Vaše nejčastější otázky k GDPR

[gtranslate]

Po publikování předešlého článku GDPR u WEDOS jste nás zaplavili dotazy ohledně GDPR. Vzhledem k tomu, že se některé poměrně často opakují, rozhodli jsme se na nejčastější z nich odpovědět veřejně.

Opravdu je nutné ke všem službám mít zpracovatelskou smlouvu?

Můžete nám věřit, že jsme se opravdu chtěli zpracovatelským smlouvám vyhnout, jak to jen bylo možné. Snažili jsme se ÚOOÚ vysvětlit, jak vlastně hostingové služby fungují. Uvedli jsme několik příkladů, včetně fungování VPS se šifrovaným diskem, kdy se k datům prakticky nedá dostat. Ovšem dle metodiky ÚOOÚ ke GDPR opravdu všechny hostingové služby spadají pod nové nařízeníje nutné mít platnou zpracovatelskou smlouvu písemně a hostingová společnost musí dodržovat všechny požadavky GDPR. Pokud bychom toto nesplňovali, tak nám i vám hrozí pokuta od ÚOOÚ až 20 milionů EUR nebo až do 4% celkového ročního celosvětového obratu .

Z pohledu ÚOOÚ je totiž automaticky zpracovatelem jakákoliv společnost, kde jsou uloženy nosiče dat, na kterých se nachází anebo jen mohou nacházet osobní údaje.

Zjednodušeně řečeno nezáleží zdali je vůbec reálné se k osobním datům dostat, ale rozhoduje, že tam mohou být uloženy.

Automaticky tak pod GDPR spadají všechny sdílené webhostingy, VPS, vzdálená úložiště (jako náš WEDOS disk), dedikované servery ale i cloud. V našem případě jsme přidali i domény, protože ke každé máte zdarma službu miniweb v ceně.

Platí pro mě GDPR i pokud jsem fyzická osoba nepodnikatel?

V GDPR jsou celkem čtyři výjimky definované v článku 2 „Věcná působnost“. Bohužel pro nepodnikatele zde výjimka není. Tu mají pouze fyzické osoby pro potřeby výlučně osobních či domácích činnosti.

Pokud tedy máte na webu například možnost registrovat se a ukládáte si osobní údaje uživatelů (třeba jméno a příjmení, email, IP adresu atd.), tak jste z pohledu ÚOOÚ správce a potřebujete mít na webu Prohlášení o ochraně osobních údajů. Dále ÚOOÚ doporučuje i Prohlášení o cookies a od nás elektronicky podepsanou zpracovatelskou smlouvu (na jedno kliknutí v zákaznické administraci u konkrétní služby v části Provozovatel).

Mohu si pro zákazníka vaší zpracovatelskou smlouvu vytisknout?

Ano můžete. Je třeba si však uvědomit, že platí podepsaná elektronická verze (PDF) a to vždy poslední revize, kterou si můžete kdykoliv stáhnout v administraci.

Vzhledem k velkému množství podobných žádostí jsme do dokumentu přidali i razítko naší společnosti a podpis obchodního ředitele WEDOS Internet, a.s. Josefa Grilla.

Smlouvy nám nemusíte zasílat zpět podepsané. Pro nás je považujeme za uzavřené tím, že si ji stáhnete v administraci.

Jsem zpracovatel, ale vaše zpracovatelská smlouva počítá pouze se správcem?

Nejsme schopni posoudit, zdali je zřizovatel stránek správcem anebo zpracovatelem, a proto je u nás veden jako provozovatel. Na četné žádosti jsme přidali do obchodních podmínek pasáž, která počítá s tím, že provozovatelem může být i další zpracovatel.

V případě, že Zákazník u WEDOS uchovává (ukládá) jakékoliv osobní údaje, tak se mezi WEDOS a Zákazníkem uzavírá Zpracovatelská smlouva, podle které je Zákazník správcem těchto osobních údajů a WEDOS zpracovatelem. Obdobně se postupuje i v případě, že Zákazník působí již jako zpracovatel osobních údajů pro jiného správce. V takovém případě je WEDOS dalším zpracovatelem.

Hrozí mi sankce v případě, že budu mít vše na webu v rámci GDPR v pořádku, ale budu hostovat u společnosti, která zpracovatelské smlouvy nereší nebo odmítá udělat?

Ano, sankce vám hrozí. Pokud data ukládáte na zařízení (u) třetích osob, tak byste měli mít sepsanou zpracovatelskou smlouvu s vaším hostingem. V případě, že takovou smlouvu nemáte, tak nesplňujete požadavky z hlediska GDPR a vystavujete se riziku výše uvedených sankcí. Není přitom podstatné, zda váš hosting zpracovatelské smlouvy neuzavírá, neposkytuje nebo takovou smlouvu nechcete uzavřít vy. 

U WEDOS jsme se skutečně chtěli vyhnout jakýmkoliv smlouvám a zbytečné dokumentaci, ale po mnoha měsících hledání cesty jsme chtě nechtě zpracovatelské smlouvy museli udělat. Nechtěli jsme naše klienty (a nás) vystavit riziku sankcí.

Z níže uvedeného vyplývá, že za neuzavření zpracovatelské smlouvy neodpovídá hosting, ale správce, tj, vy v pozici provozovatele webu. Za neuzavřenou zpracovatelskou smlouvu tedy neodpovídá hosting, ale zákazník hostingu.  Sankce v tomto případě nedopadnou na hosting, ale na vás, jako provozovatele. Asi proto některé hostingy situaci neřeší. Pokud hosting uzavře se zákazníkem zpracovatelskou smlouvu, tak se musí podle této smlouvy chovat. A v každé smlouvě jsou práva a povinnosti. Proto ne všechny hostingy zpracovatelské smlouvy neuzavírají.

Náš automatický systém generuje všem zákazníkům shodné zpracovatelské smlouvy, a tím se vyhneme i komplikacím, že bychom se zákazníky uzavírali individuální zpracovatelské smlouvy s různým obsahem. Individuální smlouvy by byly dalším rizikem do budoucna, protože bychom nemuseli postupovat v jednotlivých případech správně.

Podle čeho usuzujete, že každý hosting musí uzavírat zpracovatelské smlouvy?

Více o povinnostech provozovatelů webů a hostingů najdete na stránkách ÚOOÚ. Jednoznačně tam je uvedeno:
“Jestliže budou data uložena v databázi a webhostingu pronajímatele, bude pronajímatel v postavení zpracovatele, s nímž je třeba uzavřít smlouvu podle článku 28 odst. 3 GDPR. Zpracovatel je rovněž odpovědný za přijetí opatření k zabezpečení osobních údajů podle článku 32 GDPR.”

“…musí být mezi správcem a zpracovatelem uzavřena písemná smlouva, v níž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Smlouva dále musí zaručovat určité okolnosti zpracování, viz článek 28 odst. 3 obecného nařízení.”

Slovníček nejdůležitějších pojmů ohledně GDPR najdete zde.

Jak jsou na tom internetové obchody z hlediska GDPR najdete zde

Vztah správce a zpracovatele najdete zde.

Z našeho pohledu jsme udělali vše tak, abychom nikoho nevystavovali riziku žádných sankcí.

Závěr

Doufejme, že GDPR máme úspěšně za sebou a můžeme se věnovat dalším věcem.