Informační systém dodaný externím dodavatelem nezbavuje správce odpovědnosti za správné zpracování osobních údajů
Úřad pro ochranu osobních údajů připomíná na základě svých dozorových poznatků odpovědnost správce i za takové zpracování osobních údajů, které je prováděno s využitím externího informačního systému, který si správce pořídil.
S ohledem na znění čl. 5 odst. 2 a čl. 24 GDPR je důležité připomenout, že za zpracování osobních údajů je vždy odpovědný správce osobních údajů. Ten má povinnost zajistit a být schopen doložit, že je zpracování prováděno v souladu s obecným nařízením.
Z hlediska ochrany osobních údajů je proto neakceptovatelné argumentovat skutečností, že správce využívá informační systém externího dodavatele, a že způsob či rozsah předmětného zpracování vyplývá z nastavení tohoto systému, který mu koupil či mu byl dodán.
V této souvislosti lze na základě dozorových poznatků Úřadu odkázat na nedávno provedenou kontrolu u veřejné vysoké školy, zaměřenou na zpracování osobních údajů v rámci přijímacího řízení. Přihláška ke studiu je podávána elektronicky prostřednictvím informačního systému a kontrolovaná osoba v průběhu kontroly mimo jiné též částečně argumentovala skutečností, že příslušný informační systém je dodáván externím dodavatelem a některé funkcionality vyplývají z nastavení tohoto systému.
„Jednalo se například o překlápění osobního údaje z modulu „uchazeč“ do modulu „student“, a to s ohledem na rozsah shromažďovaných osobních údajů. Zejména pak šlo o způsob přihlášení do informačního systému pomocí rodného čísla. Tady Úřad v rámci provedené kontroly konstatoval, že je nepřípustné, aby rodné číslo uchazeče o studium bylo využíváno za účelem přihlašování do příslušného informačního systému, je-li přihláška ke studiu podávána elektronicky,“ uvedl ředitel odboru dozoru Jiří Žůrek.
Není-li dán souhlas nositele rodného čísla, je využití rodného čísla pro účel přihlášení uchazeče o studium do informačního systému v rozporu s ustanoveními zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel).
Účel takového zpracování není legitimní, čímž je porušena zásada účelového omezení dle čl. 5 odst. 1 písm. b) GDPR. Z hlediska ochrany osobních údajů pak zadání rodného čísla za účelem přihlášení do informačního systému, např. pouze v kombinaci s iniciálami uchazeče o studium, též přestavuje možné riziko pro zabezpečení zpracování, upravené čl. 32 obecného nařízení.
Při výběru informačního systému je nezbytné posouzení možností jeho funkcionalit a nastavení, a to zejména s ohledem na znění čl. 25 GDPR v oblasti záměrné a standardní ochrany osobních údajů a na základní zásady v článku 5 odst. 1 obecného nařízení (např. minimalizace údajů).
„V případě složitějších informačních systémů by měl správce již od počátku, pokud možno, spolupracovat s jeho dodavatelem (vývojářem) tak, aby výsledný produkt odpovídal potřebám správce i s ohledem na jeho odpovědnost dle GDPR. Zároveň i dodavatelé softwarových řešení a systémů, byť nejsou přímo adresáty obecného nařízení, by měli mít na paměti povinnosti vyplývající z GDPR pro jejich zákazníky a tomu vývoj softwaru přizpůsobit,“ vysvětlil Žůrek.
Úřad též upozorňuje, že nelze automaticky předpokládat splnění všech povinností ochrany osobních údajů pouze na základě skutečnosti, že je stejný informační systém využíván taktéž dalšími obdobnými správci.
Související
Pokuta byla společnosti Meta IE udělena na základě šetření její služby Facebook ze strany irského úřadu pro...
vydáno 23.05.2023
Téma: Zákony a GDPR
Pokuta uložená Ministerstvu vnitra ČR ve výši 975 000 Kč za plošné zpracovávání údajů o osobách, kterým byla...
vydáno 25.04.2023
Téma: Zákony a GDPR
Výroční zpráva ÚOOÚ za rok 2022 přináší přehled toho nejvýznamnějšího, čím se úřad zabýval, jaká témata...
vydáno 04.04.2023
Téma: Zákony a GDPR
Související dotazy
Odpovídá Vladimír Paclík
Ano, rozumíte tomu správně. Pro zpracování osobních údajů existuje zákonný rámec, jímž je především zákon č. 262/2006 Sb., zákoník práce, ve znění...
Odpovídá Mgr. Martin Leskovjan
Ano, i vizitka může obsahovat osobní údaje a ve většině případů osobní údaje obsahuje, a to pokud zahrnuje informace, kterými lze přímo nebo nepřímo...
Odpovídá Mgr. Nikola Dohnalová
Pověřenec pro ochranu osobních údajů vykonává úkoly dle čl. 39 GDPR. Dle čl. 38 odst. 3 GDPR musí správce a zpracovatel zajistit, aby pověřenec...