Cloud computing a ochrana osobních údajů

V dnešní době se snad nenajde jediný člověk využívající moderní technologie, který by se nikdy nesetkal s pojmem cloud. Ještě před pár lety bylo využívání „cloudu“ privilegiem nadnárodních společností, nicméně v poslední době se cloud dostal do módy už i na lokální úrovni a je tak hojně využíván též menšími společnostmi, které se snaží následovat trend co největší flexibility. Co se ale za pojmem cloud vlastně skrývá a jaká s sebou přináší rizika?

Cloud je zkrácenina pojmu cloud computing. Zákonná definice cloud computingu nebo překlad tohoto termínu do češtiny neexistuje, takže je nutné si vystačit s obecným popisem obsahu této služby srozumitelným pro běžné uživatele. Jedná se o hosting, který uživateli umožňuje využívat zdroje, služby nebo aplikace uložené na serverech poskytovatele s obrovským výpočetním výkonem a úložným prostorem na Internetu, ke kterému se uživatelé připojují například pomocí webového prohlížeče. Uživatel tedy nemá data uložená na svém lokálním počítači a nemá zakoupené využívané programy, ale připojuje se na vzdálená zařízení poskytovatele, který mu tyto služby poskytuje a kterému za tuto činnost platí odměnu.

Ačkoli je cloud computing již pro některé subjekty nenahraditelným pomocníkem, který umožňuje využívat aplikace a programy, které by si uživatel nemohl z finančních důvodů dovolit sám pořídit, obnáší zároveň značná rizika zejména s ohledem na ochranu osobních údajů. S rozmachem cloud computingu v poslední době a tím zvýšeným množstvím dat, které se nachází „v oblacích“, se toto riziko nadále zvyšuje.

Zásadním kamenem úrazu, který uživatele stále překvapuje, je schéma odpovědnosti za zpracování dat. Ačkoli je uživatel, který si jako zákazník objednává od provozovatele služby cloud computingu, obvykle v pozici slabší smluvní strany, která je často nucena přijmout podmínky adhezní smlouvy, je to stále uživatel, který se nachází v pozici správce osobních údajů, což sebou nese nemalý objem právních povinností. Jak je to možné? Dle definice obsažené v zákoně 101/2000 Sb., o ochraně osobních údajů, je správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Uživatel je tedy onou osobou, která se rozhodne využívat cloud computing z důvodu a za účelem, které ona sama určí. Uživatel je pak povinen dodržovat veškeré povinnosti, které pro něj z uvedeného zákona vyplývají, což v případě cloud computingu není občas jednoduché. Poskytovatel cloudových služeb je pak často „pouhým“ zpracovatelem osobních údajů.

Jak je uvedeno ve stanovisku pracovní skupiny pro ochranu údajů ke cloud computingu, což je nezávislý evropský poradní orgán ve věci ochrany údajů a soukromí, ze dne 1. července 2012 zákazník cloudových služeb by si měl vybrat takového poskytovatele, který zaručí soulad poskytovaných služeb s právními předpisy.

Základem pro výběr vhodného poskytovatele je dostatečná informovanost o formě poskytované služby a zajištění co největší kontroly nad osobními údaji v době, kdy se tyto údaje nacházejí v cloudu, k čemuž je často nutné zasáhnout do znění smlouvy navrhované poskytovatelem.

V souladu s ustanovením § 6 zákona o ochraně osobních údajů je správce povinen uzavřít se zpracovatelem, tedy poskytovatelem cloudu, smlouvu o zpracování osobních údajů. Tato smlouva musí mít písemnou formu a musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. V případě cloud computingu je ale nutné se o obsah této smlouvy zajímat mnohem víc právě z důvodu výše uvedených rizik.

Zákazník by měl do smlouvy o zpracování osobních údajů zahrnout zejména ustanovení regulující vstup třetích osob do zpracování. Ve službách cloud computingu je totiž naprosto běžné, že dílčí zpracování osobních údajů provádějí subjekty odlišné od poskytovatele, tedy subdodavatelé. Součástí smlouvy mezi uživatelem a poskytovatelem by tak mělo být ujednání, dle kterého má uživatel buď právo přímo schvalovat případné subdodavatele, nebo navržené subdodavatele odmítnout ještě dříve, než se zapojí do řetězce zpracování. V případě, že k využití subdodavatelů nakonec dojde, je nutné si vymínit, že tito subdodavatelé budou dodržovat podmínky zpracování osobních údajů identické podmínkám ujednaným ve smlouvě o zpracování osobních údajů uzavřené mezi uživatel a poskytovatelem. Pro dodržení závazku poskytovatele zahrnout příslušné povinnosti do smluv se subdodavateli je vhodné poskytovatele „motivovat“ například smluvní pokutou, která ve správné výši zvýší jeho odhodlání vybírat si spolehlivé obchodní partnery.

Další zásadní otázkou, které by měl zákazník věnovat dostatečnou pozornost, je určení účelu zpracování osobních údajů. Kromě povinnosti uživatele cloudových služeb jakožto správce osobních údajů určit účel zpracování před zahájením samotného zpracování a o tomto účelu informovat subjekt údajů, tedy fyzickou osobu, k níž se osobní údaje vztahují, má uživatel povinnost zajistit, aby byl tento účel respektován též poskytovatelem. Množství dat od různých subjektů, které se v cloudu nachází, je pro poskytovatele nebo subdodavatele často velice lákavé a dochází tak k dalšímu (nezákonnému) zpracování údajů mimo účel vymezený uživatelem. Smlouva s poskytovatelem by tak měla obsahovat sankce ukládané poskytovateli nebo subdodavateli za porušení povinnosti pohybovat se v mezích účelu stanoveném uživatelem. Mimoto by měl poskytovatel zajistit izolovanost osobních údajů, aby nedošlo k jejich zpřístupnění osobám, u kterých není přístup nezbytný. Zaměstnanci poskytovatele nebo jiné osoby s ním spolupracující na správě systému by neměli mít širší přístup k osobním údajům, než je pro konkrétní jimi prováděnou činnost nezbytné.

Z podstaty cloudových služeb vyplývá, že se osobní údaje mohou nacházet na několika místech. Poskytovatel by měl uživatele informovat o tom, kde mohou být data umístěna, tj. ve kterých zemích, komu mohou být údaje dále předávány a v jaké zemi se příjemce údajů nachází. V případě předávání osobních údajů v rámci Evropského hospodářského prostoru nepodléhá předávání žádné speciální proceduře, nicméně v případě předávání údajů do třetích zemí je nutné zajistit odpovídající úroveň ochrany. Nedochází-li k předávání do země, se kterou má Česká republika uzavřenou mezinárodní smlouvu zajišťující potřebnou úroveň ochrany, nebo nejedná-li se o výjimku na základě rozhodnutí orgánu Evropské unie (nejčastěji ve formě aplikace standardních smluvních doložek), musí správce před předáním osobních údajů do třetích zemí požádat Úřad pro ochranu osobních údajů o povolení k předání.

Při využívání cloud computingu by měl uživatel stále pamatovat na jeho povinnosti vůči subjektům údajů. Správce je mimo jiné povinen předat subjektu údajů informaci o zpracování jeho osobních údajů, je-li o to subjektem údajů požádán, a zajistit blokování, provedení opravy, doplnění nebo likvidaci osobních údajů, nejsou-li zpracovávány v souladu se zákonem. Aby byl uživatel schopen plnit tyto povinnosti, je nutné, aby byla ve smlouvě o zpracování osobních údajů nastavena možnost této intervence, a to bez zbytečného odkladu.

Již při uzavírání smlouvy by měl uživatel pamatovat na případné ukončení spolupráce s poskytovatelem. Smlouva by měla obsahovat ustanovení o formě předání údajů zpátky uživateli tak, aby je mohl systematicky nadále využívat. Další otázky, které by neměly být ve smlouvě mezi uživatelem a poskytovatelem opomenuty, jsou zajištění výmazu údajů po uplynutí doby nezbytné pro jejich zpracování, detailní specifikace bezpečnostních opatření, forma předávání instrukcí poskytovateli, doložky o mlčenlivosti, zajištění zálohování dat a šifrování dat.

Z výše uvedeného vyplývá, že uživatele čeká při sjednávání smlouvy s poskytovatelem nelehký úkol. Poskytovatelé cloudových služeb sice mívají k dispozici obsáhlé smluvní vzory, nicméně často se jedná o překlady smluv užívaných ve Spojených státech amerických, které nereflektují požadavky evropského resp. českého práva. Uživatel by měl tedy při výběru poskytovatele cloudových služeb postupovat s velkou opatrností.

Jitka Stránská