Cílem článku je vyčlenit situace, ve kterých mají školy uzavřít „smlouvu o zpracování osobních údajů“, a nastínit obsah této smlouvy.
Smlouva o zpracování osobních údajů
Institut „smlouvy o zpracování osobních údajů“ znal zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a byl převzat též do nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“).
Nově se smlouva obsahově vymezená v čl. 28 odst. 3 GDPR označuje jako „smlouva mezi správcem a zpracovatelem“, „zpracovatelská smlouva“ či „smlouva o zpracování osobních údajů“. V článku se dále označuje jako „zpracovatelská smlouva“.
Kdo uzavírá zpracovatelskou smlouvu?
Správce osobních údajů je dle čl. 4 odst. 7 GDPR definován jako fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. V oblasti vzdělávání bude správcem téměř vždy škola (např. Základní škola Rájec, příspěvková organizace).
Správce může
*
sám provádět zpracování osobních údajů,
*
při zpracování osobních údajů