Právní aspekty ochrany osobních údajů v rámci cloudových služeb

Způsob a rozsah nakládání s osobními údaji se dynamicky vyvíjí s možnostmi, které uživatelům poskytují moderní technologie. Zejména v oblasti informačních technologií je zřejmý neustálý rozvoj a nové způsoby administrace interních procesů podnikatelů a zajištění nezbytných činností i prostřednictvím třetích osob. Jako příklad takového nástroje můžeme uvést tzv. cloud computing.

advokát mezinárodní advokátní kanceláře PwC Legal
Foto: Fotolia

Definic tohoto pojmu může být mnoho, z hlediska ochrany osobních údajů je nicméně klíčové, že podnikatel využívá v oblasti IT služeb třetích osob na bázi vzdáleného přístupu. Data, se kterými se v rámci služeb cloud computing pracuje, obsahují typicky i osobní údaje fyzických osob.

Na ochranu osobních údajů a zamezení jejich zneužití je přitom kladen stále větší důraz. V evropském kontextu se začíná hojně diskutovat nové nařízení Evropského parlamentu a Rady (EU) 2016/679, které s účinností od 25. května 2018 změní úpravu ochrany osobních údajů fyzických osob, právě s ohledem na jejich zpracování a pohyb.

Ochrana osobních údajů je však dlouhodobě a relativně komplexně upravena již nyní a každý správce osobních údajů je povinen reagovat na rizika spojená s jejich zpracováním. Cílem tohoto článku je stručně nastínit základní aspekty nakládání s osobními údaji na bázi cloud computingu s ohledem na jejich pohyb.

Jak s daty nakládat v rámci EU?

V ČR je ochrana osobních údajů upravena zákonem č. 101/2000 Sb., o ochraně osobních údajů. Zákon zohledňuje právo EU, především směrnici Evropského parlamentu a Rady 95/46/ES o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a dále i mezinárodní smlouvy, zde ratifikovanou Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních dat.

Skutečnost, že poskytovatelé cloudových služeb budou často usazeni mimo území ČR a případně i mimo prostor EU / EHP, není sama o sobě určující pro vyslovení závěru, že podnikatel, který cloudové služby využívá, nemusí respektovat pravidla ochrany osobních údajů stanovená právními předpisy ČR, respektive v rámci EU.

Klíčovým faktorem bude určení osoby správce osobních údajů, tedy podnikatele, který využívá cloudových služeb. Pokud je správce český subjekt, typicky společnost se sídlem v ČR, je povinen zmíněnou regulaci ochrany osobních údajů respektovat bez ohledu na to, kde se nachází poskytovatel cloudových služeb. Evropská pravidla ochrany osobních údajů se uplatní dokonce i v případě, že správce osobních údajů nesídlí v EU / EHP, ale poskytovatel cloudových služeb, který se na jejich zpracování podílí, ano. Správcem je přitom každá osoba, která určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, kterým na základě toho údaje zpracovává, ať už se jedná o úkony v rámci ukládání, vyhledávání, jejich třídění či jiné související operace.

Správce je primárně odpovědný za nakládání s osobními údaji v souladu s právními předpisy. V této souvislosti je zásadní výběr odpovědného poskytovatele cloudových služeb a uzavření smlouvy, která dostatečně konkretizuje vzájemná práva a povinnosti včetně ochrany osobních údajů, odpovídajících záruk k organizačnímu a technickému zabezpečení. Ačkoli v rámci cloud computingu dochází k časté migraci dat, poskytovatel by měl být schopen podnikatele informovat o jejich případném předání do jiných států, které bude podléhat předem dojednaným pravidlům. Předmětem ochrany osobních údajů je samozřejmě i jejich předávání. V některých případech není možné bez splnění zvláštních podmínek takové údaje předávat, anebo je tento proces podmíněn souhlasem orgánů veřejné moci. Pokud je zajištěna migrace osobních údajů pouze v rámci EU / EHS, není nutné vyžadovat souhlas Úřadu pro ochranu osobních údajů (na základě zásady volného pohybu osobních údajů) nebo přijímat jiná speciální opatření, která jsou uvedena níže.

Jaká pravidla se uplatní za hranicemi EU?

