Outsourcing při zpracování osobních údajů

Vydáno: 25 minut čtení

Slovo „outsourcing“ slýcháme stále častěji. Zní světově, moderně, i když neznamená nic jiného, než že někdo, obchodní firma nebo i státní instituce, vyčlení různé podpůrné a vedlejší činnosti a svěří je smluvně jiné společnosti čili subkontraktorovi, specializovanému na příslušnou činnost. Je to tedy druh dělby práce, činnost však není zajišťována vlastními zaměstnanci firmy, nýbrž na základě smlouvy. Typicky se jedná o činnosti jako je úklid, údržba, doprava nebo správa počítačů, ostraha objektů, účetnictví běžné i mzdové, personální záležitosti a mnoho jiných. Outsourcing se obecně považuje za obchodní rozhodnutí, které má vést ke snížení nákladů a (nebo) k soustředění na hlavní činnosti firmy, a to v zájmu její konkurenceschopnosti1.

Outsourcing při zpracování osobních údajů
JUDr.
Václav
Bartík
JUDr.
Eva
Janečková
Firmy, specializující se na daný obor, mají zpravidla mnohem proškolenější a v dané problematice zkušenější pracovníky. Odpovědnost za problematiku nese jiný subjekt a výchozí firma se může plně věnovat svému oboru. Náklady na zajištění specializované činnosti jsou při využití outsourcingu zpravidla nižší. Zajišťování služeb pomocí outsourcingu je celosvětově zvyšujícím se trendem2.
Z hlediska právního se nejedná smluvně o nic složitého. Běžně bývá pro outsourcing využívána typově smlouva mandátní. Mandátní smlouvou se, podle úpravy obchodního zákoníku, zavazuje mandatář, že pro mandanta na jeho účet zařídí za úplatu určitou obchodní záležitost, uskutečněním právních úkonů jménem mandanta nebo uskutečněním jiné činnosti, a mandant se zavazuje zaplatit mu za to úplatu. Mandatář je ze zákona povinen postupovat při zařizování záležitosti s odbornou péčí. Nicméně mandatář není ovšem povinen zařizovat tuto záležitost osobně, to má za povinnost jenom v případě, že to výslovně (
expressis verbis
) stanoví mandátní smlouva. Mandátní smlouva patří mezi tzv. relativní obchody. Mandátní smlouvu lze uzavřít pouze mezi podnikateli, jestliže při vzniku závazkového vztahu je zřejmé s přihlédnutím ke všem okolnostem, že se týká jejich podnikatelské činnosti3.
Z hlediska tohoto příspěvku je však vhodné zmínit ještě jeden smluvní typ, konkrétně smlouvu příkazní. Příkazní smlouvou se zavazuje příkazník, že pro příkazce obstará nějakou věc nebo vykoná jinou činnost. Příkazník je povinen jednat při plnění příkazu podle svých schopností a znalostí. Občanský zákoník dále stanoví, že příkazník se smí odchýlit od pokynů příkazcových jen tehdy, je-li to nezbytné v zájmu příkazce a nemůže-li včas obdržet jeho souhlas, jinak odpovídá za škodu. Příkazník je ze zákona povinen provést příkaz osobně. Svěří-li provedení příkazu někomu jinému, odpovídá, jako by příkaz prováděl sám. Dovolil-li však příkazce, aby si ustanovil zástupce, nebo byl-li tento nezbytně nutný, odpovídá příkazník pouze za zavinění při volbě zástupce. Příkazní smlouva je ze své podstaty bezúplatná. Odměna se poskytuje jen v případě, že byla výslovně dohodnuta nebo je-li obvyklá vzhledem k povolání příkazníka. Příkazní smlouva si nevyžaduje zvláštní formu, tj. může být uzavřena písemně i ústně, respektive i konkludentně. Jen v záležitostech, kdy by se předmět příkazní smlouvy sestával z právních úkonů, pro které zákon předepisuje písemnou formu, tam by se musela smlouva sjednat písemnou formou4.
Dlužno konstatovat, že obecně outsourcing jako činnost nebývá upraven právním předpisem a je využíváno při jeho sjednávání obecných smluvních typů výše zmíněných. Nicméně přesto takové zvláštní právní úpravy existují, i když jich je minimum. Jednou z nich je vyhláška č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry, která na základě zákonného zmocnění5 outsourcing upravuje, a to v § 116. A proč outsourcing zmiňujeme v souvislosti se zpracováním osobních údajů? Protože i právní úprava při jejich zpracování vlastně s outsorcingem počítá a za specifických podmínek jej i umožňuje. Tato právní úprava má z hlediska výše naznačených smluvních typů blíže ke smlouvě příkazní, než mandátní, jak bude z následujícího textu zřejmé.
Povinnost uzavřít smlouvu o zpracování osobních údajů je stanovena jako jedna ze základních povinností § 6 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „ZoOU“). Toto ustanovení základním způsobem reguluje vztah správce a zpracovatele. Tato povinnost vyplývá z článku 17 odst. 3 Směrnice 95/46/ES, podle něhož má správce povinnost uzavřít se zpracovatelem smlouvu o zpracování osobních údajů, pokud neexistuje právní vztah, který by zavazoval zpracovatele vůči správci a dostatečně upravil požadavky na vhodná technická a organizační opatření na ochranu osobních údajů. Článek Směrnice 95/46/ES odpovídá povinnosti zpracovatele jednat pouze na základě instrukcí správce a poskytnout dostatečné záruky pro bezpečnost zpracování osobních údajů ve smlouvě.7
 
Základní pojmy
V první řadě je nutné seznámit se základními pojmy, aby bylo všem zúčastněným jasné, kdo se nachází v postavení správce osobních údajů a kdo v postavení zpracovatele, ve smyslu ZoOU, a za jakých podmínek je nutné uzavřít výše zmíněnou smlouvu o zpracování.
Správce osobních údajů je definován v § 4 písm. j) ZoOU, podle něhož je správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Pokud se zmiňujeme o subjektu, který je nebo může být správcem databáze obsahující osobní údaje ve smyslu ustanovení § 4 písm. j), nelze se domnívat, že se jedná pouze o tzv. velké správce - orgány státní správy a samosprávy, soudy, obchodní společnosti apod. Mezi správce pojmově patří kdokoliv, kdo v rámci výkonu své podnikatelské činnosti, profese, živnosti apod. zpracovává osobní údaje ve smyslu § 4 písm. e), tzn. systematicky spravuje databázi svých obchodních partnerů, klientů, pacientů, zákazníků apod. Logicky sem tedy patří každý lékař, který vykonává zdravotní péči a v této souvislosti vede zdravotní dokumentaci pacientů, každý, kdo v rámci výkonu své podnikatelské činnosti zpracovává mimo jiné osobní údaje obchodních partnerů, svých zákazníků, každé občanské sdružení, politická strana, odborová organizace a další subjekty.8
Dalším znakem správce je podle ZoOU to, že určuje účel zpracování. Důležité je tedy určení, zda subjekt, který hodlá zpracovávat osobní údaje, zná účel, pro který se budou osobní údaje zpracovávat. Z dikce tohoto ustanovení vyplývá, že správce by měl vždy předem vědět, proč má ke zpracovávání osobních údajů dojít. V tomto případě není rozhodné, zda účel nebo cíl zpracovávání osobních údajů je zcela soukromý, který vychází ze zcela specifických záměrů a cílů konkrétního správce, pro které je třeba zpracovat určité kategorie osobních údajů, nebo je tento účel určen právními předpisy.
