Několik postřehů z praxe implementace GDPR (2. díl)
Autor: Mgr. et. Mgr. Petr Mališ | Vloženo: 30. 4. 2019 19:08 | Přečteno: 2872XTento článek navazuje na předchozí díl, který dokumentoval některé problémy, s nimiž jsme se setkali při implementaci Nařízení Evropského Parlamentu a Rady č. 2016/679, známého jako Obecné nařízení o ochraně osobních údajů neboli „GDPR“ (dále jako „Nařízení“). V tomto díle se podíváme na postavení poskytovatelů služeb uživatelské podpory software jakožto zpracovatelů osobních údajů.
Poskytovatelé supportních služeb v IT jako zpracovatelé osobních údajů
Mnozí klienti, užívající software nebo aplikace, k nimž jim poskytovatel poskytuje nějakou formu uživatelské podpory, se setkali s velmi rozporuplným přístupem poskytovatelů v otázce zpracování osobních údajů při poskytování podpory. Zpracovatelem osobních údajů je ve smyslu čl. 4 odst. 8 Nařízení fyzická nebo právnická osoba nebo jakýkoli jiný subjekt, který zpracovává osobní údaje pro správce, aniž by určoval účel a prostředky zpracování. Určení účelu a prostředků zpracování je vždy na správci, a je základním dělícím kritériem mezi správcem a zpracovatelem (mimochodem, základním prostředkem, jímž dochází k určení účelu a prostředků zpracování, jsou právě záznamy o činnostech zpracování, popsané v předchozím díle). V databázových složkách podporovaných programů mohou být uložena rozličná data včetně osobních údajů, a subjekt, provozující a užívající takový program, tak bývá v postavení správce osobních údajů, protože určuje účel a prostředky zpracování (například zaměstnavatel zpracovává osobní údaje svých zaměstnanců v programu pro řízení personalistiky). Naskýtá se však otázka, nakolik jsou při poskytování podpory takových programů její poskytovatelé v postavení zpracovatelů osobních údajů, tedy nakolik vykonávají pro svého klienta jakožto správce údajů činnost zpracování, aniž by zároveň určovali jeho účel a prostředky?
V rámci naší praxe jsme se setkali s dvojím, zcela protikladným přístupem poskytovatelů podpory k této problematice. Tím méně častým přístupem je akceptace role zpracovatele osobních údajů a většinou bezvýhradné uzavření smlouvy o zpracování osobních údajů s jednotlivými klienty. Někteří poskytovatelé se GDPR rozhodli využít ve svůj prospěch a postavili svůj marketing právě na dosažení maximálního souladu s Nařízením. To se dodnes jeví jako dobrý přístup, představující účinné vymezení se vůči konkurenci. Tím (bohužel) častějším přístupem je však striktní odmítnutí jakékoli role při zpracování osobních údajů a tedy i odmítnutí uzavření zpracovatelské smlouvy, většinou s argumentem ve smyslu „veškerá data, uložená v aplikaci jsou vaše (tedy klientova), my se do nich nedostaneme a tudíž ani neprovádíme žádné zpracování osobních údajů“. Tato argumentace může, ale rovněž nemusí být oprávněná.
Kdy může být poskytovatel podpory zpracovatelem osobních údajů?
Především nelze paušálně říci, že by poskytování podpory software automaticky stavělo poskytovatele do role zpracovatele osobních údajů, anebo že by se naopak nikdy do postavení zpracovatele nemohl dostat. Podle situace mohou být správné oba přístupy, přičemž rozhodujícím kritériem je forma poskytování daného programu, k němuž se podpora vztahuje, a rozsah sjednaných činností podpory. Je nutno připomenout, že Nařízení zachovalo velice širokou definici pojmu „zpracování“ osobních údajů – podle čl. 4 odst. 2 Nařízení je jím „jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů“, přičemž Nařízení demonstrativně vyjmenovává operace jako shromáždění, zaznamenání, uspořádání, strukturování, uložení, vyhledání, šíření, výmaz a další. Pod pojem zpracování lze tedy podřadit velice široké spektrum činností, přičemž už pouhé uložení osobního údaje na datové úložiště (např. na databázový server) je činností zpracování. Taková operace vůbec nevyžaduje, aby se zpracovatel (tedy provozovatel serveru) s obsahem údajů seznámil nebo aby pro něj byl jakkoli dostupný z hlediska svého obsahu. Vyvinul se nicméně korektiv, podle něhož nejsou zpracováním ty činnosti, které jsou prováděny čistě nahodile, ojediněle, nesystémově.
Pokud je daný software poskytován formou cloudové instalace ze serveru poskytovatele, vykonává poskytovatel činnost zpracování už tím, že na svůj server ukládá databázovou složku software, obsahující osobní údaje, s nimiž nakládá jeho klient užívající software, a prostřednictvím daného software zajišťuje provádění výpočetních operací s těmito údaji. Pokud poskytovatel takového software rovnou uživateli poskytuje i podporu (což tak většinou bývá), pak je jeho postavení jakožto zpracovatele osobních údajů poměrně jasné.
V jiných situacích už je provedení této kvalifikace poněkud náročnější, zejména v případech, kdy jsou software i samotná databáze instalovány na serveru klienta a poskytovatel k nim v rámci podpory pouze přistupuje, ať už vzdáleně nebo v rámci servisního zásahu přímo u klienta. Za zpracování osobních údajů zajisté nelze považovat případ, kdy se technik poskytovatele posadí k počítači klienta a začne prověřovat funkčnost systému. Není jím ani poskytování podpory vzdáleným přístupem, kdy se technik připojí přes vzdálenou plochu nebo pomocí jiné technologie k počítači klienta a provádí požadovaný zákrok, aniž by potřeboval nakládat se samotnými daty v databázi. Pokud však v rámci podpory dojde k tomu, že technik musí stáhnout, zkopírovat nebo zazálohovat na své úložiště samotnou databázi programu nebo její část, pak již pořizuje kopii osobních údajů (samozřejmě pokud je tato databáze obsahuje), a tedy slovy výše uvedené definice s nimi provádí minimálně operaci „uložení“, a vedle toho nejspíše také „uspořádání“, „strukturování“ a posléze rovněž „výmaz“. K tomuto dochází obzvláště tehdy, když v rámci podpory dochází k vývoji nových verzí software, testování updatů nebo vyhledávání chyb – tyto operace bývají standardně prováděny na ostrých datech, a poskytovatelé si za tímto účelem od klienta pořizují dočasné kopie databáze, aby je mohli použít ve svém testovacím prostředí, případně mají kopii databáze pro tyto účely uloženou permanentně. Při těchto operacích tedy dochází ke zpracování osobních údajů obsažených v databázi, a poskytovatel podpory je zpracovatelem osobních údajů, s nímž je nutno uzavřít příslušnou smlouvu o zpracování.
Umožňuje-li to použitá technologie, někteří poskytovatelé data v testovací databázi nejdříve anonymizují, v důsledku čeho pak již ke zpracování osobních údajů nedochází. Je nutno připomenout, že z pohledu Nařízení je anonymizace nezvratný proces, který zajistí, že na základě dat již nebude identifikovaná konkrétní fyzická osoba, a to ani po spojení těchto dat s jinými údaji. Tento postup lze jen doporučit.
Předtím než klient akceptuje tvrzení poskytovatele podpory striktně odmítající jeho pozici zpracovatele osobních údajů, je vhodné, aby se podrobně seznámil s obsahem smlouvy o podpoře. Konkrétně je zapotřebí zjistit, zda smlouva systémově poskytovateli umožňuje nakládat s databázovou složkou programu a provádět jakékoli kopírování, zálohování či ukládání databáze na jeho server nebo jiné zařízení. Pokud tomu tak je, je nutno poskytovatele považovat za zpracovatele osobních údajů a požadovat na něm uzavření smlouvy o zpracování osobních údajů ve smyslu čl. 28 odst. 3 Nařízení. Pokud smlouva ani zaběhnutá praxe takový postup poskytovateli neumožňují, pak se patrně v pozici zpracovatele osobních údajů nenachází (což však neznamená, že se do této pozice v průběhu trvání smlouvy nedostane, když vznikne potřeba s databází ve výše uvedeném smyslu nakládat).
Smlouva o zpracování osobních údajů
Smlouva o zpracování osobních údajů je upravena Nařízením, přičemž se nejedná o žádnou novotu – i předchozí právní úprava tento institut znala, vyžadovala její uzavření ve stejných situacích jako Nařízení, a navíc pro ni požadovala povinně písemnou formu, což zejména v IT málokdo dodržoval. Nařízení tuto povinnost do jisté míry zmírňuje ustanovením, podle něhož se za písemnou formu považuje i forma elektronická. Máme za to, že tato forma je dodržena mimo jiné i přistoupením na znění obchodních podmínek nebo jiného obdobného dokumentu bezvýhradným zakliknutím příslušného pole v registračním rozhraní za předpokladu, že obsah smlouvy je jasně prokazatelný a archivovatelný.
Povinné náležitosti smlouvy se oproti předchozí právní úpravě, která požadovala upravit pouze rozsah, účel a dobu zpracování osobních údajů a záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů, poněkud rozšířily (kompletní výčet minimálních náležitostí je uveden v čl. 28 odst. 3 Nařízení). Je vhodné upozornit, že jednou z těchto náležitostí, na kterou se však ve smlouvách často zapomíná, jsou práva a povinnosti správce osobních údajů. Zpracovatelské smlouvy jsou často stavěny značně jednostranně, když ukládají povinnosti pouze zpracovateli. I zpracovatel je nicméně oprávněn požadovat, aby mu správce osobních údajů garantoval, že osobní údaje, které mu poskytuje ke zpracování, byly získány a zpracovateli předány v souladu s Nařízením, zejména že zpracování je po celou dobu kryto právním základem dle čl. 6 odst. 1 Nařízení a probíhá v souladu s určeným účelem. Primární odpovědnost za zpracování vůči subjektu údajů je vždy na správci, a tento by měl tudíž odpovídat za porušení této odpovědnosti, pokud zpracovateli v této souvislosti vznikne jakákoli škoda.
Co dělat v případě, kdy poskytovatel podpory odmítá zpracovatelskou smlouvu uzavřít?
Může dojít k situaci, kdy si na základě výše uvedeného vyhodnocení dospěje správce osobních údajů (tedy uživatel software a zákazník poskytovatele podpory), že poskytovatel je skutečně v postavení zpracovatele osobních údajů, tento však bude tuto kvalifikaci odmítat s poukazem na absenci přístupu k osobním údajům a neprovádění jakékoli činnosti zpracování. V takovém případě správci údajů hrozí, že bude-li ve zpřístupňování databáze software poskytovateli pokračovat, poruší základní povinnost uzavřít s každým zpracovatelem osobních údajů příslušnou smlouvu.
V této souvislosti stojí za upozornění, že zatímco předchozí právní úprava nestanovila správci ani zpracovateli za neuzavření zpracovatelské smlouvy žádnou přímou sankci, a bylo je tudíž možno sankcionovat pouze jako porušení obecné povinnosti přijmout dostatečná opatření k zabezpečení zpracovávaných osobních údajů, Nařízení už neuzavření zpracovatelské smlouvy sankcionuje přímo, a to jak ve vztahu k správci, tak i ve vztahu ke zpracovateli. Z hlediska své výše patří tyto pokuty do nižší ze dvou stanovených maximálních sazeb, jejíž maximum může dosáhnout výše 10 mil. EUR, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok. Hovoříme-li o této maximální výši pokut, je nutno zároveň podotknout, že Nařízení obsahuje poměrně podrobná pravidla pro stanovení výše pokuty, která byla ještě upřesněna výkladovým stanoviskem Sboru pro ochranu osobních údajů, přičemž běžná výše standardně udělovaných pokut bude pochopitelně řádově zcela odlišná.
Každopádně odmítnutí uzavření zpracovatelské smlouvy ze strany zpracovatele může být závažný problém, který by měl správce údajů co nejdříve vyřešit. V první řadě se jako řešení naskýtá podrobné vysvětlení obsahu poskytované podpory s poskytovatelem, včetně upozornění na správní sankce, hrozící i samotnému poskytovateli. Nabízí se rovněž probrat technické možnosti anonymizace údajů obsažených v databázi, nebo nalézt způsob, při němž by poskytovatel vůbec nepotřeboval ostrou verzi databáze. Každopádně nelze jako řešení doporučit pokračovat v užívání podpory zahrnující výkon činností zpracování osobních údajů bez uzavření zpracovatelské smlouvy, byť v nějaké minimalistické podobě.
Závěr
Na mnohé otázky, které v rámci GDPR vyvstávají, zatím nelze jednoznačně odpovědět, a zrovna postavení poskytovatelů podpory je otázkou značně kontroverzní, protože má znatelný obchodní dopad. Doporučujeme, aby si na ni každý uživatel podporovaného software jakožto správce osobních údajů vytvořil (ideálně ve spolupráci s poskytovatelem) dostatečně právně podložený názor, kterým by v případě potřeby mohl argumentovat a prokázat, že dodržuje zásadu odpovědnosti, formulovanou čl. 5 odst. 2 Nařízení.
Mgr. et Mgr. Petr Mališ, advokát | malis@lawyer.cz
Autor je společníkem v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, ochrannými známkami, ochranou osobních údajů a internetovým právem.