Pro postup v souladu s GDPR nařízením je třeba si jasně vymezit pravidla ochrany osobních údajů při realizaci výzkumných projektů. V oborovém sdružení SIMAR pravidelně probíhá diskuse s expertní skupinou a analýza dostupných materiálů. Zaznamenali jsme případy, kdy podrobný právní výklad nařízení se u některých klientů lišil od doporučeného postupu.

SIMAR se proto obrátil na Úřad pro ochranu osobních údajů se žádostí o konzultaci v oblasti správného nastavení vztahu správce – zpracovatel. Celý text vyjádření UOOÚ je k dispozici zde.

Doporučení SIMAR – spolupráce klient – agentura aneb vztah správce – zpracovatel

Doporučení SIMAR je konzultováno s ÚOOÚ a postupy na ochranu respondentů ve výzkumných projektech jsou praxí prověřené.

Určení správce a zpracovatele při realizaci výzkumného projektu

Obecné pravidlo určuje, že při realizaci výzkumných projektů předává výzkumná agentura klientovi data bez osobních údajů. Taková praxe je ve výzkumu zavedena již od počátku existence oboru, ochrana respondentů patří k základním pravidlům v projektech realizovaných kvantitativními i kvalitativními metodami.

V případě realizace kvalitativního výzkumu a případném využití video či audionahrávek klientem je správcem osobních údajů agentura, která zajistí maximální anonymizaci osobních údajů respondentů, než výstupy předá klientovi. Ten se tak, podle výkladu potvrzeného ÚOOÚ stává pouze příjemcem těchto dat a při jejich využití postupuje podle pokynů správce, kterým je agentura.

Pokud výzkumná agentura klientovi nepředává osobní údaje, je vždy a výhradně správcem. Toto tvrzení je v souladu s výkladem ÚOOÚ:

„Ve vztahu mezi zadavatelem a výzkumnou agenturou, která má výlučně své vlastní respondenty, je rozhodné, zda zadavatel, který určil téma výzkumu, od agentury získává pouze agregované údaje, které jako anonymní ochraně podle GDPR nepodléhají, či získává pseudomynizované osobní údaje ve smyslu definičního ustanovení článku 4.5 GDPR, na které se ochrana vztahuje. Jako příjemce agregovaných údajů zadavatele jenom proto, že určil téma výzkumu, nelze považovat za správce osobních údajů, ve druhém případě by mohl přicházet v úvahu institut společných správců. Informace podle článků 13 a 14 v takovém případě poskytuje samozřejmě pouze výzkumná agentura.“ ÚOOÚ, 30.9.2020

Pokud zadavatel agentuře předává osobní údaje svých klientů (například spokojenostní výzkum), je agentura zpracovatelem osobních údajů, případně, pokud obě strany tyto údaje dále obohacují společně, mohou být společnými správci. U těchto projektů je třeba přesně si určit kdo a jak bude aktualizovat osobní údaje respondentů a smluvně si dohodnout další pravidla zpracování osobních údajů.

Kontrola postupů agentury v oblasti ochrany osobních údajů iniciovaná klientem může proběhnout pouze v případě, že klient je skutečně správcem osobních údajů za níže uvedených pravidel.

Pravidla kontroly zpracovatele správcem (GDPR audit):

• Klient je oprávněn auditovat pouze skutečnosti vyplývající z jeho práv v souvislosti s GDPR.
• Audit GDPR a jeho výsledky podléhají mlčenlivosti, klient nesmí zveřejnit nic nad rámec zákonné povinnosti.
• Auditem GDPR musí být pověřena auditorská firma se skutečnou a specifickou znalostí problematiky ochrany osobních údajů, například auditor z Velké čtyřky, případně subjekt s certifikací v této oblasti.
• Agentuře musí být předem známa totožnost všech auditorů, tzn. žádný audit v utajení ve stylu mystery shoppingu.
• Audit GDPR musí být ohlášen v dostatečném předstihu.
• Audit může probíhat jen v rámci běžných pracovních hodin a audit nesmí agenturu nepřiměřeně zatížit.
• Klient je oprávněn požadovat realizaci auditu GDPR maximálně jednou ročně.
• Pokud je využit externí auditor, agentura má právo vidět a připomínkovat zprávu před tím, než ji dostane klient.