Jak se vypořádat s odpovědností za firemní dokumenty v cloudu

Zavádění cloudových služeb s sebou nese i rizika spojená ochranou osobních údajů: jde především o nedostatek kontroly nad osobními údaji a nedostatečnou informovanost zákazníka cloudu o tom, kde a kým jsou údaje zpracovávány. Společnosti si začínají tato rizika uvědomovat a mnohé, které dříve měly svá data uložena ve veřejném cloudu, začínají tato data přesouvat do privátních cloudů. I v případě užití soukromých cloudů je však třeba pečlivě zvážit mnoho aspektů.

Právní rámec

Nadnárodní právní rámec představuje především směrnice o ochraně údajů 95/46/ES. Tato směrnice se použije na všechny případy, ve kterých jsou osobní údaje zpracovávány v důsledku využívání služeb cloudu. Směrnice o soukromí a elektronických komunikacích 2002/58/ES (ve znění směrnice 2009/136/ES) se použije na zpracovávání osobních údajů poskytovateli služeb elektronických komunikací zpřístupněných veřejnosti (telekomunikační operátoři), a je tudíž relevantní v případech, kdy se při poskytování těchto služeb využívá cloudové řešení. Speciální ochranu fyzických osobám pak poskytuje ještě Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, které je již platné, ale nabude účinnosti až 25. května 2018. Z národního hlediska jsou tyto směrnice promítnuty především do zákona č. 101/2000 Sb. , zákon o ochraně osobních údajů, č. 127/2005 Sb. , zákon o elektronických komunikacích a č. 181/2014 Sb. zákon o kybernetické bezpečnosti.

Reklama

Nemáte ještě registraci na epravo.cz?

Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

REGISTROVAT ZDE

Postavení zákazníka cloudu

Společnost coby zákazník cloudových služeb určuje konečný účel zpracování a rozhoduje o zadání tohoto zpracování poskytovatelem cloudu. Zákazník cloudových služeb je tudíž správcem ve smyslu zákona o ochraně osobních údajů. Správcem se v souladu s tímto zákonem rozumí „každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj.“ Zákazník cloudových služeb musí jako správce přijmout odpovědnost za dodržování právních předpisů na ochranu údajů a odpovídá za veškeré povinnosti správce dle uvedených předpisů, mj. i za unik osobních údajů. Přestože zákazník cloudových služeb může poskytovatele cloudových služeb pověřit výběrem postupů a technických či organizačních opatření, konečnou odpovědnost za dodržování předpisů nese zákazník. To platí i přesto, že zákazníci často nemají přílišný prostor při vyjednávání smluvních podmínek pro využívání cloudových služeb, jelikož mnohé z nich bývají nabízeny standardizovaným způsobem. Poskytovatel cloudových služeb bude mít vůči zákazníkovi úlohu smluvního dodavatele (odpovídá za splnění smluvní povinnosti) a zákonné postavení zpracovatele. Úkolem zpracovatelů je především zajistit důvěrnost. Zpracovatel může zpracovávat poskytnuté informace pouze podle pokynů správce.

S ohledem na výše uvedené doporučujeme při uzavírání smluv na užívání cloudu dodržet tyto pokyny:

zákazník zajistí vymezení účelu zpracování a přijme odpovědnost za dodržování právních předpisů na ochranu údajů (zejména zajistí příslušné souhlasy ke zpracování údajů, pokud jsou třeba),
zákazník zajistí, aby poskytovatel cloudu respektoval právní předpisy na ochranu údajů,
smlouva mezi poskytovatelem cloudu a zákazníkem by měla obsahovat ustanovení ohledně subdodavatelů,
poskytovatel cloudu bude zákazníka informovat o všech důležitých aspektech, jež v rámci jejich služeb souvisejí s ochranou údajů,
poskytovatel cloudu zajistí výmaz osobních údajů v každém jejich úložišti, jakmile již nejsou potřebné pro dané účely, popř. byl odvolán souhlas s jejich zpracováním,
poskytovatel cloudu prokazatelně sjedná dostatečné záruky, jež se týkají technických bezpečnostních opatření a organizačních opatření,
přístup k údajům by měly mít pouze oprávněné osoby a případné sdělování bude omezeno na uvedené osoby,
poskytovatel bude povinen i) spolupracovat se zákazníkem na zajištění všech jeho povinností ii) usnadňovat výkon práv subjektů údajů na přístup ke svým údajům, na jejich opravu a výmaz a iii) případně oznamovat zákazníkovi jakékoliv narušení ochrany údajů,
zákazník ověří, zda je cloud umístěn na území s vysokým právním standardem ochrany informací (zejména pokud jde o území mimo EU) a zda může poskytovatel cloudových služeb zaručit zákonnost přeshraničního předávání údajů (omezit předávání údajů na země vybrané zákazníkem),
zpracovávání údajů prováděné poskytovatelem a jeho subdodavateli musí být evidováno.

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Odpovědnost společností i manažerů

V souvislosti s připravovanou novelou, č. 183/2016 Sb. zákona č. 418/2011 Sb. , o trestní odpovědnosti právnických osob a řízení proti dojde ke změně koncepce trestněprávního postihu právnických osob. Tyto budou nadále odpovědny za veškeré trestné činy, které nebudou z působnosti zákona vyloučeny. Společnosti budu nově odpovědné i za neoprávněné nakládání s osobními údaji, za které jim bude hrozit nejen civilní povinnost k náhradě škody, ale i trestněprávní postih.

K žádnému postihu nedojde, pokud zástupci společností budou jednat s péčí řádného hospodáře a uzavřou s poskytovateli cloudu smlouvu, která veškeré jejich zákonné povinnosti zohlední. Pokud by totiž mělo k postihu společnosti v důsledku neuváženého jednání jejích zástupců dojít, lze si představit, že se společníci budou na zástupcích domáhat náhrady škody z titulu jejich povinnost jednat s péčí řádného hospodáře.

Thomas Rechberger,
partner

TaylorWessing e|n|w|c advokáti v.o.s.

U Prašné brány 1078/1
110 00 Praha 1

Tel.: +420 224 819 216
e-mail: prag@taylorwessing.com

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

Thomas Rechberger (TaylorWessing)

27. 10. 2016

pošli emailem

vytiskni článek