epravo.cz

Přihlášení


Registrace nového uživatele
Zapomenuté heslo
Přihlášení
  • ČLÁNKY
  • ZÁKONY
  • SOUDNÍ ROZHODNUTÍ
  • AKTUÁLNĚ
  • COVID-19
  • E-shop
  • Advokátní rejstřík
  • občanské právo
  • obchodní právo
  • insolvenční právo
  • finanční právo
  • správní právo
  • pracovní právo
  • trestní právo
  • evropské právo
  • veřejné zakázky
  • ostatní právní obory
Konference: Nepřiměřená ujednání ve spotřebitelských smlouvách
26. 1. 2018
ID: 106971upozornění pro uživatele

Servisní činnost databází a GDPR

Následující článek rozebírá situaci, před kterou stojí společnosti zabývající se vývojem a servisem databází, softwaru nebo obecně informačního systému, ve kterých se zpracovávají osobní údaje uživatelů. Každý informační systém vyžaduje pravidelnou údržbu a servis ze strany vývojářů nebo techniků společnosti. Při servisu vykonávaném přímo na databázi v provozu přijdou vývojáři nebo technici nutně do kontaktu s obsahem databáze, tedy s vloženými osobními údaji. Otázkou je, zda taková činnost pro klienta má být považována za zpracování ve smyslu GDPR a zda se tedy bude jednat o vztah správce (klient) a zpracovatele (společnost). Nejasnost ohledně otázky jsme ve formě našeho stanoviska konzultovali s Úřadem pro ochranu osobních údajů. Rozbor a závěry stanoviska sdílíme.

 
 Moreno_06-2015_500x200
 
Náš klient je společnost, jehož hlavní činností je vývoj informačních technologií, konkrétně softwaru (dále jen SW) pro veřejný sektor. SW je instalován ve více než 1500 obcích. Jedná se o instalace on-premise, tedy na HW obce a zcela pod kontrolou obce. V jednotlivých instalacích jsou zpracovávány osobní údaje subjektů (občanů) v počtu zhruba odpovídajícím počtu obyvatel dané obce. Obec je v těchto případech v roli správce. Rozsah zpracovávaných osobních údajů vychází ze zákona a zpravidla se jedná údaje obsažené v Registru obyvatel, v některých případech vyžadovaných zákonem také navíc o rodné číslo.

Klient poskytuje k instalovanému SW také servisní podporu. Tato podpora je poskytována buď lokálně přímo u klienta, nebo prostřednictvím vzdáleného přístupu. V obou případech poskytuje podporu buď zaměstnanec klienta, nebo klientem pověřená osoba na základě smluvního vztahu (dále jen technik). Předmětem servisní podpory je především metodická a technická pomoc s instalovaným SW.

V případě podpory poskytované lokálně bývá technik pod dohledem odpovědného pracovníka správce (obce). V případě podpory poskytované vzdáleným přístupem je připojení realizováno standardními technologiemi považovanými v tomto oboru za dostatečně zabezpečené pro tento účel. I během vzdáleného přístupu je technik pod neustálým dohledem odpovědného pracovníka správce (sdílení obrazovky).

Během servisních úkonů přichází technik do styku s osobními údaji formou nahlížení.

Máme za to, že se nejedná o zpracování ve smyslu GDPR, neboť operace nahlížení je zde vedlejší a neúčelová. Primárním úkolem souvisejícím s hlavní činností našeho klienta je samotný software a s obsahem dat (včetně osobních údajů) je nakládáno jako s celkem bez konkrétního zaměření na jednotlivá data s charakterem osobního údaje. Správce v tomto případě také nechápe klienta jako zpracovatele, neboť mu neurčuje žádný účel ani prostředky zpracování.

Když připustíme, že ke zpracování ve smyslu GDPR přesto dochází, považujeme takové zpracování za oprávněné dle čl. 6 písm. f). Oním oprávněným zájmem je 1. funkčnost a bezpečnost SW, 2. zpracování je nezbytné provádět odbornou osobou (znalou daného SW, tedy technikem klienta) a 3. nelze jej provádět jinou méně invazivní formou, neboť nelze zamezit, aby během servisního úkonu nepřišel technik do styku s osobními údaji. Provedeme-li balanční test, dostáváme na jedné straně reálnou oprávněnost zájmu zabezpečení bezproblémového chodu SW tak, aby tento plnil svoji funkci včetně garance standartní bezpečnosti systému. Na druhé straně důsledek zpracování (nahlížení) pro subjekt údajů je spíše pozitivní (odborný zásah kompetentní osoby) než negativní (hypotetická možnost zneužití dat technika). Subjekt osobních údajů by rozumně očekával, že zpracování bude provádět osoba odborně školená, navíc zavázaná obecnou mlčenlivostí a loajalitou k zaměstnavateli.

Závěr

Pokud při správě informačního systému dochází pouze k nahodilému nahlédnutí do databáze osobních údajů s tím, že k žádnému dalšímu zpracování nedochází, nebude taková činnost klasifikována jako zpracování osobních údajů ve smyslu GDPR a osoba, která ji provádí, nebude považována za zpracovatele.

Jiná situace by nastala, pokud by osoba provádějící správu softwaru s osobními údaji nějakým způsobem manipulovala, např. je kopírovala z jedné databáze do druhé apod. Potom by se již dalo hovořit o zpracování osobních údajů ve smyslu GDPR a se správcem informačního systému, teď již v pozici zpracovatele, by bylo nutné uzavřít zpracovatelskou smlouvu.

Vždy je tedy třeba pečlivě zjistit, zda je s osobními údaji při správě informačního systému nějakým způsobem nakládáno či nikoliv a z tohoto zjištění pro určení věcné působnosti GDPR vycházet.


Mgr. Libor Pavlíček,
advokátní koncipient


MORENO VLK & ASOCIADOS
advokátní kancelář


Sokolovská 32/22
186 00 Praha 8

Tel.:    +420 224 818 736
Fax:    +420 224 818 736
e-mail:    praha@moreno-vlk.eu  


_____________________________________
[*] Aktualizace textu - 29.1.2018


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

Mgr. Libor Pavlíček (MORENO VLK & ASOCIADOS)
26. 1. 2018
pošli emailem
vytiskni článek
  • Tweet

Další články:

  • Zákon o evidenci skutečných majitelů
  • Novinky z oblasti české a evropské regulace finančních institucí za měsíc březen 03/2021
  • Povinnost licence ČNB pro poskytovatele crowdfundingového financování
  • Kauza neoprávněně účtovaného německého mýta a možnosti odškodnění
  • Evropská unie chystá revoluci na digitálním trhu
  • Směrnice o platebních službách a „silné ověření uživatele“. Co si pod tím představit?
  • Nová arbitrážní a mediační pravidla LCIA
  • Novinky z oblasti české a evropské regulace finančních institucí za měsíc únor 02/2021
  • Jak se neztratit na cestě přeshraničního insolvenčního řízení: vedlejší a místní insolvenční řízení
  • V posledních letech jsou do České republiky stále častěji doručovány protokoly dopravních přestupků spáchaných v zahraničí.
  • Několik slov ke vzniku povinnosti oznamovat tzv. přeshraniční uspořádání dle směrnice DAC6

Novinky v eshopu

Online konference

  • 23.04.2021Compliance (online - živé vysílání) - 23.4.2021
  • 28.04.2021Trestné právo daňové (online - live) - 28.4.2021
  • 30.04.2021Změny v akciové společnosti po novele ZOK (online - živé vysílání) - 30.4.2021
  • 07.05.2021Vývoj judikatury k náhradě újmy v letech 2020 a 2021 (online - živé vysílání) - 7.5.2021
  • 12.05.2021Problémy a rizika spojená s prací z domova – praktický seminář na home office (online - živé vysílání) - 12.5.2021

Online kurzy

  • Aktuality z práva veřejných zakázek (březen 2021)
  • Aktuality z práva veřejných zakázek (únor 2021 - 2. díl)
  • Aktuality z práva veřejných zakázek (únor 2021 - 1. díl)
  • Aktuality z práva veřejných zakázek (leden 2021)
  • Dohoda o vině a trestu
Lektoři kurzů
JUDr. Tomáš Sokol
JUDr. Tomáš Sokol
Kurzy lektora
Mgr. Marek Bednář
Mgr. Marek Bednář
Kurzy lektora
Mgr. Veronika  Pázmányová
Mgr. Veronika Pázmányová
Kurzy lektora
JUDr. Jiří Votrubec
JUDr. Jiří Votrubec
Kurzy lektora
Mgr. Michal Nulíček, LL.M.
Mgr. Michal Nulíček, LL.M.
Kurzy lektora
JUDr. Jindřich Vítek, Ph.D.
JUDr. Jindřich Vítek, Ph.D.
Kurzy lektora
JUDr. Ondřej Trubač, Ph.D., LL.M.
JUDr. Ondřej Trubač, Ph.D., LL.M.
Kurzy lektora
doc. JUDr. Tomáš Gřivna, Ph.D.
doc. JUDr. Tomáš Gřivna, Ph.D.
Kurzy lektora
JUDr. Filip Seifert, MBA
JUDr. Filip Seifert, MBA
Kurzy lektora
Mgr. Jiří Harnach
Mgr. Jiří Harnach
Kurzy lektora
všichni lektoři

Magazíny a služby

  • EPRAVO.CZ Magazine 2021
  • Monitoring judikatury (12 měsíců)
  • Monitoring judikatury (6 měsíců)

Nejčtenější na epravo.cz

  • 24 hod
  • 7 dní
  • 30 dní
  • Okamžité zrušení pracovního poměru pro neomluvené absence v celkové délce 3 dnů (3 pracovních směn)
  • Proč je tak důležité objevit nadání svých dětí
  • Bez diverzity v advokacii časem neobstojíme
  • Nová úprava evidence skutečných majitelů: četné změny a vysoké sankce
  • Startupy a právo III.: Jak zajistit motivaci zakladatelů (reverzní vesting)
  • Rovné zacházení při přechodu práv a povinností
  • Vytýkací dopis aneb nástroj zaměstnavatelů k podávání výpovědí?
  • Rozhodnutí většinového spoluvlastníka
  • Okamžité zrušení pracovního poměru pro neomluvené absence v celkové délce 3 dnů (3 pracovních směn)
  • Nová úprava evidence skutečných majitelů: četné změny a vysoké sankce
  • Digitální právní jednání a písemná forma
  • Krácení dovolené nově od 1. 1. 2021
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Výpověď z pracovního poměru ze strany zaměstnance (část 1.)
  • Novinky ve stavebním právu v roce 2021
  • Neplatné rozvázání pracovního poměru a vznik nároku na dovolenou. Posouzení předběžné otázky obecnými soudy
  • Novela zákoníku práce zavádějící konečně pravidla pro home office
  • Výpověď z pracovního poměru ze strany zaměstnance (část 1.)
  • Krácení dovolené nově od 1. 1. 2021
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Okamžité zrušení pracovního poměru pro neomluvené absence v celkové délce 3 dnů (3 pracovních směn)
  • Exekuce na obhajné vůči státu
  • Pracovněprávní důsledky odmítnutí zaměstnance podrobit se testu na Covid-19
  • Předmět vydržení vlastnického práva

Pracovní pozice

Soudní rozhodnutí

Cizinci a ohrožení veřejného zdraví (exkluzivně pro předplatitele)

Ohrožení veřejného zdraví nelze podřadit pod pojem závažné porušení veřejného pořádku, protože zákon o pobytu cizinců v § 119 rozlišuje ohledně důvodů pro správní...

Daňový podvod (exkluzivně pro předplatitele)

Zpochybňuje-li daňový subjekt význam zjištěných objektivních okolností tvrzeními opírajícími se o to, že na nich neshledává nic nestandardního či podezřelého, není povinností...

Dlouhodobý pobyt (exkluzivně pro předplatitele)

Skutečnost, že cizinec naplňuje účel, pro který mu byl dlouhodobý pobyt udělen, nevylučuje, aby správní orgán shledal jinou závažnou překážku, kterou může být v obecné rovině i...

Jmenování děkana do funkce

Tytéž důvody, ať již spočívají v závažném neplnění povinností děkana či v závažném poškozování zájmů vysoké školy nebo fakulty, se v závislosti na okamžiku, kdy se o nich...

Odpovědnost za spáchaný správní delikt (exkluzivně pro předplatitele)

K porušení čl. 40 odst. 6 věty druhé Listiny dojde i tehdy, když by pachatel byl potrestán za spáchání přestupku přesto, že by odpovědnost za přestupek podle nové právní úpravy...

Vyhledávání ASPI

ASPI

Hledání v rejstřících

  • mapa serveru
  • o nás
  • reklama
  • podmínky provozu
  • kontakty
  • publikační podmínky
  • FAQ
  • obchodní a reklamační podmínky
  • Ochrana osobních údajů - GDPR
AIVD APEK 100 nej
© EPRAVO.CZ, a.s. 1999-2021, ISSN 1213-189X      developed by Actimmy
Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.

Jste zde poprvé?

Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.


Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního video tréningu od jednoho z nejznámějších českých advokátů a rozhodců JUDr. Martina Maisnera, Ph.D., MCIArb, a to "Taktika vyjednávání o smlouvách".


Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů