Názor k článku Nejasnosti kolem výjimky z GDPR pro malé firmy. Nakonec ji využije jen málokdo od Petr - Tak to, že to je všespásné a nebude...

Tak to, že to je všespásné a nebude žádný únik dat si samozřejmě nemyslím a ani jsem to nenapsal. A tímto způsobem naivní není ani GDPR viz. jeho významná část se týká povinnosti správců právě při úniku dat (viz např https://iapp.org/media/pdf/resource_center/WP29-Breach-notification_02-2018.pdf) Koneckonců všespásná není žádná právní norma. A GDPR pokrývá obrovský "oceán" různorodých činností a vždycky bude něco co není úplně black/white.

K tomu copy centru. Když pominu, že zaměstnanci, kteří nakládají s osobními údaji musí být proškolení o jednotlivých postupech, tom co můžou a nemůžou, bezpečnostních opatřeních (a měla by to být samozřejmost bez ohledu na GDPR) tak je zásadní určující faktor do jaké míry má obsluha povinnost zkoumat obsah toho co kopíruje ve vztahu k GDPR. Pokud platí, že vztah copy centrum k zákazníkovi je v vztahem zpracovatel/správce (a jinak tomu ani být nemůže, protože účel a prostředky zpracování stanoví zákazník/správce) tak má copy centrum povinnost především neprovádět nic mimo rámec zadání (např. si to někam dlouhodobě uložit, protože tím už by provádělo vlastní zpracování a přešlo do role správce), zabezpečit data proti úniku či nesprávné manipulaci (tj. v tomhle konkrétním případě je buď vůbec neukládat nebo co nejdříve vymazat) a v tomto smyslu proškolit obsluhu. To jestli kopíruje zdravotní zprávu (tedy zvláštní kategorii údajů) a s tím související právní titul je plně odpovědnost zákazníka (správce). Navíc tedy riziko negativních důsledků pro subjekt údajů při kopírování něčeho co má dotyčný zákazník stejně v ruce (a v kapse telefon kterým si to může vyfotit) se limitně blíží nule.

Zpracovatelská smlouva může být v tomhle případě vzhledem k jednoznačnosti a trivialitě zadání uzavřena ústně (GDPR ani NOZ formu nenařizuje a písemná forma a s ní spojená archivace by bylo další zpracování OU tentokrát v roli správce) s tím, že o tom jak zpracování při jednotlivých úkonech (kopírování, sken atd.) probíhá informovat viditelně v provozovně a na webovkách.

Vodítka přímo ke copy centrům sice nejsou (resp. nenašel jsem), ale je to zcela analogická služba s cloudovým úložištěm typu dropbox. Tam také poskytovatel dost dobře nemůže zjišťovat charakter ukládaných dat.

Jinak pokud existuje nějaký svaz copy center tak si můžou vypracovat kodex chování a nechat si ho schválit UOOU. Tím se předejme riziku nepředvídatelných výkladů úplně.