K zodpovězení shora uvedené otázky bude nezbytné vycházet ze zákona č. 101/2000 Sb., o ochraně osobních údajů, v platném znění (dále jen „zákon o ochraně osobních údajů či ZOOÚ“). Úvodem je nezbytné uvést zákonné definice pojmu osobní údaj, zpracování osobních údajů, správce a zpracovatel osobních údajů, ve smyslu v ust. § 4 písm. a), e), j) a k) zákona o ochraně osobních údajů. Osobním údajem je chápána jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Za zpracování osobních údajů je považována jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádí s osobními údaji, a to automatizovaně nebo jinými prostředky, když zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. Dle zákona o ochraně osobních údajů je správcem osobních údajů chápán každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak. Zpracoval osobních údajů je pak každý subjekt, který na základě zvláštního zákona nebo pověření správce zpracovává osobní údaje dle zákona o ochraně osobních údajů.
Jelikož i zaměstnavatel při výkonu své činnosti zpracovává osobní údaje zaměstnanců, je nepochybné, že je správcem osobních údajů ve smyslu zákona o ochraně osobních údajů. Zákon o ochraně osobních údajů připouští, aby zaměstnavatel jako správce osobních údajů přenesl své oprávnění ke zpracování osobních údajů na jiný subjekt, tzv. zpracovatele, a to na základě zvláštního zákona nebo pověření správce. Postavení zpracovatele osobních údajů pak náleží takové osobě, která ve skutečnosti fakticky osobní údaje zpracovává, aniž by stanovila účel, k němuž mají být osobní údaje zpracovány, popř. stanovila prostředky či způsob jejich zpracování.
Jak již bylo výše uvedeno, zpracovatel může „zpracovávat“ osobní údaje buď na základě výslovného zákonného zmocnění, anebo na základě smluvního ujednání se správcem. Vzhledem k tomu, že při zpracování mzdové a personální agendy nemůžeme hovořit o tom, že by docházelo k zákonné delegaci, bude v takovémto druhu případů docházet ke zpracování osobních údajů třetí osobou na základě pověření správce osobních údajů. Jelikož však odpovědnost za zpracování osobních údajů v souladu se zákonem leží právě na správci osobních údajů, správce osobních údajů musí zabezpečit garanci práva na ochranu osobních údajů, a to prostřednictvím smlouvy o zpracování osobních údajů ve smyslu ust. § 6 ZOOÚ. Zákon o ochraně osobních údajů předepisuje, aby smlouva o zpracování osobních údajů měla písemnou formu, ve které bude uvedeno v jakém rozsahu, za jakým účelem a na jakou dobu se smlouva uzavírá. Další podstatnou náležitostí této smlouvy je sjednání záruk zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů.
V praxi dochází k uzavírání smluv, které svým obsahem sice obsahují přenesení oprávnění ke zpracování osobních údajů ze správce na zpracovatele (resp. ze zaměstnavatele na třetí osobu), nicméně neobsahují podstatné obsahované náležitosti vyžadované ust. § 6 ZOOÚ. Pojmově by takováto smlouva nemohla být chápána jako smlouva o zpracování osobních údajů dle zákona o ochraně osobních údajů, a proto by docházelo k porušení ust. § 5 odst. 1 písm. f) a ust. § 13 zákona o ochraně osobních údajů, neboť by osobní údaje zaměstnanců byly zpřístupňovány a předávány jiným osobám, které k tomu nejsou oprávněné. V souvislosti s outsourcingem zpracování osobních údajů zdůrazňujeme, že z ust. § 11 odst. 1 ZOOÚ vyplývá, že správce je při shromažďování osobních údajů povinen subjekt údajů informovat nejen o tom, v jakém rozsahu a pro jaký účel budou osobní údaj zpracovány, ale i kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace známy. Vedle toho je správce osobních údajů povinen subjekt osobních údajů povinen informovat nejen o právu na ochranu osobních údajů, ale i o právu k jejich přístupu, včetně práv ve smyslu ust. 21 ZOOÚ.
