top of page
Obrázek autoraJosef Bátrla

Software jako služba: Jsou vaše data chráněna?

Pokud využíváte takzvaný software jako službu, který ukládá data na cloud poskytovatele, měli byste zpozornět. Taková data nemusejí být dostatečně chráněná! Francouzský poskytovatel softwaru dostal pokutu 800 tisíc eur za to, že vydával pseudonymizované údaje za anonymní.

Software jako služba (Software as a Service neboli SaaS) je populár­ní model poskytování softwaru uživatelům formou předplatného. S každým dalším rozvojem softwaru, jenž je poskytovaný jako služba, se však otví­rá klíčová otázka – co se děje s daty?


Předmětný způsob poskytování softwaru totiž funguje tak, že ve většině případů jsou data z takových softwarů ukládána nikoliv v zařízení klienta, ale v rámci databáze, která je spravována jejím poskytovatelem. To samo o sobě není v rozporu s GDPR – v některých případech je to naopak vhodnější, pro­tože osobní údaje jsou pod patronátem společnosti, jež umí zajistit mnohem lepší ochranu než například menší společnost bez dedikovaného správce informačních technologií, v níž se data mnohdy „povalují“ na různých discích či počítačích. Nicméně každý ze správ­ců, kteří využívají SaaS, by si měl klást jednoduchou otázku: Jsou data dosta­tečně chráněná?


Nezřídka se v rámci všeobecných obchodních podmínek (VOP) tako­vých služeb dočteme, že data mohou být využívána pro zlepšování služ­by jako takové či pro různé analýzy. V rámci některých VOP se pak dočte­me, že taková data nicméně nezahrnují osobní údaje. Je tomu tak ale vždycky?


Své o tom ví jedna francouzská fir­ma, která 5. 9. 2024 obdržela od fran­couzského úřadu pro ochranu osobních údajů (CNIL) pokutu 800 tisíc eur (cca 20 milionů korun).

Jste si jisti, že data odesílaná na cloud v rámci SaaS služby jsou dostatečně chráněná?

Za co padla pokuta 800 tisíc eur?

Pokutovaná společnost Cegedim San­té patří mezi jednu ze společností po­skytujících praktickým lékařům (cca 25 tisíc lékařů a 500 zdravotnických center), kteří působí v rámci klinik či poskytovatelů zdravotních služeb, spe­ciální software, jenž lékařům umož­ňuje lépe spravovat údaje o jejich pa­cientech, včetně lékařské dokumen­tace, předpisů a podobně. Samotná data pak nejsou trvale ukládána v za­řízeních doktorů, ale jsou odesílána do cloudu – jako v rámci běžné SaaS služby.


Společnost byla v roce 2021 před­mětem kontroly ze strany CNIL, která odhalila, že tato společnost bez souhlasu zpracovávala neanonymizované údaje o zdravotním stavu, a to za účelem provádění statistik či studií ve zdravotnických oborech.


V rámci svého podnikání totiž pokutovaná osoba nabízela lékařům možnost připojit se k takzvané observatoři, tedy k funkcionalitě před­mětného softwaru, v rámci níž byla shromažďována data, jež se dále využívala pro výzkumné účely a statisti­ky ze strany poskytovatele softwaru, tedy pokutované osoby. CNIL zjistil zásadní skutečnost, a sice že tato data nebyla (oproti tvrzením pokutované osoby) anonymizovaná, ale pouze pseudony­mizovaná, což umožnilo zpětnou iden­tifikaci osob.

Anonymizované údaje o zdravotním stavu byly ve skutečnosti jen pseudonymizované

CNIL se zaměřil na to, zda lze sub­jekty údajů (u nichž nebyly uvedeny primární identifikátory) identifikovat pomocí „rozumných prostředků“, tedy tak, jak je stanoveno judikaturou Soudního dvora EU a evropskými or­gány pro ochranu údajů.


V rámci kontroly došel CNIL k to­mu, že pokutovaná osoba shromažďo­vala velké množství osobních údajů, včetně roku narození, pohlaví, profes­ní kategorie, alergií, anamnézy, výšky, váhy, diagnóz, lékařských předpisů, pra­covní neschopnosti a výsledků analýz. Tato data byla pak hlavně propojena s jedinečným identifikátorem pro kaž­dého pacienta, což umožnilo sestavit kompletní zdravotní záznamy jednot­livců. CNIL tak poměrně logicky kon­statoval, že takto detailní informace vedly k riziku opětovné identifikace jednotlivců v databázi společnosti.


Za daných podmínek a s ohledem na existenci jedinečného identifiká­toru, včetně míry podrobnosti shromažďovaných údajů spolu s možností jejich kombinace s daty třetích stran, CNIL dospěl k závěru, že riziko zpět­né identifikace jednotlivce bylo příliš vysoké na to, aby mohla být data vůbec považována za anonymní. CNIL proto určil, že data zpracovávaná společností Cegedim Santé byla pseudonymizova­ná, nikoliv anonymní (alespoň do roku 2022, kdy byla ukončena příslušná kontrola).


V rámci francouzského práva pla­tí specifické pravidlo, které stanoví, že pokud chce společnost zpracovávat údaje o zdravotním stavu, musí nad rámec GDPR splňovat určité podmínky. V tomto konkrétním případě měla správně pokutovaná osoba získat povo­lení přímo od CNIL, což však neučini­la. Francouzský zákon totiž stanoví, že zpracování osobních údajů ve zdravot­nictví musí být provedeno pouze s po­volením CNIL nebo musí být v souladu s odpovídajícím referenčním rámcem, definovaným tamní legislativou. CNIL zjistil, že pokutovaná společnost Ce­gedim Santé tato pravidla nedodržela, protože nepožádala o povolení a ani úřadu nezaslala prohlášení o souladu s jedním ze svých referenčních rámců.


To však nebylo jediné porušení, které CNIL v tomto případě konstato­val. CNIL totiž dále zjistil, že společ­nost porušila zásadu zákonnosti při využívání služby „HRi“, zřízené posky­tovatelem zdravotního pojištění, která poskytuje přístup k historii zdravot­ních úhrad za posledních 12 měsíců.


V případě, že byl lékař zapojen do „observatoře“, v rámci konkrétní­ho pacienta došlo k automatickému stažení dat z předchozích proběhlých (a pojišťovnou uhrazených) zákroků do elektronického spisu pacienta. Tím však k těmto údajům rovnou dostala přístup pokutovaná osoba, která tato data dále používala pro účely studií a statistik, aniž by k tomu měla právní titul.


Za obě porušení byla společnos­ti udělena pokuta 800 tisíc eur. CNIL nepřistoupil k uložení jiných donucovacích prostředků. Od roku 2024 totiž již pokutovaná osoba není správcem dat jako takových, ale pouze provozo­vatelem softwaru, přičemž databáze je spravovaná jinou společností v rámci dané skupiny.


Comments


bottom of page