Zpracovatel Podle článku 28 nařízení Evropského parlamentu a raduy EU 2016/679 – GDPR

Zpracovatel je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

Správce by měl využít pouze takového zpracovatele, který s ohledem na povahu, kontext, kategorii osobních údajů a jejich možností, poskytuje dostatečné záruky vhodných technických a organizačních opatření, tak aby zpracování osobních údajů prostřednictvím zpracovatele splňovalo požadavky GDPR a byla zajištěna ochrana práv subjektu údajů. Za tím účelem musí být mezi správcem a zpracovatelem uzavřena písemná smlouva.

Není nutné, aby se jednalo o samostatnou smlouvu, lze požadované náležitosti zakomponovat i do jiné smlouvy, kterou správce se zpracovatelem uzavírá v rámci např. obchodního či jiného vztahu.
Správce se přizváním zpracovatele nezbavuje odpovědnosti za zpracování osobních údajů.
Pokud zpracovatel zapojí dalšího zpracovatele, je nutné, aby správce k tomuto dal písemné svolení. Svolení může být dáno k dalšímu konkrétnímu zpracovateli, nebo může být dáno obecné svolení, v takovém případě však zpracovatel musí správce informovat o veškerých přijetích dalších zpracovatelů nebo jejich nahrazení. Účelem tak je, aby správce, který za zpracování osobních údajů primárně odpovídá, věděl, které subjekty pro něj osobní údaje zpracovávají.

Typickým zpracovatelem je externí účetní nebo marketingová firma, IT firma s přímým a popřípadě dálkovým přístupem k datům.