Pojem cloudu

Cloud computing, neboli zkráceně cloud, nemá v češtině odpovídající ekvivalent ani zákonnou definici. Jeho principem je sdílení hardwaru a softwaru prostřednictvím sítě, které slouží převážně ke zpracovávání objemnějších dat. Podstatou poskytování cloudových služeb je zjednodušeně řečeno pronájem výpočetního výkonu či úložného prostoru (virtuálního serveru) poskytovatele této služby, často spolu s možností využít další doprovodné aplikace a programy určené ke zpracování dat. Na jedné straně se tedy nachází poskytovatel cloudu a na straně druhé jeho uživatel.

Užívání cloudu s sebou nese především pro společnosti řadu ekonomických a technologických výhod. Vedle nich je ale také třeba vzít v úvahu možná rizika, zejména ta bezpečnostní, související hlavně s nedostatečnou kontrolou nad daty uchovávanými v cloudu. Uživatel cloudu by měl, zvlášť pokud jde o osobní údaje, vždy vědět, kdo, kde a jakým způsobem s daty nakládá, měl by znát způsob jejich zabezpečení a měl by nad nimi mít zaručenu co nejvyšší míru kontroly. Za tímto účelem by proto měl uživatel cloudových služeb vyžadovat od jejich poskytovatele dostatek informací, aby mohl učinit tzv. analýzu rizik a posoudit dostatečně výhody a nevýhody nabízeného systému.

Smlouva o poskytnutí cloudových služeb

Poskytování cloudových služeb v praxi bývá obvykle upraveno tzv. adhezními smlouvami, které často nereflektují ani aktuální legislativu, natož aby důsledně řešily otázku zabezpečení dat, resp. povinnosti smluvních stran. Uživatel přitom obvykle nemá možnost podobu takové smlouvy ovlivnit a mnohdy mu tak nezbývá, než ji přijmout v podobě předložené poskytovatelem cloudu.

Osobní údaje v cloudu

Specifická situace nastává v případech, kdy daty uchovávanými v cloudu jsou osobní údaje ve smyslu zákona o ochraně osobních údajů[2]. Právě v těchto případech je na místě zvýšená opatrnost uživatelů cloudových služeb, kteří jsou jakožto správci osobních údajů primárními zpracovateli osobních údajů a jsou tedy subjektem, který určuje účel a prostředky zpracování osobních údajů a který také za zpracování osobních údajů odpovídá.

Poskytovatel cloud computingu je pak správcem pověřen či zmocněn ke zpracování osobních údajů, čímž se dostává do pozice tzv. zpracovatele. Jako takový má pak poskytovatel cloudu ze zákona povinnost uzavřít se správcem osobních údajů smlouvu o zpracování osobních údajů (k tomu podrobněji dále). Na této povinnosti nic nemění ani okolnost, že zpracování osobních údajů poskytovatelem cloudu zpravidla fakticky obnáší pouze uložení dat na virtuálním serveru bez jakéhokoli dalšího zpracovávání (které si nadále obstarává sám uživatel cloudu jako správce osobních údajů).

Vzhledem k tomu, že uživatel cloudu jako správce osobních údajů nese za zpracování osobních údajů odpovědnost i v případě, že osobní údaje jsou uloženy v cloudu a zpracovávány poskytovatelem cloudu jako zpracovatelem osobních údajů (popřípadě jeho dalšími subdodavateli), a tedy mimo reálný dosah uživatele (v cloudu), je zapotřebí, aby uživatel cloudu jako správce osobních údajů na své straně zajistil adekvátní opatření pro zabezpečení dat (např. pomocí jejich šifrování). Dále v této souvislosti Úřad na ochranu osobních údajů nabádá správce, aby s případným poskytovatelem cloudových služeb předem smluvně ošetřili veškeré podmínky zpracování, včetně zajištění odpovídající úrovně zabezpečení, resp. úpravy odpovědnosti poskytovatele cloudu za jeho případná selhání s dopady do oblasti ochrany osobních údajů.

