Proč je poskytovatel IT služeb zpracovatel?

Proč je poskytovatel IT služeb zpracovatel?

GDPR

GDPR výrazně ovlivňuje to, jak organizace pracují s osobními údaji. Kromě zaměstnanců firmy, kteří s údaji pracují přímo, je důležité věnovat pozornost také externím subjektům, které mohou mít k údajům přístup během poskytování svých služeb.

Typickým příkladem je poskytovatel IT služeb, který zajišťuje servis, údržbu, technickou podporu nebo správu informačních systémů.

Řada zaměstnanců, ale i někteří dodavatelé, si neuvědomují, že už samotná možnost nahlédnout do osobních údajů znamená, že dodavatel podle GDPR plní roli zpracovatele. Proto je důležité pochopit, proč tomu tak je a jaké to má dopady pro naši organizaci. 

Podle článku. 4 GDPR - „zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Kdo je zpracovatel podle GDPR?

Podle GDPR je zpracovatel subjekt, který:

  • zpracovává osobní údaje jménem správce,
  • a jedná podle jeho pokynů.

To znamená, že pokud externí firma vykonává jakoukoli činnost, při níž může vidět, získat nebo zpracovávat osobní údaje – byť jen nepřímo během údržby – automaticky spadá do kategorie zpracovatelů.

Při poskytování IT služeb vznikají situace, kdy IT specialista:

  • řeší problém v databázi,
  • provádí údržbu systému,
  • diagnostikuje chybu,
  • má vzdálený přístup do systému,
  • aktualizuje software nebo upravuje konfigurace,
  • zálohuje data nebo obnovuje zálohu,
  • provádí migraci dat.

V těchto případech může – alespoň potenciálně – nahlédnout do osobních údajů uložených v systému. A to zcela postačuje k tomu, aby byl podle GDPR považován za zpracovatele. GDPR chápe už samotnou možnost přístupu k osobním údajům jako jejich zpracování.

Proto se na poskytovatele IT podpory vztahují stejná pravidla jako na jakýkoli jiný subjekt, který údaje zpracovává jménem správce.

Evropský sbor pro ochranu údajů (EDPB) ve svém pokynu 07/2020 uvádí, že poskytovatel služeb může jednat jako zpracovatel i tehdy, když zpracování osobních údajů není hlavním předmětem poskytované podpůrné služby, ale je nezbytné, aby měl poskytovatel IT služeb při provádění služby systematický přístup k osobním údajům.

Proč nelze poskytovatele IT služeb považovat za „třetí stranu“?

Třetí strana je podle GDPR subjekt, který:

  • nemá žádnou roli při zpracování osobních údajů,
  • a údaje od správce neobdrží ani k nim nemá přístup.

Protože poskytovatel IT podporuje systém, v němž jsou údaje uloženy, je součástí procesu zpracování. Z právního hlediska tedy nemůže být třetí stranou.

Co to znamená pro naši organizaci?

Poskytovatel IT služeb, který má potenciální přístup k osobním údajům, je zpracovatel podle GDPR.

Se zpracovatelem musíte uzavřít smlouvu o zpracování osobních údajů v souladu s čl. 28 GDPR. Takový právní akt musí mít písemnou podobu, včetně elektronické formy. Písemná smlouva podle článku 28 odst. 3 nařízení může být součástí širší smlouvy, například SLA (service level agreement). EDPB doporučuje, aby prvky týkající se článku 28 byly jasně identifikovány na jednom místě (například v příloze). 

Smlouva musí minimálně obsahovat:

  • povahu a účel zpracování,
  • typ osobních údajů a kategorie subjektů údajů,
  • povinnosti a práva správce,
  • bezpečnostní a organizační opatření,
  • povinnost zachování mlčenlivosti,
  • pravidla auditu a kontroly,
  • pravidla pro dalšího zpracovatele (subdodavatele),
  • pravidla oznamování incidentů,
  • dobu zpracování.

Správce je povinen využívat pouze zpracovatele, kteří poskytují dostatečné záruky, že budou přijata vhodná technická a organizační opatření. Správce musí posoudit jejich dostatečnost a být schopen prokázat, že zohlednil všechny požadavky GDPR.

Při hodnocení záruk by měl správce zohlednit:

  • odborné znalosti zpracovatele (např. v oblasti bezpečnosti a řešení incidentů),
  • jeho spolehlivost,
  • jeho zdroje.

Dodržování těchto zásad chrání organizaci před chybami, incidenty i sankcemi a zajišťuje bezpečné a profesionální zpracování osobních údajů.

Nezapomeňte, že:

  • Povinnost využívat jen zpracovatele poskytující dostatečné záruky je průběžná – nekončí podpisem smlouvy. Správce musí záruky pravidelně ověřovat, případně pomocí auditů.
  • Externí IT pracovníci nejsou „kolegové“ – vůči GDPR jde o externí subjekty s přísným bezpečnostním režimem.

Jak řídit externí IT specialisty?

Při práci externích IT specialistů je nezbytné dodržovat přísná pravidla::

  1. Omezte přístupy externích techniků jen na nezbytný rozsah
    Udělte pouze taková oprávnění, která jsou nutná pro konkrétní zásah (princip nejnižších práv).
  2. Každý vzdálený přístup musí být chráněn MFA
    Vzdálený přístup do sítě nebo systému musí být zabezpečen vícefaktorovým ověřením.
  3. Každý vzdálený přístup musí být předem schválen
    Schvaluje jej oprávněná osoba (např. IT administrátor nebo manažer kybernetické a informační bezpečnosti).
  4. Monitorujte a logujte všechny přístupy
    Zaznamenávejte čas, IP adresu, použitý účet a provedené úkony.
    Logy jsou nezbytné pro audit, analýzu incidentů a kontrolu dodržování bezpečnostních pravidel.
  5. Po zásahu si vždy vyžádejte protokol
    Protokol musí obsahovat:

    - jaké úkoly vykonal,
    - do kterých systémů přistupoval,
    - zda došlo k přístupu k osobním údajům,
    - doporučení nebo změny, které během zásahu provedl.

    Protokol se ukládá do evidence zásahů.

V případě jakýchkoli otázek nás neváhejte kontaktovat.

IOSEC

IOSEC

Nejnovější články

Newsletter

Zadejte svou e-mailovou adresu:

Přihlášením k odběru newsletteru souhlasím se zpracováním svých osobních údajů.

iosec-logo