Cloud a právo: pozor na umístění vašich dat

Marek Kreisl 25. 1. 2016

Pod pojmem „cloud“ si lze představit leccos, přičemž jeho definic existuje mnoho. Některé z nich jsou příliš rozsáhlé, jiné příliš úzce pojaté, některé jsou velmi striktní a jiné benevolentní. V tomto článku se zaměříme na právní stránku ukládání a přenosu dat ve všech jeho možných formách.

Kdy a jaká data lze v cloudu ukládat v rámci EU

Česká republika představuje v globálním měřítku jen malý trh, a proto se v praxi velmi často vyskytuje situace, kdy jsou poskytovatelé cloudových služeb usazeni mimo ni. V tomto ohledu je třeba nejprve zmínit, že faktorem vymezujícím použití práva určitého státu ve vztahu ke správci dat (tj. konkrétnímu ukladateli údajů do cloudu – jeho zákazníkovi, uživateli) je místo jeho usazení, resp. bydliště nebo místo jím provozované činnosti, nikoliv místo usazení poskytovatele cloudových služeb, jak se mnozí mylně domnívají.

Poskytovatel cloudových služeb je povinen zákazníka informovat o případném předávání jeho dat do jiných států. Nachází-li se úložiště dat na území EU a jejich případné předávání zahrnuje také pouze oblast EU, pak je možné předávat data i bez svolení Úřadu pro ochranu osobních údajů (na základě zásady volného pohybu osobních údajů). Poskytovatel a zákazník uzavírají smlouvu o zpracování osobních údajů, která musí obsahovat předepsané náležitosti.

Ukládání dat k poskytovateli služby má v rámci EU jasná pravidla, která jsou upravena především evropskou směrnicí č. 95/46/ES (doplňkově i směrnicí č. 2002/58/ES). Ta určuje práva a povinnosti jak poskytovatelů cloudových služeb, tak i jejich uživatelů. Práva a povinnosti zahrnují především dodržování zásady určení a omezení účelu, transparentnosti a odpovídající úrovně ochrany. Primárním účelem těchto zásad je zajištění ochrany osobních údajů subjektů údajů (subjektů, jichž se zpracovávané údaje týkají). Pro území ČR je právní úprava obsažena v zákoně č. 101/2000 Sb., o ochraně osobních údajů, který v sobě zakotvuje principy evropské směrnice č. 95/46/ES.

Ukládání dat mimo EU

Předávání dat do zemí mimo EU, tzv. třetích zemí, je obecně považováno za rizikové a může se vyznačovat nedostatečnou mírou ochrany. Z tohoto důvodu lze bez předchozího souhlasu Úřadu pro ochranu osobních údajů předávat data pouze do zemí, které zaručují odpovídající úroveň jejich ochrany. Těmi jsou zejména státy, které ratifikovaly Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních dat a jejich ochrana je tak v souladu se směrnicí 95/46/ES.

Zákon stanoví důvody, kdy lze data předávat i do třetích zemí, které neratifikovaly Úmluvu o ochraně osob. Jedná se např. o situace, kdy k předání dochází s výslovným souhlasem subjektu údajů nebo kdy je předání nezbytné pro ochranu práv nebo životně důležitých zájmů subjektu údajů. V takovém případě je správce povinen se u Úřadu zaregistrovat, nestanoví-li zvláštní zákon jinak (např. zákon o zaměstnanosti, zákon o sociálně-právní ochraně dětí, …). Data lze také legálně předávat provozovatelům úložišť dat s tzv. „safe harbour“ certifikací, a to bez ohledu na to, ze které země cloud provozují – typicky se tento model používá u firem sídlících v USA či jinde mimo EU.

Kontrola, důkazy a sankce

Častou otázkou ze strany laické veřejnosti je, jak zjistit, kde se vlastně uložená data skutečně nachází. Cloud computing se však velmi často vyznačuje principem, kdy pevné umístění dat takřka neexistuje a ta se tak mohou v horizontu hodin pohybovat na opačných koutech světa. Zákazník cloudových služeb tak v reálném čase vůbec nemusí vědět, kde jsou data uložena a kam se předávají, ale současně je jeho povinností, jakožto správce údajů, poskytnout jim dostatečnou ochranu. Troufám si tvrdit, že v tomto bodě právní úprava postrádá lepší kontrolní mechanismy, které by uživatel jakožto správce dat mohl využívat. Z těchto důvodů je třeba velmi pečlivě vybírat poskytovatele, který zaručuje soulad s právními předpisy EU, a důsledně dbát na to, aby ve smlouvě byly uvedeny dostatečné záruky ohledně technických a organizačních opatření.

Zákazník by také měl ověřit, jestli je poskytovatel cloudových služeb schopen dostatečně zaručit zákonnost mezinárodního předávání. Předávání dat do třetích zemí, které neratifikovaly výše zmíněnou Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních dat, vždy podléhá souhlasu Úřadu, který je vydáván v povolovacím řízení. V případě, že k oznámení a následnému souhlasu Úřadu nedojde, hrozí i správci, jako „pouhému ukladateli“ dat, pokuta v extrémních případech až v řádech milionů korun.

Závěr a doporučení

Všem uživatelům cloudových služeb je třeba důrazně doporučit, aby pečlivě vybírali jejich poskytovatele, přičemž hlavním bodem zájmu by měla být možná právní rizika. Zpracování dat prostřednictvím cloudových služeb je obecně považováno za velkou neznámou, především kvůli nedostatku informací a malým možnostem kontroly (viz pohyb dat výše). A to i navzdory legislativně zakotvené povinnosti poskytovatele cloudových služeb informace zákazníkovi poskytovat. Zákazník by měl postupovat obezřetně především při ukládání citlivých údajů a měl by důsledně ověřit zákonnost mezinárodního předávání, protože v této oblasti se nejčastěji vystavuje riziku sankcí.

V neposlední řadě bychom rádi upozornili na několik věcí, které je záhodno smluvně ošetřit. První z nich je přístup k údajům, který by měly mít pouze oprávněné osoby. Z tohoto důvodu by smlouva s poskytovatelem měla obsahovat doložku mlčenlivosti pro poskytovatele a jeho zaměstnance. Druhou, avšak neméně podstatnou věcí je sdělování údajů třetím osobám, a to především ve vztahu k požadavkům oprávněných orgánů o poskytnutí osobních údajů. Poslední a současně nejnáročnější věcí doporučeníhodnou pro smluvní specifikaci je detailně konkretizovaná povinnost spolupráce poskytovatele a zákazníka. Zde lze smluvně upravit širokou škálu věcí – od možnosti vykonávat dohled nad zpracováním, přes oznamování narušení či poškození zákazníkem uložených údajů až po upravení přístupu, opravy či výmaz uložených dat.

Našli jste v článku chybu?
120na80.cz: Bonbon si schovejte na přistání

Bonbon si schovejte na přistání

DigiZone.cz: Starci na chmelu jsou restaurovaní do 4K

Starci na chmelu jsou restaurovaní do 4K

Měšec.cz: Banky umí platby na kartu, jen to neříkají

Banky umí platby na kartu, jen to neříkají

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

DigiZone.cz: Kauza technik: oficiální vyjádření Novy

Kauza technik: oficiální vyjádření Novy

Lupa.cz: Japonská invaze. Proč SoftBank kupuje ARM?

Japonská invaze. Proč SoftBank kupuje ARM?

Měšec.cz: Cool karta: recenze předplacenky

Cool karta: recenze předplacenky

Podnikatel.cz: Nereaguje na výzvu ČOIky, zaplatí milion

Nereaguje na výzvu ČOIky, zaplatí milion

Vitalia.cz: Tohle je Břicháč Tom, co zhubnul 27 kg

Tohle je Břicháč Tom, co zhubnul 27 kg

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

DigiZone.cz: Markíza HD a Dajto? U Digi TV asi minulost

Markíza HD a Dajto? U Digi TV asi minulost

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Měšec.cz: Investice do drahých kovů - znáte základní chyby?

Investice do drahých kovů - znáte základní chyby?

Vitalia.cz: Dermatolog radí: Pozor na citrusové vůně

Dermatolog radí: Pozor na citrusové vůně

Lupa.cz: IT scéna po brexitu: přijde exodus vývojářů?

IT scéna po brexitu: přijde exodus vývojářů?

Podnikatel.cz: Eshop z ČR v Rumunsku? Žádná legrace

Eshop z ČR v Rumunsku? Žádná legrace

Podnikatel.cz: Rozhodnuto! Pracující senior penzi nezdaní

Rozhodnuto! Pracující senior penzi nezdaní

Lupa.cz: Největší torrentový web KickassTorrents padl

Největší torrentový web KickassTorrents padl

Vitalia.cz: Petr Koukal: Až rakovina mi zkvalitnila život

Petr Koukal: Až rakovina mi zkvalitnila život

DigiZone.cz: Přechod na DVB-T2? Kolem miliardy...

Přechod na DVB-T2? Kolem miliardy...