S ohledem na znění čl. 5 odst. 2 a čl. 24 GDPR je důležité připomenout, že za zpracování osobních údajů je vždy odpovědný správce osobních údajů. Ten má povinnost zajistit a být schopen doložit, že je zpracování prováděno v souladu s obecným nařízením.

Z hlediska ochrany osobních údajů je proto neakceptovatelné argumentovat skutečností, že správce využívá informační systém externího dodavatele, a že způsob či rozsah předmětného zpracování vyplývá z nastavení tohoto systému, který mu koupil či mu byl dodán.

V této souvislosti lze na základě dozorových poznatků Úřadu odkázat na nedávno provedenou kontrolu u veřejné vysoké školy, zaměřenou na zpracování osobních údajů v rámci přijímacího řízení. Přihláška ke studiu je podávána elektronicky prostřednictvím informačního systému a kontrolovaná osoba v průběhu kontroly mimo jiné též částečně argumentovala skutečností, že příslušný informační systém je dodáván externím dodavatelem a některé funkcionality vyplývají z nastavení tohoto systému.