Prečo je poskytovateľ IT služieb sprostredkovateľ?

Prečo je poskytovateľ IT služieb sprostredkovateľ?

GDPR

GDPR výrazne ovplyvňuje to, ako organizácie pracujú s osobnými údajmi. Okrem zamestnancov firmy, ktorí s údajmi pracujú priamo, je dôležité venovať pozornosť aj externým subjektom, ktoré môžu mať k údajom prístup počas vykonávania svojich služieb.

Typickým príkladom je poskytovateľ IT služieb, ktorý zabezpečuje servis, údržbu, technickú podporu alebo správu informačných systémov.

Mnoho zamestnancov, ale aj niektorí dodávatelia, si neuvedomujú, že už samotná možnosť nahliadnuť do osobných údajov znamená, že dodávateľ podľa GDPR plní úlohu sprostredkovateľa. Preto je dôležité pochopiť, prečo je to tak a aké to má dopady pre našu organizáciu. 

Podľa čl. 4 GDPR - „spracúvanie“ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.

Kto je sprostredkovateľ podľa GDPR?

Podľa GDPR je sprostredkovateľ subjekt, ktorý:

  • spracúva osobné údaje v mene prevádzkovateľa,
  • a koná na jeho pokyn.

To znamená, že ak externá firma vykonáva akúkoľvek činnosť, pri ktorej môže vidieť, získavať alebo spracúvať osobné údaje – hoci aj len nepriamo počas údržby – automaticky spadá do kategórie sprostredkovateľov.

Pri poskytovaní IT služieb vznikajú situácie, keď IT špecialista:

  • rieši problém v databáze,
  • vykonáva údržbu systému,
  • diagnostikuje chybu,
  • má vzdialený prístup do systému,
  • aktualizuje softvér alebo nastavuje konfigurácie,
  • zálohuje dáta alebo obnovuje zálohu,
  • vykonáva migráciu dát.

V týchto prípadoch môže — aspoň potenciálne — nahliadnuť do osobných údajov, ktoré sa v systéme nachádzajú. A to úplne stačí na to, aby bol podľa GDPR v postavení sprostredkovateľa. GDPR považuje už možnosť prístupu k osobným údajom za spracúvanie.

Preto sa na poskytovateľov IT podpory vzťahujú rovnaké pravidlá ako na akýkoľvek iný subjekt, ktorý údaje spracúva v mene prevádzkovateľa.

Európsky výbor pre ochranu údajov (EDPB) vo svojom usmernení 07/2020 poznamenáva, že poskytovateľ služieb môže konať ako sprostredkovateľ aj vtedy, keď  spracúvanie osobných údajov nie je hlavným predmetom podpornej služby, ale je nevyhnutné, aby mal poskytovateľ IT služieb pri vykonávaní služby systematický prístup k osobným údajom.

Prečo sa poskytovateľ IT služieb nemôže považovať za „tretiu stranu“?

Tretia strana je podľa GDPR subjekt, ktorý:

  • nemá žiadnu úlohu pri spracúvaní osobných údajov,
  • a údaje od prevádzkovateľa nedostáva ani k nim nemá prístup.

Keďže poskytovateľ IT podporuje systém, v ktorom sú údaje uložené, je súčasťou spracovateľského procesu. Preto (z právneho hľadiska) nemôže byť tretia strana.

Čo to znamená pre našu organizáciu?

Poskytovateľ IT služieb, ktorý má potenciálny prístup k osobným údajom, je sprostredkovateľ podľa GDPR.

S poskytovateľom IT služieb musíte uzatvoriť zmluvu o spracúvaní osobných údajov v súlade s čl. 28 GDPR. Takýto právny akt musí mať písomnú podobu vrátane elektronickej podoby. Písomná zmluva podľa článku 28 ods. 3 všeobecného nariadenia o ochrane údajov môže byť súčasťou širšej zmluvy, napríklad dohody o úrovni poskytovaných služieb (service level agreement). S cieľom uľahčiť preukázanie súladu so všeobecným nariadením o ochrane údajov EDPB odporúča, aby sa prvky zmluvy, ktorých cieľom je uplatňovanie článku 28 všeobecného nariadenia o ochrane údajov, jasne príslušne identifikovali na jednom mieste (napríklad v prílohe). 

Zmluva musí minimálne obsahovať:

  • povahu a účel spracúvania,
  • typ osobných údajov a kategórie dotknutých osôb,
  • povinnosti a práva prevádzkovateľa,
  • bezpečnostné a organizačné opatrenia,
  • povinnosti a zachovávaní mlčanlivosti,
  • pravidlá auditu a kontroly,
  • pravidlá pre ďalšieho sprostredkovateľa (subdodávateľa),
  • pravidlá pre oznamovania incidentov,
  • dobu spracúvania.

Prevádzkovateľ má povinnosť využívať „len sprostredkovateľov poskytujúcich dostatočné záruky na to, že sa prijmú primerané technické a organizačné opatrenia“ tak, aby spracúvanie spĺňalo požiadavky  všeobecného nariadenia o ochrane údajov – a to aj z hľadiska bezpečnosti spracúvania – a zabezpečovalo ochranu práv dotknutých osôb. Prevádzkovateľ je preto zodpovedný za posúdenie dostatočnosti záruk poskytnutých sprostredkovateľom a mal by vedieť preukázať, že dôsledne zohľadnil všetky prvky stanovené vo všeobecnom nariadení o ochrane údajov.

Prevádzkovateľ by mal pri posudzovaní dostatočnosti záruk zohľadniť tieto prvky:

  • odborné znalosti sprostredkovateľa (napr. technické odborné znalosti bezpečnostných opatrení a porušenia ochrany osobných údajov),
  • spoľahlivosť sprostredkovateľa,
  • zdroje sprostredkovateľa. 

Dodržiavanie týchto zásad chráni organizáciu pred chybami, incidentmi aj sankciami a zaisťuje, že sa osobné údaje spracúvajú profesionálne a bezpečne.

Nezabudnite, že:

  • Povinnosť využívať len sprostredkovateľov „poskytujúcich dostatočné záruky“ uvedená v článku 28 ods. 1 všeobecného nariadenia o ochrane údajov je nepretržitou povinnosťou. Neskončí sa v okamihu, keď prevádzkovateľ a sprostredkovateľ uzatvoria zmluvu alebo iný právny akt. Prevádzkovateľ by mal namiesto toho v primeraných intervaloch overovať záruky sprostredkovateľa, a to v prípade potreby  aj formou auditov a kontrol.
  • Externých IT pracovníkov nesmieme považovať za „kolegov“ — pre GDPR ide o externý subjekt s osobitným režimom bezpečnosti.

Ako riadiť externých IT špecialistov?

Pri práci externých IT špecialistov je nevyhnutné dodržiavať prísne pravidlá, aby bola zabezpečená ochrana systémov a osobných údajov, ktoré sa v nich spracúvajú. Zamestnanci musia postupovať podľa týchto zásad:

  1. Obmedzte prístup externých technikov len na nevyhnutný rozsah
    Externým IT špecialistom poskytujte iba také prístupové oprávnenia, ktoré sú potrebné na konkrétny zásah. Platí zásada najnižších možných práv (least privilege). Tým sa znižuje riziko neoprávneného prístupu alebo neúmyselného zásahu do citlivých údajov.
  2. Každý vzdialený prístup musí byť zabezpečený dvojfaktorovým overením (MFA)
    Prístup do siete alebo systému cez vzdialené nástroje musí byť chránený MFA, aby sa zabránilo zneužitiu prihlasovacích údajov a neoprávneným pokusom o prihlásenie.
  3. Každý vzdialený prístup musí byť vopred schválený
    Externý IT špecialista môže získať prístup len po formálnom schválení oprávnenou osobou (napr. IT administrátorom alebo manažérom informančj alebo kybernetickej bezpečnosti).
    Tým sa zabezpečí, že žiadny prístup neprebehne mimo kontroly organizácie.
  4. Monitorujte a logujte všetky prístupy do siete a informačných systémov
    Každý prístup externého technika musí byť zaznamenaný, vrátane času, IP adresy, použitých účtov a vykonaných úkonov.
    Logy sú nevyhnutné pre audit, analýzu incidentov a kontrolu dodržiavania bezpečnostných pravidiel.
  5. Po každom zásahu si vyžiadajte protokol o vykonaných prácach
    Externý technik je povinný odovzdať protokol, ktorý obsahuje:

    - aké úlohy vykonal,
    - do ktorých systémov pristupoval,
    - či došlo k prístupu k osobným údajom,
    - odporúčania alebo zmeny, ktoré počas zásahu vykonal.

    Protokol musí byť následne uložený do evidencie zásahov pre účely kontroly.

V prípade akýchkoľvek otázok nás neváhajte kontaktovať.

IOSEC

IOSEC

Najnovšie články

Newsletter

Zadajte svoju e-mailovú adresu:

Prihlásením sa do odberu noviniek súhlasím so spracúvaním osobných údajov

iosec-logo