1.134
Smlouva s externím dodavatelem služeb IT (HW i SW)
JUDr. Tereza Drábková, Dr. Milan Vodička
S externím dodavatelem IT služeb sice není nezbytné uzavírat zpracovatelskou smlouvu, ale lze to doporučit pro dosažení vyšší míry jistoty, že budete mít dostatečnou technologickou podporu při plnění povinností dle GDPR.
Smlouva musí mít písemnou formu, vhodnou inspirací může být příkazní smlouva upravená v českém právním řádu, která definuje vztahy při obstarání záležitostí (§ 2430 a násl. NOZ).
Dodavateli IT služeb jako zpracovateli je smlouvou uloženo:
-
postupovat dle pokynů správce a odchýlit se od nich, jen pokud to je nezbytné, hrozí riziko z prodlení a nemůže si obstarat souhlas správce,
-
upozornit správce na nesprávný pokyn,
-
provádět činnost osobně, a pokud svěří provedení někomu jinému, odpovídá, jako kdyby vykonal činnost sám,
-
informovat správce o postupu plnění a výsledcích činnosti.
Z pohledu plnění povinností vyplývajících z GDPR by smlouva měla obsahovat:
-
jednoznačné ustanovení, že zpracovatel si je vědom svého postavení ve vztahu k ochraně osobních údajů dle GDPR,
-
výslovný rozsah a účel činností, které spadají do povinností zpracovatele, připojit přehled dotčených kategorií osobních údajů (např. mzdy a personalistika, účetní údaje, spisy klientů, zdravotnická dokumentace ad.) a subjektů údajů (zaměstnanci, klienti, pacienti, obchodní partneři atd.),
-
záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů (dle článku…