Postavení správce a zpracovatele v oblasti IT

Otázka postavení správce a zpracovatele podle Nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen „Obecné nařízení“, je v praxi řešeno velmi často. Z jednoznačného určení pozic v rámci ochrany osobních údajů vyplývá plnění dalších povinností, které vyplývají z Obecného nařízení, dále vzájemné vztahy odpovědnosti, možnost udílet pokyny a v neposlední řadě i podoba smluvního vztahu a obsah smlouvy. Obvykle nebývá příliš komplikované definovat, kdo v daném vztahu je správce a kdo zpracovatel, či zda se jedná o vztah dvou správců. Oblast, kde se otázky objevují opakovaně, je oblast IT. Dodavatele služeb v oblasti IT využívá téměř každý napříč obory v soukromé i veřejné sféře, a to včetně obcí a jejich příspěvkových organizací. Mezi správcem a zpracovatelem musí být uzavřena smlouva, jejíž parametry jsou poměrně podrobně stanoveny v Obecném nařízení. Rozpoznání jednotlivých úloh je proto klíčové nejen pro správné nastavení smluvního vztahu, ale i pro nastavení odpovědnosti. Z praxe vyplývá, že dodavatel, byť je v pozici zpracovatele, se sám k odpovědnosti nehlásí, a je třeba podmínky zakotvit ve smlouvě.