Informační systém dodaný externím dodavatelem nezbavuje správce odpovědnosti za správné zpracování osobních údajů
Úřad pro ochranu osobních údajů připomíná na základě svých dozorových poznatků odpovědnost správce i za takové zpracování osobních údajů, které je prováděno s využitím externího informačního systému, který si správce pořídil.
S ohledem na znění čl. 5 odst. 2 a čl. 24 GDPR je důležité připomenout, že za zpracování osobních údajů je vždy odpovědný správce osobních údajů. Ten má povinnost zajistit a být schopen doložit, že je zpracování prováděno v souladu s obecným nařízením.
Z hlediska ochrany osobních údajů je proto neakceptovatelné argumentovat skutečností, že správce využívá informační systém externího dodavatele, a že způsob či rozsah předmětného zpracování vyplývá z nastavení tohoto systému, který mu koupil či mu byl dodán.
V této souvislosti lze na základě dozorových poznatků Úřadu odkázat na nedávno provedenou kontrolu u veřejné vysoké školy, zaměřenou na zpracování osobních údajů v rámci přijímacího řízení. Přihláška ke studiu je podávána elektronicky prostřednictvím informačního systému a kontrolovaná osoba v průběhu kontroly mimo jiné též částečně argumentovala skutečností, že příslušný informační systém je dodáván externím dodavatelem a některé funkcionality vyplývají z nastavení tohoto systému.
„Jednalo se například o překlápění osobního údaje z modulu ‚uchazeč‘ do modulu ‚student‘, a to s ohledem na rozsah shromažďovaných osobních údajů. Zejména pak šlo o způsob přihlášení do informačního systému pomocí rodného čísla. Tady Úřad v rámci provedené kontroly konstatoval, že je nepřípustné, aby rodné číslo uchazeče o studium bylo využíváno za účelem přihlašování do příslušného informačního systému, je-li přihláška ke studiu podávána elektronicky,“ uvedl ředitel odboru dozoru Jiří Žůrek.
Není-li dán souhlas nositele rodného čísla, je využití rodného čísla pro účel přihlášení uchazeče o studium do informačního systému v rozporu s ustanoveními zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel).
Účel takového zpracování není legitimní, čímž je porušena zásada účelového omezení dle čl. 5 odst. 1 písm. b) GDPR. Z hlediska ochrany osobních údajů pak zadání rodného čísla za účelem přihlášení do informačního systému, např. pouze v kombinaci s iniciálami uchazeče o studium, též představuje možné riziko pro zabezpečení zpracování, upravené čl. 32 obecného nařízení.
Při výběru informačního systému je nezbytné posouzení možností jeho funkcionalit a nastavení, a to zejména s ohledem na znění čl. 25 GDPR v oblasti záměrné a standardní ochrany osobních údajů a na základní zásady v článku 5 odst. 1 obecného nařízení (např. minimalizace údajů).
„V případě složitějších informačních systémů by měl správce již od počátku, pokud možno, spolupracovat s jeho dodavatelem (vývojářem) tak, aby výsledný produkt odpovídal potřebám správce i s ohledem na jeho odpovědnost dle GDPR. Zároveň i dodavatelé softwarových řešení a systémů, byť nejsou přímo adresáty obecného nařízení, by měli mít na paměti povinnosti vyplývající z GDPR pro jejich zákazníky a tomu vývoj softwaru přizpůsobit,“ vysvětlil Žůrek.
Úřad též upozorňuje, že nelze automaticky předpokládat splnění všech povinností ochrany osobních údajů pouze na základě skutečnosti, že je stejný informační systém využíván taktéž dalšími obdobnými správci.