Kdo je zodpovědný v případě, že dojde k porušení GDPR? V praxi se často stává, že zpracovatelé se vymlouvají na odpovědnost správce za zpracování osobních údajů a správci zase na odpovědnost zpracovatele za jeho služby. Co na to říká ÚOOÚ?
V minulých dílech Zpravodaje jsme se zaměřili na některé klíčové kontroly, které ÚOOÚ provedl v druhé polovině roku 2021, respektive které v ten čas ukončil. Podívali jsme se zejména na oblast zasílání obchodních sdělení, ale i obecně na činnost soukromého sektoru. V praxi se však stále častěji objevuje nešvar, který spočívá v tom, že zpracovatelé se vymlouvají na odpovědnost správce za zpracování osobních údajů a správci zase na odpovědnost zpracovatele za jeho služby. Pro dnešní článek jsme proto vybrali dvě příhodné kontroly ÚOOÚ, které se tomuto tématu věnují, každá z jiné strany.
Odpovědnost nese i zpracovatel
Jedním z předpokladů chytrých měst je i dobrá práce s daty. Některé obce dokonce poskytují mapu spokojenosti obyvatel a umožňují v souladu s principem „open data“ tyto údaje dále využívat. ÚOOÚ však dostal dva podněty směřující na obec, která se pustila do sběru osobních údajů prostřednictvím „anonymního“ průzkumu spokojenosti obyvatel. Celkový sběr měl proběhnout jak v elektronické, tak i listinné formě.
Aby si město ověřilo, že respondentem je skutečně obyvatel města, vyžadovalo v rámci identifikace uživatele „anonymního“ průzkumu uvedení data narození a číslo občanského průkazu. Pokud obec zjistila, že dotazník vyplnila nepříslušná osoba, mělo dojít k vymazání respondenta a jeho nezahrnutí do statistik.
Prvním kontrolním zjištěním ÚOOÚ bylo, že přesně v tomto momentě (mimo jiné) město porušilo GDPR, neboť ve skutečnosti k vyřazování lidí, kteří nebyli jeho obyvateli, nedocházelo. Tím se město diskvalifikovalo z odůvodnění, proč takové údaje (jako jsou datum narození a číslo OP) vůbec vyžadovalo. Město pak selhalo jak v rámci získání právního titulu, tak v informování o zpracování osobních údajů.
Pro nás je však klíčová informace, že město navíc využívalo zpracovatele, s nímž nebyla uzavřena zpracovatelská smlouva, a tudíž ani nedošlo k předání „titulu“ vůči dalšímu zpracovateli, jímž byla společnost Google. Elektronická verze dotazníku totiž byla vyplňována prostřednictvím Google Forms, kde chyběly informace dle čl. 13 GDPR. Jako třešničku na dortu pak ÚOOÚ uvedl, že deklarovaná anonymizace vlastně vůbec neprobíhala, a tím pádem došlo k porušení zásady transparentnosti.
Nejzajímavější je však doporučení, které ÚOOÚ uvedl na závěr tiskové zprávy: „Uvedená kontrola je jedním z případů, kdy správce ochranu osobních údajů a plnění jednotlivých ustanovení obecného nařízení podcenil. V této souvislosti však úřad apeluje též na zpracovatele, který je zjevně zapojen do zpracování osobních údajů (ať už jako celku, či jen v konkrétní části), avšak nedisponuje zpracovatelskou smlouvou. Připomíná se, že zpracovatel má ve smyslu čl. 28 odst. 3 obecného nařízení povinnost informovat neprodleně správce v případě, že podle jeho názoru určitý pokyn porušuje obecné nařízení či jiné právní předpisy týkající se ochrany osobních údajů.“
Velmi často se v praxi setkáváme s tím, že sami dodavatelé nechtějí nutit své klienty podepisovat zpracovatelské smlouvy. Důvod je jednoduchý – smlouvy bez debat zpomalují počátek spolupráce s klientem a komplikují celý proces. Do zakázek v hodnotě několika tisíc jsou postupně z obou stran doslova zataženi právníci a celý proces pak nejenže nabírá zpoždění, ale rostou i náklady. To však z pohledu zákona není odůvodněním, proč by neměla být zpracovatelská smlouva uzavřena. Jak sám ÚOOÚ podotýká, je chybou i zpracovatele (nikoliv pouze správce), pokud zpracovatelská smlouva není uzavřena.
Stejně tak se zpracovatel nemůže bez dalšího zprostit odpovědnosti za špatný sběr osobních údajů pouze neformálním konstatováním, že to není jeho starost. Jak totiž podotýká ÚOOÚ, dle čl. 28 odst. 3 GDPR má zpracovatel povinnost upozornit na to, že nějaké zpracování porušuje GDPR či jiný právní předpis.
