Postavení poskytovatelů služeb při zpracování osobních údajů
Nařízení EU o ochraně osobních údajů („GDPR“)[1], které upravuje pravidla při zpracování osobních údajů, primárně vychází ze zdánlivě jednoduchého rozlišení účastníků zpracování na tzv. správce (anglicky controllers) a zpracovatele (anglicky processors).
Naším cílem v tomto článku není podat detailní definice toho, kdo je správce a kdo zpracovatel osobních údajů. K tomu ostatně můžeme odkázat například na Pokyny Evropského sboru pro ochranu osobních (EDPB) č. 07/2020 k pojmu správce a zpracovatele podle GDPR.
Rádi bychom se ale zaměřili na jeden praktický případ, se kterým se opakovaně setkáváme a který vyvolává často neshody mezi zúčastněnými stranami. Jde o určení postavení a povinností při zpracování osobních údajů v případě poskytovatelů služeb v obchodních vztazích, ve kterých vystupují zpravidla dvě obchodní společnosti a dochází ke zpracování údajů klientů, případně zaměstnanců jedné z nich. Typicky může jít např. o dopravce zboží, který přijímá zakázku od e-shopu na dodání zboží jeho zákazníkovi, nebo poskytovatele služeb, které jsou využívány zaměstnanci jiné společnost (např. správa služebních platebních karet).
V praxi se často setkáváme s tím, že společnost poskytující údaje svých zákazníků nebo zaměstnanců automaticky předpokládá, že poskytovatel, jehož služby si pořizuje, je zpracovatelem osobních údajů. Tento přístup nicméně v mnoha případech považujeme za nesprávný.
Kdo je zpracovatelem?
Podle čl. 4/8 GDPR je „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. Přesněji řečeno, zpracovatel provádí zpracování za správce (viz oficiální corrigendum k obecnému nařízení čl. 28). Ještě jasněji je to pak uvedeno v anglické verzi GDPR, která používá spojení on behalf of (jménem, jako zástupce).
Toto vymezení jinými slovy určuje, že zpracovatel nemůže osobní údaje zpracovávat pro své vlastní účely[2], a zároveň to také znamená, že zpracovatel může zpracovávat osobní údaje pouze na základě pokynů správce a v jejich mezích (viz čl. 28/3/a GDPR). Jde tedy o jakousi formu delegace zpracování ze správce na zpracovatele.[3] Na tom nic nemění ani určitá míra autonomie při volbě prostředků zpracování, kterou zpracovateli GDPR umožňuje. Nesmí nicméně jít o podstatné aspekty zpracování.
Zpracovatel nesmí zpracovávat údaje pro vlastní účely – opravdu?
Požadavek na pouhopouhé robotické plnění pokynů je sám o sobě velmi problematický, nakolik i typičtí zpracovatelé (podle příkladů uvedených v pokynech, stanoviscích, rozhodnutích a dalších podobných dokumentech regulátorů nebo soudů) v mnoha případech určité zpracování pro vlastní účely provádět musí (např. z důvodu interní kontroly nebo obrany a vymáhání smluvních podmínek dohodnutých se správcem, případně pro plnění svých zákonných povinností). Idea čistého zpracovatele je tak v současném právním prostředí EU spíše iluzorní. V tomto smyslu je realističtější přístup kalifornského zákona o soukromí spotřebitelů („CCPA“)[4], který dává podnikům (businesses) určité úlevy z regulace při využití tzv. poskytovatelů služeb (service providers). Tito poskytovatelé jsou nicméně podle §999.314 prováděcích nařízení k CCPA oprávnění nad rámec zpracování nutného pro splnění smlouvy s podnikem zpracovávat údaje pro zákonem vymezené účely zahrnující:
- najmutí a zaměstnání jiného poskytovatele služeb jako subdodavatele;
- interní použití údajů poskytovatelem služeb k vybudování služeb nebo zlepšení jejich kvality za předpokladu, že toto použití nezahrnuje vytvoření nebo úpravu profilů domácností nebo spotřebitelů ani čištění nebo obohacování údajů získaných z jiného zdroje;
- odhalování bezpečnostních incidentů s údaji nebo ochranu před podvodnou nebo nezákonnou činností a
- k plnění právních povinností, jako je spolupráce s orgány činnými v trestním řízení a uplatňování nebo obhajoba právních nároků.
Tento přístup považujeme za lepší z hlediska reálného fungování dodavatelských vztahů. De lege ferenda jde podle našeho názoru o přístup, který by měla EU, potažmo členské státy zvážit.
Kdy jsou poskytovatelé služeb správci?
Pokud výše uvedená pravidla podle GDPR aplikujeme na námi vymezené vztahy, je zřejmé, že u řady poskytovatelů služeb nemůže v žádném případě jít o zpracovatele. V rámci jejich služeb dochází ke zpracování osobních údajů, které si sami určují jak co do jeho účelu, tak co do prostředků zpracování. Relevantní informace o zpracování osobních údajů v souladu s čl. 13 (případně 14) GDPR pak mají poskytovatelé popsány ve svých zásadách ochrany osobních údajů.
Tento přístup je podpořen aktuálními pokyny EDPB č. 07/2020 k pojmu správce a zpracovatele. Podle bodu 82. těchto pokynů je klíčovým faktorem pro posouzení postavení při zpracování povaha zpracování v kontextu specifických aktivit poskytovatele služeb, nikoli typ entity (myšleno zřejmě ve vztahu k poskytovateli služeb). Nelze tedy izolovaně hodnotit postavení jen podle typu vztahu, povahy osobních údajů ani kategorií subjektů údajů, kterých se zpracování týká. Vždy je nutné hodnotit celkový kontext zpracování.
EDPB v tomto smyslu uvádí, že tam, kde poskytované služby nejsou specificky zaměřené na zpracování osobních údajů nebo kde zpracování osobních údajů není klíčovým elementem služby, může být poskytovatel služby v pozici, kdy samostatně určuje účely a prostředky zpracování nutného k zajištění své služby. V takové situaci pak podle EDPB bude poskytovatel služeb samostatným správcem a nikoli zpracovatelem.
Tato poněkud krkolomná definice se podle našeho názoru dá zjednodušit tak, že osoba, která poskytuje vlastní služby, jejichž předmět a rozsah sama definuje, bude zpravidla správcem osobních údajů. To platí zejména tam, kde daná služba zahrnuje vysokou přidanou hodnotu, odbornost, autonomii rozhodování, nebo dokonce spadá do specifické právní regulace s pevně danými pravidly a povinnostmi (např. platební služby, nezávislé zprostředkování finančních služeb apod.).[5] V těchto případech si lze jen stěží představit situaci, kdy by objednatel služeb určoval, jak mají být takové služby poskytovány, eventuálně že by se služby poskytovaly pro každého objednatele jiným způsobem v závislosti na jeho pokynech.
|
Příklady
|
Kdy budou poskytovatelé přece jen zpracovateli?
Pouhým zpracovatelem a nikoli správcem naopak zpravidla bude osoba, která provádí triviální operace s osobními údaji (např. rozeslání dopisů na adresy určeném zadavatelem), nebo postupuje výlučně podle pokynů správce a nemá prostor pro vlastní rozhodování ohledně předmětu a rozsahu svých služeb.
|
Příklad
|
Relativně samostatnou kapitolou jsou pak poskytovatelé cloudových služeb nebo jiných úložišť, kteří se zpravidla také považují jen za zpracovatele osobních údajů, a to přestože nabízejí své služby široké veřejnosti a podle jimi definovaných pravidel. Důvodem je podle EDPB skutečnost, že konečné rozhodnutí o účelech a o tom, jak takové předem definované nástroje využije, dělá zákazník (původní správce údajů), a to včetně všech povinností a nutnosti zajistit, že poskytovatel cloudových služeb respektuje jeho pokyny.[9] Tento přístup nám nepřijde zcela konzistentní s výše uvedenými kritérii a pro praxi navíc velmi problematický, nakolik požadavek donutit některé poskytovatele cloudových služeb respektovat specifické pokyny jednotlivých zákazníků/správců je mimo jejich reálné možnosti.
Kdy nebude poskytovatel služeb ani správcem, ani zpracovatelem?
Specifickým případem jsou situace, kdy osoba vůbec ke své činnosti osobní údaje nepotřebuje, ale může se k nim za určitých podmínek dostat (ať už náhodou, nebo i vědomě). V těchto případech je na místě primárně zajistit takové smluvní podmínky a záruky, aby nedošlo k ohrožení osobních údajů, případně si ujednat postup pro případ, že k tomu i přes tyto záruky dojde (např. ve smyslu ohlášení situace, zajištění bezpečnosti osobních údajů a zamezení dalšímu opakování nebo zhoršení situace).
|
Příklad
|
Závěrem
Jak jsme v předchozím textu naznačili, zjednodušený přístup k poskytovatelům služeb, který jim automaticky přisuzuje postavení zpracovatelů, není v mnoha případech správný. Vždy bude záležet na konkrétním kontextu zpracování osobních údajů. Z uvedených příkladů a stanovisek dozorových úřadů se nicméně dá usuzovat, že poskytovatelů služeb, kteří budou jen zpracovateli, je podstatně méně, než by se na první pohled mohlo zdát. V řadě oblastí bude dokonce podle nás potřeba vztahy znovu revidovat a posoudit, zda skutečně v daných případech jsou poskytovatelé služeb pouhými zpracovateli ve smyslu GDPR.
Jinou možností je pak přehodnotit extrémně úzké vymezení zpracovatele podle GDPR jako takového. V tomto ohledu hodnotíme jako lepší přístup kalifornského zákona o soukromí spotřebitelů a jeho definici poskytovatelů služeb, která jim nad rámec zpracování nezbytného pro plnění smlouvy umožňuje zpracovávat osobní údaje i pro další zákonem vymezené účely, aniž by ztratili postavení poskytovatele služeb.
Ing. Mgr. Jakub Hruška, CIPP/E
U průhonu 1589/13a, Holešovice
170 00 Praha 7
email: info@heresova.cz
[1] NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
[2] Pokyny EDPB č. 07/2020 k pojmu správce a zpracovatele, bod 80.
[3] Pokyny EDPB č. 07/2020 k pojmu správce a zpracovatele, bod 80.
[5] Viz například také stanovisko britského ICO ohledně postavení specializovaných poskytovatelů služeb: Pokud specializovaní poskytovatelé služeb zpracovávají údaje v souladu se svými profesními povinnostmi, vystupují vždy jako správce (viz >>> zde).
[6] Pokyny EDPB č. 07/2020 k pojmu správce a zpracovatele, bod 82.
[9] Pokyny EDPB č. 07/2020 k pojmu správce a zpracovatele, bod 84.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
