20.11.2020

Informační systém dodává naší společnosti externí firma. Ručí za správné zpracování osobních údajů v něm ona, nebo my jakožto správce?

Na tuto aktuální otázku zveřejnil odpověď na svých webových stránkách Úřad pro ochranu osobních údajů.

ODPOVĚĎ: Za zpracování osobních údajů je vždy odpovědný správce osobních údajů. Ten má povinnost zajistit a být schopen doložit, že je zpracování prováděno v souladu s obecným nařízením. 
Z hlediska ochrany osobních údajů je proto neakceptovatelné argumentovat skutečností, že správce využívá informační systém externího dodavatele, a že způsob či rozsah předmětného zpracování vyplývá z nastavení tohoto systému, který koupil či mu byl dodán. 
Podle GDPR má každý, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, právo obdržet od správce nebo zpracovatele náhradu. Vzhledem k tomu by správce, který má pochybnosti o nastavení systému externím dodavatelem v souladu s obecným nařízením, měl zvážit spolupráci raději s takovým, který nastavení systému garantuje a případně by se na pokrytí újmy podílel.
 
ZDROJ: https://www.uoou.cz/vismo/zobraz_dok.asp?id_org=200144&id_ktg=6419