Servis informačního systému – jedná se o zpracování osobních údajů?

Stále častěji se setkáváme s dotazy, zda provádění servisu výpočetní techniky a programového vybavení, ve kterém jsou zpracovávány osobní údaje, je samo o sobě také zpracováním osobních údajů a z dodavatele servisní činnosti se tak stává zpracovatel.

Pokud organizace zakoupila jakékoliv programové vybavení a provozuje ho na své technice, nevzniká mezi ní a dodavatelem software žádný vztah z pohledu osobních údajů zpracovávaných v tomto software. Organizace je tedy správcem a dodavatel se nestává zpracovatelem, proto v tomto případě není nutné upravovat smluvní vztahy.

Pokud dodavatel, či jiná firma, provádí na nainstalovaném hardware či software různé servisní zásahy (opravy techniky, instalace nových verzí, konzultace, podpora práce uživatelů), nejedná se zpravidla ani v tomto případě o zpracování osobních údajů. Servisní organizace je pak v postavení pověřené osoby (čl. 29 GDPR), není nutné uzavírat smlouvu o zpracování dat, ale je velice vhodné existující servisní smlouvu doplnit o část týkající se ochrany důvěrných informací.

Jiná situace nastane, pokud je cílem servisního zásahu samotná manipulace s osobními údaji. Může se jednat například o hromadné převody či výmazy dat, zálohování či archivaci. V takovém případě se již jedná o zpracování osobních údajů, servisní organizace se stává zpracovatelem a tento vztah je nutné ošetřit smluvně.

Stejně tak se zpracovatelem stává každý dodavatel, který organizaci poskytuje služby cloudového či hostovaného charakteru, tedy typicky provozovatel webových stránek, cloudové úložiště či jiné služby podobného charakteru, poskytovatel externího mailového systému nebo provozovatel kamerového systému apod.