Jak na GDPR, díl II.: Datové úložiště

Druhým tématem, na které se na našem blogu zaměříme, je ukládání dat. CRM systém Salesforce, který do neziskového sektoru přinášíme, funguje na bázi tzv. cloud computing.

Znamená to, že veškeré osobní údaje, které v tomto systému schraňujete, nejsou uloženy na vašem počítači. Nachází se v datových centrech Salesforce. Obecně lze říci, že pokud má komerční společnost či nezisková organizace uložená data v cloudu, přenáší se část jejich povinností na bedra poskytovatele cloudových služeb. To však neznamená, že jsou tímto společnosti či organizace zproštěny odpovědnosti. Naopak, za výběr poskytovatele jsou vždy plně odpovědné a úroveň jeho služeb by si měly předem prověřit.

Vztah neziskové organizace a společnosti Salesforce je definován jako vztah správce dat a zpracovatele dat. Jakožto správce je neziskovka povinna znát podmínky, za kterých jsou její data zpracovatelem uchovávána. Platí to samozřejmě i pro komerční subjekty. Pokud budou podmínky v rozporu s Nařízením, bude dozorový orgán sankcionovat obě strany. Abyste případnou kontrolu ustáli, je potřeba mít uzavřenou se zpracovatelem dat zpracovatelskou smlouvu a tu umět předložit. Smlouva musí samozřejmě splňovat pravidla daná Nařízením GDPR.

Ve většině případů bude stačit pročíst si aktualizovanou smlouvu, kterou vám zpracovatel poskytnul, podepsat ji a uschovat pro případ návštěvy z Úřadu pro ochranu osobních údajů. Druhou možností je přijmout aktualizované licenční podmínky. Přijmutí licenčních podmínek používání služby je považováno za právní akt, stejně jako podpis zpracovatelské smlouvy. Smlouva se Salesforce je k dispozici na tomto odkazu. Salesforce má rovněž GDPR problematiku velmi podrobně zpracovanou na svých webových stránkách.

Pokud jsme zmínili povinnosti vás jako správce dat, spadá do nich rovněž zaškolení zaměstnanců a nastavení procesů, které se týkají práce s osobními údaji. V souvislosti se systémem Salesforce tam spadají například práva uživatelů systému. Více se tomuto tématu budeme věnovat ve třetím díle blogu o GDPR. Ukládání dat budeme řešit z pohledu toho, jaká data a kde ukládáte.

Jaká data ukládáte

V minulém díle jsme psali, že svolení pro ukládání osobních údajů bude muset být konkrétní. To znamená, že v souhlasu budete muset popsat, jaká data chcete ukládat a za jakým účelem je chcete ukládat. Pokud o dárci zpracováváte data, na která nemáte souhlas nebo jiný právní titul (např. zákonná povinnost či plnění smlouvy), porušíte pravidla.

Stejně tak porušíte pravidla, pokud použijete data svých zaměstnanců k jiným účelům, než ke kterým máte právní titul. Může se stát, že budete jednat s bankou o výhodnějších podmínkách a nabídnete je svým zaměstnancům, kteří u dané banky mají své účty. Bohužel i takovéto konání, které je jistě vedeno dobrým úmyslem, nebude v souladu s Nařízením. Čísla účtů vám zaměstnanci svěřili za účelem výplaty mezd a nikoliv k vyjednávání s bankovními domy.

Logicky tedy, abyste byli maximálně kryti, ukládejte si maximum informací o poskytnutých souhlasech. Především pak datum, kdy byl udělen, kým byl udělen a jeho úplné znění. V Salesforce lze nastavit proces, který souhlasy uloží v takovém formátu, aby byly jednoduše exportovatelné a umožňovaly reporting. Veškeré osobní údaje, na které nemáte nárok, z databáze důkladně odstraňte.