Dalším znakem správce podle ustanovení § 4 písm. j) je skutečnost, že správce určuje i prostředky zpracovávání. Přitom je velmi důležité zde včas pojmově odlišit „prostředky“ od „způsobu“ zpracovávání osobních údajů. Tyto pojmy jsou v praxi často zaměňovány. Hovoříme-li totiž o prostředcích zpracovávání, máme na mysli materiální prostředky použité v souvislosti se zpracováním, tedy jednotlivá technická zařízení, jejichž prostřednictvím bude správce, popřípadě zpracovatel provádět zpracování osobních údajů. ZoOU rozlišuje zpracovávání osobních údajů, které je prováděno automatizovaně a zpracovávání osobních údajů, které je prováděno jinými prostředky. Hovoříme-li o prostředcích zpracovávání, máme na mysli zpravidla skutečnost, jaký bude podíl automatizovaného a manuálního zpracovávání osobních údajů při jednotlivých operacích prováděných v rámci určitého zpracovávání osobních údajů.9
Z definice dále vyplývá, že pokud správce provádí zpracování, odpovídá za něj. ZoOU však umožňuje, aby zpracování osobních údajů neprováděl výhradně sám správce, ale aby některou z operací nebo veškeré operace zpracovávání osobních údajů prováděl za správce jiný subjekt -zpracovatel. Zpracovatelem je podle ustanovení § 4 písm. k) ZoOU každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona. Na rozdíl od správce, zpracovatel „pouze“ provádí zpracovávání osobních údajů. Zpracovatel, na rozdíl od správce, neurčuje účel a prostředky zpracování osobních údajů. Zpracovatel nemusí provádět zpracování od začátku do konce, tedy veškeré operace, ale může provádět jen některou (či některé) činnost související se zpracováním. Nemusí tedy jít vždy o subjekt, který osobní údaje shromáždil.10
Z pohledu odpovědnosti za zpracování osobních údajů nelze být zároveň v postavení správce a zpracovatele. Jestliže určitý, např. podnikatelský subjekt je správcem osobních údajů, nemůže žádná z jeho organizačních složek byt současně vůči témuž zpracování týchž osobních údajů zpracovatelem. Případné nesprávné nebo jinak nepřesné používání termínů správce a zpracovatel na postavení a povinnostech podnikatelského subjektu nic nemění. Plní-li subjekt povinnosti správce, nevhodné použití termínu „zpracovatel“ není porušením ZoOU a ani pro porušení tohoto zákona nevytváří podmínky.11
V postavení zpracovatele se ocitá pouze ten, kdo se skutečně podílí na zpracování osobních údajů, tj. vykonává pro správce určité operace s těmito daty, nikoli však ten, kdo správci např. pouze poskytuje infrastrukturu (zejména HW či SW) a s osobními údaji jinak nenakládá.12
 
Smlouva o zpracování osobních údajů obecně
Zpracovatel může zpracovávat údaje buď na základě výslovného zákonného zmocnění, nebo je-li k tomu zmocněn správcem na základě smluvního ujednání. Probíhá-li zpracování na základě zákonného zmocnění, zvláštní zákon, kterým je takovéto zpracovávání osobních údajů povoleno, by měl současně vymezit i postavení jednotlivých subjektů, jejich práva a povinnosti a jejich odpovědnost. Pokud tomu tak není, měl by vždy ten subjekt, který vykonává státem mu svěřenou kompetenci, smluvně zabezpečit garanci práva na ochranu osobních údajů se subjekty, které se na zpracovávání podílejí a mají v tomto případě postavení zpracovatele.
Z dosavadních zkušeností však vyplývá, že vztah mezi správcem a zpracovatelem se v naprosté většině případů odehrává na základě smluvního vztahu.13 V případě, kdy správce ponechává zpracování na zpracovateli, je povinen uzavřít s ním smlouvu o zpracování osobních údajů podle § 6 ZoOU, ve které vymezí úkoly zpracovatele a vyžádá si záruky ohledně zabezpečení dat, čímž je zajištěna náležitá úroveň ochrany osobních údajů, a tedy i ochrany soukromí. Ze znění tohoto ustanovení zcela jednoznačně vyplývá, že tuto smlouvu může uzavřít pouze správce se zpracovatelem, nikoli zpracovatel s dalším subjektem.
