Otázka postavení správce a zpracovatele podle Nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen „Obecné nařízení“, je v praxi řešeno velmi často. Z jednoznačného určení pozic v rámci ochrany osobních údajů vyplývá plnění dalších povinností, které vyplývají z Obecného nařízení, dále vzájemné vztahy odpovědnosti, možnost udílet pokyny a v neposlední řadě i podoba smluvního vztahu a obsah smlouvy. Obvykle nebývá příliš komplikované definovat, kdo v daném vztahu je správce a kdo zpracovatel, či zda se jedná o vztah dvou správců. Oblast, kde se otázky objevují opakovaně, je oblast IT. Dodavatele služeb v oblasti IT využívá téměř každý napříč obory v soukromé i veřejné sféře, a to včetně obcí a jejich příspěvkových organizací. Mezi správcem a zpracovatelem musí být uzavřena smlouva, jejíž parametry jsou poměrně podrobně stanoveny v Obecném nařízení. Rozpoznání jednotlivých úloh je proto klíčové nejen pro správné nastavení smluvního vztahu, ale i pro nastavení odpovědnosti. Z praxe vyplývá, že dodavatel, byť je v pozici zpracovatele, se sám k odpovědnosti nehlásí, a je třeba podmínky zakotvit ve smlouvě.
Postavení správce a zpracovatele v oblasti IT
JUDr.
Eva
Janečková,
Michal
Merta,
MBA, MSc., LL.M.,
Jiří
Jurajda,
MSc.
Pozice správce a zpracovatele obecně
Správcem je podle článku 4 odst. 7 Obecného nařízení fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.
Jinak řečeno, správcem je každý, kdo určuje prostředky a účel zpracování osobních údajů, přičemž není rozhodné, zda se jedná o fyzickou či právnickou osobu, rozhodná není ani její povaha. Důležité a rozhodující je, že se dotyčný rozhodl osobní údaje systematicky zpracovávat nebo je mu zpracování uloženo zákonem jako povinnost (např. orgány veřejné správy).
Zpracováním osobních údajů může správce provádět sám, nebo může k této činnosti někoho zmocnit nebo pověřit. Podle čl. 4 odst. 8 Obecného nařízení je „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. Zpracovatel je v pozici, kdy „pouze“ provádí zpracovávání osobních údajů. Neurčuje účel a prostředky zpracování osobních údajů, nemusí provádět zpracování od začátku do konce, od shromažďování po likvidaci, ale může provádět jen některou (či některé) činnost související se zpracováním. Nemusí tedy jít vždy o subjekt, který osobní údaje shromáždil. Zpracovatel může zpracovávat údaje buď na základě výslovného zákonného zmocnění, nebo je-li k tomu zmocněn správcem nebo na základě smluvního ujednání.
Z pohledu odpovědnosti za zpracování osobních údajů nelze být zároveň v postavení správce a zpracovatele, resp. při zpracování za jedním účelem nelze být v obou pozicích, subjekt však může být pro jeden účel správce a pro jiný zpracovatelem.
Zpracovatel začne vykonávat svou činnost až ve chvíli, kdy se správce rozhodne, že některou z činností nebude z nějakého důvodu provádět sám, ale raději využije jiného subjektu, který bude vykonávat tuto činnost pro správce, resp. místo něj a stává se tak v oblasti ochrany osobních údajů dodavatelem služeb.
Otázky kolem postavení správce a zpracovatele v oblasti IT
Často také dochází k diskuzím, které vychází ze znění čl. 4 odst. 2 Obecného nařízení, podle něhož je zpracováním jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání,
nahlédnutí
, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. Tato problematika se týká zejména oblasti IT, především provádění různých servisních prací, nicméně nejen těch. Jak již bylo řečeno, zpracovatel je subjekt odlišný od správce, který byl pověřen správcem, aby na základě jeho pokynů prováděl zpracování osobních údajů, které by jinak prováděl správce sám. V případě, že poskytování servisních prací, jejichž předmět nespočívá ve zpracování osobních údajů, ale při jejichž výkonu nelze vyloučit nahlédnutí na osobní údaje servisním pracovníkem, bude považováno za zpracování zpracovatelem, znamenalo by to nezbytně, že „teoretické nahlížení na osobní údaje“ je operací zpracování, kterou správce pověřil zpracovatele. Takový výklad by však byl nesprávný.
Ve chvíli, kdy se jedná o jinou činnost než poskytování běžných servisních prací, vznikají další pochybnosti.
Ve chvíli, kdy je vybírán dodavatel IT řešení (dále jen „Řešení“), může se objevit otázka, nakolik jsou při poskytování tohoto řešení její poskytovatelé v postavení zpracovatelů osobních údajů, tedy nakolik vykonávají pro svého klienta jakožto správce údajů činnost zpracování, aniž by zároveň určovali jeho účel prostředky.
V praxi se lze setkat se dvěma přístupy:
1.
Dodavatel převezme veškeré závazky vyplývající z postavení zpracovatele a podepíše smlouvu o zpracování, aniž by blíže zkoumal, zda je opravdu v této pozici – motivem často bývá posílení postavení proti konkurenci.
2.
Dodavatel odmítá převzít jakékoli závazky v oblasti ochrany osobních údajů s odůvodněním, že nemůže plně kontrolovat a ovlivňovat zpracování těchto údajů, neprovádí proto zpracování, za které by měl nést odpovědnost.
To, zda se dodavatel nachází v pozici zpracovatele, však není na jeho rozhodnutí.
Nejčastější varianty řešení
Než bude rozhodnuto o tom, jaké Řešení a od jakého dodavatele bude pořízeno, měla by před takovým rozhodnutím existovat alespoň základní představa o parametrech takového Řešení. Řešením – je myšleno včetně všech komponent, knihoven či technologií třetích stran, které jsou součástí dodávky nezbytně nutné pro řádný provoz. Parametry Řešení budou rozhodovat v budoucnu o některých „starostech“, které se typicky s pořízením a provozem takových Řešení pojí. Co je těmi parametry myšleno?
–
Jakým způsobem bude dané Řešení pořízeno?
–
Jak bude dané Řešení provozováno?
–
Kdo bude dané Řešení provozovat?
–
Kdo bude odpovídat za ochranu osobních údajů a případné sankce?
Stanovení možnosti vybrat si dodavatele umožňuje obvykle vyjednávání o podmínkách, za jakých bude Řešení
pořízeno
a následně provozováno
. Ač se na první pohled může zdát, že se jedná o banální záležitost, z pohledu ochrany osobních údajů je vyřešení těchto otázek zásadní záležitostí.Pořízení Řešení a zajištění podpory provozu je možno realizovat několika způsoby, mezi nejběžnější patří:
1. Varianta č. 1
– Pořízení a implementace Řešení na vlastním prostředí včetně zajištění podpory provozu, a to buď za pomocí:a.
vlastních zdrojů,
b.
nebo třetích stran.
2. Varianta č. 2
– Pořízení Řešení a implementace na pronajatém prostředí (např. cloud) včetně zajištění podpory provozu, a to bud za pomocí:a.
vlastních zdrojů,
b.
nebo třetích stran.
3. Varianta č. 3
– Pořízením Řešení formou SaaS (Software jako služba)1).Varianta č. 1
Řešení bude pořízeno např. formou kupní smlouvy
(či smlouvy o dílo), jejíž přílohou nebo součástí jsou i licenční podmínky, tj. jakým způsobem je možné dané Řešení používat a za jakých podmínek. Samotné řešení je následně implementováno (jinak řečeno nainstalováno), tak aby bylo možné řádně plnit svou funkci ve vlastním IT prostředí nabyvatele
. Po implementaci a otestování skutečnosti, že Řešení funguje správně, proběhne zaškolení příslušných uživatelů a případně podpory provozu. Od této chvíle je Řešení připraveno k řádnému provozu. Ještě je nezbytné si uvědomit, že pokud pro dané Řešení podpory provozu bude použito třetích stran, je nutné takovou službu smluvně zabezpečit. Nezřídka kdy podporu provozu Řešení poskytuje dodavatel Řešení. Avšak i v tomto případě je potřeba danou službu smluvně zabezpečit.Vzájemné vztahy:
Nabyvatel je primárně odpovědný za osobní údaje z pozice Správce. Část této odpovědnosti může přenést na dodavatele Řešení, případně na třetí stranu poskytující provoz a podporu IT frontend prostředí nabyvatele. Aby to bylo možné, je potřeba dodržet (žádat) garance a záruky tak, jak je popsáno výše, a to písemnou formu.Varianta č. 2
Řešení bude pořízeno např. formou kupní smlouvy
(či smlouvy o dílo), jejíž přílohou nebo součástí jsou i licenční podmínky, tj. jakým způsobem je možné dané Řešení používat a za jakých podmínek. Samotné řešení je následně implementováno (jinak řečeno nainstalováno), tak aby bylo možné řádně plnit svou funkci v pronajatém IT prostředí, které poskytuje třetí strana (cloud)
. Po implementaci a otestování skutečnosti, že Řešení funguje správně, proběhne zaškolení příslušných uživatelů, poskytovatele IT prostředí, případně podpory provozu a třetí strany (dle potřeb). Od této chvíle je Řešení připraveno k řádnému provozu. Ještě je nezbytné si uvědomit, že pokud pro dané Řešení podpory provozu bude použito třetích stran, je nutné takovou službu smluvně zabezpečit. Nezřídka kdy podporu provozu Řešení poskytuje dodavatel Řešení. Avšak i v tomto případě je potřeba danou službu smluvně zabezpečit.Tato varianta je obdobná jako varianta č. 1, jen s tím rozdílem, že IT prostředí, na kterém bude provozováno Řešení, není ve vlastnictví nabyvatele, ale je poskytováno třetí stranou. Na jedné straně odpadá pro nabyvatele starost se zajištěním IT prostředí a veškeré opatření týkající se bezpečnosti provozu Řešení. Tato odpovědnost je přenesena na třetí stranu, která bude poskytovat dané IT prostředí. Neznamená to však, že se nabyvatel zbavil všech problémů s bezpečností zpracování osobních údajů. Sice provoz IT prostředí, kde je Řešení naimplemetováno, zajišťuje třetí strana, za produkt garanci nese dodavatel Řešení, ale jsou zde ještě další důležité aspekty. Prvním z nich je IT frontend prostředí, kde je umístěno IT nabyvatele (tzv. vlastní síť, počítače, periferie apod.). Další aspekty jsou popsány níže v kapitole zabývající se provozem Řešení.
Vzájemné vztahy:
Nabyvatel je primárně odpovědný za osobní údaje z pozice Správce. Část této odpovědnosti může přenést na dodavatele Řešení, Poskytovatele IT prostředí pro provoz Řešení, případně poskytovatele provozu a správu IT frontend prostředí nabyvatele. Aby to bylo možné, je potřeba dodržet (žádat) garance a záruky tak, jak je popsáno výše, a to písemnou formu.Varianta č. 3
Řešení nebude klasicky pořízeno, ale bude pronajato formou kompletního pronájmu Řešení, tj. IT prostředí Iaa2) + software SaaS od poskytovatele včetně kompletního zajištění provozu, podpory, maintenance a samotné licence např. formou inominátní smlouvy3). Odpadá tím spousta starostí např. pořízení a provoz IT prostředí pro Řešení včetně správy, implementace Řešení, apod. Obvykle zde dochází „pouze“ ke customizaci Řešení (tj. úpravě a nastavení parametrů) na podmínky nájemce. Samozřejmě zůstává pouze starost o vlastní IT prostředí nájemce, zde je situace obdobná jako v ostatních variantách.
Po customizaci, zaškolení, otestování, proběhne spuštění ostrého provozu Řešení a činnosti stejné jako ve variantách výše.
Řešení včetně IT infrastruktury je kompletně pronajato od poskytovatele. Z tohoto důvodu v případě vzniklé škody lze uplatňovat náhradu po poskytovateli, způsobenou v rámci Řešení. Znamená to však, že je třeba se předem připravit a dodržovat příslušná pravidla tak, aby bylo možné takovou škodu po poskytovateli úspěšně vymáhat.
Vzájemné vztahy:
Nabyvatel je primárně odpovědný za osobní údaje z pozice Správce. Část této odpovědnosti může přenést na poskytovatele Řešení a jeho příslušné IT infrastruktury, případně poskytovatele provozu a správu IT frontend prostředí nabyvatele. Aby to bylo možné, je potřeba dodržet (žádat) garance a záruky tak, jak je popsáno výše, a to písemnou formu.Pro vyjasnění vzájemných vztahů v oblasti ochrany osobních údajů je nezbytně nutné pečlivě zvolit vhodné řešení a v návaznosti na to i správně naformulovat smlouvy a jejich obsah.
1) SaaS (Software as a Service) – způsob poskytování licencí software, při kterém se nekupuje licence software, ale používá se formou služby. Jedná se o pronájem softwaru. Software se nevlastní, ale využívá se po dobu, kdy je za něj placen poplatek. Daný software musí být aktuální a udržovaný v souladu s příslušnou legislativou. Daný software je provozován na IT prostředí poskytovatele služeb. Záleží na nastavení parametrů služby obvykle pomocí SLA. Obvykle je kombinován s IaaS (Infrastructure as a Service).
2) IaaS (Infrastructure as a Service) – služba znamená poskytování výpočetního výkonu nebo infrastruktury (hardware) nebo datových úložišť konečným uživatelům, obvykle firmám formou služby, tedy pronájmu.
3) § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „NOZ“), závazek poskytovatele zpřístupnit software nacházející se na jeho serverech, provádět pravidelnou údržbu a aktualizaci, poskytnout objednateli licenci k užívání a zajistit požadovanou dostupnost.