Zpracovatelské smlouvy a GDPR

Pracujete v oblasti marketingu a přicházíte do styku s osobními údaji? Je to spíš trochu řečnická otázka, protože bez osobních údajů se v marketingu nejspíš pracovat nedá, nebo alespoň ne tak efektivně jako když jste jimi vybaveni. Osobními údaji je totiž všechno, pod čím lze identifikovat jednotlivce – to znamená ať už jeho klasicky e-mailová adresa, údaj o tom, co si prohlížel za zboží v e-shopech (je-li poté možné jednotlivce s tímto údajem nějak propojit – ať již pomocí IP adresy či nějakého Vámi stanoveného identifikačního čísla), informace, které jste o něm získali z profilování nebo i jeho lajk na facebooku. Tyto údaje jsou pro tvorbu skutečně kvalitní marketingové akce nutné – nejenom pro správné cílení marketingu, ale také pro samotný chod marketingové agentury – což obnáší vedení všech databází klientů – ať již pro e-mailing, custom audiences v PPC nebo pro zákaznickou péči. Osobní údaje se vyskytují také při sbírání podkladů pro vytváření rozhovorů nebo PR článků, např. o CEO nebo o Vašich zaměstnancích. Pracujete také s fotkami či videi, na kterých se vyskytují identifikovatelné tváře? Pak se jedná také o osobní údaje. 

Určitě jste v poslední době zaznamenali zvýšenou pozornost ohledně ochrany osobních údajů, počínaje již tolikrát zmiňovaným GDPR. Na toto téma toho bylo napsáno již mnoho, a pokud Vás to minulo, doporučujeme se dovzdělat. V tomto článku se zaměříme konkrétně na to, jak správně nastavit smlouvu s marketingovou agenturou z pohledu GPDR.

V oblasti osobních údajů vystupují dva důležité subjekty: správce a zpracovatel. Zjednodušeně řečeno, správce určuje, které osobní údaje se mají sbírat a jak s nimi bude nakládáno. Společnost, která Vám zadává přesné pokyny k vypracování marketingové kampaně (klient), je v takovém případě v pozici správce osobních údajů – ona určuje úkoly, které Vy, jako agentura pro ni plníte. Doplníme, že může nastat i situace, kdy se Vaše agentura stane správcem osobních údajů – právě v případě např. vedení databáze Vašich klientů. 

Správci a zpracovatelé mají odlišné povinnosti. Obecně platí, že pro správce platí přísnější podmínky pro zacházení s osobními údaji. Zejména ve vztahu správce-zpracovatel správce zodpovídá za to, že zpracovatelé, kteří pro něj pracují, mají všechno, co se týče ochrany osobních údajů, v pořádku a osobní údaje jsou u nich v naprostém bezpečí – to znamená, že přijali všechna možná vhodná opatření k tomu, aby se s osobními údaji nakládalo co nejbezpečněji, zajištěně a v co možná nejomezenější míře. Tak by tomu mělo být podle nového nařízení, nicméně provedení veškerých organizačních a technických opatření, která by bylo možné považovat za dostatečné, je nejenom finančně velmi náročné. Co tedy s tím? Jako zpracovatelům Vám doporučujeme přijmout taková opatření, která se Vám budou zdát objektivně přiměřená situaci – jste-li agentura zaměstnávající 3 zaměstnance, je podle našeho názoru zbytečné si pořizovat bezpečnostní systém za částku pohybující se ve výši statisíců.

Aby obě strany měly zajištěny správně vhodná opatření při zpracovávání osobních údajů, je potřeba vytvořit smlouvu o zpracování osobních údajů – tzv. zpracovatelskou smlouvu. Tu uzavírá zpracovatel osobních údajů – tedy v našem případě marketingová agentura se správcem osobních údajů – tedy zadavatelem práce - klientem. Zatím k jejímu uzavírání mezi těmito dvěma subjekty moc často nedochází. My ji rozhodně doporučujeme uzavřít, jejím uzavřením se totiž můžete vyhnout mnoha problémům. Jste-li marketingová agentura a nenabídne-li Vám smlouvu klient sám, vyvolejte sami iniciativu a zpracovatelskou smlouvu mu předložte, jde totiž i o Váš krk.

Co by měla zpracovatelská smlouva obsahovat?

Povinný obsah zpracovatelské smlouvy definuje GDPR ve svém článku 28, na který se doporučujeme podívat. Obecně jde ale o následující náležitosti:

• Předmět a doba zpracování

Ve smlouvě by mělo být stanoveno, že agentura a klient (doporučujeme hned na začátku smlouvy agenturu identifikovat jako zpracovatele a klienta jako správce) spolupracujete na základě jiného smluvního vztahu, při kterém dochází k předání osobních údajů. Lze také uvést, že správce určuje účel zpracování osobních údajů, poskytuje na jejich zpracování finanční prostředky apod. a Vy, jako zpracovatel, zpracováváte pro správce předané osobní údaje v souladu s právními předpisy.  

Doba zpracování by měla být nastavena správcem v dokumentech, které poskytuje při sbírání osobních údajů (tedy souhlas se zpracováním či informace o zpracování). Tyto informace si doporučujeme z pozice zpracovatele získat, abyste měli přehled, po jakou dobu můžete s údaji pracovat a kdy je máte zlikvidovat. Z pozice správce zase doporučujeme po uplynutí dané doby ohlídat, že zpracovatel skutečně dané údaje odstranil. Samozřejmě, že smlouva musí upravovat i situaci, kdy dojde k rozvázání obchodního vztahu mezi správcem a zpracovatelem a následné zacházení se získanými osobními údaji.  

• Povaha a účel zpracování

Ve smlouvě musí být stanovena povaha a účel zpracování. Pokuste se tedy co nejpodrobněji popsat, k jakému účelu potřebujete zpracovávat osobní údaje. Myslete však na to, že v souladu se zásadami ochrany osobních údajů je nutné vždy zpracovávat osobní údaje v co nejomezenější míře pouze k účelům, o kterých je subjekt řádně informován. Jakékoliv dodatečné změny účelu zpracování či následného použití osobních údajů, o kterém subjekt osobních údajů neví, jsou bez jeho souhlasu (nespadá-li toto zpracování pod výjimky stanovené zákonem, což v případě marketingu je, upřímně řečeno, minimální) neoprávněné. Myslete tedy na to, jestli jsou Vámi nasbírané osobní údaje správně získány.

• Typ osobních údajů a kategorie subjektů údajů

Zpracovatelská smlouva musí obsahovat seznam všech osobních údajů, u kterých dochází k předání mezi správcem a zpracovatelem. 

Doporučujeme specifikovat i způsob předání osobních údajů. Obecně by nemělo docházet k situacím, které jsou zjevně nebezpečné: jako je např. zaslání osobních údajů v excelovské tabulce e-mailem.

• Povinnosti a práva správce

Tato část smlouvy je klíčová a rozhodně by neměla být jen pouhou proklamací bez faktického dodržování. GDPR této části přikládá vysokou důležitost, neboť vysloveně stanovuje, že stanovení těchto povinností musí daná smlouva obsahovat. 

Mělo by být stanoveno, že se zpracovatel zavazuje přijmout opatření potřebná k bezpečnému zpracovávání údajů – necháme dále na Vás, jak vyhodnotíte v rámci předběžné analýzy riziková místa a oblasti. Rozhodně by tato ustanovení měla obsahovat povinnosti ohledně zabezpečení přístupu k databázím, zamezení zveřejnění třetím osobám, zvážili bychom i pověření přístupem k databázi pouze některé osoby, používat ověřené softwary, užívat šifrování.

Samostatná kapitola je předávání dalším zpracovatelům – k tomu nesmí docházet bez souhlasu předchozího povolení správce, ideálně písemného. Povinností správce je v takovém případě subjekt osobních údajů o takovém předání informovat a subjekt osobních údajů by měl mít právo vznést proti takovému předání námitku.

I přesto, že by to mělo být samozřejmostí, je příhodné nastavit do smlouvy i ustanovení o tom, že zpracovatelé budou zpracovávat osobní údaje pouze v takové podobě, jaké mu byly předány správcem, pouze za účelem, za kterým mu byly správcem svěřeny a pouze po dobu, která je uvedena v souhlasu se zpracováním osobních údajů nebo informací. 

Vyvarujte se sdružování databází osobních údajů, které byly získány k rozdílným účelům – to znamená rozhodně nesměšovat databáze určené k zasíláním newsletterů a např. databáze klientů. Stanovte to také do zpracovatelské smlouvy, ať předejte z postavení obou stran případným komplikacím.

Ve smlouvě by neměla chybět ani povinnost zpracovatele opravit či smazat osobní údaje dle pokynů správce na základě jeho výzvy. Smlouva by měla obsahovat i minimálně krátký odstavec ohledně závazku mlčenlivosti – tzn. nezveřejňovat zpracovávané osobní údaje, nikde je nešířit, zavázat povinností mlčenlivosti i zaměstnance či externí spolupracovníky správce či zpracovatele, kteří se do styku s osobními údaji dostávají. Doporučujeme věnovat pozornost i odpovědnosti za porušení povinností. Je vhodné si nastavit odpovědnost druhé strany za porušení povinností zaměstnanci či externími spolupracovníky druhé strany, stejně tak rozšířit odpovědnost za škodu i třetí osobě a na sankce veřejnoprávního orgánu. Volitelně můžete do smlouvy nastavit povinnost uzavření pojištění pro vznik škody vyplývající z porušení povinností ze zpracovatelské smlouvy.

Jak by měla smlouva vypadat?

Zpracovatelská smlouva musí být vyhotovena písemně – nestačí tedy, že si se správcem osobních údajů při plánování marketingové kampaně ústně na jednání místopřísežně slíbíte, že osobní údaje žádným třetím stranám rozhodně poskytovat nebudete. Nemusí to být však v papírové formě, postačí i forma elektronická. 

Smlouva nemusí být vyhotovena na samostatném papíře, může být včleněna do Vaší smlouvy o dílo nebo podobného dokumentu, který uzavíráte se svých obchodním partnerem.

Důležitá rada na závěr

Jste-li marketingová agentura, doporučujeme Vám si vždy pohlídat a nastavit takový režim mezi Vámi a klientem, aby to byl vždy klient, kdo má volnou ruku nad vedením kampaně, kdo stanovuje požadavky a kdo Vám zadává úkoly. Musí být evidentní, kdo drží otěže a má kontrolu nad vedením kampaně (tzn. pro účely osobních údajů nad zpracováním osobních údajů). 

Jednoduše se totiž v případě nedostatečného vymezení Vašeho vztahu může stát, že se ze zpracovatele osobních údajů stanete správcem osobních údajů, což s sebou přináší dodržování přísnějších požadavků na zpracování a, v porovnání s povinnostmi a odpovědností zpracovatele, mnohem větší odpovědnost za řádné zpracování.