Článek 28 GDPR patří mezi ty nejčastěji zmiňované z celého nařízení. Přesto je nemálo správců a zpracovatelů překvapeno formulací jeho prvního odstavce a tím, jaké má pro ně důsledky. Spolu se zásadou odpovědnosti totiž vzniká povinnost, o které se málo ví, ale přitom je velmi důležitá – řeč je o prověrce zpracovatele (due diligence).
Klíčová věta jmenovaného ustanovení zní takto: „Pokud má být zpracování provedeno pro správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů.“
Nejspíš si teď říkáte – když jsem správce, uzavřu se zpracovatelem zpracovatelskou smlouvu (ve které se zaváže, že všechno dodrží) a problém je vyřešen. Kéž by to bylo tak jednoduché.
Kontraktace je proces uzavírání smlouvy, který obvykle začíná smluvním vyjednáváním a výměnou návrhů znění samotné smlouvy a končí uzavřením samotné smlouvy.
Jeden příklad za všechny
Představte si, že jste jeden z největších poskytovatelů softwaru na světě a máte svoje datacentra v Irsku, tudíž na vás dopadá GPDR. Máte stovky dodavatelů, kteří mají různé úkoly – od poskytování služeb hostingu a samotných datacenter až po partnery, kteří pro váš software vyvíjejí různé dílčí funkce. Kromě toho máte přes stovky milionů zákazníků a zpracováváte jejich osobní údaje. V průběhu roku jedno z vašich oddělení uzavře smlouvu s dodavatelem, který pro vaši cloud platformu vyvíjí aplikaci, má přístup k datům vašich klientů a samozřejmě i k datům jejich zákazníků. A teď se dostáváme k dramatickému oblouku – tento dodavatel má virtuální sídlo v České republice, data skladuje doma pod postelí v záplavové oblasti a jsou na něj vedeny tři exekuce.
Myslíte si, že kdyby se cokoli stalo se svěřenými osobními údaji, vyvázli byste jako správce s argumentem, že jste uzavřeli zpracovatelskou smlouvu, a tudíž jste udělali maximum? Nikoli.
Kontraktace ve světle zásady odpovědnosti
Odpovědnosti za zpracovávané osobní údaje se správce nezbaví argumentací, že měl se zpracovatelem uzavřenou smlouvu, a proto je o osobní údaje náležitě postaráno. Takto totiž zásada odpovědnosti nefunguje. Ostatně obdobně hovoří i bod (81) preambule GDPR:
„Aby byl zajištěn soulad s požadavky tohoto nařízení v případě zpracování prováděného zpracovatelem jménem správce, měl by správce zpracováním pověřit pouze zpracovatele, kteří poskytují dostatečné záruky, zejména pokud jde o odborné znalosti, spolehlivost a zdroje, že zavedou technická a organizační opatření, která budou splňovat požadavky tohoto nařízení, včetně požadavků na bezpečnost zpracování.“
V rámci čl. 28 odst. 3 písm. h) GDPR je dále stanovena jedna z náležitostí zpracovatelské smlouvy – poskytnutí informací a umožnění provedení auditu. Dle tohoto ustanovení si musí smluvní strany sjednat to, že správce má právo a faktickou možnost zkontrolovat, že zpracovatel zpracovává osobní údaje v souladu s GDPR. Snahou GDPR je skutečně umožnit správci mít kontrolu nad tím, co se děje s osobními údaji, které jsou mu svěřené.
Co z toho vyplývá? V zásadě opět to, že správce má odpovědnost za to, jakého zpracovatele zvolí, a GDPR mu k tomu předkládá nástroje kontroly. Když je správce neuplatní, nelze se pouze spokojit s argumentací, že vhodné záruky zpracovatel stvrdil podpisem smlouvy.
Pokud dochází ke kontraktaci zpracovatele, není zpracovatelská smlouva jediným úkolem. Ba naopak, ta už by měla být pouze jedním z posledních kroků, které jsme v rámci kontraktace provedli.
Vzpomeňte si na případ masivního úniku osobních údajů hotelu Marriott (únik osobních údajů 339 milionů hotelových hostů). Jednu z věcí, kterou britský úřad pro ochranu osobních údajů správci vytýkal, bylo právě to, že strůjcem úniku byl zpracovatel – společnost Starwood – a že správce neprovedl dostatečnou prověrku zpracovatele v rámci kontraktace a nepostaral se o celkové a konečné zabezpečení systémů.
Jak udělat kontraktaci v souladu s GDPR
Pojďme se tedy podívat na praktickou stránku věci. Jak udělat kontraktaci v souladu s GDPR? Přečtěte si, jak to dělají nadnárodní firmy i menší start-upy, které zpracovávají velký počet osobních údajů.
Prvním krokem by měla být určitá kategorizace zpracovatele, a to podle několika kritérií – jaké typy osobních údajů bude zpracovatel zpracovávat („obyčejné“, nebo zvláštní kategorie), jaký je rozsah zpracovávaných údajů a jejich povaha (pseudonymizované údaje, nebo jen adresní údaje, případně i platební údaje), kterých subjektů se údaje týkají (zaměstnanci, zákazníci, či obchodní partneři) a podobně.
Kritérií je v zásadě neomezený počet – smyslem tohoto malého dotazníku (který může vyplňovat zástupce správce, tedy nikoli vy jako DPO, popřípadě nejlépe sám zpracovatel) je určitá klasifikace toho, jak moc riziková spolupráce může být, když se něco nepovede. Druhým krokem je poté ověření, zda sám zpracovatel zpracovává osobní údaje v souladu s GDPR. Prvním impulsem může být již samotný fakt, jak se zpracovatel chová k vašim osobním údajům, když je v pozici správce a oslovuje vás s nabídkou. Mnohdy totiž zkušenému oku stačí nahlédnout na webové stránky partnera, aby si udělal obrázek, jak moc bere zpracování osobních údajů vážně. V tomto bodě je tak vhodné ještě před uzavřením zpracovatelské smlouvy náležitě ověřit, zda zpracovatel plní svoje povinnosti řádně, nebo bude spolupráce s ním problematická.
Toho lze dosáhnout jednoduchým způsobem, a sice pomocí dotazníku, v rámci něhož budete požadovat odpovědi na otázky, jež mohou být technického rázu (například jaké nástroje jako AntiMalware, šifrování disku, DLP, Log Management, zálohování zpracovatel používá a podobně), ale také otázky týkající se organizačních opatření.
Zde vás musí nutně zajímat některé interní politiky zpracovatele včetně například informací o tom, jak často auditují své procesy a sledují potenciální úniky a zda následně implementovali mechanismus hlášení bezpečnostních incidentů. Dále chcete vědět, zda má zpracovatel politiku přístupu k datům a vůbec interní směrnici, která se týká zpracování osobních údajů. Můžete si připravit dotazník o několika desítkách řádků s otázkami jako: „Jsou vaši zaměstnanci pravidelně školeni s ohledem na ochranu osobních údajů? Pokud ano, můžete to doložit?“ ale také jako: „Jak často provádíte penetrační testování a v jakém rozsahu? Pokud ano, můžete poskytnout náhled auditní zprávy?“
Bude to fungovat?
Je nutné se částečně vrátit k prvnímu kroku, jímž byla klasifikace samotných zpracovatelů. Jen to, že někdo splňuje definici zpracovatele, nutně neznamená, že byste museli zahájit půlroční proces zkoušení jeho znalostí z GDPR. Pokud totiž bude mít zpracovatel přístup k omezenému rozsahu zpracovávaných osobních údajů, a to pouze nahodile, je riziko, co se týče újmy zpracovávaných osobních údajů, relativně nízké.
Opačný případ si pochopitelně dovedete představit v situaci, kdy někomu svěřujete údaje ze zdravotnické dokumentace, popřípadě platební karty a jiné údaje, které mohou a nemusí být citlivé, nicméně jejichž kompromitace by pro správce (potažmo pro subjekty údajů) znamenala extrémní újmu. Právě v tomto druhém případě byste měli udělat vše proto, abyste zpracovatele náležitě prověřili a byli schopni toto doložit u případné kontroly.
Doporučení na závěr
V praxi jsou bohužel prověrky zpracovatelů stále zanedbávané, a to i u těch největších hráčů na trhu. Proto zkuste začít několika jednoduchými kroky, které lze snadno dodržet.
Jako pověřenci zpracujte jednoduchý dotazník o maximálně pěti otázkách, na jehož základě zjistíte, jak je spolupráce potenciálně riziková (úvodní kategorizace, kterou si poznamenejte do evidence zpracovatelů vedenou správcem). Následně si připravte dotazník o deseti otázkách, jejž zašlete těm zpracovatelům, u nichž vyhodnotíte spolupráci jako rizikovou. Zeptejte se na zabezpečení, nechte si k náhledu předložit interní dokumentaci a zeptejte se na klíčové parametry. Odstraníte tím více rizik, než když budete zavádět složitý proces, který nikdo nebude využívat.
Článek byl publikován v Elektronickém zpravodaji pro pověřence dne 25. 6. 2020