Postavení poskytovatelů služeb při zpracování osobních údajů

Nařízení EU o ochraně osobních údajů („GDPR“)[1], které upravuje pravidla při zpracování osobních údajů, primárně vychází ze zdánlivě jednoduchého rozlišení účastníků zpracování na tzv. správce (anglicky controllers) a zpracovatele (anglicky processors).

Naším cílem v tomto článku není podat detailní definice toho, kdo je správce a kdo zpracovatel osobních údajů. K tomu ostatně můžeme odkázat například na Pokyny Evropského sboru pro ochranu osobních (EDPB) č. 07/2020 k pojmu správce a zpracovatele podle GDPR.

Rádi bychom se ale zaměřili na jeden praktický případ, se kterým se opakovaně setkáváme a který vyvolává často neshody mezi zúčastněnými stranami. Jde o určení postavení a povinností při zpracování osobních údajů v případě poskytovatelů služeb v obchodních vztazích, ve kterých vystupují zpravidla dvě obchodní společnosti a dochází ke zpracování údajů klientů, případně zaměstnanců jedné z nich. Typicky může jít např. o dopravce zboží, který přijímá zakázku od e-shopu na dodání zboží jeho zákazníkovi, nebo poskytovatele služeb, které jsou využívány zaměstnanci jiné společnost (např. správa služebních platebních karet).

V praxi se často setkáváme s tím, že společnost poskytující údaje svých zákazníků nebo zaměstnanců automaticky předpokládá, že poskytovatel, jehož služby si pořizuje, je zpracovatelem osobních údajů. Tento přístup nicméně v mnoha případech považujeme za nesprávný.

Kdo je zpracovatelem?

Reklama

Trestní právo daňové (online - živé vysílání) - 10.11.2022

10.11.2022 09:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Podle čl. 4/8 GDPR je „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. Přesněji řečeno, zpracovatel provádí zpracování za správce (viz oficiální corrigendum k obecnému nařízení čl. 28). Ještě jasněji je to pak uvedeno v anglické verzi GDPR, která používá spojení on behalf of (jménem, jako zástupce).

Toto vymezení jinými slovy určuje, že zpracovatel nemůže osobní údaje zpracovávat pro své vlastní účely[2], a zároveň to také znamená, že zpracovatel může zpracovávat osobní údaje pouze na základě pokynů správce a v jejich mezích (viz čl. 28/3/a GDPR). Jde tedy o jakousi formu delegace zpracování ze správce na zpracovatele.[3] Na tom nic nemění ani určitá míra autonomie při volbě prostředků zpracování, kterou zpracovateli GDPR umožňuje. Nesmí nicméně jít o podstatné aspekty zpracování.

Zpracovatel nesmí zpracovávat údaje pro vlastní účely – opravdu?

Požadavek na pouhopouhé robotické plnění pokynů je sám o sobě velmi problematický, nakolik i typičtí zpracovatelé (podle příkladů uvedených v pokynech, stanoviscích, rozhodnutích a dalších podobných dokumentech regulátorů nebo soudů) v mnoha případech určité zpracování pro vlastní účely provádět musí (např. z důvodu interní kontroly nebo obrany a vymáhání smluvních podmínek dohodnutých se správcem, případně pro plnění svých zákonných povinností). Idea čistého zpracovatele je tak v současném právním prostředí EU spíše iluzorní. V tomto smyslu je realističtější přístup kalifornského zákona o soukromí spotřebitelů („CCPA“)[4], který dává podnikům (businesses) určité úlevy z regulace při využití tzv. poskytovatelů služeb (service providers). Tito poskytovatelé jsou nicméně podle §999.314 prováděcích nařízení k CCPA oprávnění nad rámec zpracování nutného pro splnění smlouvy s podnikem zpracovávat údaje pro zákonem vymezené účely zahrnující:

najmutí a zaměstnání jiného poskytovatele služeb jako subdodavatele;
interní použití údajů poskytovatelem služeb k vybudování služeb nebo zlepšení jejich kvality za předpokladu, že toto použití nezahrnuje vytvoření nebo úpravu profilů domácností nebo spotřebitelů ani čištění nebo obohacování údajů získaných z jiného zdroje;
odhalování bezpečnostních incidentů s údaji nebo ochranu před podvodnou nebo nezákonnou činností a
k plnění právních povinností, jako je spolupráce s orgány činnými v trestním řízení a uplatňování nebo obhajoba právních nároků.

Tento přístup považujeme za lepší z hlediska reálného fungování dodavatelských vztahů. De lege ferenda jde podle našeho názoru o přístup, který by měla EU, potažmo členské státy zvážit.

Kdy jsou poskytovatelé služeb správci?

Pokud výše uvedená pravidla podle GDPR aplikujeme na námi vymezené vztahy, je zřejmé, že u řady poskytovatelů služeb nemůže v žádném případě jít o zpracovatele. V rámci jejich služeb dochází ke zpracování osobních údajů, které si sami určují jak co do jeho účelu, tak co do prostředků zpracování. Relevantní informace o zpracování osobních údajů v souladu s čl. 13 (případně 14) GDPR pak mají poskytovatelé popsány ve svých zásadách ochrany osobních údajů.

Tento přístup je podpořen aktuálními pokyny EDPB č. 07/2020 k pojmu správce a zpracovatele. Podle bodu 82. těchto pokynů je klíčovým faktorem pro posouzení postavení při zpracování povaha zpracování v kontextu specifických aktivit poskytovatele služeb, nikoli typ entity (myšleno zřejmě ve vztahu k poskytovateli služeb). Nelze tedy izolovaně hodnotit postavení jen podle typu vztahu, povahy osobních údajů ani kategorií subjektů údajů, kterých se zpracování týká. Vždy je nutné hodnotit celkový kontext zpracování.

EDPB v tomto smyslu uvádí, že tam, kde poskytované služby nejsou specificky zaměřené na zpracování osobních údajů nebo kde zpracování osobních údajů není klíčovým elementem služby, může být poskytovatel služby v pozici, kdy samostatně určuje účely a prostředky zpracování nutného k zajištění své služby. V takové situaci pak podle EDPB bude poskytovatel služeb samostatným správcem a nikoli zpracovatelem.

Tato poněkud krkolomná definice se podle našeho názoru dá zjednodušit tak, že osoba, která poskytuje vlastní služby, jejichž předmět a rozsah sama definuje, bude zpravidla správcem osobních údajů. To platí zejména tam, kde daná služba zahrnuje vysokou přidanou hodnotu, odbornost, autonomii rozhodování, nebo dokonce spadá do specifické právní regulace s pevně danými pravidly a povinnostmi (např. platební služby, nezávislé zprostředkování finančních služeb apod.).[5] V těchto případech si lze jen stěží představit situaci, kdy by objednatel služeb určoval, jak mají být takové služby poskytovány, eventuálně že by se služby poskytovaly pro každého objednatele jiným způsobem v závislosti na jeho pokynech.

Příklady

Taxislužba nabízí online platformu, která firmám umožňuje objednat si taxi pro přepravu zaměstnanců nebo hostů na letiště a z letiště. Taxislužba nabízí své vlastní služby, zpracování osobních údajů není specifickým záměrem jejich činnosti, ale jen z ní vyplývá. Taxislužba se neřídí pokyny zákazníků ve vztahu ke zpracování osobních údajů, přestože své služby poskytuje na základě jejich požadavků. Taxislužba je správcem osobních údajů.[6]
Firma používá účetního k vedení účetnictví. Účetní zpracovává údaje pro svého klienta, ale je sám správcem osobních údajů v rámci své činnosti (účetnictví). Je tomu tak proto, že účetní a podobní poskytovatelé odborných služeb pracují na základě řady profesních povinností, které je zavazují k odpovědnosti za osobní údaje, které zpracovávají.[7]
Doručovací společnost obdrží od původního správce (např. od e-shopu) doručovací adresy (osobní údaje) adresátů pro účely doručení a zajistí doručení zásilek. Doručovatel zásilek jedná na vlastní odpovědnost, jde o samostatnou činnost dodavatele těchto služeb, tedy správce údajů, který provádí zpracování nebytné pro jím stanovený účel doručování. Doručovací společnost neprovádí zpracování údajů jako zpracovatel.[8]

Kdy budou poskytovatelé přece jen zpracovateli?

Pouhým zpracovatelem a nikoli správcem naopak zpravidla bude osoba, která provádí triviální operace s osobními údaji (např. rozeslání dopisů na adresy určeném zadavatelem), nebo postupuje výlučně podle pokynů správce a nemá prostor pro vlastní rozhodování ohledně předmětu a rozsahu svých služeb.

Příklad

Provedení marketingové analýzy podle jasně daných instrukcí na datech poskytnutých zadavatelem.
Zajištění služeb call centra na základě a v mezích pokynů objednatele a ve vztahu k objednatelovým klientům.
Zajištění IT podpory na základě a v mezích pokynů objednatele, při níž dochází nevyhnutelně i k práci s osobními údaji, přestože nejde o primární smysl činnosti.
Doručovatel provádí doplňkové činnosti podle pokynů objednatele, např. kompletaci zásilek, vč. tisku oznámení obsahující osobní údaje a jejich vkládání do obálek. V tomto případě se jedná o činnost zpracovatele.

Relativně samostatnou kapitolou jsou pak poskytovatelé cloudových služeb nebo jiných úložišť, kteří se zpravidla také považují jen za zpracovatele osobních údajů, a to přestože nabízejí své služby široké veřejnosti a podle jimi definovaných pravidel. Důvodem je podle EDPB skutečnost, že konečné rozhodnutí o účelech a o tom, jak takové předem definované nástroje využije, dělá zákazník (původní správce údajů), a to včetně všech povinností a nutnosti zajistit, že poskytovatel cloudových služeb respektuje jeho pokyny.[9] Tento přístup nám nepřijde zcela konzistentní s výše uvedenými kritérii a pro praxi navíc velmi problematický, nakolik požadavek donutit některé poskytovatele cloudových služeb respektovat specifické pokyny jednotlivých zákazníků/správců je mimo jejich reálné možnosti.

Kdy nebude poskytovatel služeb ani správcem, ani zpracovatelem?

Specifickým případem jsou situace, kdy osoba vůbec ke své činnosti osobní údaje nepotřebuje, ale může se k nim za určitých podmínek dostat (ať už náhodou, nebo i vědomě). V těchto případech je na místě primárně zajistit takové smluvní podmínky a záruky, aby nedošlo k ohrožení osobních údajů, případně si ujednat postup pro případ, že k tomu i přes tyto záruky dojde (např. ve smyslu ohlášení situace, zajištění bezpečnosti osobních údajů a zamezení dalšímu opakování nebo zhoršení situace).

Příklad

Firma zajišťující úklid kanceláří, která se náhodou nebo nedbalostí zaměstnanců může dostat k dokumentům, počítačům apod.
IT firma najatá na vývoj nebo opravu softwaru, ke kterým nepotřebuje žádné osobní údaje, ale může náhodou nebo nedbalostí k takovým údajům získat přístup.
Doručovatelé poštovních zásilek ve vztahu k osobním údajům obsaženým uvnitř zásilek, které nesmějí otevřít.

Závěrem

Jak jsme v předchozím textu naznačili, zjednodušený přístup k poskytovatelům služeb, který jim automaticky přisuzuje postavení zpracovatelů, není v mnoha případech správný. Vždy bude záležet na konkrétním kontextu zpracování osobních údajů. Z uvedených příkladů a stanovisek dozorových úřadů se nicméně dá usuzovat, že poskytovatelů služeb, kteří budou jen zpracovateli, je podstatně méně, než by se na první pohled mohlo zdát. V řadě oblastí bude dokonce podle nás potřeba vztahy znovu revidovat a posoudit, zda skutečně v daných případech jsou poskytovatelé služeb pouhými zpracovateli ve smyslu GDPR.

Jinou možností je pak přehodnotit extrémně úzké vymezení zpracovatele podle GDPR jako takového. V tomto ohledu hodnotíme jako lepší přístup kalifornského zákona o soukromí spotřebitelů a jeho definici poskytovatelů služeb, která jim nad rámec zpracování nezbytného pro plnění smlouvy umožňuje zpracovávat osobní údaje i pro další zákonem vymezené účely, aniž by ztratili postavení poskytovatele služeb.

Ing. Mgr. Jakub Hruška, CIPP/E

Herešová advokáti s.r.o.

U průhonu 1589/13a, Holešovice

170 00 Praha 7

email: info@heresova.cz

[1] NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

[2] Pokyny EDPB č. 07/2020 k pojmu správce a zpracovatele, bod 80.

[3] Pokyny EDPB č. 07/2020 k pojmu správce a zpracovatele, bod 80.

[4] Dostupné >>>zde.

[5] Viz například také stanovisko britského ICO ohledně postavení specializovaných poskytovatelů služeb: Pokud specializovaní poskytovatelé služeb zpracovávají údaje v souladu se svými profesními povinnostmi, vystupují vždy jako správce (viz >>> zde).

[6] Pokyny EDPB č. 07/2020 k pojmu správce a zpracovatele, bod 82.

[7] Viz >>> zde.

[8] Viz stanovisko UOOU k dispozici >>> zde.

[9] Pokyny EDPB č. 07/2020 k pojmu správce a zpracovatele, bod 84.

Ing. Mgr. Jakub Hruška, CIPP/E

7. 1. 2022

pošli emailem

vytiskni článek