Informační systém dodaný externím dodavatelem nezbavuje správce odpovědnosti za správné zpracování osobních údajů

Úřad pro ochranu osobních údajů připomíná na základě svých dozorových poznatků odpovědnost správce i za takové zpracování osobních údajů, které je prováděno s využitím externího informačního systému, který si správce pořídil.

S ohledem na znění čl. 5 odst. 2 a čl. 24 GDPR je důležité připomenout, že za zpracování osobních údajů je vždy odpovědný správce osobních údajů. Ten má povinnost zajistit a být schopen doložit, že je zpracování prováděno v souladu s obecným nařízením.

Z hlediska ochrany osobních údajů je proto neakceptovatelné argumentovat skutečností, že správce využívá informační systém externího dodavatele, a že způsob či rozsah předmětného zpracování vyplývá z nastavení tohoto systému, který mu koupil či mu byl dodán.

V této souvislosti lze na základě dozorových poznatků Úřadu odkázat na nedávno provedenou kontrolu u veřejné vysoké školy, zaměřenou na zpracování osobních údajů v rámci přijímacího řízení. Přihláška ke studiu je podávána elektronicky prostřednictvím informačního systému a kontrolovaná osoba v průběhu kontroly mimo jiné též částečně argumentovala skutečností, že příslušný informační systém je dodáván externím dodavatelem a některé funkcionality vyplývají z nastavení tohoto systému. 

„Jednalo se například o překlápění osobního údaje z modulu „uchazeč“ do modulu „student“, a to s ohledem na rozsah shromažďovaných osobních údajů. Zejména pak šlo o způsob přihlášení do informačního systému pomocí rodného čísla. Tady Úřad v rámci provedené kontroly konstatoval, že je nepřípustné, aby rodné číslo uchazeče o studium bylo využíváno za účelem přihlašování do příslušného informačního systému, je-li přihláška ke studiu podávána elektronicky,“ uvedl ředitel odboru dozoru Jiří Žůrek. 

Není-li dán souhlas nositele rodného čísla, je využití rodného čísla pro účel přihlášení uchazeče o studium do informačního systému v rozporu s ustanoveními zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel). 

Účel takového zpracování není legitimní, čímž je porušena zásada účelového omezení dle čl. 5 odst. 1 písm. b) GDPR. Z hlediska ochrany osobních údajů pak zadání rodného čísla za účelem přihlášení do informačního systému, např. pouze v kombinaci s iniciálami uchazeče o studium, též přestavuje možné riziko pro zabezpečení zpracování, upravené čl. 32 obecného nařízení.

Při výběru informačního systému je nezbytné posouzení možností jeho funkcionalit a nastavení, a to zejména s ohledem na znění čl. 25 GDPR v oblasti záměrné a standardní ochrany osobních údajů a na základní zásady v článku 5 odst. 1 obecného nařízení (např. minimalizace údajů). 

„V případě složitějších informačních systémů by měl správce již od počátku, pokud možno, spolupracovat s jeho dodavatelem (vývojářem) tak, aby výsledný produkt odpovídal potřebám správce i s ohledem na jeho odpovědnost dle GDPR. Zároveň i dodavatelé softwarových řešení a systémů, byť nejsou přímo adresáty obecného nařízení, by měli mít na paměti povinnosti vyplývající z GDPR pro jejich zákazníky a tomu vývoj softwaru přizpůsobit,“ vysvětlil Žůrek.

Úřad též upozorňuje, že nelze automaticky předpokládat splnění všech povinností ochrany osobních údajů pouze na základě skutečnosti, že je stejný informační systém využíván taktéž dalšími obdobnými správci.


Téma: GDPR a IT systémy, Zdroj: Obrázek: Pixabay
Štítky: Implementace GDPR, Povinnosti správce, Zpracovatel
12.08.2020 (autor Redakce)





Související

EDPB udělil společnosti META pokutu 1,2 mld. eur

Pokuta byla společnosti Meta IE udělena na základě šetření její služby Facebook ze strany irského úřadu pro...

 vydáno 23.05.2023 
Téma: Zákony a GDPR

ÚOOÚ - Potvrzena miliónová pokuta pro Ministerstvo vnitra

Pokuta uložená Ministerstvu vnitra ČR ve výši 975 000 Kč za plošné zpracovávání údajů o osobách, kterým byla...

 vydáno 25.04.2023 
Téma: Zákony a GDPR

Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2022

Výroční zpráva ÚOOÚ za rok 2022 přináší přehled toho nejvýznamnějšího, čím se úřad zabýval, jaká témata...

 vydáno 04.04.2023 
Téma: Zákony a GDPR



Související dotazy
Odpovídá Ing. Vladimír Paclík
Dobrý den, ano, chápete to správně. Jednak není třeba souhlas - existuje zákonný rámec - Zákoník práce, pak také smluvní rámec (samozřejmě ten by...

Odpovídá Ing. Vladimír Paclík
Dobrý den, dle Vašeho dotazu předpokládám, že pronajímáte byt jako soukromá (fyzická) osoba. Přestože jste fyzickou osobou, Obecné nařízení se v...

Odpovídá Ing. Vladimír Paclík
Dobrý den, vzhledem k tomu, že jak Vy, tak Vaši klienti zpracováváte osobní údaje v rámci podnikání, stáváte se dle Obecného nařízení správci osobní...



www.helpgdpr.cz
© Copyright 2000 - 2024, všechna práva vyhrazena - European Business Enterprise, a.s., Spojovací 428, 251 63 Strančice
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz