Institut společných správců je v oblasti ochrany osobních údajů novinkou, kterou zavedlo obecné nařízení o ochraně osobních údajů (EU) 2016/679 („GDPR“), neboť předchozí obdobná úprava ve směrnici Evropského parlamentu a Rady 95/46/ES o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, nebyla ze strany českého zákonodárce implementována. Zvláštní ujednání týkající se společných správců (nad rámec obecných práv a povinností platných pro všechny správce osobních údajů) jsou poměrně stručně uvedena v článku 26 GDPR.
Nastavení vztahu dvou či více entit jako společných správců osobních údajů se uplatní, pokud tyto subjekty spoluurčují účel a prostředky zpracování osobních údajů. Role lze rozdělit i tak, že jeden ze společných správců bude určovat účel (například poskytnutí určitého produktu/ služby) a druhý prostředky (například provoz určité platformy, aplikace či portálu sloužící k prodeji či ke sběru osobních údajů) této společné správy osobních údajů.
Model společných správců můžeme vhodně aplikovat mimo jiné na vztahy mezi obchodními společnostmi v rámci koncernu, u selektivního distribučního systému mezi distributorem a jednotlivými prodejci či pro vztahy mezi franschisorem (poskytovatelem franchisové licence) a franchisantem. Typicky půjde o sdílení databází klientských (zákaznických) kontaktů, které společní správci z povahy své činnosti využívají k podnikání – v tomto směru tedy mohou být společnými správci například cestovní agentura, hotelový řetězec a letecká společnost, kteří založí společnou internetovou platformu v zájmu koordinace svých aktivit při zajišťování komplexích rezervací služeb. Opakem je případ cestovní agentury, která bude (bez možnosti koordinace) dostupnost zákazníkem poptávaných služeb odděleně ověřovat u dalších externích subjektů, tj. jiných samostatných správců.
U společných správců je nutné, aby došlo k jasnému vymezení podílů na odpovědnosti za plnění povinností dle Nařízení – zejména je potřeba určit, kdo se bude primárně věnovat vypořádání uplatněných práv subjektů údajů (žádost o přístup, opravu, výmaz osobních údajů apod.) nebo plnit informační povinnost dle článku 13 a 14 GDPR. Povinná dohoda o parametrech nastavení fungování společného správcovství nemusí být písemná, nicméně tuto formu lze s ohledem na pozdější praktické prosazování dělené odpovědnosti jednoznačně doporučit.
Důsledkem společného správcovství je, že subjekty údajů mohou uplatnit svá práva, která jim Nařízení přiznává, u kteréhokoliv z těchto správců – v souladu s článkem 26 odst. 3 GDPR se tak uplatní společná a nerozdílná odpovědnost, kde každý ze správců přebírá plnou odpovědnost za porušení povinností na ochranu osobních údajů ostatních společných správců. V rámci informací o zpracování (kupříkladu zásad zpracování osobních údajů vyvěšených na webové stránce) je nutné subjektům údajů rovněž sdělit identitu všech společných správců.
Samostatní správci mohou mezi sebou osobní údaje sdílet na základě souhlasu příslušného subjektu údajů či jiného právního titulu k předání (plnění smlouvy, plnění právní povinnosti správce aj.); nejedná se tedy o společnou správu a k předání musí mít správce prokazatelný právní titul. Příkladem vztahu dvou samostatných správců může být vztah banky, která na pokyn svého klienta předává jeho osobní údaje pojišťovně ke sjednání doplňkového produktu pojištění karetních transakcí; účel i prostředky zpracování osobních údajů klienta jsou u banky i pojišťovny odlišné, nicméně k předání osobních údajů dochází na výslovný pokyn (či se souhlasem) klienta, který má zájem sjednat si k platební kartě pojištění. Oproti společnému správcovství mezi sebou nemusí samostatní správci uzavírat (písemné) ujednání o zpracování osobních údajů, neboť každý zpracovává osobní údaje za jiným účelem a jinými prostředky a odpovídá tak za plnění povinností dle GDPR individuálně.
