Zpracovatelská smlouva pro provoz kamerového systému v bytovém domě

V návaznosti na aktuální dopady Obecného nařízení o ochraně osobních údajů¹ (dále také GDPR) do právního řádu ČR je zřejmé, že na rozdíl od některých zásad GDPR, jejichž povinné dodržování může národní legislativa změkčit (viz návrh zákona o zpracování osobních údajů, který je aktuálně projednáván Poslaneckou sněmovnou Parlamentu ČR jako tisk č. 138 a 139), se tyto možnosti netýkají podmínek, za kterých musí v souladu s čl. 28 GDPR dojít ke sjednání smluvního vztahu mezi správcem (SVJ nebo BD) a zpracovatelem, kterým provozuje kamerový nebo jiný obdobný dohledový systém v bytovém domě (dále také KS).

Tato smlouva není žádnou novinkou; v souladu s § 6² zákona č. 101/2000 Sb. už nyní měl takový smluvní vztah existovat, jenže GDPR přináší jednu podstatnou změnu. Zatímco podle dnešního zákona nebyly smluvní podmínky nijak podrobněji upraveny přímo zákonem, podle čl. 28 GDPR nyní platí, že: „Provádění zpracování zpracovatelem by se mělo řídit smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které by zavazovaly zpracovatele vůči správci a v nichž by byl stanoven předmět a doba trvání zpracování, povaha a účely zpracování, typ osobních údajů a kategorie subjektů údajů, s přihlédnutím ke konkrétním úkolům a povinnosti zpracovatele v souvislosti se zpracováním, jež má být provedeno, a riziko pro práva a svobody subjektů údajů. Správce a zpracovatel se mohou rozhodnout, že použijí individuální smlouvu nebo standardní smluvní ustanovení, která přijme buď přímo Komise, nebo dozorový úřad v souladu s mechanismem jednotnosti a poté Komise.“ – citace z Rec. 81 GDPR.

Zpracování osobních údajů má svá pravidla a proto je nezbytné stanovit určité modely, za kterých je provoz kamerového nebo dohledového systému (např. elektronické zvonky vybavené videokamerou) realizován.

První a nejjednodušší model je ten, kdy si SVJ nebo BD pouze nakoupí technologii a další správu a provoz realizuje ve vlastní režii. Tento model je možný zejména u velkých (co do počtu nemovitostí a členů) subjektů, kde se dá očekávat i dostatečný personální a odborný potenciál ke správě takového systému, včetně jeho technické údržby.

Druhý model je obvyklejší, tedy SVJ nebo BD si pořídí technologii, kterou dále provozuje, ale její technickou údržbu přenechává odborné firmě. V této souvislosti již bylo publikováno několik názorů, zejména z podnětu výrobců SW, že se nejedná o vztah správce a zpracovatele, a že tedy není nezbytné uzavírat žádnou smlouvu v kontextu čl. 28 GDPR. Ale je to skutečně pravda? Technický správce sice přímo neprovádí žádnou z operací – činností zpracování osobních údajů, které jsou definovány jako zpracování dle čl. 4 odst. 2 GDPR³, ale je nepochybné, že k datům přístup má. Je tedy na správci, aby si zajistil podmínky přístupu, kdy i nahlédnutí je považováno za operaci, která je součástí již zmiňované definice pojmu zpracování.

Ilustrační foto © Fotolia.com

V této souvislosti lze jednoznačně doporučit, aby i mezi správcem a tzv. technickým správcem systému smluvní vztah existoval, i když ve zjednodušené formě, nicméně řadu možných smluvních podmínek lze najít právě v čl. 28 odst. 3 GDPR, zejména pokud jde o povinnosti zabezpečeného přístupu a povinnosti mlčenlivosti přistupujících zaměstnanců technického správce. A nejde jen o jednostranné prohlášení technického správce, (hlavní) správce by měl disponovat dostatečnými kontrolními mechanismy, aby se přesvědčil, jak technický správce své povinnosti plní. To však bohužel vyžaduje jistou odbornou úroveň, kterou běžný správce kamerového nebo jiného dohledového systému obvykle nedisponuje a musí se tak spolehnout na vyjádření technického správce.

Třetí model je také poměrně častý. SVJ nebo BD pořídí technologii, ale systém neprovozuje přímo, ale pro jeho provoz si najme další subjekt. Tato praxe je dnes běžná zejména v případě velkých bytových komplexů, kde fungují tzv. recepce, které vlastníkům nebo uživatelům bytů zprostředkovávají řadu služeb, které spočívají v zajištění strážní služby, převzetí doručených zásilek až po úklid bytu nebo jeho údržbu. Vše záleží jen na smlouvě mezi vlastníkem bytu (nebo jeho nájemcem) a provozovatelem ochrany objektu a souvisejících služeb. V tomto případě je však smlouva o zpracování osobních údajů nezbytností a její obsah by měl být zcela v souladu s čl. 28 GDPR, které platí již řadu měsíců (účinnost od 25. 5. 2018).

