Hlavní navigace

Cloud a právo: pozor na umístění vašich dat

25. 1. 2016
Doba čtení: 4 minuty

Sdílet

Pod pojmem „cloud“ si lze představit leccos, přičemž jeho definic existuje mnoho. Některé z nich jsou příliš rozsáhlé, jiné příliš úzce pojaté, některé jsou velmi striktní a jiné benevolentní. V tomto článku se zaměříme na právní stránku ukládání a přenosu dat ve všech jeho možných formách.

Kdy a jaká data lze v cloudu ukládat v rámci EU

Česká republika představuje v globálním měřítku jen malý trh, a proto se v praxi velmi často vyskytuje situace, kdy jsou poskytovatelé cloudových služeb usazeni mimo ni. V tomto ohledu je třeba nejprve zmínit, že faktorem vymezujícím použití práva určitého státu ve vztahu ke správci dat (tj. konkrétnímu ukladateli údajů do cloudu – jeho zákazníkovi, uživateli) je místo jeho usazení, resp. bydliště nebo místo jím provozované činnosti, nikoliv místo usazení poskytovatele cloudových služeb, jak se mnozí mylně domnívají.

Poskytovatel cloudových služeb je povinen zákazníka informovat o případném předávání jeho dat do jiných států. Nachází-li se úložiště dat na území EU a jejich případné předávání zahrnuje také pouze oblast EU, pak je možné předávat data i bez svolení Úřadu pro ochranu osobních údajů (na základě zásady volného pohybu osobních údajů). Poskytovatel a zákazník uzavírají smlouvu o zpracování osobních údajů, která musí obsahovat předepsané náležitosti.

Ukládání dat k poskytovateli služby má v rámci EU jasná pravidla, která jsou upravena především evropskou směrnicí č. 95/46/ES (doplňkově i směrnicí č. 2002/58/ES). Ta určuje práva a povinnosti jak poskytovatelů cloudových služeb, tak i jejich uživatelů. Práva a povinnosti zahrnují především dodržování zásady určení a omezení účelu, transparentnosti a odpovídající úrovně ochrany. Primárním účelem těchto zásad je zajištění ochrany osobních údajů subjektů údajů (subjektů, jichž se zpracovávané údaje týkají). Pro území ČR je právní úprava obsažena v zákoně č. 101/2000 Sb., o ochraně osobních údajů, který v sobě zakotvuje principy evropské směrnice č. 95/46/ES.

Ukládání dat mimo EU

Předávání dat do zemí mimo EU, tzv. třetích zemí, je obecně považováno za rizikové a může se vyznačovat nedostatečnou mírou ochrany. Z tohoto důvodu lze bez předchozího souhlasu Úřadu pro ochranu osobních údajů předávat data pouze do zemí, které zaručují odpovídající úroveň jejich ochrany. Těmi jsou zejména státy, které ratifikovaly Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních dat a jejich ochrana je tak v souladu se směrnicí 95/46/ES.

Zákon stanoví důvody, kdy lze data předávat i do třetích zemí, které neratifikovaly Úmluvu o ochraně osob. Jedná se např. o situace, kdy k předání dochází s výslovným souhlasem subjektu údajů nebo kdy je předání nezbytné pro ochranu práv nebo životně důležitých zájmů subjektu údajů. V takovém případě je správce povinen se u Úřadu zaregistrovat, nestanoví-li zvláštní zákon jinak (např. zákon o zaměstnanosti, zákon o sociálně-právní ochraně dětí, …). Data lze také legálně předávat provozovatelům úložišť dat s tzv. „safe harbour“ certifikací, a to bez ohledu na to, ze které země cloud provozují – typicky se tento model používá u firem sídlících v USA či jinde mimo EU.

Kontrola, důkazy a sankce

Častou otázkou ze strany laické veřejnosti je, jak zjistit, kde se vlastně uložená data skutečně nachází. Cloud computing se však velmi často vyznačuje principem, kdy pevné umístění dat takřka neexistuje a ta se tak mohou v horizontu hodin pohybovat na opačných koutech světa. Zákazník cloudových služeb tak v reálném čase vůbec nemusí vědět, kde jsou data uložena a kam se předávají, ale současně je jeho povinností, jakožto správce údajů, poskytnout jim dostatečnou ochranu. Troufám si tvrdit, že v tomto bodě právní úprava postrádá lepší kontrolní mechanismy, které by uživatel jakožto správce dat mohl využívat. Z těchto důvodů je třeba velmi pečlivě vybírat poskytovatele, který zaručuje soulad s právními předpisy EU, a důsledně dbát na to, aby ve smlouvě byly uvedeny dostatečné záruky ohledně technických a organizačních opatření.

Zákazník by také měl ověřit, jestli je poskytovatel cloudových služeb schopen dostatečně zaručit zákonnost mezinárodního předávání. Předávání dat do třetích zemí, které neratifikovaly výše zmíněnou Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních dat, vždy podléhá souhlasu Úřadu, který je vydáván v povolovacím řízení. V případě, že k oznámení a následnému souhlasu Úřadu nedojde, hrozí i správci, jako „pouhému ukladateli“ dat, pokuta v extrémních případech až v řádech milionů korun.

root_podpora

Závěr a doporučení

Všem uživatelům cloudových služeb je třeba důrazně doporučit, aby pečlivě vybírali jejich poskytovatele, přičemž hlavním bodem zájmu by měla být možná právní rizika. Zpracování dat prostřednictvím cloudových služeb je obecně považováno za velkou neznámou, především kvůli nedostatku informací a malým možnostem kontroly (viz pohyb dat výše). A to i navzdory legislativně zakotvené povinnosti poskytovatele cloudových služeb informace zákazníkovi poskytovat. Zákazník by měl postupovat obezřetně především při ukládání citlivých údajů a měl by důsledně ověřit zákonnost mezinárodního předávání, protože v této oblasti se nejčastěji vystavuje riziku sankcí.

V neposlední řadě bychom rádi upozornili na několik věcí, které je záhodno smluvně ošetřit. První z nich je přístup k údajům, který by měly mít pouze oprávněné osoby. Z tohoto důvodu by smlouva s poskytovatelem měla obsahovat doložku mlčenlivosti pro poskytovatele a jeho zaměstnance. Druhou, avšak neméně podstatnou věcí je sdělování údajů třetím osobám, a to především ve vztahu k požadavkům oprávněných orgánů o poskytnutí osobních údajů. Poslední a současně nejnáročnější věcí doporučeníhodnou pro smluvní specifikaci je detailně konkretizovaná povinnost spolupráce poskytovatele a zákazníka. Zde lze smluvně upravit širokou škálu věcí – od možnosti vykonávat dohled nad zpracováním, přes oznamování narušení či poškození zákazníkem uložených údajů až po upravení přístupu, opravy či výmaz uložených dat.

Byl pro vás článek přínosný?

Autor článku

Marek Kreisl je vedoucím advokátem mezinárodní advokátní kanceláře PwC Legal.

Daniel Pikal je advokátem mezinárodní advokátní kanceláře PwC Legal.