Cloud a právo: pozor na umístění vašich dat

Marek Kreisl 25. 1. 2016

Pod pojmem „cloud“ si lze představit leccos, přičemž jeho definic existuje mnoho. Některé z nich jsou příliš rozsáhlé, jiné příliš úzce pojaté, některé jsou velmi striktní a jiné benevolentní. V tomto článku se zaměříme na právní stránku ukládání a přenosu dat ve všech jeho možných formách.

Kdy a jaká data lze v cloudu ukládat v rámci EU

Česká republika představuje v globálním měřítku jen malý trh, a proto se v praxi velmi často vyskytuje situace, kdy jsou poskytovatelé cloudových služeb usazeni mimo ni. V tomto ohledu je třeba nejprve zmínit, že faktorem vymezujícím použití práva určitého státu ve vztahu ke správci dat (tj. konkrétnímu ukladateli údajů do cloudu – jeho zákazníkovi, uživateli) je místo jeho usazení, resp. bydliště nebo místo jím provozované činnosti, nikoliv místo usazení poskytovatele cloudových služeb, jak se mnozí mylně domnívají.

Poskytovatel cloudových služeb je povinen zákazníka informovat o případném předávání jeho dat do jiných států. Nachází-li se úložiště dat na území EU a jejich případné předávání zahrnuje také pouze oblast EU, pak je možné předávat data i bez svolení Úřadu pro ochranu osobních údajů (na základě zásady volného pohybu osobních údajů). Poskytovatel a zákazník uzavírají smlouvu o zpracování osobních údajů, která musí obsahovat předepsané náležitosti.

Ukládání dat k poskytovateli služby má v rámci EU jasná pravidla, která jsou upravena především evropskou směrnicí č. 95/46/ES (doplňkově i směrnicí č. 2002/58/ES). Ta určuje práva a povinnosti jak poskytovatelů cloudových služeb, tak i jejich uživatelů. Práva a povinnosti zahrnují především dodržování zásady určení a omezení účelu, transparentnosti a odpovídající úrovně ochrany. Primárním účelem těchto zásad je zajištění ochrany osobních údajů subjektů údajů (subjektů, jichž se zpracovávané údaje týkají). Pro území ČR je právní úprava obsažena v zákoně č. 101/2000 Sb., o ochraně osobních údajů, který v sobě zakotvuje principy evropské směrnice č. 95/46/ES.

Ukládání dat mimo EU

Předávání dat do zemí mimo EU, tzv. třetích zemí, je obecně považováno za rizikové a může se vyznačovat nedostatečnou mírou ochrany. Z tohoto důvodu lze bez předchozího souhlasu Úřadu pro ochranu osobních údajů předávat data pouze do zemí, které zaručují odpovídající úroveň jejich ochrany. Těmi jsou zejména státy, které ratifikovaly Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních dat a jejich ochrana je tak v souladu se směrnicí 95/46/ES.

Zákon stanoví důvody, kdy lze data předávat i do třetích zemí, které neratifikovaly Úmluvu o ochraně osob. Jedná se např. o situace, kdy k předání dochází s výslovným souhlasem subjektu údajů nebo kdy je předání nezbytné pro ochranu práv nebo životně důležitých zájmů subjektu údajů. V takovém případě je správce povinen se u Úřadu zaregistrovat, nestanoví-li zvláštní zákon jinak (např. zákon o zaměstnanosti, zákon o sociálně-právní ochraně dětí, …). Data lze také legálně předávat provozovatelům úložišť dat s tzv. „safe harbour“ certifikací, a to bez ohledu na to, ze které země cloud provozují – typicky se tento model používá u firem sídlících v USA či jinde mimo EU.

Kontrola, důkazy a sankce

Častou otázkou ze strany laické veřejnosti je, jak zjistit, kde se vlastně uložená data skutečně nachází. Cloud computing se však velmi často vyznačuje principem, kdy pevné umístění dat takřka neexistuje a ta se tak mohou v horizontu hodin pohybovat na opačných koutech světa. Zákazník cloudových služeb tak v reálném čase vůbec nemusí vědět, kde jsou data uložena a kam se předávají, ale současně je jeho povinností, jakožto správce údajů, poskytnout jim dostatečnou ochranu. Troufám si tvrdit, že v tomto bodě právní úprava postrádá lepší kontrolní mechanismy, které by uživatel jakožto správce dat mohl využívat. Z těchto důvodů je třeba velmi pečlivě vybírat poskytovatele, který zaručuje soulad s právními předpisy EU, a důsledně dbát na to, aby ve smlouvě byly uvedeny dostatečné záruky ohledně technických a organizačních opatření.

Zákazník by také měl ověřit, jestli je poskytovatel cloudových služeb schopen dostatečně zaručit zákonnost mezinárodního předávání. Předávání dat do třetích zemí, které neratifikovaly výše zmíněnou Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních dat, vždy podléhá souhlasu Úřadu, který je vydáván v povolovacím řízení. V případě, že k oznámení a následnému souhlasu Úřadu nedojde, hrozí i správci, jako „pouhému ukladateli“ dat, pokuta v extrémních případech až v řádech milionů korun.

Závěr a doporučení

Všem uživatelům cloudových služeb je třeba důrazně doporučit, aby pečlivě vybírali jejich poskytovatele, přičemž hlavním bodem zájmu by měla být možná právní rizika. Zpracování dat prostřednictvím cloudových služeb je obecně považováno za velkou neznámou, především kvůli nedostatku informací a malým možnostem kontroly (viz pohyb dat výše). A to i navzdory legislativně zakotvené povinnosti poskytovatele cloudových služeb informace zákazníkovi poskytovat. Zákazník by měl postupovat obezřetně především při ukládání citlivých údajů a měl by důsledně ověřit zákonnost mezinárodního předávání, protože v této oblasti se nejčastěji vystavuje riziku sankcí.

V neposlední řadě bychom rádi upozornili na několik věcí, které je záhodno smluvně ošetřit. První z nich je přístup k údajům, který by měly mít pouze oprávněné osoby. Z tohoto důvodu by smlouva s poskytovatelem měla obsahovat doložku mlčenlivosti pro poskytovatele a jeho zaměstnance. Druhou, avšak neméně podstatnou věcí je sdělování údajů třetím osobám, a to především ve vztahu k požadavkům oprávněných orgánů o poskytnutí osobních údajů. Poslední a současně nejnáročnější věcí doporučeníhodnou pro smluvní specifikaci je detailně konkretizovaná povinnost spolupráce poskytovatele a zákazníka. Zde lze smluvně upravit širokou škálu věcí – od možnosti vykonávat dohled nad zpracováním, přes oznamování narušení či poškození zákazníkem uložených údajů až po upravení přístupu, opravy či výmaz uložených dat.

Našli jste v článku chybu?
Vitalia.cz: Jelení farma produkuje kvalitní maso

Jelení farma produkuje kvalitní maso

Vitalia.cz: 3× o tucích: proč je potřebujeme?

3× o tucích: proč je potřebujeme?

DigiZone.cz: Boj Markízy a Novy o federální trh vrcholí

Boj Markízy a Novy o federální trh vrcholí

Root.cz: Střílejte v obýváku, stačí kamera a projektor

Střílejte v obýváku, stačí kamera a projektor

120na80.cz: Cestovní nevolnost. Co pomůže?

Cestovní nevolnost. Co pomůže?

DigiZone.cz: Náhrada za nevrácená zařízení?

Náhrada za nevrácená zařízení?

Lupa.cz: Text umírá, na webu zbude jen video

Text umírá, na webu zbude jen video

Vitalia.cz: 7 receptur z pohanky. Svědčí zdraví

7 receptur z pohanky. Svědčí zdraví

DigiZone.cz: Nova: technické pauzy každé 1. pondělí

Nova: technické pauzy každé 1. pondělí

Podnikatel.cz: Oblíbené Babišovo reverse charge. Potopilo je?

Oblíbené Babišovo reverse charge. Potopilo je?

Root.cz: Quake slaví 20 let novou epizodou zdarma

Quake slaví 20 let novou epizodou zdarma

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: Epidemie: Klíšťová encefalitida po ovčím sýru

Epidemie: Klíšťová encefalitida po ovčím sýru

Měšec.cz: Apple Pay je v Česku. Návod na aktivaci

Apple Pay je v Česku. Návod na aktivaci

DigiZone.cz: HbbTV KinoSvět: už jede na dalších TV

HbbTV KinoSvět: už jede na dalších TV

DigiZone.cz: Noxon iRadio 1 W bude za pár měsíců

Noxon iRadio 1 W bude za pár měsíců

Vitalia.cz: Máte chutě? Nejezděte do světa, ale do Dobřichovic

Máte chutě? Nejezděte do světa, ale do Dobřichovic

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

120na80.cz: Léky a dietní opatření při kopřivce

Léky a dietní opatření při kopřivce

Vitalia.cz: Jíme přesolené potraviny. Zrovna tyhle

Jíme přesolené potraviny. Zrovna tyhle