Informační systém dodaný externím dodavatelem nezbavuje správce odpovědnosti za správné zpracování osobních údajů

Úřad pro ochranu osobních údajů připomíná na základě svých dozorových poznatků odpovědnost správce i za takové zpracování osobních údajů, které je prováděno s využitím externího informačního systému, který si správce pořídil.

S ohledem na znění čl. 5 odst. 2 a čl. 24 GDPR je důležité připomenout, že za zpracování osobních údajů je vždy odpovědný správce osobních údajů. Ten má povinnost zajistit a být schopen doložit, že je zpracování prováděno v souladu s obecným nařízením.

Z hlediska ochrany osobních údajů je proto neakceptovatelné argumentovat skutečností, že správce využívá informační systém externího dodavatele, a že způsob či rozsah předmětného zpracování vyplývá z nastavení tohoto systému, který mu koupil či mu byl dodán.

V této souvislosti lze na základě dozorových poznatků Úřadu odkázat na nedávno provedenou kontrolu u veřejné vysoké školy, zaměřenou na zpracování osobních údajů v rámci přijímacího řízení. Přihláška ke studiu je podávána elektronicky prostřednictvím informačního systému a kontrolovaná osoba v průběhu kontroly mimo jiné též částečně argumentovala skutečností, že příslušný informační systém je dodáván externím dodavatelem a některé funkcionality vyplývají z nastavení tohoto systému. 

„Jednalo se například o překlápění osobního údaje z modulu „uchazeč“ do modulu „student“, a to s ohledem na rozsah shromažďovaných osobních údajů. Zejména pak šlo o způsob přihlášení do informačního systému pomocí rodného čísla. Tady Úřad v rámci provedené kontroly konstatoval, že je nepřípustné, aby rodné číslo uchazeče o studium bylo využíváno za účelem přihlašování do příslušného informačního systému, je-li přihláška ke studiu podávána elektronicky,“ uvedl ředitel odboru dozoru Jiří Žůrek. 

Není-li dán souhlas nositele rodného čísla, je využití rodného čísla pro účel přihlášení uchazeče o studium do informačního systému v rozporu s ustanoveními zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel). 

Účel takového zpracování není legitimní, čímž je porušena zásada účelového omezení dle čl. 5 odst. 1 písm. b) GDPR. Z hlediska ochrany osobních údajů pak zadání rodného čísla za účelem přihlášení do informačního systému, např. pouze v kombinaci s iniciálami uchazeče o studium, též přestavuje možné riziko pro zabezpečení zpracování, upravené čl. 32 obecného nařízení.

Při výběru informačního systému je nezbytné posouzení možností jeho funkcionalit a nastavení, a to zejména s ohledem na znění čl. 25 GDPR v oblasti záměrné a standardní ochrany osobních údajů a na základní zásady v článku 5 odst. 1 obecného nařízení (např. minimalizace údajů). 

„V případě složitějších informačních systémů by měl správce již od počátku, pokud možno, spolupracovat s jeho dodavatelem (vývojářem) tak, aby výsledný produkt odpovídal potřebám správce i s ohledem na jeho odpovědnost dle GDPR. Zároveň i dodavatelé softwarových řešení a systémů, byť nejsou přímo adresáty obecného nařízení, by měli mít na paměti povinnosti vyplývající z GDPR pro jejich zákazníky a tomu vývoj softwaru přizpůsobit,“ vysvětlil Žůrek.

Úřad též upozorňuje, že nelze automaticky předpokládat splnění všech povinností ochrany osobních údajů pouze na základě skutečnosti, že je stejný informační systém využíván taktéž dalšími obdobnými správci.


Téma: GDPR a IT systémy, Zdroj: Obrázek: Pixabay
Štítky: Implementace GDPR, Povinnosti správce, Zpracovatel
12.08.2020 (autor Redakce)





Související

Zpracování osobních údajů v rámci opatření proti šíření koronaviru

V současné mimořádné situaci vyvstávají otázky týkající se zpracování osobních údajů o zdravotním stavu...

 aktualizováno 17.09.2020 
Téma: Evidence zpracování

Nejčastější nedorozumění v oblasti zpracování biometrických údajů

Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách vlastní neoficiální překlad materiálu...

 vydáno 12.08.2020 
Téma: GDPR a procesy

Ochrana soukromí v době koronavirové a projekt Chytrá karanténa

Předsedkyně Úřadu pro ochranu osobních údajů Ivana Janů shrnula postoj své instituce k aktuálnímu tématu na...

 vydáno 29.06.2020 
Téma: GDPR a procesy



Související dotazy
Odpovídá Ing. Vladimír Paclík
Dobrý den, ano, chápete to správně. Jednak není třeba souhlas - existuje zákonný rámec - Zákoník práce, pak také smluvní rámec (samozřejmě ten by...

Odpovídá Ing. Vladimír Paclík
Dobrý den, dle Vašeho dotazu předpokládám, že pronajímáte byt jako soukromá (fyzická) osoba. Přestože jste fyzickou osobou, Obecné nařízení se v...

Odpovídá Ing. Vladimír Paclík
Dobrý den, vzhledem k tomu, že jak Vy, tak Vaši klienti zpracováváte osobní údaje v rámci podnikání, stáváte se dle Obecného nařízení správci osobní...



www.helpgdpr.cz
© Copyright 2000 - 2020, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz