• Josef Bátrla

Je poskytovatel cloudu či hostingu zpracovatelem?

Tvrdí vám poskytovatel cloudu či hostingu, že není zpracovatelem, protože nemá k osobním údajům fakticky přístup? Nenechte se oklamat! Co všechno je a není operací zpracování podle GDPR? Počítají se i zašifrované údaje? A jakou argumentaci proti takovému poskytovateli použít?

Nedávno jsem se v praxi střetl se zajímavým, avšak ne ojedině­lým případem vyjednávání o smluvní dokumentaci. Jednalo se o klienta, který (zjednodušeně řečeno) poptával cloudovou službu na ukládání a archivaci dokumentace. Oby­čejně se v takových případech strhne nejostřejší debata nad tématy, jako jsou parametry dostupnosti či SLA obecně. V tomto případě tomu však bylo jinak, největší diskuze propukla kvůli tomu, zda je poskytovatel cloudu zpracovatel, či nikoli. Jak to tedy je? Příklad z praxe Tento konkrétní klient poptával řeše­ní, které spočívalo v datovém úložišti. Na toto úložiště chtěl ukládat (v pod­statě zálohovat) dokumentaci, jež obsahovala osobní údaje zákazníků, obchodních partnerů a podobně, a to v pseudonymizované podobě. Sa­motná dokumentace jako taková by byla navíc zašifrovaná, přičemž ani poskytovatel cloudu by neměl k osobním údajům přístup. Tolik k technic­ké stránce. Nyní základní otázka: My­slíte si, že takový poskytovatel bude zpracovatelem, či nikoli? Argumentace poskytovatele Po žádosti o předložení návrhu zpra­covatelské smlouvy jsme se dozvěděli následující – poskytovatel se nepovažuje za zpracovatele, protože osobní údaje technicky nezpracovává. K to­muto tvrzení dodal argumentaci, že k osobním údajům nemá přístup, ne­boť data jsou šifrována, a i kdyby k datům přístup měl a podařilo se mu je rozšifrovat, viděl by pouze databázi pro něj anonymních údajů. Dle po­hledu poskytovatele tak technicky ne­splňuje definiční znaky zpracovatele a je takzvaná „jiná osoba“ tak, jak je o ní hovořeno v čl. 29 GDPR. Tím pá­dem postačuje základní SLA, ustanovení o mlčenlivosti, a tím je GDPR vyřešeno. V tomto se ale naše pohledy na věc dost zásadně rozcházely. Jak je to tedy podle GDPR? Postavení zpracovatele Za zpracovatele považuje čl. 4 odst. 8 GDPR takovou osobu, která zpracovává osobní údaje pro správce. Co se týče definice zpracování, čl. 4 odst. 2 GDPR říká, že zpracování je jakákoli operace nebo soubor operací s osob­ními údaji či se soubory osobních údajů, která je prováděna pomocí či bez pomoci automatizovaných postupů, jako je mimo jiné i uložení. Mimo to také víme, že existuje zásada integrity i důvěrnosti dle čl. 5 odst. 1 písm. f) GDPR, která správci (i zpracovateli) přikazuje, že osobní údaje musí být zpracovávány způso­bem, jenž zajistí náležité zabezpečení osobních údajů včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neopráv­něným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením. Odstavec 8 prvního bodu odů­vodnění pak hovoří následovně: „Provádění zpracování zpracovatelem by se mělo řídit smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které by zavazovaly zpracovatele vůči správci a v nichž by byl stanoven předmět a doba trvání zpracování, povaha a účely zpracování, typ osobních údajů a kategorie subjektů údajů, s přihlédnutím ke konkrétním úkolům a povinnosti zpracovatele v souvislosti se zpracováním, jež má být provedeno, a riziko pro práva a svobody subjektů údajů.“ Co vyplývá z GDPR Pokud bychom vycházeli z cíle a účelu GDPR, účelem zpracovatelské smlouvy je zajištění patřičné ochrany osob­ních údajů v případě, kdy opouští hra­nice organizace, tedy správce. Opačný výklad by vedl k zbavení odpovědnosti správce v případě, kdy by část zpraco­vání outsourcoval. Pokud bychom se bavili pouze o definici, zpracovatel se zpracovatelem stává v okamžiku, kdy začne z pokynu správce zpracovávat osobní údaje (zjednodušeně ře­čeno). Co je osobní údaj, víme, dlužno ale dodat, že i pseudonymizované údaje (kdy zpracovatel sám nemá pří­stup k osobním údajům v užším slova smyslu) splňují tuto definici. V koneč­ném důsledku je tedy jedno, zda zpra­covatel má přístup k osobním údajům (opět v užším slova smyslu), či nikoli. Samo uložení a uchovávání je operací zpracování a již s ohledem na délku dané operace tak čistě formálním vý­kladem musíme dojít k závěru, že poskytovatel cloudu je zpracovatelem. Tomuto výkladu svědčí i fakt, že GDPR chrání subjekty údajů nejen před možným zneužitím osobních údajů, ale i před jejich ztrátou či zne­hodnocením (viz zásada důvěrnosti a integrity). Mimo to je povinnost být schopen obnovit dostupnost osobních údajů (zjednodušeně řečeno po­vinnost provádět zálohy) jedním z příkladů zabezpečení zpracování dle čl. 32 odst. 1 písm. c) GDPR. Opačný výklad by byl ovšem těžko obhajitelný. Poskytovatel cloudu má z povahy věci kontrolu nad daty a zjednodušeně ře­čeno, pokud by „vypnul“ servery, data by byla nenávratně pryč. Skutečně myslíte, že obstojí výklad, že poskyto­vatel cloudu není zpracovatel, protože nemá „přístup“ k osobním údajům? Ostatně, WP29 se k pojmu zpracovatel vyjádřila několikrát (pri­márně ve stanovisku č. 1/2010 k poj­mům „správce“ a „zpracovatel“ ze dne 16. února 2010), a to konkrétně i ve stanovisku č. 5/2012 ke cloudcomputingu, kde uvedla následující: „Pokud poskytovatel cloudových služeb zajišťuje prostředky a platformu a jedná jménem zákazníka cloudových služeb, pak se považuje za zpracovatele údajů…“ Není pochopitelně vyloučeno, že by poskytova­tel cloudu mohl být sám správcem, či dokonce spo­lečným správcem – to však není tento případ. Nevěřte všemu, raději ověřujte V praxi je celkem běžné, že správce musí přesvědčovat svého dodavatele o tom, že je zpracovatel. Z kontrol za poslední pololetí však víme, že ÚOOÚ tyto skutečnosti poměrně přísně kontroluje, a to zejména s ohledem na zabezpečení osobních údajů. Proto se nenechte nikdy uchlácholit právním názorem někoho jiného a při­stupujte ke všemu kriticky.


Článek byl publikován v Elektronickém zpravodaji pro pověřence dne 17. 9. 2020