V zájmu právní jistoty nejen správce a zpracovatele, ale i subjektů údajů a dalších osob je, aby zmocnění ke zpracování přímo plynulo ze zákona nebo pověření smlouvou mělo písemnou podobu. To současně však neznamená, že smlouva musí být uzavřena zcela samostatně, jako samostatný dokument. Takovou povinnost ZoOU nestanoví. Lze tedy připustit, aby obsahové náležitosti smlouvy o zpracování byly součástí i jiné písemně uzavřené smlouvy, např. mandátní nebo příkazní, jež se týká nějaké jiné činnosti. Může se jednat např. o smlouvu o vedení některých částí personální agendy, účetnictví apod. ZoOU vyžaduje, aby v takové smlouvě kromě jiných podstatných částí smlouvy bylo také výslovně uvedeno, v jakém rozsahu, tedy o jaké osobní údaje se jedná, za jakým účelem a na jakou dobu se uzavírá a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů.
Pokud by smlouva neobsahovala ZoOU uvedené náležitosti, nezpůsobilo by to sice její neplatnost, avšak nejednalo by se již pojmově o smlouvu o zpracování. To by současně znamenalo, že by zpracování, pokud by k němu docházelo, probíhalo bez relevantního právního titulu, což by jak pro správce, tak „zpracovatele“ mohlo mít vážné důsledky. Správce by se totiž dostal do rozporu minimálně s § 5 odst. 1 písm. f) větou první (zpracovávat osobní údaje pouze v souladu s účelem) a také § 13 ZoOU, neboť by zpřístupnil či předal osobní údaje neoprávněně a porušil tak jednu ze základních povinností, tedy údaje chránit před zneužitím. A „zpracovatel“, spíše tedy quazizpracovatel, by osobními údaji disponoval zcela bez právního důvodu se všemi důsledky z toho plynoucími, neboť by se ocitl v postavení „neoprávněného“ správce.
Zákon také připouští, aby správce měl i několik zpracovatelů, třeba pro různé části složitějšího zpracování. Musí mít samozřejmě se všemi uzavřeny smlouvy o zpracování, avšak vztahy musí být nastaveny toliko v horizontální úrovni zpracovatelů, což znamená, jak již výše uvedeno, že smlouvy o zpracování mezi sebou nemohou dále uzavírat zpracovatelé samostatně.
Na závěr je nutné dodat, že smlouvou uzavřenou mezi správcem a zpracovatelem osobních údajů podle § 6 ZoOU nelze dohodnout např. slučování databází jednotlivých správců. Každý správce totiž může pověřit zpracovatele zpracováním osobních údajů maximálně v takovém rozsahu, v němž je má sám. A pokud by i zpracovatel pro správce realizoval několikatero zpracování různých evidencí nebo datových souborů, musí je stále zpracovávat v souladu s původním účelem a odděleně.14
Příklad
Uvádíme zde jako příklad smlouvu o zpracování osobních údajů tak, jak se v praxi zřejmě vyskytuje, neboť ji lze najít na internetu ke stažení. Autoři tohoto veřejně přístupného „vzoru“ využívají k tomu, aby stručným komentářem k jednotlivým ustanovením smlouvy upozornili na chyby, resp. nesoulad se ZoOU. Z internetu stažený text je pro názornost uváděn kurzívou.
Správce a zpracovatel uzavřeli dnešního dne tuto smlouvu o zpracování osobních údajů...
Mělo by být výslovně vymezeno, kdo ze subjektu smlouvy má jaké postavení (správce, zpracovatel), a identifikace smluvních stran v běžném rozsahu např. podle § 13a odst. 1 obchodního zákoníku (údaj o firmě, jménu nebo názvu, sídle nebo místu podnikání a identifikačním čísle osoby; podnikatelé zapsaní v obchodním rejstříku též údaj o tomto zápisu, včetně spisové značky, a podnikatelé nezapsaní v obchodním rejstříku též údaj o zápisu do jiné evidence, v níž jsou zapsáni).
