7 hlavních GDPR pravidel při využívání cloudu
- Datum: 25.03.2024
Které povinnosti pro ochranu osobních údajů jsou klíčové při využívání cloudových řešení?
Cloud computing služby spočívají v tom, že poskytovatelé cloudových služeb a produktů propůjčují svým zákazníkům výpočetní výkon svých serverů. Kromě mnoha nesporných výhod však s sebou cloudové služby přináší i určitá rizika, včetně ochrany osobních údajů.
Jaká plnit hlavní GDPR pravidla při využívání cloudu?
Vyjasnit si role
Než organizace začne využívat cloudové služby, musí si nejdříve zodpovědět otázku, kdo bude v pozici správce a kdo bude zpracovatelem osobních údajů. Subjekt využívající cloudové řešení je většinou právě správce, jelikož je to on, kdo určuje účely a prostředky zpracování osobních údajů. Z pohledu GDPR tedy leží primární odpovědnost za zpracování a ochranu osobních údajů právě na něm.
Poskytovatel cloudových služeb bude ve většině případů vystupovat jako zpracovatel osobních údajů. Jde totiž o subjekt, který zpracovává osobní údaje pro správce. Je však nutné upozornit, že v rámci poskytování služby často dochází ke zpracování dalších osobních údajů spojených s evidencí zákazníků (subjektů využívajících služeb poskytovatele cloudového řešení), účtováním služeb a komunikací s jednotlivými zákazníky a ke zpracování dalších osobních údajů spojených s provozem (logy, přihlášení apod.), kde se již poskytovatel cloudového řešení nachází v pozici samostatného správce s vlastní odpovědností.
Zabezpečení osobních údajů v cloudu
Nejčastějšími bezpečnostními riziky při zpracování osobních údajů v cloudu jsou:
nedostatečná kontrola nad osobními údaji,
chybějící informace o tom, kde a kým jsou osobní údaje zpracovávány či dále uchovávány, a po jakou dobu,
nekontrolovaný přístup k osobním údajům,
absence účinné zahraniční právní ochrany subjektu údajů.
Tím, že správce s poskytovatelem cloudového řešení uzavře smlouvu, často ve formě akceptace obchodních podmínek, se nezbaví odpovědnosti za soulad s GDPR. Správce nemůže očekávat, že poskytovatel cloudového řešení vše vyřeší za něj. Je to totiž správce, kdo musí zavést vhodná technická a organizační opatření už v co nejranějších fázích přípravy zpracování osobních údajů tak, aby již od začátku byly respektovány zásady ochrany soukromí a ochrany osobních údajů.
Vyhodnocení rizik a posouzení vlivu na ochranu osobních údajů
Správce osobních údajů musí při přípravě nového zpracování nebo změně již probíhajícího zpracování dat provést analýzu, ze které vyplyne, zda se na něj vztahuje povinnost provést posouzení vlivu na ochranu osobních údajů dle čl. 35 GDPR. Posouzení vlivu na ochranu osobních údajů je přitom nutné realizovat, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob.
Poskytovatelé cloudových služeb jsou povinni svým zákazníkům podávat informace nezbytné ke správnému posouzení výhod a nevýhod spojených s využíváním této služby, a tedy i informace nezbytné k posouzení vlivu na ochranu osobních údajů. Hlavními elementy, o něž by se nabídka cloudových služeb umožňujících postupovat v souladu s GDPR měla opírat, by měla být bezpečnost, transparentnost a právní jistota pro zákazníky cloudových služeb.
Správce má navíc povinnost provádět pravidelný průzkum cílem posoudit, zda zpracování stále probíhá v souladu s vypracovaným posouzením vlivu na ochranu osobních, změnila se rizika pro dotčené osoby, technologické řešení nebo jiné důležité okolnosti, například místo uložení dat u poskytovatele cloudu.
Zpracovatelská smlouva s poskytovatelem cloudu
Pokud při využívání cloudových služeb bude docházet ke zpracování osobních údajů, musí být mezi správcem a zpracovatelem uzavřena zpracovatelská smlouva. Ta musí obsahovat všechny náležitosti uvedené v čl. 28 GDPR. Dá se předpokládat, že jenom správci disponující větším finančním kapitálem budou ve skutečnosti mít možnost ovlivnit podobu zpracovatelské smlouvy. Ostatní správci se budou muset rozhodnout, zda přistoupí na standardní podmínky, jaké jim poskytovatel cloudového řešení nabízí, nebo nikoliv. A ve druhém případě se tedy budou muset poohlédnout po jiném poskytovateli cloudového řešení.
Transparentnost zpracování osobních údajů
Další důležitou povinností správce osobních údajů je dotčeným osobám, subjektům údajů, poskytnout stručným, transparentním, srozumitelným a snadno přístupným způsobem základní informace o zpracováníjejich dat. Musí jim tedy sdělit účel, rozsah a dobu uchování osobních údajů, příjemce osobních údajů a případný úmysl předat osobní údaje do třetí země.
Cloudové vyhlášky
Orgány veřejné moci nesmí u informačních a komunikačních systémů či jejich částí, které slouží k výkonu působnosti orgánu veřejné moci, zapomínat na tzv. cloudové vyhlášky. Do úvahy by je však měli brát i poskytovatelé cloudových řešení, kteří by chtěli orgánům veřejné moci své služby poskytovat.
Předávání osobních údajů do třetích zemí
Při využívání cloudových služeb často dochází k předávání osobních údajů do třetích zemí, tedy zemí mimo EU, resp. Evropského hospodářského prostoru. V takovém případě je nezbytné splnit specifické podmínky podle kap. V GDPR.
GDPR upravuje tři hlavní podmínky či záruky pro bezpečné předávání osobních údajů mimo EU/EHS:
předávání založené na rozhodnutí o odpovídající úrovni ochrany osobních údajů v zemi příjemce,
předávání založené na vhodných zárukách,
předávání založené na takzvaných výjimkách pro specifické situace (o které se však lze opřít jenom v naprosto výjimečných situacích).
Nejjednodušší je první varianta, tedy předávání do země disponující rozhodnutím Evropská komise o odpovídající úrovni ochrany osobních údajů. Jedná se např. o Velkou Británii, u, Argentinu, Izrael, Japonsko, Uruguay či Kanadu. Stát s dostatečnou úrovní ochrany osobních údajů jsou z hlediska úrovně poskytované ochrany osobním údajům prakticky na úrovni členských států Evropské unie, resp. Evropského hospodářského prostoru. Předání osobních údajů do těchto zemí nevyžaduje ze strany předávajícího správce osobních údajů, příp. zpracovatele, přijetí žádných dodatečných opatření.
Pokud je příjemce osobních údajů, včetně poskytovatele cloudové služby, usazen v zemi, která nezajišťuje odpovídající úroveň ochrany osobních údajů, musí správce osobních údajů zajistit osobním údajům přiměřenou úroveň ochrany přijetím některé z vhodných záruk dle čl. 46 a 47 GDPR. Vhodné záruky mohou poskytovat např. standardní smluvní doložky nebo závazná podniková pravidla.
Když správce dojde k závěru, že vlastní doložky samy o sobě nezajišťují „v zásadě rovnocennou“ úroveň ochrany osobních údajů, musí přijmout (ve spolupráci se zpracovatelem, poskytovatelem cloudového řešení) doplňková opatření, která požadovanou úroveň ochrany zajistí. Typicky se jedná o šifrování dat vlastním klíčem, zkrácení doby uchování osobních údajů, jejich rozdělení, pseudonymizaci či posílené smluvní záruky. Pokud se nepovede požadovanou úroveň ochrany zajistit, správce by neměl dané cloudové řešení pro zpracování osobních údajů využít.
Správce by měl zároveň po poskytovateli cloudu vyžadovat záruky, že poskytovatel cloudového řešení bez vědomí či souhlasu správce nezmění místo, kde jsou osobní údaje zpracovávány. Pokud by k takovéto změně došlo, je nutné přehodnotit celé zpracování osobních údajů – aktualizovat posouzení vlivu na ochranu osobních údajů, vyhodnotit jednotlivá bezpečnostní opatření, upravit zpracovatelskou smlouvu či např. podepsat nové standardní smluvní doložky.