Cloud a právo: pozor na umístění vašich dat

Marek Kreisl 25. 1. 2016

Pod pojmem „cloud“ si lze představit leccos, přičemž jeho definic existuje mnoho. Některé z nich jsou příliš rozsáhlé, jiné příliš úzce pojaté, některé jsou velmi striktní a jiné benevolentní. V tomto článku se zaměříme na právní stránku ukládání a přenosu dat ve všech jeho možných formách.

Kdy a jaká data lze v cloudu ukládat v rámci EU

Česká republika představuje v globálním měřítku jen malý trh, a proto se v praxi velmi často vyskytuje situace, kdy jsou poskytovatelé cloudových služeb usazeni mimo ni. V tomto ohledu je třeba nejprve zmínit, že faktorem vymezujícím použití práva určitého státu ve vztahu ke správci dat (tj. konkrétnímu ukladateli údajů do cloudu – jeho zákazníkovi, uživateli) je místo jeho usazení, resp. bydliště nebo místo jím provozované činnosti, nikoliv místo usazení poskytovatele cloudových služeb, jak se mnozí mylně domnívají.

Poskytovatel cloudových služeb je povinen zákazníka informovat o případném předávání jeho dat do jiných států. Nachází-li se úložiště dat na území EU a jejich případné předávání zahrnuje také pouze oblast EU, pak je možné předávat data i bez svolení Úřadu pro ochranu osobních údajů (na základě zásady volného pohybu osobních údajů). Poskytovatel a zákazník uzavírají smlouvu o zpracování osobních údajů, která musí obsahovat předepsané náležitosti.

Ukládání dat k poskytovateli služby má v rámci EU jasná pravidla, která jsou upravena především evropskou směrnicí č. 95/46/ES (doplňkově i směrnicí č. 2002/58/ES). Ta určuje práva a povinnosti jak poskytovatelů cloudových služeb, tak i jejich uživatelů. Práva a povinnosti zahrnují především dodržování zásady určení a omezení účelu, transparentnosti a odpovídající úrovně ochrany. Primárním účelem těchto zásad je zajištění ochrany osobních údajů subjektů údajů (subjektů, jichž se zpracovávané údaje týkají). Pro území ČR je právní úprava obsažena v zákoně č. 101/2000 Sb., o ochraně osobních údajů, který v sobě zakotvuje principy evropské směrnice č. 95/46/ES.

Ukládání dat mimo EU

Předávání dat do zemí mimo EU, tzv. třetích zemí, je obecně považováno za rizikové a může se vyznačovat nedostatečnou mírou ochrany. Z tohoto důvodu lze bez předchozího souhlasu Úřadu pro ochranu osobních údajů předávat data pouze do zemí, které zaručují odpovídající úroveň jejich ochrany. Těmi jsou zejména státy, které ratifikovaly Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních dat a jejich ochrana je tak v souladu se směrnicí 95/46/ES.

Zákon stanoví důvody, kdy lze data předávat i do třetích zemí, které neratifikovaly Úmluvu o ochraně osob. Jedná se např. o situace, kdy k předání dochází s výslovným souhlasem subjektu údajů nebo kdy je předání nezbytné pro ochranu práv nebo životně důležitých zájmů subjektu údajů. V takovém případě je správce povinen se u Úřadu zaregistrovat, nestanoví-li zvláštní zákon jinak (např. zákon o zaměstnanosti, zákon o sociálně-právní ochraně dětí, …). Data lze také legálně předávat provozovatelům úložišť dat s tzv. „safe harbour“ certifikací, a to bez ohledu na to, ze které země cloud provozují – typicky se tento model používá u firem sídlících v USA či jinde mimo EU.

Kontrola, důkazy a sankce

Častou otázkou ze strany laické veřejnosti je, jak zjistit, kde se vlastně uložená data skutečně nachází. Cloud computing se však velmi často vyznačuje principem, kdy pevné umístění dat takřka neexistuje a ta se tak mohou v horizontu hodin pohybovat na opačných koutech světa. Zákazník cloudových služeb tak v reálném čase vůbec nemusí vědět, kde jsou data uložena a kam se předávají, ale současně je jeho povinností, jakožto správce údajů, poskytnout jim dostatečnou ochranu. Troufám si tvrdit, že v tomto bodě právní úprava postrádá lepší kontrolní mechanismy, které by uživatel jakožto správce dat mohl využívat. Z těchto důvodů je třeba velmi pečlivě vybírat poskytovatele, který zaručuje soulad s právními předpisy EU, a důsledně dbát na to, aby ve smlouvě byly uvedeny dostatečné záruky ohledně technických a organizačních opatření.

