GDPR a SaaS

"Produkt je hotový, marketingová strategie, jak dostat službu k zákazníkům finální, víme jaký je obchodní model celé aplikace. Teď už tam jen nahrej Franto to vzorové GDPR, co si stáhl z netu a jdeme na release."

Provozujete Software as a Service řešení a tápete nad tím, jak a co musíte mít z pohledu GDPR připraveno? V tomto článku vám nasharujeme základní přehled, ať se jednou neorosíte z toho, že nemáte všechno.

Počkat u SaaS to je jinak, než u jiného software?

Už z podstaty názvu Software as a Service je jasné, že neposkytujete klasický software, ale službu. V podstatě dodáváte aplikaci, která je někde hostovaná (nebo si ji necháváte hostovat).

A právě v tom je ten zásadní rozdíl. U aplikace, kterou si uživatelé nainstalují (v retro stylu - koupí si "CéDéčko"), jsou data uložena u samotného uživatele. Samozřejmě ne vždy, ale pro účely tohoto článku prostě předpokládejme, že v rámci SaaS služby jsou data někde hostována.

Pokud jsou data osobní údaje

Příklad: Provozujete náborovou platformu, přičemž vašimi zákazníky jsou společnosti, které aplikaci využívají k náboru. Prostřednictvím platformy získává zákazník informace o potenciálních uchazečích, platforma pomáhá s výběrem uchazečů a jejich náborem. Celá aplikace je hostována na cloudu.

Bezesporu bude platit, že taková aplikace zpracovává osobní údaje. Osobním údajem je totiž jakákoliv informace o identifikované nebo identifikovatelné fyzické osobě. A pokud při náboru zjišťujete, kdo se do zaměstnání hlásí, pravděpodobně budete schopni ze získaných informací zjistit, o jakou osobu se jedná (respektive byste to určitě měli vědět). Jakákoliv informace, kterou k takové osobě poté evidujete, bude osobním údajem (i technické informace, pokud souvisí s konkrétní osobou).

Zbývá vyřešit otázku, kdo je jak odpovědný ve vztahu k ukládaným osobním údajům. Právním hantecem - určit, kdo je správce a kdo zpracovatel osobních údajů. A podle toho určit potřebnou dokumentaci.

Saas a správce osobních údajů

Základním středobodem celého GDPR je správce osobních údajů. To je ten, který určuje účely a prostředky zpracování. Ten, co se rozhoduje, jak bude zpracování probíhat, v jakém rozsahu a proč. 

U SaaS řešení může být správců hned několik (respektive dva). Každý ve vztahu k jiným osobním údajům. Provozovatel SaaS řešení je v pozici správce osobních údajů například v situacích, kdy vytváří uživatelské účty pro své zákazníky. Pro tyto účely potřebuje provozovatel osobní údaje o zákazníkovi a sám určuje, co od nich bude potřebovat a proč.

Zákazník je poté správcem osobních údajů vůči všem osobním údajům, které jsou prostřednictvím SaaS řešení získávány. Možná si říkáte, že zákazník je limitován tím, co SaaS řešení umí, takže si nemůže úplně určovat, jak bude zpracování probíhat. Z obecnějšího pohledu ale (v konkrétním případě) je to právě zákazník, kdo se rozhoduje, že provede nábor, a že pro tento nábor využije právě SaaS řešení.

Co musí správce osobních údajů splnit?

Kromě toho, že správce osobních údajů musí plnit všechny povinnosti stanovené v GDPR, primární je informační povinnost. Musí informovat fyzické osoby o tom, proč jsou osobní údaje zpracovávány, jak dlouho jsou uloženy, jaká má subjekt práva atp.

Když to opět vztáhneme na příklad uvedený výše, měl by provozovatel SaaS řešení informovat své zákazníky o tom, jak zpracovává jejich osobní údaje a zákazník by měl informovat uchazeče o zaměstnání, jak zpracovává jejich osobní údaje.

Nevíte si rady, jak nastavit informační povinnost? Podrobnosti o tom, jak vám můžeme pomoci naleznete zde ↗.

A proč není za informování odpovědný provozovatel SaaS řešení?

Protože vůči osobním údajům potenciálních uchazečů vystupuje jako tzv. zpracovatel osobních údajů. V celém procesu zpracování osobních údajů totiž plní jen některou z činností. Typicky:

  • Zajišťuje jejich uložení
  • Provádí analýzy a vizualizace dat
  • Zajišťuje export
  • Pomáhá s kontaktováním

Dělá ovšem jen takové činnosti, které souvisí s celým procesem náboru, ale nerozhoduje se, jak bude celý nábor probíhat.

Tím, kdo se rozhodl využít SaaS řešení, byl zákazník. Ten určil účely a prostředky zpracování. A jedním z prostředků je i SaaS řešení.

Co to pro provozovatele SaaS řešení znamená? Zpracovatelskou smlouvu. S každým zákazníkem by měla být uzavřena. Vyžaduje to čl. 28 GDPR. Samozřejmě primárně je povinnost uzavřít takovou smlouvu na správci, tedy zákazníkovi.

Doporučujeme ale, aby každý provozovatel měl své vlastní zpracovatelské podmínky. Protože není nic horšího, než s každým zákazníkem uzavírat jiné znění podmínek.

Co je obsahem zpracovatelských podmínek? Rozsah a obsah lze vyčíst z čl. 28 GDPR. V podstatě je obsahem závazek zpracovatele zpracovávat osobní údaje dle pokynů správce (zákazníka), nevyužívat osobní údaje pro jiné účely, je v nich nastaven rozsah zpracovávaných osobních údajů, činnosti zpracování, způsoby ukončení a výmazu osobních údajů...

Jak můžeme při přípravě zpracovatelských podmínek pomoct my naleznete zde ↗.

Jako provozovatel SaaS řešení ale osobní údaje ukládám na hostovaném cloudu

Rozlousknutí nastavení vztahů se blíží ke konci. Pokud je při provozování SaaS řešení využíván server od třetí strany, stačí si položit základní otázku:

Kdo má s poskytovatelem cloudu uzavřenou smlouvu?

Poskytovatel SaaS řešení. V takovém případě je poskytovatel cloudu v postavení subzpracovatele. V podstatě součástí SaaS řešení je také služba uložení, kterou zajišťuje poskytovatel u jím vybraného poskytovatele. 

Jaký to má dopad? Minimálně je potřeba, aby tento další zpracovatel (poskytovatel cloudu) byl schválen ve zpracovatelských podmínkách. Zároveň s poskytovatelem cloudu musí být také uzavřena zpracovatelská smlouva (podmínky). Ta zároveň musí být alespoň tak přísná, jako je smlouva mezi poskytovatelem a zákazníkem.

Zákazník si zajišťuje cloud sám. V takovém případě je poskytovatel cloudu zpracovatelem stojícím vedle poskytovatele SaaS řešení. Jsou to dvě separátní entity, se kterými musí mít zákazník uzavřenou zpracovatelskou smlouvu.

"Jak má vypadat ta zpracovatelská smlouva? Nic papírově nepodepíšu"

Jako smlouvu si v tomto případě můžete představit také podmínky. Zpracovatelská smlouva může být součástí podmínek užívání (T&C), které zákazník odsouhlasí, když si registruje v SaaS účet. Může to být separátní check-box se separátními podmínkami při registraci. Důležité je, že se nic podepisovat nemusí. Stačí případně prokázat, že byl zákazník s podmínkami seznámen a odsouhlasil je.

Závěrem

SaaS řešení je specifické tím, že aplikace jako taková je hostována někde jinde, než u zákazníka. Z pohledu GDPR má toto dopad zejména na nastavení vztahu správce a zpracovatele osobních údajů.

Až budete dokončovat vaše SaaS řešení, nezapomeňte si připravit potřebnou dokumentaci. S největší pravděpodobností totiž budete jak v pozici správce, tak v pozici zpracovatele osobních údajů.

S dokumentací vám samozřejmě moc rádi pomůžeme ↗, nebo si přečtěte, jaké služby v oblasti ochrany osobních údajů nabízíme ↗. Případně nás můžete kontaktovat přes tento formulář:

SaaS a potřebná dokumentace? Máme bohaté zkušenosti

Napište nám -->