Uvědomte si, že nemusíte mazat vše, co jste se například o dárcích v minulosti dozvěděli. Pokud odstraníte osobní údaje vedoucí k přímé či nepřímé identifikaci subjektu údajů, data tím anonymizujete a můžete s nimi dále pracovat. Pokud např. potřebujete statistiky o průměrné výši darů, vymažte sloupce typu příjmení a adresa dárce. Pouhé jméno a výše daru nevede k přímé ani nepřímé identifikaci dárce. Zásady ochrany osobních údajů se podle Nařízení nevztahují na anonymní informace, které se netýkají identifikované či identifikovatelné fyzické osoby. Neměly by se rovněž týkat osobních údajů anonymizovaných tak, že subjekt údajů přestal být nadále identifikovatelným.

Kde data ukládáte

Nařízení GDRP věnuje velký prostor regulaci transferů dat mimo prostor EHP. Přísná pravidla mají zajistit osobním údajům občanů EU bezpečnost i v případě, že se dostanou za hranice Unie.

Salesforce využívá pro ukládání dat svých zákazníků devíti datacenter umístěných po celém světě. Tři datacentra se nacházejí na území EU, dvě z nich najdeme v kontinentální Evropě – v Paříži a ve Frankfurtu. Salesforce je dále součástí programu Privacy Shield, který vytvořila společně Evropská komise s vládními orgány Spojených států amerických jako zvláštní nástroj k zajištění odpovídající úrovně ochrany osobních údajů i po jejich předání příjemci do Spojených států amerických. Salesforce se přihlášením do systému Privacy Shield přihlásil k dodržování zásad ochrany osobních údajů, jejichž předání probíhá v režimu ustanovení § 27 odst. 2 zákona č. 101/2000 Sb. Případné transfery dat (tzn. uložení vašich dat v datacentru mimo EHP) jsou tímto plně ošetřeny.

Pro nás z toho vyplývá především již zmíněné doporučení provést v rámci organizace analýzu týkající se způsobu uložení opravdu všech osobních údajů. Zajímejte se o to, kde máte uložená svá data a snažte se, aby subjekty, jejichž služby v této souvislosti využíváte, byly stejně důvěryhodné jako společnost Salesforce. V případě transferu dat do Spojených států amerických kontrolujte, zda je příjemce přihlášen do systému Privacy Shield.

Práva subjektů údajů

Subjektům, jejichž osobní údaje ukládáte, přiznává Nařízení nová práva. Konkrétně právo na informace, přístup, přenositelnost, opravu, výmaz, námitku a právo nebýt součástí automatizovaného rozhodování. Důležitá z pohledu práce se Salesforce jsou dvě: právo na přístup a právo na výmaz.

Právo na přístup umožňuje subjektu údajů (například vašemu dárci) požádat o kompletní výpis dat, která o něm uchováváte. Výpis by měl obsahovat zejména účel zpracování osobních ůdajů, dobu uchování OÚ a informaci o tom, kdo jsou příjemci OÚ. Výpis musí být poskytnut v běžně používaném formátu subjektu údajů bez zbytečného odkladu, nejpozději ve lhůtě jednoho měsíce (tří měsíců, pokud se jedná o komplexnější data). V Salesforce případné požadavky umí splnit například generátor dokumentů S-Docs.

Právo na výmaz umožňuje subjektu údajů požádat o kompletní výmaz uchovávaných dat z vaší databáze, pokud již údaje nejsou potřebné pro účely, pro které byly shromážděny (pokud subjekt údajů odvolá souhlas se zpracováním, vznesl námitku proti zpracování, nebo pokud je zpracování v rozporu s Nařízením). Abyste dostáli Nařízení, stačí, když smažete osobní údaje, ostatní data si můžete ponechat (viz výše zmínka o anonymizaci dat). Nezapomeňte však data mazat opravdu důsledně. Salesforce data při tomto úkonu přesune do odpadkového koše a natvrdo je vymaže po patnácti dnech. Tato prodleva bude považována za porušení pravidel, neboť data po tuto dobu de facto ve vašem systému zůstávají.

Jako v předchozích případech, i zde důkladně prověřte ostatní systémy, které ke správě dat využíváte. Ve všech byste měli dokázat vytvořit export a nevratně smazat osobní údaje, pokud o to subjekt požádá.

Pro CRM pro neziskovky sepsáno ve spolupráci s Klárou Kunovou.