Zákazník by také měl ověřit, jestli je poskytovatel cloudových služeb schopen dostatečně zaručit zákonnost mezinárodního předávání. Předávání dat do třetích zemí, které neratifikovaly výše zmíněnou Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních dat, vždy podléhá souhlasu Úřadu, který je vydáván v povolovacím řízení. V případě, že k oznámení a následnému souhlasu Úřadu nedojde, hrozí i správci, jako „pouhému ukladateli“ dat, pokuta v extrémních případech až v řádech milionů korun.

Závěr a doporučení

Všem uživatelům cloudových služeb je třeba důrazně doporučit, aby pečlivě vybírali jejich poskytovatele, přičemž hlavním bodem zájmu by měla být možná právní rizika. Zpracování dat prostřednictvím cloudových služeb je obecně považováno za velkou neznámou, především kvůli nedostatku informací a malým možnostem kontroly (viz pohyb dat výše). A to i navzdory legislativně zakotvené povinnosti poskytovatele cloudových služeb informace zákazníkovi poskytovat. Zákazník by měl postupovat obezřetně především při ukládání citlivých údajů a měl by důsledně ověřit zákonnost mezinárodního předávání, protože v této oblasti se nejčastěji vystavuje riziku sankcí.

V neposlední řadě bychom rádi upozornili na několik věcí, které je záhodno smluvně ošetřit. První z nich je přístup k údajům, který by měly mít pouze oprávněné osoby. Z tohoto důvodu by smlouva s poskytovatelem měla obsahovat doložku mlčenlivosti pro poskytovatele a jeho zaměstnance. Druhou, avšak neméně podstatnou věcí je sdělování údajů třetím osobám, a to především ve vztahu k požadavkům oprávněných orgánů o poskytnutí osobních údajů. Poslední a současně nejnáročnější věcí doporučeníhodnou pro smluvní specifikaci je detailně konkretizovaná povinnost spolupráce poskytovatele a zákazníka. Zde lze smluvně upravit širokou škálu věcí – od možnosti vykonávat dohled nad zpracováním, přes oznamování narušení či poškození zákazníkem uložených údajů až po upravení přístupu, opravy či výmaz uložených dat.

Ohodnoťte jako ve škole:

Průměrná známka 2,38

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
Lupa.cz: Válka e-shopů. Alza končí s Heurekou

Válka e-shopů. Alza končí s Heurekou

Podnikatel.cz: Přechod z OSVČ na firmu? Totální šok!

Přechod z OSVČ na firmu? Totální šok!

DigiZone.cz: Šlágr TV: pokuta 100 tisíc za on-line

Šlágr TV: pokuta 100 tisíc za on-line

120na80.cz: Kontaktní čočky jako stvořené na dovolenou

Kontaktní čočky jako stvořené na dovolenou

120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

Vitalia.cz: Vydával se za český, prozradila ho DNA

Vydával se za český, prozradila ho DNA

Podnikatel.cz: Konečně vývar. Skoro jako od Steva Jobse

Konečně vývar. Skoro jako od Steva Jobse

DigiZone.cz: Kolik lidí sleduje hokej na webu ČT?

Kolik lidí sleduje hokej na webu ČT?

Vitalia.cz: Falšovaný salám v Kauflandu

Falšovaný salám v Kauflandu

DigiZone.cz: Změní se veřejnoprávní status ČT?

Změní se veřejnoprávní status ČT?

Vitalia.cz: Grilujte v parku i na loďce

Grilujte v parku i na loďce

Vitalia.cz: 10 rad šéfkuchařů pro perfektní grilování

10 rad šéfkuchařů pro perfektní grilování

120na80.cz: 5 triků, jak zastavit krvácení po holení

5 triků, jak zastavit krvácení po holení

DigiZone.cz: Panasonic v Praze uvedl TV pro rok 2016

Panasonic v Praze uvedl TV pro rok 2016

120na80.cz: Zjistěte, zda je vaše klíště infikované

Zjistěte, zda je vaše klíště infikované

Vitalia.cz: Taky ji kupujete? Je šizená

Taky ji kupujete? Je šizená

120na80.cz: Jak správně vytrhnout mléčný zub?

Jak správně vytrhnout mléčný zub?

120na80.cz: Velký přehled: 7 očkování proti exotickým nemocem

Velký přehled: 7 očkování proti exotickým nemocem

Podnikatel.cz: Využijte v byznysu nulové tarify

Využijte v byznysu nulové tarify

Podnikatel.cz: Různé podoby lahve Coca–Coly. Úchvatné

Různé podoby lahve Coca–Coly. Úchvatné