ÚOOÚ: Informační systém od externího dodavatele nezbavuje správce odpovědnosti za správné zpracování osobních údajů

27.07.2020 18:13 | Zprávy

Úřad pro ochranu osobních údajů připomíná na základě svých dozorových poznatků odpovědnost správce i za takové zpracování osobních údajů, které je prováděno s využitím externího informačního systému, který si správce pořídil.

ÚOOÚ: Informační systém od externího dodavatele nezbavuje správce odpovědnosti za správné zpracování osobních údajů
Foto: ČT
Popisek: ÚOOÚ

S ohledem na znění čl. 5 odst. 2 a čl. 24 GDPR je důležité připomenout, že za zpracování osobních údajů je vždy odpovědný správce osobních údajů. Ten má povinnost zajistit a být schopen doložit, že je zpracování prováděno v souladu s obecným nařízením.

Z hlediska ochrany osobních údajů je proto neakceptovatelné argumentovat skutečností, že správce využívá informační systém externího dodavatele, a že způsob či rozsah předmětného zpracování vyplývá z nastavení tohoto systému, který mu koupil či mu byl dodán.

V této souvislosti lze na základě dozorových poznatků Úřadu odkázat na nedávno provedenou kontrolu u veřejné vysoké školy, zaměřenou na zpracování osobních údajů v rámci přijímacího řízení. Přihláška ke studiu je podávána elektronicky prostřednictvím informačního systému a kontrolovaná osoba v průběhu kontroly mimo jiné též částečně argumentovala skutečností, že příslušný informační systém je dodáván externím dodavatelem a některé funkcionality vyplývají z nastavení tohoto systému. 

„Jednalo se například o překlápění osobního údaje z modulu „uchazeč“ do modulu „student“, a to s ohledem na rozsah shromažďovaných osobních údajů. Zejména pak šlo o způsob přihlášení do informačního systému pomocí rodného čísla. Tady Úřad v rámci provedené kontroly konstatoval, že je nepřípustné, aby rodné číslo uchazeče o studium bylo využíváno za účelem přihlašování do příslušného informačního systému, je-li přihláška ke studiu podávána elektronicky,“ uvedl ředitel odboru dozoru Jiří Žůrek. 

Není-li dán souhlas nositele rodného čísla, je využití rodného čísla pro účel přihlášení uchazeče o studium do informačního systému v rozporu s ustanoveními zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel). 

Účel takového zpracování není legitimní, čímž je porušena zásada účelového omezení dle čl. 5 odst. 1 písm. b) GDPR. Z hlediska ochrany osobních údajů pak zadání rodného čísla za účelem přihlášení do informačního systému, např. pouze v kombinaci s iniciálami uchazeče o studium, též přestavuje možné riziko pro zabezpečení zpracování, upravené čl. 32 obecného nařízení.

Při výběru informačního systému je nezbytné posouzení možností jeho funkcionalit a nastavení, a to zejména s ohledem na znění čl. 25 GDPR v oblasti záměrné a standardní ochrany osobních údajů a na základní zásady v článku 5 odst. 1 obecného nařízení (např. minimalizace údajů). 

„V případě složitějších informačních systémů by měl správce již od počátku, pokud možno, spolupracovat s jeho dodavatelem (vývojářem) tak, aby výsledný produkt odpovídal potřebám správce i s ohledem na jeho odpovědnost dle GDPR. Zároveň i dodavatelé softwarových řešení a systémů, byť nejsou přímo adresáty obecného nařízení, by měli mít na paměti povinnosti vyplývající z GDPR pro jejich zákazníky a tomu vývoj softwaru přizpůsobit,“ vysvětlil Žůrek.

Úřad též upozorňuje, že nelze automaticky předpokládat splnění všech povinností ochrany osobních údajů pouze na základě skutečnosti, že je stejný informační systém využíván taktéž dalšími obdobnými správci.

Tento článek je uzamčen

Po kliknutí na tlačítko "odemknout" Vám zobrazíme odpovídající možnosti pro odemčení a případnému sdílení článku.

Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.

reklama

autor: Tisková zpráva

PhDr. Olga Richterová byl položen dotaz

Proč jste na navýšení rodičovského příspěvku netlačila víc dřív?

Myslím, když jste byli ve vládě? Myslíte, že teď něco zmůžete? A můžete aspoň říci, když už nejste ve vládě, proč a kdo byl proti navýšení rodičovské pro všechny a ve větší míře, která by zohledňovala inflaci a růst cen?

Odpověď na tento dotaz zajímá celkem čtenářů:


Tato diskuse je již dostupná pouze pro předplatitele.

Další články z rubriky

Celní správa: Podvodem si na fiktivních fakturách přišli na dvacet sedm milionů korun

7:31 Celní správa: Podvodem si na fiktivních fakturách přišli na dvacet sedm milionů korun

Na konci července provedli ústečtí celníci z odboru pátrání Generálního ředitelství cel na území Pra…