Testovací databáze pohledem GDPR
Autor: Mgr. Petr Otevřel | Vloženo: 24. 10. 2022 21:00 | Přečteno: 848XKonečně známe rozhodnutí Soudního dvora Evropské unie (SDEU) vztahující se k nakládání s testovací databází obsahující osobní údaje. Zajímavé je rozhodnutí především v části týkající se výkladu zásady „účelového omezení“ dle čl. 5 odst. 1 písm. b) nařízení GDPR (Nařízení) a slučitelnosti dalšího zpracování osobních údajů pro jiné účely, než pro které byly původně shromážděny.
Předmět sporu
Případ se týká maďarské společnosti Digi, která v souvislosti s řešením technických potíží serveru vytvořila testovací databázi, do které zkopírovala osobní údaje svých soukromých zákazníků – šlo tedy o databázi určenou k testování a ověřování řádné funkcionality softwaru.
Následně byla společnost Digi „etickým hackerem“ upozorněna na to, že tento získal přístup k osobním údajům cca 322 000 osob, tyto údaje se přitom nacházely v testovací databázi.
Digi uzavřela s hackerem dohodu, testovací databázi vymazala a následně oznámila bezpečnostní incident maďarskému dozorovému úřadu, který jí uložil pokutu z důvodu:
- porušení zásady „účelového omezení“ dle čl. 5 odst. 1 písm. b) Nařízení, protože už samotné zkopírování osobních údajů do testovací databáze mělo představovat změnu účelu jejich původního shromáždění a zpracování,
- porušení zásady „omezení uložení“ dle čl. 5 odst. 1 písm. e) Nařízení, protože Digi testovací databázi nevymazala ihned poté, co vyřešila zmíněné technické potíže (ve skutečnosti databáze „existovala“ téměř dalších 18 měsíců).
Digi se proti pokutě brání u maďarského soudu, který se obrátil na SDEU s tzv. předběžnými otázkami vztahujícími se právě k výkladu shora uvedených zásad.
K zásadě „účelového omezení“
SDEU konstatoval, že na straně jedné zásada „účelového omezení“ vyžaduje:
- aby byly účely zpracování identifikovány nejpozději v okamžiku shromažďování osobních údajů, a dále
- aby byly účely tohoto zpracování jasně uvedeny, a konečně
- aby účely uvedeného zpracování zaručovaly zejména zákonnost zpracování těchto údajů ve smyslu čl. 6 odst. 1 Nařízení.
Samotná skutečnost, že správce v nově vytvořené databázi zaznamenává a uchovává osobní údaje, které jsou uloženy v jiné databázi, představuje „další zpracování“ těchto údajů.
SDEU ovšem na druhé straně poukázal na článek 6 odst. 4 Nařízení, který stanoví podmínky pro to, aby mohl správce zpracovávat osobní údaje i k jiným účelům, než pro které byly shromážděny.
SDEU v této souvislosti odkázal na bod 50 odůvodnění Nařízení a uvedl, že z kritérií tam uvedených vyplývá následující:
- k dalšímu zpracování je třeba konkrétní, logické a dostatečně úzké vazby mezi účely původního shromáždění osobních údajů a dalším zpracováním těchto údajů (tzv. slučitelnost dalšího zpracování),
- správce musí zajistit, aby se toto další zpracování neodchylovalo od legitimních očekávání předplatitelů, pokud jde o následné použití jejich údajů.
Nařízení tak dle SDEU zajišťuje rovnováhu mezi potřebou předvídatelnosti a právní jistoty, pokud jde o účely zpracování dříve shromážděných osobních údajů, ovšem současně umožňuje správci určitou flexibilitu při správě těchto údajů.
V návaznosti na shora uvedené SDEU konstatoval, že provedení testů a opravení chyb, které se dotýkají databáze obsahující údaje předplatitelů, mají konkrétní vazbu na plnění smluv o předplatném uzavřeném se soukromými zákazníky, jelikož takové chyby mohou mít škodlivý dopad na poskytování smluvně sjednané služby, pro které byly údaje původně shromážděny.
Takové zpracování se přitom neodchyluje od legitimních očekávání těchto zákazníků, pokud jde o následné použití jejich osobních údajů. Jinými slovy zákazník (subjekt údajů), který uzavřel smlouvu a bere na vědomí, že jeho osobní údaje jsou zpracovávány, má zájem na tom, aby mu např. řádně fungovalo přihlášení a další funkcionality dané služby. Jestliže je nutné za účelem odstranění technických potíží vytvořit dočasně testovací databázi a zkopírovat tam osobní údaje, není toto v rozporu se zásadou „účelového omezení“.
SDEU tak konstatoval, že zásada „účelového omezení“ nebrání tomu, „aby správce v databázi vytvořené za účelem provedení testů a opravení chyb zaznamenával a uchovával osobní údaje, které byly předtím shromážděny a uchovávány v jiné databázi, je-li takové další zpracování slučitelné s konkrétními účely, pro které byly osobní údaje původně shromážděny, což je třeba určit s ohledem na kritéria uvedená v čl. 6 odst. 4 Nařízení.“
K zásadě „omezení uložení“
Druhá část rozhodnutí SDEU se vztahovala k tomu, že Digi ponechala dotčené osobní údaje v testovací databázi příliš dlouho, což sama označila za „nedopatření“.
SDEU zcela podle očekávání dospěl k závěru, že toto představuje porušení zásady „omezení uložení“. Ta neumožňuje, "aby správce v databázi vytvořené za účelem provedení testů a opravení chyb uchovával osobní údaje, které byly předtím shromážděny pro jiné účely, po dobu delší, než je doba nezbytná k provedení těchto testů a opravení těchto chyb."
Závěr
Nařízení umožňuje s osobními údaji nakládat do určité míry flexibilně a zpracovávat je i k jiným účelům, než za jakými byly tyto údaje shromážděny. Rozhodnutí SDEU je pro praxi příznivé, chtělo by se tedy říci „konec dobrý, všechno dobré“. Tak jednoduché to není.
Jednak je nutné vždy posoudit slučitelnost dalšího zpracování podle všech shora uvedených kritérií. Nelze proto učinit závěr, že lze libovolně vytvářet testovací databáze s osobními údaji.
Dále by správci neměli zapomínat na to, že musí zajistit dostatečné záruky pro ochranu práv subjektů údajů. Zárukou jsou konkrétní technická nebo organizační opatření, u databází např. využití šifrování či pseudonymizace.
A konečně lze případné testovací databáze využívat pouze do doby, než pomine její konkrétní účel. U řešení jednorázové technické závady, jako v kauze Digi, je to vcelku jasné. U servisních nebo obdobných smluv trvajících neurčitou dobu ovšem tato hranice zdaleka tak jasná být nemusí.
Autor: Mgr. Petr Otevřel, otevrel@lawyer.cz | LinkedIN
Autor působí v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, autorským a obchodním právem.