Testovací data a GDPR

Michaela Holíková 15.09.2022

Možná to znáte. Vaše firma vyvinula skvělý produkt, třeba SaaS. Máte zákazníky, kteří do vašeho produktu nahrávají data o svých zaměstnancích/zákaznících apod. Vy jejich data ukládáte, vyhodnocujete, případně nabízíte další služby a funkcionality.

Doba je rychlá a konkurence taky. Jak ale udržet prst na tepu vývoje? Neustálým zlepšováním vašeho produktu. Ideálně na souboru reálných dat, která mohou být osobními údaji skutečných uživatelů.

Za jakých podmínek můžete pro testování použít ostrá data, aniž byte porušili povinnosti vyplývající z GDPR?

Vodítka přináší aktuální soudní řízení

U Soudního dvora Evropské unie probíhá řízení o předběžné otázce, ve kterém jsou obsažena užitečná vodítka pro používání reálných dat v rámci testovacích databází.

O co jde?

  • "Etický hacker" v roce 2019 upozornil maďarskou společnost Digi (poskytovatel internetových služeb), že má přístup k osobním údajům přibližně 322 000 osob. Společnost s hackerem uzavřela NDA a poskytla mu odměnu (odměna za etický hacking).
  • O pár dnů později ohlásila porušení zabezpečení tamnímu úřadu pro ochranu osobních údajů s odůvodněním, že si v roce 2018 vytvořila "zkušební databázi", do které zkopírovala osobní údaje třetiny svých zákazníků.
  • V rámci kontroly společnost Digi ze strany maďarského úřadu bylo konstatováno, že společnost porušila čl. 5 odst. 1 písm. b) a e) GDPR tím, že po provedení nezbytných testů a oprav nevymazala zkušební databázi, která byla původně vytvořena za účelem opravy chyb. Úřad dále nařídil, aby společnost přezkoumala všechny své databáze obsahující osobní údaje za účelem určení, zda je odůvodněné použít na ně systém šifrování údajů.
  • Výsledek? Pokuta 100 000 000 HUF, soudní řízení a předběžná otázka k Soudnímu dvoru EU: "Je vytváření takové zkušební databáze v souladu s GDPR?"

Soudní řízení u Soudního dvora EU prozatím není u konce. K celé věci bylo před pár měsíci vydáno stanovisko generálního advokáta. V něm se soustředí na dvě základní zásady, které musí být v případě testovacích databází zohledněny - účelové omezení a časové omezení uložení.

Jinými slovy, pokud má být využití testovacích databází v souladu s GDPR, musí být zásady správně zohledněny v rámci plnění ostatních povinností vyplývajících z GDPR.

Zásada #1: Účelové omezení

Zásada účelového omezení se z pohledu generálního advokáta sestává ze dvou částí:

  • osobní údaje musí být jednak shromažďovány pro „určité, výslovně vyjádřené a legitimní“ účely;
  • osobní údaje musí být zpracovávány způsobem, který je slučitelný s původním účelem.  

Každý případ dalšího použití zpracovávaných osobních údajů (než pro které byly údaje původně shromážděny) musí být prověřen z pohledu konkrétního účelu nového zpracování a jeho slučitelnosti s původním účelem shromáždění těchto dat.

V praxi se často setkáváme s případy, kdy jsou shromážděná data dále zpracovávána pro několik dalších účelů. Nicméně i různé účely konkrétního zpracování musí mít objektivní a dostatečně úzkou souvislost.

Proto, aby bylo využívání testovací databáze v souladu se zásadou účelového omezení, musí být toto testování uživatelé předpokládat ( = být informováni). Zároveň se musí jednat o testování, které souvisí s funkcionalitami daného produktu. Nedoporučujeme databázi využít například pro jiné aplikace.

Zásada #2: Časové omezení uložení

Aby bylo možné testovací databázi využít, musí být údaje uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány. 

Odůvodnění k GDPR jednoznačně uvádí, že doba, po kterou jsou osobní údaje uchovávány, musí být „omezena na nezbytné minimum“.

Pro využití testovací databáze tak je potřeba, aby byla "ostrá data" uložena pouze po dobu potřebnou k testování a následně došlo k jejich výmazu, nebo anonymizaci.

Závěr

Ve světle stanoviska generálního advokáta lze konstatovat, že využívání reálných dat v rámci testovací databáze je možné za splnění předepsaných podmínek. Je potřeba:

  • Informovat uživatele o tom, že jeho data budou využívána za účelem vylepšování stávajících funkcionalit. Pro tento případ budete potřebovat vyhotovit informační dokument ↗.
  • Správně nastavit smluvní vztah s vaším zákazníkem. Využívání testovacích databází byste měli promítnout také do podmínek užívání ↗.
  • Stanovit, zavést a dodržovat odpovídající technická a organizační bezpečnostní opatření k zajištění ochrany zpracovávaných dat.
  • Dodržovat všechny povinnosti správce, zejm. udržovat aktuální záznamy o činnostech zpracování osobních údajů. Všechny konkrétní činnosti pro vás velmi rádi zmapujeme ↗.

Závěrem

Výše uvedené informace nejsou finální. Stanovisko generálního advokáta nemusí být rozhodující pro rozhodnutí Soudního dvora Evropské unie. Pokud máte zájem sledovat aktuální postup naleznete zde ↗.