Předmětem této smlouvy je úprava vzájemných práv a povinností při zpracování osobních údajů v souladu se zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, v platném znění (dále jen „Zákon").
Zpracovatel bude pro správce zpracovávat osobní údaje, a to za účelem zřizování, kontroly, vyúčtování a správy zákaznických účtů.
Smlouva zde vymezuje účel zpracování v dostatečném rozsahu, aby bylo vyhověno textaci ZoOU (ve smlouvě musí být výslovně uvedeno za jakým účelem).
Prostředky zpracování osobních údajů mohou být zejména automatické, neautomatické a manuální. Zpracovatel není oprávněn osobní údaje dále převádět na třetí osoby a další zpracovatele s výjimkou obchodního partnera.
Stanovení prostředků zpracování není ZoOU pro smlouvu o zpracování přímo předepisováno, nicméně souvisí s jiným požadavkem (technické a organizační zabezpečení). Zákaz dispozice zpracovatele zpracovávané osobní údaje předat či zpřístupnit třetí straně je na místě a plyne ze samotné podstaty smluvního vztahu (jak je blíže uvedeno v textu příspěvku). Obchodním partnerem je zde myšlen správce.
Vlastníkem osobních údajů shromážděných dle této smlouvy i nositelem autorských práv k databázím je správce.
Jedná se o vyjádření základního vztahu správce - zpracovatel. Informace o autorských právech není na závadu ve smyslu obsahu smlouvy podle § 6 ZoOU, neboť ZoOU umožňuje různou šíři smluvní úpravy, když stanoví vlastně jen základní povinné náležitosti (musí být zejména výslovně uvedeno...). Slova „vlastníkem osobních údajů“ jsou vlastně nepřesná, neboť ze ZoOU jednoznačně plyne, že vlastníkem osobních údajů je subjekt údajů sám a správci bylo (např. jen na základě souhlasu subjektu údajů) umožněno s jeho osobními údaji nakládat, tedy je zpracovávat.
Zpracovatel i správce tímto prohlašují, že jsou zcela schopni zajistit technické a organizační zabezpečení ochrany osobních údajů a přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, jakož i k jejich jinému zneužití. Mezi taková opatření patří zejména pravidla pro práci s danými informačními systémy, nakládání s osobními údaji pouze určenými pracovníky, zajištění místností a počítačů s databázemi proti vniknutí třetích osob a mlčenlivost osob zabývajících se u správce a zpracovatele zpracováním osobních údajů.
Formulace této části smlouvy je dílem nepřesná a dílem zcela nedostatečná. Věta první je nepřesná potud, že „prohlášení“ správce je pro účely smlouvy o zpracování zcela irelevantní, neboť toho stíhají povinnosti zcela samostatně, jak plynou pro správce minimálně podle § 13 ZoOU. Druhá část věty je vlastně jen opsanou parafrází odst. 1 uvedeného ustanovení. Výčet opatření se tedy musí týkat výhradně zpracovatele. Tak jak jsou ve smlouvě opatření uvedena, mohou tvořit jen základní rámec. Opatření musí být popsána tak, aby správci byly skutečně poskytnuty záruky, a to kontrolovatelné. Měl by tedy vědět a ze smlouvy by mělo být zřejmé, i jak budou uvedené záruky realizovány. Minimálně alespoň odkazem na konkrétní interní dokumenty zpracovatele, který musí osobní údaje chránit v rozsahu a za podmínek § 13 ZoOU, a to celého ustanovení. Tedy opatření by měla být dokumentována v rozsahu odst. 2 citovaného ustanovení. Jen tak totiž může správce náležitě kontrolovat jejich dodržování a musí je znát i z důvodů určení možné odpovědnosti za porušení ZoOU.
Oznamovací povinnost dle zákona je povinen ve vztahu k databázím osobních údajů zpracovávaných dle této smlouvy plnit správce.
Vzhledem k vymezení účelu zpracování v bodu 1 je deklarace zákonné povinnosti správce plynoucí z § 16 ZoOU zbytečná, nicméně na vadu smlouvy toto konstatování samo osobě není.
Je-li to součástí zadání anebo vyžadováno Zákonem, zpracovatel se zavazuje v souladu se zákonem o ochraně osobních údajů řádně archivovat individuální souhlasy subjektů údajů anebo zachovat průkaz mechanismu jejich poskytnutí.
Ustanovení je zjevně formulováno pro případ, že by zpracovatel pro správce osobní údaje i shromažďoval a opatřoval i souhlasy subjektů údajů se zpracováním, a jedná se o vazbu na § 5 odst. 4 ZoOU, který vymezuje další parametry, resp. okolnosti udělování souhlasu se zpracováními osobních údajů. Z jeho dikce je zřejmé, že se povinnosti ukládají především správcům osobních údajů, neboť jen oni jsou povinni takový souhlas získat a s ním disponovat. Souhlas s prvotním zpracováním osobním údajů může získávat i zpracovatel, pokud správce již má představu, že nějaký zpracovatel existovat bude, a má s ním již uzavřenu smlouvu o zpracování podle § 6. Pokud však bude souhlas získávat zpracovatel, musí být tento fakt součástí povinné informace, tedy informace, kdo je skutečným správcem osobních údajů, k jejichž zpracování je souhlas získáván 15.
Správce i zpracovatel se zavazují dodržovat všechny ostatní povinnosti stanovené Zákonem, i pokud tak není výslovně uvedeno v této smlouvě. Správce i zpracovatel se zavazují vynaložit veškeré možné úsilí na odstranění protiprávního stavu ve vztahu k převedeným osobním údajům dle této smlouvy, kterým by došlo k porušení povinností stanovených Zákonem jednáním příslušné smluvní strany, a to neprodleně poté, co taková skutečnost nastane 16.
Tato pasáž smlouvy má zřejmě představovat jakousi „generální klauzuli“ pro smluvní strany a je do značné míry z hlediska relevance vztahu k ZoOU zbytečná. Ten sám stanoví přímo povinnosti pro oba účastníky smlouvy, a to i pro zpracovatele, jak jasně plyne z § 7 ZoOU, který postuluje, že „povinnosti stanovené v § 5 platí obdobně i pro zpracovatele“. Zákon musí dodržovat obě strany smlouvy a žádné soukromoprávní „ujišťování“ na tom nemůže nic změnit. Naznačená snaha o odstranění případného protiprávního stavu může mít snad ten význam, že pokud nastane situace předvídaná v § 8 ZoOU17, může mít vliv na stanovení případné míry odpovědnosti za porušení zákona jedné ze stran smlouvy.
 
Upozornění
Pokud tedy někdo využil na internetu dostupné smlouvy s výše uvedeným obsahem, může mít vážný problém. Tato smlouva totiž vůbec neobsahuje dvě podstatné náležitosti, které podle ZoOU mít musí, aby se vůbec jednalo o smlouvu myšlenou § 6. Zcela zde totiž chybí určení rozsahu osobních údajů, které budou zpracovávány; tím myslíme minimálně zřejmě základní identifikátory subjektu údajů, jako je jméno, příjmení, adresa a také, vzhledem k uvedenému účelu zjevně i další údaje vážící se k subjektu údajů, jako jsou údaje o platbách a informace nutné pro správu účtu.
Dále pak také zcela chybí další povinná náležitost, a to doba, na jakou se smlouva uzavírá. Absence výše zmíněných povinných náležitostí tak znamená, jak již bylo uvedeno, že to sice nezpůsobuje její neplatnost, avšak nejedná se již pojmově o smlouvu o zpracování s důsledky již výše popsanými.
 
Řetězení zpracovatelů
Jak již bylo uvedeno výše, v souladu s § 4 písm. j) ZoOU je oprávněn zpracováním zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak, pouze správce. Smlouvu může tedy uzavřít pouze správce se zpracovatelem, nikoli zpracovatel s dalším subjektem. S ohledem na řečené je zřejmé, že je to právě správce, který rozhodne, že určitého cíle bude dosahovat pomocí zpracování osobních údajů, a jak konkrétně bude takové zpracování probíhat. Tato pozice (toho, kdo rozhodl o zpracování a jeho veškerých parametrech) se odráží v odpovědnosti správce za celé zpracování, která v sobě zahrnuje i odpovědnost za případné přenechání některých, popř. i všech, fází či kroků zpracování jiným subjektům - zpracovatelům. Je proto nepřípustné, aby zpracovatel, který je pověřen pouze jasně vymezenými úkoly, sám rozhodl o tom, že zpracování bude prováděno jiným způsobem. Takové řetězení zpracovatelů by ve svém důsledku mohlo vést ke vzniku stavu, kdy správce, který o zpracování rozhodl, a jehož jménem se celé zpracování provádí, přestává mít toto zpracování pod kontrolou a nemůže tak dostát svým povinnostem např. podle § 12 a 21 ZoOU.
Správce i zpracovatel však samozřejmě mohou využívat práce či služeb jiných osob (fyzických i právnických), a to v režimu § 14 ZoOU. Toto ustanovení se vztahuje na zaměstnance správce či zpracovatele a dále na jiné osoby (fyzické i právnické), které zpracovávají údaje na základě smlouvy se správcem nebo zpracovatelem. Smlouvou je v tomto ustanovení myšlena pracovní či jiná obdobná smlouva, nikoli smlouva o zpracování osobních údajů podle § 6 ZoOU. Na uvedeném nic nemění skutečnost, že osoby spolupracující v režimu podle § 14 ZoOU provádějí, v rámci své pracovní činnosti pro správce nebo zpracovatele, s osobními údaji úkony, které lze označit jako zpracování ve smyslu ZoOU.
Odpovědnost za toto zpracování však nese pouze správce nebo zpracovatel (kromě povinnosti podle § 15 ZoOU). Pro určení odpovědného subjektu v konkrétním případě je rozhodné, zda k zapojení těchto dalších osob na straně zpracovatele došlo v mezích oprávnění vyplývajících mu ze smlouvy uzavřené podle § 6 ZoOU, a to především s ohledem na záruky ohledně zabezpečení ochrany osobních údajů, které zpracovatel v rámci smlouvy o zpracování osobních údajů poskytl, nebo nikoliv.
Zapojení třetích osob na straně zpracovatele je tedy nutno posuzovat primárně z hlediska požadavků podle § 13 ZoOU, a to včetně zajištění kontroly dodržování bezpečnostních opatření a plnění pokynů pro zpracování osobních údajů - obdobně, jako by se jednalo o vlastní zaměstnance zpracovatele.
V případě, kdy zpracovatel překročí oprávnění, které mu vyplývá z pověření správce, tj. ze smlouvy podle § 6 ZoOU, fakticky stanoví nový účel zpracování, pro nějž se stává správcem (oprávněným, či neoprávněným) s veškerou z toho vyplývající odpovědností. Řetězení zpracovatelů, tj. situace, kdy by se z rozhodnutí zpracovatele na zpracování údajů podílel další subjekt v postavení zpracovatele ve smyslu § 4 písm. k) ZoOU, není tímto zákonem umožněno, což nevylučuje, aby se na zpracování osobních údajů ve výše uvedeném smyslu podílely i jiné osoby.18
Jak vidno, outsourcing je sice možný i při zpracování osobních údajů, nicméně má poměrně přesná pravidla, která je třeba dodržovat. Podcenění byť jen některého z faktorů předepisovaných ZoOU pro tento způsob spolupráce může mít i vážné následky s důsledkem udělení i výrazné pokuty za porušení ZoOU.
1 http://cs.wikipedia.org/wiki/Outsourcing.
2 Tamtéž.
3 http://www.epravo.cz/top/clanky/mandatni-smlouva-vs-smlouva-prika zni-21590.html.
4 Tamtéž.
5 Česká národní banka stanoví podle § 8b odst. 5, § 11a odst. 9, § 12a odst. 8, § 12b odst. 8, § 15, § 22 odst. 2, § 24 odst. 1 a § 26d odst. 3 zákona č. 21/1992 Sb., o bankách, ve znění zákona č. 120/2007 Sb., (dále jen „zákon o bankách“), podle § 1a odst. 3, § 7a odst. 5, § 7b odst. 9, § 8 odst. 9, § 8b odst. 1, § 11 odst. 3 a § 27 odst. 1 zákona č. 87/1995 Sb., o spořitelních a úvěrních družstvech a některých opatřeních s tím souvisejících a o doplnění zákona České národní rady č. 586/1992 Sb., o daních z příjmů, ve znění zákona č. 120/2007 Sb. (dále jen „zákon o spořitelních a úvěrních družstvech“), a podle § 199 odst. 2 písm. a), b), g) a t) zákona č. 256/2004 Sb., o podnikání na kapitálovém trhu, ve znění zákona č. 120/2007 Sb. (dále jen „zákon o podnikání na kapitálovém trhu“).
6 Znění § 11 odst. 1 až 3:
„(1) Pokud některou činnost, kterou by jinak vykonávala nebo mohla vykonávat povinná osoba, zajišťuje pro povinnou osobu na smluvním základě jiná osoba (dále jen „outsourcing"), povinná osoba se tím nezbavuje žádné ze svých odpovědností za činnosti, které jsou předmětem outsourcingu. (2) Povinná osoba zajistí, aby v souvislosti se sjednáním nebo využíváním outsourcingu a) nebyl omezen soulad činností, které jsou předmětem outsourcingu, s příslušnými právními předpisy, možnost jejich kontroly povinnou osobou, plnění informačních povinností vůči České národní bance, výkon dohledu, včetně případné kontroly skutečností podléhajících dohledu u poskytovatele outsourcingu, a provedení auditu účetní závěrky a dalších ověření stanovených jinými právními předpisy, b) nebyly ohroženy předpoklady pro řádný a obezřetný výkon činnosti povinné osoby, c) nebyly dotčeny právní vztahy povinné osoby s klientem a d) byla stanovena pravidla kontroly činností, které jsou předmětem outsourcingu, včetně případné kontroly skutečností týkajících se outsourcingu u jeho poskytovatele. 3) Povinná osoba uzavírá smlouvu upravující outsourcing způsobem, který umožňuje zachycení jejího obsahu, kontrolovatelnost a případnou vymahatelnost, jakož i uchovatelnost."
7 Důvodová zpráva k zákonu č. 439/2004 Sb., Sněmovní tisk 508/0.
8 Kučerová, A., Bartík, V., Peca, J., Neuwirt, K., Nejedlý, J. Zákon o ochraně osobních údajů. Komentář. 1. vydání. Praha: C. H. Beck, 2003, s. 58 a násl.
9 Tamtéž.
10 Důvodová zpráva k zákonu č. 101/2000 Sb., Sněmovní tisk 374/0.
11 Poradce č. 3/2005, Zákon o ochraně osobních údajů s komentářem, str. 17.
12 www.uoou.cz, Názory úřadu, Stanoviska - STANOVISKO č. 1/2009
„Zpracování osobních údajů na základě smluv uzavíraných se zpracovateli (tzv. řetězení zpracovatelů osobních údajů)“
.
13 Kučerová, A., Bartík, V., Peca, J., Neuwirt, K., Nejedlý, J. Zákon o ochraně osobních údajů. Komentář. 1. vydání. Praha: C. H. Beck, 2003, s. 60.
14 Bartík, V., Janečková, E.: Zákon o ochraně osobních údajů s komentářem. ANAG, Olomouc 2010.
15 Bartík, V., Janečková, E.: Zákon o ochraně osobních údajů s komentářem. Olomouc: ANAG, 2010, s. 103.
16 http://www.primymarketing.cz/fileadmin/user_upload/PDF_dokumenty/ Osobni_udaje.pdf, upraveno.