Pokud využíváte takzvaný software jako službu, který ukládá data na cloud poskytovatele, měli byste zpozornět. Taková data nemusejí být dostatečně chráněná! Francouzský poskytovatel softwaru dostal pokutu 800 tisíc eur za to, že vydával pseudonymizované údaje za anonymní.
Software jako služba (Software as a Service neboli SaaS) je populární model poskytování softwaru uživatelům formou předplatného. S každým dalším rozvojem softwaru, jenž je poskytovaný jako služba, se však otvírá klíčová otázka – co se děje s daty?
Předmětný způsob poskytování softwaru totiž funguje tak, že ve většině případů jsou data z takových softwarů ukládána nikoliv v zařízení klienta, ale v rámci databáze, která je spravována jejím poskytovatelem. To samo o sobě není v rozporu s GDPR – v některých případech je to naopak vhodnější, protože osobní údaje jsou pod patronátem společnosti, jež umí zajistit mnohem lepší ochranu než například menší společnost bez dedikovaného správce informačních technologií, v níž se data mnohdy „povalují“ na různých discích či počítačích. Nicméně každý ze správců, kteří využívají SaaS, by si měl klást jednoduchou otázku: Jsou data dostatečně chráněná?
Nezřídka se v rámci všeobecných obchodních podmínek (VOP) takových služeb dočteme, že data mohou být využívána pro zlepšování služby jako takové či pro různé analýzy. V rámci některých VOP se pak dočteme, že taková data nicméně nezahrnují osobní údaje. Je tomu tak ale vždycky?
Své o tom ví jedna francouzská firma, která 5. 9. 2024 obdržela od francouzského úřadu pro ochranu osobních údajů (CNIL) pokutu 800 tisíc eur (cca 20 milionů korun).
Jste si jisti, že data odesílaná na cloud v rámci SaaS služby jsou dostatečně chráněná?
Za co padla pokuta 800 tisíc eur?
Pokutovaná společnost Cegedim Santé patří mezi jednu ze společností poskytujících praktickým lékařům (cca 25 tisíc lékařů a 500 zdravotnických center), kteří působí v rámci klinik či poskytovatelů zdravotních služeb, speciální software, jenž lékařům umožňuje lépe spravovat údaje o jejich pacientech, včetně lékařské dokumentace, předpisů a podobně. Samotná data pak nejsou trvale ukládána v zařízeních doktorů, ale jsou odesílána do cloudu – jako v rámci běžné SaaS služby.
Společnost byla v roce 2021 předmětem kontroly ze strany CNIL, která odhalila, že tato společnost bez souhlasu zpracovávala neanonymizované údaje o zdravotním stavu, a to za účelem provádění statistik či studií ve zdravotnických oborech.
V rámci svého podnikání totiž pokutovaná osoba nabízela lékařům možnost připojit se k takzvané observatoři, tedy k funkcionalitě předmětného softwaru, v rámci níž byla shromažďována data, jež se dále využívala pro výzkumné účely a statistiky ze strany poskytovatele softwaru, tedy pokutované osoby. CNIL zjistil zásadní skutečnost, a sice že tato data nebyla (oproti tvrzením pokutované osoby) anonymizovaná, ale pouze pseudonymizovaná, což umožnilo zpětnou identifikaci osob.
Anonymizované údaje o zdravotním stavu byly ve skutečnosti jen pseudonymizované
CNIL se zaměřil na to, zda lze subjekty údajů (u nichž nebyly uvedeny primární identifikátory) identifikovat pomocí „rozumných prostředků“, tedy tak, jak je stanoveno judikaturou Soudního dvora EU a evropskými orgány pro ochranu údajů.
V rámci kontroly došel CNIL k tomu, že pokutovaná osoba shromažďovala velké množství osobních údajů, včetně roku narození, pohlaví, profesní kategorie, alergií, anamnézy, výšky, váhy, diagnóz, lékařských předpisů, pracovní neschopnosti a výsledků analýz. Tato data byla pak hlavně propojena s jedinečným identifikátorem pro každého pacienta, což umožnilo sestavit kompletní zdravotní záznamy jednotlivců. CNIL tak poměrně logicky konstatoval, že takto detailní informace vedly k riziku opětovné identifikace jednotlivců v databázi společnosti.
Za daných podmínek a s ohledem na existenci jedinečného identifikátoru, včetně míry podrobnosti shromažďovaných údajů spolu s možností jejich kombinace s daty třetích stran, CNIL dospěl k závěru, že riziko zpětné identifikace jednotlivce bylo příliš vysoké na to, aby mohla být data vůbec považována za anonymní. CNIL proto určil, že data zpracovávaná společností Cegedim Santé byla pseudonymizovaná, nikoliv anonymní (alespoň do roku 2022, kdy byla ukončena příslušná kontrola).
V rámci francouzského práva platí specifické pravidlo, které stanoví, že pokud chce společnost zpracovávat údaje o zdravotním stavu, musí nad rámec GDPR splňovat určité podmínky. V tomto konkrétním případě měla správně pokutovaná osoba získat povolení přímo od CNIL, což však neučinila. Francouzský zákon totiž stanoví, že zpracování osobních údajů ve zdravotnictví musí být provedeno pouze s povolením CNIL nebo musí být v souladu s odpovídajícím referenčním rámcem, definovaným tamní legislativou. CNIL zjistil, že pokutovaná společnost Cegedim Santé tato pravidla nedodržela, protože nepožádala o povolení a ani úřadu nezaslala prohlášení o souladu s jedním ze svých referenčních rámců.
To však nebylo jediné porušení, které CNIL v tomto případě konstatoval. CNIL totiž dále zjistil, že společnost porušila zásadu zákonnosti při využívání služby „HRi“, zřízené poskytovatelem zdravotního pojištění, která poskytuje přístup k historii zdravotních úhrad za posledních 12 měsíců.
V případě, že byl lékař zapojen do „observatoře“, v rámci konkrétního pacienta došlo k automatickému stažení dat z předchozích proběhlých (a pojišťovnou uhrazených) zákroků do elektronického spisu pacienta. Tím však k těmto údajům rovnou dostala přístup pokutovaná osoba, která tato data dále používala pro účely studií a statistik, aniž by k tomu měla právní titul.
Za obě porušení byla společnosti udělena pokuta 800 tisíc eur. CNIL nepřistoupil k uložení jiných donucovacích prostředků. Od roku 2024 totiž již pokutovaná osoba není správcem dat jako takových, ale pouze provozovatelem softwaru, přičemž databáze je spravovaná jinou společností v rámci dané skupiny.
Comments