Servisní činnost databází a GDPR

Následující článek rozebírá situaci, před kterou stojí společnosti zabývající se vývojem a servisem databází, softwaru nebo obecně informačního systému, ve kterých se zpracovávají osobní údaje uživatelů. Každý informační systém vyžaduje pravidelnou údržbu a servis ze strany vývojářů nebo techniků společnosti. Při servisu vykonávaném přímo na databázi v provozu přijdou vývojáři nebo technici nutně do kontaktu s obsahem databáze, tedy s vloženými osobními údaji. Otázkou je, zda taková činnost pro klienta má být považována za zpracování ve smyslu GDPR a zda se tedy bude jednat o vztah správce (klient) a zpracovatele (společnost). Nejasnost ohledně otázky jsme ve formě našeho stanoviska konzultovali s Úřadem pro ochranu osobních údajů. Rozbor a závěry stanoviska sdílíme.

Náš klient je společnost, jehož hlavní činností je vývoj informačních technologií, konkrétně softwaru (dále jen SW) pro veřejný sektor. SW je instalován ve více než 1500 obcích. Jedná se o instalace on-premise, tedy na HW obce a zcela pod kontrolou obce. V jednotlivých instalacích jsou zpracovávány osobní údaje subjektů (občanů) v počtu zhruba odpovídajícím počtu obyvatel dané obce. Obec je v těchto případech v roli správce. Rozsah zpracovávaných osobních údajů vychází ze zákona a zpravidla se jedná údaje obsažené v Registru obyvatel, v některých případech vyžadovaných zákonem také navíc o rodné číslo.

Klient poskytuje k instalovanému SW také servisní podporu. Tato podpora je poskytována buď lokálně přímo u klienta, nebo prostřednictvím vzdáleného přístupu. V obou případech poskytuje podporu buď zaměstnanec klienta, nebo klientem pověřená osoba na základě smluvního vztahu (dále jen technik). Předmětem servisní podpory je především metodická a technická pomoc s instalovaným SW.

V případě podpory poskytované lokálně bývá technik pod dohledem odpovědného pracovníka správce (obce). V případě podpory poskytované vzdáleným přístupem je připojení realizováno standardními technologiemi považovanými v tomto oboru za dostatečně zabezpečené pro tento účel. I během vzdáleného přístupu je technik pod neustálým dohledem odpovědného pracovníka správce (sdílení obrazovky).

Během servisních úkonů přichází technik do styku s osobními údaji formou nahlížení.

Máme za to, že se nejedná o zpracování ve smyslu GDPR, neboť operace nahlížení je zde vedlejší a neúčelová. Primárním úkolem souvisejícím s hlavní činností našeho klienta je samotný software a s obsahem dat (včetně osobních údajů) je nakládáno jako s celkem bez konkrétního zaměření na jednotlivá data s charakterem osobního údaje. Správce v tomto případě také nechápe klienta jako zpracovatele, neboť mu neurčuje žádný účel ani prostředky zpracování.

Když připustíme, že ke zpracování ve smyslu GDPR přesto dochází, považujeme takové zpracování za oprávněné dle čl. 6 písm. f). Oním oprávněným zájmem je 1. funkčnost a bezpečnost SW, 2. zpracování je nezbytné provádět odbornou osobou (znalou daného SW, tedy technikem klienta) a 3. nelze jej provádět jinou méně invazivní formou, neboť nelze zamezit, aby během servisního úkonu nepřišel technik do styku s osobními údaji. Provedeme-li balanční test, dostáváme na jedné straně reálnou oprávněnost zájmu zabezpečení bezproblémového chodu SW tak, aby tento plnil svoji funkci včetně garance standartní bezpečnosti systému. Na druhé straně důsledek zpracování (nahlížení) pro subjekt údajů je spíše pozitivní (odborný zásah kompetentní osoby) než negativní (hypotetická možnost zneužití dat technika). Subjekt osobních údajů by rozumně očekával, že zpracování bude provádět osoba odborně školená, navíc zavázaná obecnou mlčenlivostí a loajalitou k zaměstnavateli.

Závěr

Pokud při správě informačního systému dochází pouze k nahodilému nahlédnutí do databáze osobních údajů s tím, že k žádnému dalšímu zpracování nedochází, nebude taková činnost klasifikována jako zpracování osobních údajů ve smyslu GDPR a osoba, která ji provádí, nebude považována za zpracovatele.

Jiná situace by nastala, pokud by osoba provádějící správu softwaru s osobními údaji nějakým způsobem manipulovala, např. je kopírovala z jedné databáze do druhé apod. Potom by se již dalo hovořit o zpracování osobních údajů ve smyslu GDPR a se správcem informačního systému, teď již v pozici zpracovatele, by bylo nutné uzavřít zpracovatelskou smlouvu.

Vždy je tedy třeba pečlivě zjistit, zda je s osobními údaji při správě informačního systému nějakým způsobem nakládáno či nikoliv a z tohoto zjištění pro určení věcné působnosti GDPR vycházet.

Reklama

Nemáte ještě registraci na epravo.cz?

Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

REGISTROVAT ZDE

Mgr. Libor Pavlíček,
advokátní koncipient

MORENO VLK & ASOCIADOS
advokátní kancelář

Sokolovská 32/22
186 00 Praha 8

Tel.:   +420 224 818 736
Fax:   +420 224 818 736
e-mail:   praha@moreno-vlk.eu

_____________________________________
[*] Aktualizace textu - 29.1.2018

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

Mgr. Libor Pavlíček (MORENO VLK & ASOCIADOS)

26. 1. 2018