Předávání dat do tzv. třetích zemí (mimo EU / EHP) vždy představuje určité riziko, které vyžaduje zvýšenou potřebu opatrnosti a tomu odpovídající míru ochrany. Migrace osobních údajů je v zásadě možná vždy na základě souhlasu nebo pokynu osoby, o jejíž data se jedná, a po udělení souhlasu Úřadu, který osvědčí, že ochrana osobních údajů je správcem dostatečně zajištěna. Dostatečná míra ochrany se současně předpokládá u těch států, ve kterých byla ratifikována zmíněná Úmluva o ochraně osob. Obdobně to platí i ve vztahu k zemím, o kterých rozhodla Evropská komise na základě posouzení tamních právních předpisů. Informace o těchto rozhodnutích zveřejňuje Úřad ve Věstníku. V této souvislosti je nezbytné upřesnit, že dříve uplatňovaný koncept „Safe Harbor“ ve vztahu k USA již nelze nadále uplatnit, neboť byl zrušen rozhodnutím Soudního dvora Evropské unie z roku 2015. Alternativou a současně novým nástrojem ve vztahu k USA je od poloviny roku 2016 koncept „Privacy Shield“. Podmínkou jeho uplatnění je závazek k dodržování zásad vymezených Evropskou komisí a zápis do příslušného seznamu. Přihlášení k těmto zásadám otevírá cestu k migraci osobních údajů do USA bez dalších speciálních opatření.

Pokud není splněna žádná z již uvedených nebo speciálních podmínek uvedených v právních předpisech, nabízí se možnost migrace dat na základě standardních smluvních doložek nebo závazných podnikových pravidel (Binding corporate rules). Vzorové smluvní doložky představují oblíbený a relativně nenáročný nástroj k zajištění požadavků právních předpisů. V zásadě se jedná o text smluvních doložek vytvořený Evropskou komisí. Obsah a rozsah těchto doložek, kterými budou vázáni podnikatel využívající cloud computing i poskytovatel těchto služeb, zaručují dostatečné záruky a míru ochrany osobních údajů. Informace o těchto doložkách lze v českém prostředí opět dohledat ve Věstníku Úřadu. Binding corporate rules oproti tomu představují systém pravidel uplatňovaných v rámci společností v koncernu. Nadnárodní korporace takovými vnitřními pravidly nastaví dostatečnou ochranu a pravidla, kterými se budou řídit jednotlivé společnosti, v jejichž rámci k migraci osobních údajů dochází. S ohledem na charakter tohoto instrumentu, který podléhá schvalovacímu procesu, ale není možné osobní údaje poskytovat osobám mimo koncern.

Jak eliminovat rizika?

Každému podnikateli, který v souvislosti se zpracováním osobních údajů využívá služeb cloud computingu, lze doporučit kromě aplikace vymezených právních instrumentů i pečlivý výběr poskytovatele těchto služeb. Stěžejními body spolupráce přitom bude nastavení technických a organizačních opatření a garance migrace dat pouze v omezeném, časově i věcně identifikovatelném rozsahu. Součástí služeb poskytovatele by měly být například i záruky v podobě přístupu pouze přesně určenému okruhu osob za přesně definovaných podmínek, schopnosti definovat umístění dat v reálném čase, identifikace pokusů o neoprávněný přístup, související reporting a přijetí nápravných opatření v součinnosti se správcem, zablokování přístupu v nezbytných případech či předpoklady vymazání konkrétních údajů. Do budoucna pak lze jen doporučit včasnou analýzu nastaveného systému ochrany osobních údajů a souvisejících procesů s ohledem na legislativní změny v roce 2018.

Zájem správce na zajištění všech nezbytných mechanismů nabývá na významu především z důvodu odpovědnosti za zpracování osobních údajů v souladu s právními předpisy. Této odpovědnosti se přitom nelze zcela zprostit tak, že určité činnosti s tím spojené správce deleguje na třetí osobu, kterou může být právě poskytovatel cloudových služeb jako zpracovatel. V případě porušení povinností při zpracování osobních údajů může být Úřadem udělena podnikateli pokuta, např. při nesplnění oznamovací povinnosti nebo nepřijetí dostatečných opatření k zajištění bezpečnosti osobních údajů, a to až do výše pěti a v nejtěžších případech až deseti milionů korun.

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články