Úvod  |  Publikace  |  K problematice Cloud...

K problematice Cloud computing a osobní údaje

1. květen 2012

ČLÁNEK - Samotný koncept technologie je znám již přes padesát let, samo její označení již asi patnáct let; s rozvojem příslušného odvětví stále více subjektů přemisťuje svoje data a zdroje z vlastní (in-house) výpočetní techniky a od lokálního (on premises) firewallu do technologie cloud computing. Pokud použijeme asi nejjednodušší charakteristiky, lze cloud computing („CC“) chápat jako sdílení výpočetních prostředků a aplikací pomocí sítě (hardware - software - internet).

Jednou ze současných nevýhod používání a rozšiřování CC se zdá být nutnost adekvátního zabezpečení informací a dat včetně ochrany osobních údajů před únikem, ztrátou, zneužitím, což může být považováno i za bezpečnostní riziko.

Samotné dělení CC není zcela jednoznačné, nicméně převažuje dělení podle dvou hlavních hledisek: (i) podle poskytované služby respektive přístupu k těmto službám (software nebo hardware nebo jejich kombinace) - distribuční model = CaaS, SaaS, PaaS, IaaS, MaaS (zkratky anglických slov Communication …, Software …, Platform …, Infrastructure …, Monitoring …, … as a Service;  (ii) způsobu poskytování - model nasazení = veřejný, soukromý, hybridní, komunitní.

Vztah mezi objednatelem služeb CC a jejich poskytovatelem bude založen na smluvním základě, nejčastěji by byla objednatelem právnická osoba jako koncový uživatel. Obsah smlouvy by se v jednotlivostech lišil v závislosti od poskytované služby a způsobu poskytování. Nicméně s ohledem na charakter CC lze předpokládat, že se bude často jednat o smlouvy s mezinárodním prvkem a nezřídka o smlouvy formulářové; s tím související volba práva, jurisdikce, vymahatelnost práva.

Součástí těchto smluv nebo v samostatných smlouvách by měla být smluvně upravena podrobně i problematika ochrany osobních údajů (jakákoliv informace týkající se fyzické osoby umožňující ji přímo nebo nepřímo identifikovat; citlivé údaje jsou právním předpisem taxativně vyjmenované osobní údaje, pro jejichž zpracování je nutný specifický právní titul). Objednatel služeb CC zde bude považován za správce (určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj; zpracováním může zmocnit nebo pověřit zpracovatele). Poskytovatel služeb CC zde pak bude považován za zpracovatele (z pověření správce zpracovává osobní údaje).

V obecné rovině lze doporučit, aby v příslušné smlouvě (příslušných smlouvách) byly z hlediska zabezpečení informací a dat včetně ochrany osobních údajů zejména upraveny tyto technicko-organizační oblasti:

  • kdo a za jakých podmínek má přístup k poskytnutým informacím a datům, osobním údajům,
  • je poskytovatel služby auditován a držitelem mezinárodně uznávaných bezpečnostních certifikátů,
  • kontrola místa/ míst s uloženými daty/ aplikacemi,
  • technická a právní odpovědnost za bezpečnost CC, opatření při porušení bezpečnosti,
  • používané šifrování dat/ osobních údajů či jiná opatření z hlediska právních požadavků a bezpečnosti (anonymizace, pseudoanonymizace, fragmentace apod.,
  • opatření proti ztrátám dat v případě kolapsu CC,
  • opatření pro případ ukončení činnosti poskytovatele služeb CC, další osud poskytnutých dat/ aplikací,
  • preventivní monitorování CC poskytovatelem služby jako obrana proti podezřelým nebo nezákonným praktikám,
  • Servis Level Agreement (kvalitativní a kvantitativní záruky),

tak aby v konkrétním případě bylo vytvořeno dostatečně důvěryhodné rozhraní pro technologii CC (tzv. trustworthy clouds).

Objednatel je přitom zodpovědný (objektivní odpovědnost) za dodržování povinností daných právními předpisy na ochranu osobních údajů. Poskytovatel je oprávněn pouze k takovým činnostem ve vztahu k osobním údajům, k nimž byl ve smlouvě výslovně pověřen objednatelem. Překročením oprávnění by za porušení příslušných právních předpisů odpovědný v plném rozsahu přímo poskytovatel.

Globální charakter CC a volná přeshraniční migrace informací, dat osobních údajů a jejich ukládání (i přechodné) na serverech v různých částech světa a časté používání služeb subdodavatelů poskytovatelem služeb CC s sebou přináší nutnost věnovat zvýšenou pozornost (smluvní) ochraně osobních údajů při využívání technologie CC. To platí zejména v případech nepokrytých zákonnými výjimkami pro předávávání osobních údajů do zahraničí, kdy je nutno žádat příslušný úřad pro ochranu osobních údajů o povolení nebo kdy je přímo právním předpisem zakázáno předávávání osobních údajů do zahraničí.

Určitá zastaralost a nejednotnost právních předpisů Evropské unie (z roku 1995) a jednotlivých členských států týkající se ochrany osobních údajů a ochrany soukromí v odvětví elektronických komunikací nezohledňující vývoj technologie CC je důvodem, proč Evropská komise počátkem roku 2012 navrhla komplexní reformu pravidel Evropské unie o ochraně osobních údajů. Cílem by mělo být „posílení práva na soukromí na internetu a stimulace digitální ekonomiky Evropy“. Pro oblast technologie CC by z nich mohlo být zajímavé, že se bude jednat o soubor předpisů o ochraně osobních údajů jednotně platný v celé Evropské unii, zjednodušení a urychlení činnosti úřadů pro ochranu osobních údajů, použitelnost předpisů Evropské unie v případech, zpracovávají-li se osobní údaje v zahraničí subjekty se sídlem mimo Evropskou unii a působícími na trhu Evropské unie a nabízejícími své zboží nebo služby občanům Evropské unie nebo sledujícími jejich chování. V platnost by nová unijní legislativa měla vstoupit dva roky po jejím přijetí.

Oldřich Trojan

Advokátní kancelář HOLEC, ZUSKA & Partneři