Je potřeba zkontrolovat platné smlouvy se zpracovateli osobních údajů (zejména s poskytovateli informačních  systémů, čipových a vstupních karet apod.).

• Smlouva musí mít písemnou formu. Zásadně a bezvýjimečně. (čl. 28 odst. 9)
• Je nutné explicitní prohlášení zpracovatele, že zaručí zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů. (čl. 28 odst. 1)
• V případě, že je předpoklad „řetězení zpracovatelů“, je nutné explicitně uvést do ustanovení smlouvy ve variantě konkrétního nebo obecného písemného povolení ze strany správce. (čl. 28 odst. 2, věta první)
• Je-li ve smlouvě uvedeno obecné povolení ze strany správce, že je umožněno „řetězení zpracovatelů“, je nutné zakotvit ve smlouvě proceduru pro přijetí nových zpracovatelů nebo jejich nahrazení a pro reakci správce. (čl. 28 odst. 2, věta druhá)
• Smlouva musí obsahovat taxativně uvedené náležitosti (čl. 28 odst. 3, věta první):
  • závazky zpracovatele vůči správci
  • předmět a doba trvání zpracování
  • povaha a účel zpracování
  • typ osobních údajů
  • kategorie subjektu údajů
  • povinnosti a práva správce
• Je nutné ve smlouvě uvést všechny dále uvedené povinnosti zpracovatele. (čl. 28 odst. 3, věta druhá)
• Všechny pokyny musí být výslovně uvedeny ve smlouvě s výjimkou případů, kdy je mi to uloženo právem EU nebo členského státu, které se na správce vztahuje. V tomto případě jde pouze o informování správce ze strany zpracovatele (pokud to není zakázáno v důležitém veřejném zájmu). (čl. 28 odst. 3, písm. a)
• Ve smlouvě specifikovat jednu z možností, tedy buď, že se zpracovatel zavazuje zajistit, aby všechny osoby, které zpracovávají osobní údaje, byly vázány mlčenlivostí nebo uvést konkrétně právní předpis, na základě kterého už tyto osoby vázány k mlčenlivosti jsou. (čl. 28 odst. 3, písm. b)
• Ve smlouvě specifikovat jednu z možností, tedy buď, že se zpracovatel zavazuje zajistit, aby všechny osoby, které zpracovávají osobní údaje, byly vázány mlčenlivostí nebo uvést konkrétně právní předpis, na základě kterého už tyto osoby vázány k mlčenlivosti jsou. (čl. 28 odst. 3, písm. b)
• Ve smlouvě musí být specifikován závazek zpracovatele přijmout všechna opatření dle GDPR (čl. 32) a dále uvedena ona opatření. (čl. 28 odst. 3, písm. c) čl. 32)

S přihlédnutím k:

• • stavu techniky
  • nákladům na provedení
  • povaze zpracování
  • rozsahu zpracování
  • kontextu zpracování
  • účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, tj. tato opatření musí kopírovat analýzu rizik v případě uzavíraných smluvních vztahů.

Konkrétně – GDPR zná DEMONSTRATIVNÍ VÝČET, což znamená, že se jedná pouze o příklady, opatření mohou být i jiná, ALE správce/zpracovatel musí prokazovat, proč použil zrovna tato opatření.

           a) pseudonymizace a šifrování osobních údajů;

           b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

           c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;

           d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických