Tvrdí vám poskytovatel cloudu či hostingu, že není zpracovatelem, protože nemá k osobním údajům fakticky přístup? Nenechte se oklamat! Co všechno je a není operací zpracování podle GDPR? Počítají se i zašifrované údaje? A jakou argumentaci proti takovému poskytovateli použít?
Nedávno jsem se v praxi střetl se zajímavým, avšak ne ojedinělým případem vyjednávání o smluvní dokumentaci. Jednalo se o klienta, který (zjednodušeně řečeno) poptával cloudovou službu na ukládání a archivaci dokumentace. Obyčejně se v takových případech strhne nejostřejší debata nad tématy, jako jsou parametry dostupnosti či SLA obecně. V tomto případě tomu však bylo jinak, největší diskuze propukla kvůli tomu, zda je poskytovatel cloudu zpracovatel, či nikoli. Jak to tedy je? Příklad z praxe Tento konkrétní klient poptával řešení, které spočívalo v datovém úložišti. Na toto úložiště chtěl ukládat (v podstatě zálohovat) dokumentaci, jež obsahovala osobní údaje zákazníků, obchodních partnerů a podobně, a to v pseudonymizované podobě. Samotná dokumentace jako taková by byla navíc zašifrovaná, přičemž ani poskytovatel cloudu by neměl k osobním údajům přístup. Tolik k technické stránce. Nyní základní otázka: Myslíte si, že takový poskytovatel bude zpracovatelem, či nikoli? Argumentace poskytovatele Po žádosti o předložení návrhu zpracovatelské smlouvy jsme se dozvěděli následující – poskytovatel se nepovažuje za zpracovatele, protože osobní údaje technicky nezpracovává. K tomuto tvrzení dodal argumentaci, že k osobním údajům nemá přístup, neboť data jsou šifrována, a i kdyby k datům přístup měl a podařilo se mu je rozšifrovat, viděl by pouze databázi pro něj anonymních údajů. Dle pohledu poskytovatele tak technicky nesplňuje definiční znaky zpracovatele a je takzvaná „jiná osoba“ tak, jak je o ní hovořeno v čl. 29 GDPR. Tím pádem postačuje základní SLA, ustanovení o mlčenlivosti, a tím je GDPR vyřešeno. V tomto se ale naše pohledy na věc dost zásadně rozcházely. Jak je to tedy podle GDPR? Postavení zpracovatele Za zpracovatele považuje čl. 4 odst. 8 GDPR takovou osobu, která zpracovává osobní údaje pro správce. Co se týče definice zpracování, čl. 4 odst. 2 GDPR říká, že zpracování je jakákoli operace nebo soubor operací s osobními údaji či se soubory osobních údajů, která je prováděna pomocí či bez pomoci automatizovaných postupů, jako je mimo jiné i uložení. Mimo to také víme, že existuje zásada integrity i důvěrnosti dle čl. 5 odst. 1 písm. f) GDPR, která správci (i zpracovateli) přikazuje, že osobní údaje musí být zpracovávány způsobem, jenž zajistí náležité zabezpečení osobních údajů včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením. Odstavec 8 prvního bodu odůvodnění pak hovoří následovně: „Provádění zpracování zpracovatelem by se mělo řídit smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které by zavazovaly zpracovatele vůči správci a v nichž by byl stanoven předmět a doba trvání zpracování, povaha a účely zpracování, typ osobních údajů a kategorie subjektů údajů, s přihlédnutím ke konkrétním úkolům a povinnosti zpracovatele v souvislosti se zpracováním, jež má být provedeno, a riziko pro práva a svobody subjektů údajů.“ Co vyplývá z GDPR Pokud bychom vycházeli z cíle a účelu GDPR, účelem zpracovatelské smlouvy je zajištění patřičné ochrany osobních údajů v případě, kdy opouští hranice organizace, tedy správce. Opačný výklad by vedl k zbavení odpovědnosti správce v případě, kdy by část zpracování outsourcoval. Pokud bychom se bavili pouze o definici, zpracovatel se zpracovatelem stává v okamžiku, kdy začne z pokynu správce zpracovávat osobní údaje (zjednodušeně řečeno). Co je osobní údaj, víme, dlužno ale dodat, že i pseudonymizované údaje (kdy zpracovatel sám nemá přístup k osobním údajům v užším slova smyslu) splňují tuto definici. V konečném důsledku je tedy jedno, zda zpracovatel má přístup k osobním údajům (opět v užším slova smyslu), či nikoli. Samo uložení a uchovávání je operací zpracování a již s ohledem na délku dané operace tak čistě formálním výkladem musíme dojít k závěru, že poskytovatel cloudu je zpracovatelem. Tomuto výkladu svědčí i fakt, že GDPR chrání subjekty údajů nejen před možným zneužitím osobních údajů, ale i před jejich ztrátou či znehodnocením (viz zásada důvěrnosti a integrity). Mimo to je povinnost být schopen obnovit dostupnost osobních údajů (zjednodušeně řečeno povinnost provádět zálohy) jedním z příkladů zabezpečení zpracování dle čl. 32 odst. 1 písm. c) GDPR. Opačný výklad by byl ovšem těžko obhajitelný. Poskytovatel cloudu má z povahy věci kontrolu nad daty a zjednodušeně řečeno, pokud by „vypnul“ servery, data by byla nenávratně pryč. Skutečně myslíte, že obstojí výklad, že poskytovatel cloudu není zpracovatel, protože nemá „přístup“ k osobním údajům? Ostatně, WP29 se k pojmu zpracovatel vyjádřila několikrát (primárně ve stanovisku č. 1/2010 k pojmům „správce“ a „zpracovatel“ ze dne 16. února 2010), a to konkrétně i ve stanovisku č. 5/2012 ke cloudcomputingu, kde uvedla následující: „Pokud poskytovatel cloudových služeb zajišťuje prostředky a platformu a jedná jménem zákazníka cloudových služeb, pak se považuje za zpracovatele údajů…“ Není pochopitelně vyloučeno, že by poskytovatel cloudu mohl být sám správcem, či dokonce společným správcem – to však není tento případ. Nevěřte všemu, raději ověřujte V praxi je celkem běžné, že správce musí přesvědčovat svého dodavatele o tom, že je zpracovatel. Z kontrol za poslední pololetí však víme, že ÚOOÚ tyto skutečnosti poměrně přísně kontroluje, a to zejména s ohledem na zabezpečení osobních údajů. Proto se nenechte nikdy uchlácholit právním názorem někoho jiného a přistupujte ke všemu kriticky.
Článek byl publikován v Elektronickém zpravodaji pro pověřence dne 17. 9. 2020