Jak má tedy smlouva vypadat? Podle článku 28 odst. 3 jde o zvláštní smluvní typ, podle kterého se zpracování řídí, a který zavazuje zpracovatele vůči správci. Dále se zde uvádí některé povinné náležitosti, jako je předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce.

Dále má smlouva zejména stanovit, že zpracovatel:

1. zpracovává osobní údaje pouze na základě doložených pokynů správce;
2. zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti;
3. přijme všechna opatření požadovaná podle článku 32 GDPR⁴;
4. dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2 a 4 čl. 28 GDPR;
5. zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III GDPR;
6. je správci nápomocen při zajišťování souladu s povinnostmi podle článků 32 až 36, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici;
7. v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;
8. poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.

V souladu s čl. 28 odst. 9 GDPR musí smlouva o zpracování osobních údajů být vyhotovena písemně, v to počítaje i elektronickou formu.

V současné době existuje řada vzorů a doporučení, co by smlouva mezi správcem a zpracovatelem měla obsahovat, kromě již zmíněného čl. 28 GDPR; ale co je velmi podstatné, je část, která se týká odpovědnosti za porušení povinností při zpracování osobních údajů. Každá smluvní strana by měla disponovat dostatečnými nástroji (např. smluvní pokuta), pokud se stane, že i přes zajištění podmínek pro zpracování osobních údajů dojde k jejich ztrátě, znehodnocení nebo zpřístupnění jiné než oprávněné osobě.

I když máme uzavřený smluvní vztah, je nám tato skutečnost stálou hrozbou, a pokud zpracovatel své povinnosti nedodržuje, měli bychom disponovat určitými zárukami odpovědnosti. Stručný návod k několika krokům obsahuje již samo Obecné nařízení:

Zde stručný přehled základních článků:

Čl. 28 odst. 10: Aniž jsou dotčeny články 82, 83 a 84, pokud zpracovatel poruší toto nařízení tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce.

Čl. 30 odst. 2: Každý zpracovatel a jeho případný zástupce vede záznamy o všech kategoriích činností zpracování prováděných pro správce, jež obsahují: a) jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, pro něhož zpracovatel jedná, a případného zástupce správce nebo zpracovatele a pověřence pro ochranu osobních údajů; b) kategorie zpracování prováděného pro každého ze správců; c) informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk; d) je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1.

Čl. 32 odst. 3: Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie nebo členského státu.

Čl. 33 odst. 2: Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci.

Čl. 82 Právo na náhradu újmy a odpovědnost

(1) Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.

(2) Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení. Zpracovatel je za újmu způsobenou zpracováním odpovědný pouze v případě, že nesplnil povinnosti stanovené tímto nařízením konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi.

(3) Správce nebo zpracovatel jsou odpovědnosti podle odstavce 2 zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.

(4) Je-li do téhož zpracování zapojen více než jeden správce nebo zpracovatel, nebo správce i zpracovatel, a nesou-li podle odstavců 2 a 3 odpovědnost za jakoukoliv škodu způsobenou daným zpracováním, nese každý správce nebo zpracovatel odpovědnost za celou újmu, tak aby byla zajištěna účinná náhrada újmy subjektu údajů.

(5) Jestliže některý správce nebo zpracovatel zaplatil v souladu s odstavcem 4 plnou náhradu způsobené újmy, má právo žádat od ostatních správců nebo zpracovatelů zapojených do téhož zpracování vrácení části náhrady, která odpovídá jejich podílu na odpovědnosti za újmu v souladu s podmínkami v odstavci 2.

(6) Soudní řízení za účelem výkonu práva na náhradu újmy se zahajují u soudů příslušných podle práva členského státu uvedeného v čl. 79 odst. 2.

Závěr: Pro provoz kamerového systému v bytovém domě lze jednoznačně doporučit uzavření smlouvy, a to v souladu s čl. 28 GDPR (Správce/Zpracovatel), popřípadě smlouvy analogické obsahující závazky provozovatele systému/ poskytovatele služeb vůči Správci (SVJ/BD) včetně jejich vymahatelnosti a odpovědnosti v případě vzniku škody.

Poznámky

¹ NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) ... Zpět

² Pokud zmocnění nevyplývá z právního předpisu, musí správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu. Musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. ... Zpět

³ Zpracováním je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. ... Zpět

⁴ Zabezpečení zpracování

1. S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provede zpracovatel vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, případně včetně: a) pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů; d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
2. Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim… Zpět