Kdo je zpracovatel osobních údajů a jaké má povinnosti?

Nařízení EU, známé jako GDPR, zajišťuje ochranu osobních údajů na území EU, přičemž hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. Zakotvuje právo mít informace o tom, které jejich údaje jsou zpracovávány a proč, a také domáhat se dodržování pravidel, včetně nápravy a uvedení do předešlého stavu.

 

Osobní údaje zpracovávají zpracovatelé, kteří na základě zvláštního zákona, pověření či zmocnění správcem zpracovávájí tyto osobní údaje jménem správce. Jsou jimi fyzické či právnické osoby, agentury, orgán veřejné moci atp. Správcem je zde ten, kdo určuje účel a prostředky zpracování osobních údajů a provádí za jím stanoveným účelem jejich shromažďování, zpracování a uchování.

 

Zpracováním se rozumí především shromažďování osobních údajů, jejich zaznamenání, zpřístupňování, uspořádání, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání.

 

Povinnosti zpracovatele jsou následující:

  • zpracovávání osobních údajů pouze na základě doložených pokynů správce,
  • osobní údaje musí být u zpracovatele adekvátně zabezpečeny,
  • nesmí zapojit do zpracování osobních údajů jiného zpracovatele bez povolení správce,
  • povinnost zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
  • poskytuje správci veškeré informace potřebné k doložení toho, že byly splněny dané povinnosti a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje,
  • má povinnost zohlednit povahu zpracování, přičemž je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, 
  • na základě rozhodnutí správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie.