• advokátska kancelária Bratislava, Vajnorská 100/A

Ako ovplyvnilo využívanie cloudu GDPR

Používanie služieb cloud computingu môže pre firmy a organizácie priniesť mnoho výhod, vrátane zvýšenia úrovne ochrany spracúvaných dát. Prináša však aj nové riziká pre osobné údaje, napríklad nižšiu kontrolu nad spôsobom spracúvania údajov, zapojenie mnohých tretích strán, čo vytvára neistotu, kto je za čo zodpovedný, neistotu môže vytvárať aj otázka fyzického umiestnenia dátových centier či bezpečnosť prenosu dát.

Európska legislatíva na ochranu osobných údajov v podobe známeho nariadenia GDPR[1] priniesla pri využívaní cloudových riešení viacero zmien.

Je potrebné si uvedomiť, že spracúvaním osobných údajov je akákoľvek operácia s osobnými údajmi, tzn. aj ich prenos medzi prevádzkovateľom a cloudom, či ich uloženie v cloudovom úložisku. GDPR sa bude vzťahovať nielen na poskytovateľov cloudových služieb, ktorí sú umiestnení v EÚ ale aj na poskytovateľov, ktorí nie sú usadení v EÚ, ak spracúvajú osobné údaje fyzických osôb, ktoré sa nachádzajú v EÚ.

Z pohľadu GDPR je dôležité správne určiť postavenie jednotlivých subjektov, nakoľko z tohto postavenia im budú vyplývať rôzne povinnosti podľa GDPR. Klient služby bude zvyčajne v pozícii prevádzkovateľa, ktorý rozhodol o využití cloudu na uloženie svojich dát. Poskytovateľ služby bude zvyčajne v pozícii sprostredkovateľa, nakoľko on spravidla prenáša, ukladá a zálohuje dáta v mene a pre klienta.

Klient ako prevádzkovateľ je vždy zodpovedný za to, že spracúvanie osobných údajov je vykonávané v súlade s GDPR, a to vrátane zaistenia bezpečnosti spracúvaných osobných údajov. Klient je teda priamo zodpovedný aj za spracúvanie vykonávané prostredníctvom sprostredkovateľa – poskytovateľa cloudu. Pri výbere poskytovateľa cloudu si preto klient musí vždy overiť, či daný cloud prijal bezpečnostné opatrenia vyžadované GDPR. Túto povinnosť si môže klient splniť napríklad vykonaním auditu u poskytovateľa služby alebo požadovaním bezpečnostných certifikátov, či prostredníctvom dotazníkov či vyhlásení.

Okrem toho GDPR ukladá povinnosť poskytovateľovi cloudu a klientovi uzavrieť sprostredkovateľskú zmluvu, v ktorej budú určené podstatné podmienky a náležitosti spracúvania osobných údajov, ktoré klient spracúva prostredníctvom cloudu. Je veľmi dôležité, aby sa v zmluve určil proces, ako bude klient počas spolupráce dávať či meniť poskytovateľovi služby pokyny súvisiace so spracúvaním. Samotná zmluva alebo niektoré jej body môžu byť aj súčasťou obchodných podmienok poskytovateľa služby.

Podľa GDPR sú prevádzkovatelia povinní hlásiť porušenie ochrany osobných údajov jednak dotknutým osobám a taktiež dozornému orgánu, na Slovensku Úradu na ochranu osobných údajov SR. Je teda potrebné, aby bol vzťah klienta a poskytovateľa cloudových služieb nastavený tak, aby bol klient o prípadnom bezpečnostnom incidente na strane cloudu okamžite informovaný, aby mohol plniť svoje povinnosti podľa GDPR.

GDPR tiež stanovuje pomerne prísne pravidlá aj v ďalších oblastiach, ktoré sa môžu týkať prevádzky cloudových riešení. Poskytovatelia cloudových služieb môžu mať z ekonomických dôvodov záujem umiestňovať svoje servery do štátov, kde sú náklady na ich prevádzku nižšie. Problematické to môže byť pri umiestnení cloudových serverov do krajín mimo EHS. V takomto prípade je rozhodujúce rozhodnutie Európskej komisie o tom, či tretia krajina zaručuje primeranú úroveň ochrany osobných údajov. V prípade, že existuje takéto rozhodnutie, na prenos osobných údajov na cloudy do týchto krajín nie je nutné žiadne osobitné povolenie. V opačnom prípade možno osobné údaje prenášať a umiestňovať na cloudy do tretích krajín len vtedy, ak poskytovateľ cloudu poskytol primerané záruky ochrany. Napríklad v prípade umiestnenia cloudových serverov v USA je takouto zárukou štít na ochranu osobných údajov medzi EÚ a USA (EU-U.S. Privacy Shield). Pokiaľ je poskytovateľ cloudových služieb z USA certifikovaný v rámci EU-U.S. Privacy Shield, možno na jeho servery ukladať osobné údaje bez rizika porušenia GDPR.

Osobitnou otázkou je výkon práv dotknutých osôb. V zmysle GDPR má dotknutá osoba najmä právo na prístup k údajom, právo na vymazanie (právo „na zabudnutie“) či právo na portabilitu svojich dát. Ideálne cloudové riešenie je už priamo dizajnované tak, aby umožnilo bezproblémový výkon týchto práv. Je teda vhodné, aby si firmy vyberali takých poskytovateľov cloudu, ktorí umožňujú výkon práv dotknutých osôb jednoduchým a transparentným spôsobom.

Využívanie cloudových služieb z pohľadu ochrany osobných údajov so sebou prináša viaceré nástrahy, ktoré musí mať nielen klient ale aj poskytovateľ služby vždy na zreteli v súlade so zásadou privacy by default a privacy by design.

[1] Nariadenie Európskeho parlamentu a Rady  2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

 

 


Autor:
Lucia Semančínová

Ďalšie

Advokátsku kanceláriu Semančín & Partners nájdete v Polus Tower I, Vajnorská 100/A, Bratislava

Na vrch stránky