem, může být sankcionována Úřadem pro ochranu osobních údajů.

K uvedenému je rovněž nutné dodat, že smlouva o zpracování osobních údajů musí obsahovat všechny náležitosti uvedené v čl. 28 odst. 3 GDPR. Nebude-li smlouva některou z těchto obligatorních náležitostí obsahovat, může být shledána neplatnou. V takovém případě jde tato skutečnost opět k tíži té smluvní strany, která není veřejným subjektem, neboť jí může být udělena sankce Úřadem pro ochranu osobních údajů ve výši uvedené v předchozím odstavci.

Autoři článku, Mgr. Jan Malý a Mgr. Petr Pernica působí v advokátní kanceláři Fiala, Tejkal a partneři.