Jak tedy tyto situace řešit? Nejlepší je vytvořit dobrou, vyváženou a aktuální zpracovatelskou smlouvu, která odpovídá vašim obchodním případům a která eliminuje možné připomínky protistrany, že některá část smlouvy neodpovídá znění GDPR či pokynům EDPB.
Vraťme se však k poslední větě doporučení ÚOOÚ, které můžeme chápat také jako obecnou výtku vůči zpracovatelům, kteří když vidí porušování GDPR ze strany správce, nic neudělají a neupozorní ho. Existuje totiž důvodný předpoklad, že když jako dodavatelé/zpracovatelé poskytujete nějaké služby, také se řídíte principy „privacy by design“ a „privacy by default“. Tedy že i vy v rámci svých povinností postupujete v souladu s „best practice“ a staráte se o to, aby nejen na vaší straně, ale i na straně vašich klientů/správců bylo vše v souladu s GDPR.
Když se správce vymlouvá na zpracovatele
Výše uvedené doporučení ÚOOÚ a náš komentář však nelze vnímat tak, že správce se má jednoduše spolehnout na svého dodavatele, že jej bude kontrolovat, aktivně posuzovat různé situace a upozorňovat na možné porušení GDPR. O tom svědčí i kontrola veřejné vysoké školy, která jednak jako správce používala informační systém pro podávání přihlášek a evidenci studentů a jednak jako zpracovatel sama tento informační systém poskytovala jiným osobám, které byly v pozici správce.
V rámci této kontroly (UOOU-01181/21) zahájené na základě kontrolního plánu se ÚOOÚ nelíbil rozsah zpracovávaných údajů. V tiskové zprávě k tomu uvedl následující: „Rozsah zpracovávaných osobních údajů je pro realizaci přijímacího řízení i pro samotné studium stanoven především příslušnými právními předpisy. Úřad v této souvislosti upozorňuje, že nelze po uchazeči o studium oprávněně požadovat poskytnutí veškerých osobních údajů, které mají být zpracovávány až v okamžiku, kdy je subjekt údajů přijat ke studiu na dané vysoké škole a je jejím studentem. Kontrolující pak konstatovali porušení čl. 6 odst. 1 obecného nařízení, nebo(t kontrolovaná osoba vyžadovala a zpracovávala některé osobní údaje bez příslušného právního základu (kvalifikátor občanství, místo narození, rodné příjmení a rodinný stav v modulu ‚E-přihláška‘, místo narození v modulu ‚Studium‘).“
A na toto zjištění navázal ÚOOÚ svým doporučením: „Rozsah zpracovávaných osobních údajů musí odpovídat stanoveným legitimním účelům a správci musí ke zpracování svědčit příslušný právní titul. Vzhledem k tomu, že kontrolovaná osoba je současně i dodavatelem studijního informačního systému, který využívá více veřejných vysokých škol, je o to důležitější, aby požadované osobní údaje zpracovávané ve všech modulech informačního systému splňovaly výše uvedené podmínky. Úřad však připomíná, že je vždy odpovědností každého jednotlivého správce, aby disponoval řádným právním základem pro zpracování osobních údajů a osobní údaje zpracovával pouze za určitými, výslovně vyjádřenými a legitimními účely.“
ÚOOÚ tak poukazuje na situace, kdy správci v nedůvodné, avšak dobré víře používají služby či software s pocitem, že přece takový nástroj musí být v souladu s GDPR, protože kdyby nebyl, není přece tak oblíbený či nabízený. Jak však ÚOOÚ podotýká, je vždy úkolem správce, aby nesl svoji odpovědnost a dostál svým povinnostem z pohledu GDPR. Spoléhat se na to, že komerční nástroje jsou všeobecně v souladu s GDPR, tak není cestou (na což jsme například upozorňovali v případě dostupných nástrojů, které umožňují sledování firemních vozidel prostřednictvím GPS).
Výmluvy vám nepomůžou
Slovy klasika, dnes se už nemůžeme spolehnout na nikoho. Pravdou však je, že v případě GDPR by nám to ani nepomohlo, neboť své povinnosti máme jako správci, ale i jako zpracovatelé dané. Rada je vlastně jednoduchá: Pokud necháváte posouzení některé z klíčových otázek zpracování osobních údajů na někom jiném, pravděpodobně se nevyhnete průšvihu. Ať už jste správce, či zpracovatel, měli byste dbát na to, aby celá operace zpracování proběhla v souladu s GDPR.
Tuto radu však nelze chápat tak, že by zpracovatel měl doslova „vodit správce za ručičku“ a nastavovat za něj procesy – naopak je to správce, kdo zodpovídá za celý řetězec zpracování (s drobnými, avšak pro teď nepodstatnými výjimkami). Pokud se však zpracovatel při běžném chodu věcí dozví (či by bylo namístě, aby se dozvěděl) o možném porušování GDPR, je jeho povinností správce upozornit.
Článek byl publikován v Elektronickém zpravodaji pro pověřence.