Smlouva o zpracování osobních údajů

Smlouva o zpracování osobních údajů musí být vždy uzavřena v písemné formě a musí v ní být výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá. Musí rovněž obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. Jsou-li osobní údaje zpracovávány v cloudu, je nutné věnovat obsahu smlouvy zvláštní pozornost, aby byla minimalizována zejména bezpečnostní rizika takového zpracovávání.

V této souvislosti lze zejména doporučit upravit ve smlouvě důsledně podmínky zapojení třetích osob do zpracovávání dat. V případě cloud computingu je totiž zcela běžné zapojení více subjektů (subdodavatelů), kteří částečně technologicky zajišťují poskytnutí služby. Pro zajištění potřebné ochrany zpracovávaných dat je žádoucí, aby subdodavatelé byli vázáni stejnými povinnostmi jako poskytovatel cloudu, s nímž správce osobních údajů primárně uzavírá smlouvu o zpracování osobních údajů. Správce osobních údajů by si též měl ve smlouvě vymínit možnost vyjádřit se k osobě subdodavatele ještě před tím, než jsou mu v rámci zpracovávání svěřena uživatelova data, popřípadě možnost takového subdodavatele v souvislosti s jejich zpracováním odmítnout.

Neméně důležité je správné vymezení účelu zpracování osobních údajů. Ze zákona plyne povinnost správce určit účel zpracování a informovat o něm fyzickou osobu, k níž se osobní údaje vztahují (subjekt údajů). Pověřený zpracovatel je pak povinen respektovat účel zpracování určený správcem osobních údajů. Pokud by zpracovatel tuto povinnost porušil, dopustil by se nezákonného zpracování, za které mu vedle zákonem předpokládaných veřejnoprávních důsledků může hrozit i sjednaná smluvní pokuta. V souvislosti s vymezením účelu zpracování je vhodné ve smlouvě vyřešit též otázku přístupu k datům v rámci organizace zpracovatele, resp. jejich oddělení od jiných zpracovávaných dat.

Vzhledem k povaze této služby je poměrně bežné, že cloud computing je provozován zahraničním subjektem a data v jeho rámci uchovávaná se nacházejí v různých zemích i mimo členské státy Evropské unie. Správce údajů by proto měl mít dostatek informací o místě, kde se jeho data nacházejí, a zejména v případě zemí mimo Evropskou unii klást zvláštní důraz na zajištění odpovídající ochrany. Z hlediska záruk požadovaných pro předávání osobních údajů Úřad pro ochranu osobních údajů doporučuje využívat pouze cloudová úložiště, které se nacházejí na území Evropské unie a jsou proto plně pod jurisdikcí práva EU.

Smlouva o zpracování osobních údajů v případě jejich zpracování v cloudu by měla rovněž obsahovat úpravu zajištění zálohování a šifrování dat, resp. úpravu vzájemné součinnosti poskytovatele cloudu s jeho uživatelem, a to zejména pokud jde o plnění zákonné povinnosti správce údajů zajistit blokování, provedení opravy, doplnění nebo likvidaci osobních údajů, pokud tyto nejsou zpracovávány v souladu se zákonem. V závislosti na míře zpracovávání osobních údajů ze strany poskytovatele cloudu by měla být ve smlouvě rovněž upravena likvidace údajů po uplynutí doby nezbytné pro jejich zpracování.

Pro případ ukončení vzájemné spolupráce mezi poskytovatelem a uživatelem cloudu je pak ve smlouvě o zpracování osobních údajů vhodné upravit též formu předání zpracovávaných údajů zpět správci, a to tak, aby bylo umožněno v jejich zpracovávání nadále pokračovat, ať již osobou správce nebo jiným zpracovatelem (včetně jiného poskytovatele cloudové služby).

Andrea Kopečková,
advokátní koncipientka

VEPŘEK CASKA VLACHOVÁ advokátní kancelář s.r.o.

Husova 242/9
110 00 Praha 1

Tel.: +420 222 220 775
Fax: +420 222 220 804
e-mail: info@vcv.cz

--------------------------------------------------------------------
[1] Stanovisko pracovní skupiny WP 196 (pro ochranu osobních údajů) ze dne 1. července 2012, dostupné na www, k dispozici >>> zde.
[2] Zákon č. 101/2000 Sb. , o ochraně osobních údajů

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz