Cloudová úložiště
Tvrzení že cloudy jsou všude kolem nás, rozhodně není přehnané. Jejich využití je stále častější a moderní uživatel Internetu se bez nich v podstatě neobejde. Cloudy jsou v dnešní době už tak rozšířené, že běžný uživatel Internetu si ani neuvědomuje, že se na cloudu nachází, případně tam přímo ukládá svá data. Využitím cloudu na jedné straně je zcela vědomá činnost uživatele, který si na službě cloudového uložiště dat zálohuje fotografie z dovolené, a na druhé straně i zcela běžné využívání emailu, poslech hudby online či uložení si schůzky do elektronického kalendáře. Tento článek se zabývá právní problematikou tzv. cloudových úložišť, jež typicky představují služby zaměřené na ukládání a zálohování uživatelských dat.
Nesporné výhody cloudových úložišť
Stále se rozšiřující využití cloudových úložišť má samozřejmě své opodstatněné důvody. Jde zejména o pohodlí uživatele, když data, která si uloží na cloud, jsou pro něj dostupná kdykoliv a odkudkoliv, v podstatě z jakéhokoliv elektronického zařízení, a to velmi jednoduše a velmi rychle.
Využití služeb cloudových úložišť je také v porovnání s jinými řešeními ukládání dat bezesporu finančně výhodné. Jen málo uživatelům by se vyplatilo investovat do vlastních serverů a softwarového vybavení, namísto využití cloudového úložiště „na míru“. Navíc v poměru k ceně dostává uživatel obvykle výrazně lepší zabezpečení svých dat, včetně zálohování, než pokud by si jejich ukládání zajišťoval sám, ať už fyzicky či v elektronické podobě.
Čím dál častěji se objevují kritické hlasy, a nadto i zprávy o úniku či zneužití dat na cloudových úložištích. S tím logicky souvisí snaha o posílení právní ochrany v této oblasti, například z hlediska ochrany osobních údajů (rozšiřování cloudových uložišť bylo jedním z důvodů regulace v podobě obecného nařízení o ochraně osobních údajů – GDPR, díky němuž dochází např. k rozšíření pojmu „osobní údaj“, který bude zahrnovat například i e-mailovou adresu, IP adresu či soubory cookie). Pokud se totiž na výhody cloudových úložišť podíváme z opačného úhlu, je nasnadě, že uživatelé přichází o stoprocentní kontrolu nejen nad způsobem technického řešení uložení a ochrany dat, ale i nad daty samotnými.
Uživateli standardně nejsou poskytovány informace o reálné dostupnosti dat, o jejich ochraně a možnosti přístupu třetích osob. S těmito informacemi se uživatel může seznámit obvykle pouze poměrně nesnadno a za vynaložení nemalé časové investice. Není pak třeba připomínat, že informace se nerovná záruka ochrany či prevence dat, ačkoliv právě tyto aspekty tvoří základní stavební kameny nového nařízení GDPR.
Riziko tak představuje nejen dočasná nedostupnost, poškození, znehodnocení či ztráta dat, ale také jejich únik a zneužití. Zajímavým aspektem této problematiky je pak fyzické rozmístění serverů, kdy je hypoteticky pochopitelně možné zničení hardwaru v situacích, odpovídajících vyšší moci ale například také jejich zabavení poskytovateli služby v exekuci. V takovém případě může uživatel ztratit svá data docela a bez náhrady. Možnost zneužití dat z cloudu, ať již poskytovatelem služby nebo třetí osobu je také reálná, jak dokládají například kauzy úniku fotografií několika zahraničních hereček. Nakolik některé z úniků mohou být zapříčiněny chybným nastavením služby, pravdou zůstává, že ani některé z nejznámějších bezplatných cloudových uložišť nezajišťují stupeň ochrany dat, který by mohl zaručovat jejich dostačující ochranu.
Je pochopitelné, že uzavírání adhezní smlouvy online s uživatelem (jak je podstatné, s fyzickou nebo právnickou osobou) poskytovatelem služby je standardním postupem, který nejen představuje rychlé a pohodlné řešení pro obě smluvní strany a je standardní v oblasti služeb informační společnosti, ale zároveň poskytovateli služby umožňuje zásadně smluvně omezit odpovědnost na škodu či jinou újmu, vzniklou uživateli v souvislosti s poskytováním služby. Setkat se běžně lze i se smlouvami, které udělují poskytovateli právo nakládat s duševním vlastnictvím k datům, uloženým na cloudu, oprávnění poskytovatele vymazat data bez náhrady či oprávnění vydat data třetí straně. Spornost podobných ustanovení je samostatnou otázkou, nicméně obecně je taková úprava uživateli přijímána v řádu vteřin.
Ačkoliv součástí smluv obvykle bude technické vymezení provozu cloudového úložiště, odpovědnost poskytovatele služby a práva a povinnosti obou smluvních stran, klient vzhledem k povaze smlouvy nemá možnost navrhnout jakékoliv její úpravy a změny. S ohledem na často velký rozsah smluvních podmínek a způsob uzavírání smlouvy, valná většina uživatelů nemá časovou možnost nebo přinejmenším ambici, seznámit se s plným rozsahem smluvních podmínek. V oblasti ochrany osobních údajů, která se poskytovatelů cloudových uložišť týká podstatným způsobem, i tuto otázku GDPR upravuje, a to značně pro-uživatelsky. Poskytovatelé služeb tak budou do budoucna muset přijmout nemálo změn v úpravě smluvních podmínek cloudových uložišť a obecně v komunikaci s klienty.
Na průměrného uživatele – fyzickou osobu – se samozřejmě i v tomto případě vztahují normy spotřebitelského práva (zejména jejich úprava v zákoně č. 89/2012, Sb., občanském zákoníku ve svém § 1810 a následujících a v zákoně č. 634/1992, Sb. na ochranu spotřebitele), které mu přináší určitý standard ochrany, ať už jde právě o adhezní smlouvy, nejasné či nepředvídatelné smluvní podmínky či celkově ujednání v neprospěch spotřebitele. Ta jsou zaručena rovněž mezinárodním právem, resp. právem Evropské Unie, když toto zajišťuje, že práva spotřebitele se budou řídit právě právem státu, kde má spotřebitel bydliště.[1] Je však třeba mít na paměti, že předpisy o ochraně spotřebitele se vztahují jen na fyzické osoby.
Jak vybrat cloudové úložiště
Uživatel by měl ještě více zpozornět v případě, že služba je nabízena zdarma. Ekonomický princip, že žádný oběd není zadarmo, platí i zde a je třeba myslet na to, že poskytovatelé by služby neposkytovali, kdyby se jim nevyplácely. Právě zde narůstá riziko zneužití dat, nejčastěji data miningem a následným profilováním uživatele za účelem cílené reklamy. Tento způsob užívání osobních údajů byl akceptován většinou uživatelů více méně z nutnosti, resp. závislosti na poskytovaných službách. Doposud poměrně výdělečné podnikání založené právě na data miningu však s účinností GDPR bude muset hledat nové cesty.
Zřejmé je, že jinak o zálohování svých dat bude uvažovat student, píšící diplomovou práci, a jinak velká obchodní společnost se zájmem na ochraně svého obchodního tajemství. Zatímco v prvním případě je vhodnější a výhodnější využít všeobecně nabízenou službu pro zálohování práce, kterou student píše na svém osobním počítači, ve druhém případě se jistě vyplatí investovat a nechat si zřídit privátní cloudové úložiště. Pojmovým znakem obchodního tajemství ve smyslu ust. § 504 občanského zákoníku je vedle dalšího také to, že vlastník konkurenčně významných, určitelných, ocenitelných a v příslušných kruzích běžně nedostupných skutečností, zajišťuje odpovídajícím způsobem jejich utajení. Za takový odpovídající způsob utajení by pak soud nemusel považovat veřejné datové úložiště, jehož provozovatel si vyhrazuje práva ke všem nahraným souborům. Jen informace splňující zákonnou definici jsou pak chráněny právem na ochranu proti nekalé soutěži ve smyslu ust. § 2985 občanského zákoníku.
Právní povaha cloudového úložiště byla koneckonců řešena také Nejvyšším soudem v ČR, a to v trestněprávní kauze, kdy se jednalo o cloudové úložiště advokáta.[2] Jádro problému tkvělo v tom, zda se právě cloudové úložiště dá zahrnout pod pojem „jiné prostory, v nichž advokát vykonává advokacii“ ve smyslu § 85b odst. 1 trestního řádu. Do tohoto pojmu byla jako místa, v nichž lze ukládat, zpracovávat a využít informace o klientech, jichž se dotýká povinnost mlčenlivosti advokáta, vedle např. webových stránek zahrnuta právě i „vlastní datová úložiště nenacházející se v místech běžného výkonu advokátní praxe nebo úložiště, provozovaná od advokáta odlišnou osobou, umožňující dálková přístup pomocí internetové sítě (např. různé typy tzv. hostingů, cloudů, serverů).“
Závěrem
Cloudová úložiště či obecně technologii cloudů pravděpodobně nějakým způsobem využívá každý, kdo čte tento článek. Málokdo ale zná reálná rizika a dopady. Než tedy svěříme svá osobní data do „mraku“ musíme sami pro sebe vyhodnotit, jak moc důvěrná a hodnotná tato data jsou a jak je chceme chránit. Na druhé straně poskytovatelé služeb cloudových uložišť by měli pamatovat na to, že cenu informací, jako zásadní komodity současnosti, si uvědomily také evropské instituce. Provoz služeb cloud computingu je nesporným a nepostradatelným přínosem do všech oblastí vývoje společnosti, jak hospodářského, tak vzdělávacího, vědeckého a kulturního. Tyto služby zlepšují kvalitu každodenního života a zpřístupňují nové technologie stále širšímu množství uživatelů. Jejich rozvoj je nezbytné podporovat. Například ale právě zmiňované Nařízení GDPR vymezuje hranice odpovědnosti s provozováním této služby spjaté velmi ostře. Ačkoliv výklad některých ustanovení vyjasní teprve praxe, vysoké finanční sankce mohou některým poskytovatelům cloudových služeb znemožnit druhou šanci na omyl. Důslednost je tedy i na jejich straně. Minimálně, co se přípravy smluv a procesů na účinnost GDPR do května 2018 týče.
JUDr. Veronika Křížová, LL.M.,
advokátka
Gabriela Kadlecová,
studentka
Advokátní kancelář Kříž a partneři s.r.o.
Rybná 9
110 00 Praha 1
Tel.: +420 224 819 334
Fax: +420 224 819 343
e-mail: info@ak-kp.cz
__________________________________
[1] Např. článek 6 nařízení Řím I.
[2] Tpjn 306/2015
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz