Cloudové riešenia v podmienkach GDPR

Prevádzkovateľom cloudových riešení a služieb tiež vyplývajú z GDPR určité záväzky. Musia preto odpovedajúcim spôsobom zmeniť a upraviť svoje služby vrátane zmluvnej dokumentácie. Prevádzkovateľ si musí byť vedomý rizík, ktoré prináša využívanie cloudových služieb. Ak organizácia využíva poskytovateľa cloudu na ukladanie a spracovanie osobných údajov, musí sa uistiť o zabezpečení dátových centier, kde sú tieto údaje ukladané. Nebezpečenstvo tkvie hlavne v troch prípadoch:

  • Softvér ako služba (SaaS – Software as a Service) – model nasadenia softvéru, keď dochádza k hosťovaniu aplikácií prevádzkovateľom služby. Služba/y je ponúkaná zákazníkom cez internet
  • Infraštruktúra ako služba (IaaS – Infrastructure as a Service) – jeden z distribučných modelov cloud computingu, ktorý ponúka funkcionalitu systémovej integrácie
  • Platforma ako služba (PaaS – Platform as a Service) – predstavuje službu, v rámci ktorej sa poskytujú kompletné prostriedky na vývoj a údržbu vlastných aplikácií dostupných prostredníctvom internetu

Častokrát v týchto prípadoch prevádzkovateľ netuší, že nástroj, ktorý využíva je vzdialene hosťovaný a veľakrát fyzicky umiestnený v inej(tretej) krajine.

Poskytovatelia cloudových služieb často využívajú rozsiahle serverové farmy, umiestnené v rôznych krajinách, mnohí z nich sú preto v roli medzinárodných organizácií. Prevádzkovatelia musia preto zaistiť poskytnutie alebo vytvorenie vhodných záruk ochrany osobných údajov. V prípadoch, keď poskytovatelia cloudu (sprostredkovatelia) budú mať malú kontrolu nad podmienkami a okolnosťami za ktorými sú osobné údaje uložené a málo možností získať bezpečnostné záruky od ostatných zúčastnených strán, mal by prevádzkovateľ uvažovať nad zmenou poskytovateľa cloudu alebo nahradiť cloudové riešenie vlastnými kapacitami.

Z GDPR plynú povinnosti nielen pre prevádzkovateľov, ale aj pre sprostredkovateľov, teda poskytovateľov cloudových služieb. Prax pred platnosťou GDPR umožňovala neštandardné spracovanie osobných údajov vďaka tomu, že neboli stanovené pravidlá a zodpovednosti pre sprostredkovateľov. Prevádzkovateľ nemal právo ani povinnosť sprostredkovateľa kontrolovať a sprostredkovateľ nemal povinnosť informovať prevádzkovateľa o spôsoboch spracúvania osobných údajov. Častokrát prevádzkovateľ odkázal na legislatívu tretích krajín a tým obišiel zákonné povinnosti vyplývajúce z národnej legislatívy.

GDPR uvádza, že každá osoba, ktorá utrpela v dôsledku porušenia ustanovení GDPR hmotnú alebo nehmotnú ujmu má právo žiadať od prevádzkovateľa alebo sprostredkovateľa náhradu škody za spôsobenú ujmu.

„Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.“[1]

Fyzické osoby môžu požadovať náhradu škoda len od sprostredkovateľa ak ten nedodržal povinnosti vyplývajúce  z GDPR výslovne určené sprostredkovateľom alebo konal v rozpore s pokynmi prevádzkovateľa.

„Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním, len ak neboli splnené povinnosti, ktoré sa týmto nariadením ukladajú výslovne sprostredkovateľom, alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom.“[2]

GDPR obsahuje mechanizmy rozdelenia zodpovednosti, pokiaľ sa na protiprávnom konaní podieľa prevádzkovateľ, sprostredkovateľ alebo viac strán. Sprostredkovateľ nesie priamu zodpovednosť k údajom osôb, ktoré spracúva. Rovnako môže byť každý sprostredkovateľ pokutovaný dozorným orgánom. GDPR neumožňuje, aby sa prevádzkovatelia vyhli zodpovednosti vďaka sprostredkovateľom. Spracovatelia dát, vrátane prevádzkovateľov cloudových služieb musia aplikovať procesy a postupy na ochranu osobných údajov.

  1. Technické a organizačné opatrenia

GDPR stanovuje:

„Ak sa má spracúvanie uskutočniť v mene prevádzkovateľa, prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky na to, že sa prijmú primerané technické a organizačné opatrenia tak, aby spracúvanie spĺňalo požiadavky tohto nariadenia a aby sa zabezpečila ochrana práv dotknutej osoby.“[3]

GDPR tiež stanovuje opatrenia v oblasti zabezpečenia dát:

„Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku.“[4]

Tieto opatrenia zahŕňajú:

  1. pseudonymizáciu a šifrovanie osobných údajov;
  2. schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;
  3. schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;
  4. proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.[5]

Zodpovedný za tieto opatrenia je prevádzkovateľ aj sprostredkovateľ a mali byť súčasťou ponúkaného cloudového riešenia.

  1. Dokumentácia

GDPR vyžaduje existenciu internej dokumentácie obsahujúcej podrobnosti o všetkých spracovateľských činnostiach, ktoré sa týkajú spracúvania osobných údajov. GDPR výslovne uvádza, že táto povinnosť sa nevzťahuje na organizácie zamestnávajúce menej ako 250 osôb pokiaľ nie je pravdepodobné, že spracúvanie, ktoré vykonáva, povedie k riziku pre práva a slobody dotknutej osoby, pokiaľ je toto spracúvanie príležitostné alebo nezahŕňa osobitné kategórie údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznaní viny za trestné činy a priestupky podľa článku 10.[6]

Táto povinnosť by mala zvýšiť zodpovednosť prevádzkovateľov cloudu za dáta, ktoré sú v ich systémoch uložené.

Z praktických skúseností môžem potvrdiť, že aj u malých a stredných podnikoch s počtom zamestnancov pod 250 osôb sa vyskytne spracúvanie osobných údajov, ktoré je systematické, môže predstavovať riziko pre práva a slobody dotknutých osôb alebo zahŕňa osobitné kategórie údajov. Preto odporúčam, aby záznamy o spracovateľských činnostiach viedla každá organizácia bez výnimky.

  1. Subdodávatelia

Každý z prevádzkovateľov cloudových riešení si musí uvedomiť riziká vyplývajúce z nasledujúceho ustanovenia:

„Sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. V prípade všeobecného písomného povolenia sprostredkovateľ informuje prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov, čím sa prevádzkovateľovi dá možnosť namietať voči takýmto zmenám.“[7]

Ak sa sprostredkovateľ ako prevádzkovateľ cloudu rozhodne k prizvaniu iného sprostredkovateľa, za úlohou uskutočnenia konkrétnych spracovateľských operácií v mene prevádzkovateľa, musí zabezpečiť aby medzi sprostredkovateľom(prevádzkovateľ cloudu) a prizvaným sprostredkovateľom nastala akceptácia rovnakých povinností v rámci ochrany osobných údajov aké sú uvedené v zmluve s prevádzkovateľom. Ak tento ďalší sprostredkovateľ nesplní svoje povinnosti ochrany údajov, pôvodný sprostredkovateľ zostáva voči prevádzkovateľovi plne zodpovedný za plnenie povinností tohto ďalšieho sprostredkovateľa.[8]

Riziko pre prevádzkovateľa cloudu a zároveň pre prevádzkovateľa môže nastať aj v prípade cezhraničného spracovania mimo krajín EÚ. Musí existovať zákonný dôvod na takéto prenášanie osobných údajov, uplatňovať zásady ochrany osobných údajov, uplatňovať vhodné kontroly alebo opatrenia na ochranu osobných údajov a informovať dotknuté osoby o prenášaní ich osobných údajov mimo krajín EÚ.[9]

  1. Zmluvné podmienky

Spracúvanie uskutočňované prevádzkovateľom cloudu sa riadi zmluvou, ktorú uzatvoril s prevádzkovateľom osobných údajov a tá stanovuje:

  • predmet a trvanie spracúvania
  • povahu a účel spracúvania
  • typ osobných údajov a kategórie dotknutých osôb
  • povinnosti a práva prevádzkovateľa

Zmluva rovnako stanovuje, že sprostredkovateľ musí:

  • spracúvať osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa (vrátane údajov o prenášaní osobných údajov do tretích krajín alebo medzinárodných organizácií
  • zabezpečiť dôvernosť
  • prijať vhodné opatrenia na zaistenie bezpečnosti

Sprostredkovateľ po zohľadnení povahy spracúvania v čo najväčšej miere pomáha prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutej osoby.[10]

Existuje tiež povinnosť sprostredkovateľa (prevádzkovateľa cloudu) pri ukončení zmluvy s prevádzkovateľom odstrániť alebo vrátiť všetky osobné údaje spracúvané v rámci cloudu. Musia sa taktiež zmazať všetky kópie týchto osobných údajov, pokiaľ príslušné právne predpisy členského štátu EÚ nevyžadujú ich archiváciu.

Súčasťou GDPR je aj povinnosť sprostredkovateľa oznámiť porušenie ochrany osobných údajov prevádzkovateľovi bez odkladu hneď ako sa o porušení dozvedel.[11]

  1. Prenesený vzťah a povinnosti prevádzkovateľa

Väčšina povinností v rámci GDPR spadá na prevádzkovateľa. Napriek tomu existujú aj isté dopady na sprostredkovateľa (prevádzkovateľa cloudu), ktorý musí prispôsobiť infraštruktúru a služby tak, aby vyhoveli požiadavkám a právnej zodpovednosti svojich zákazníkov. Práva, ktoré dotknutým osobám GDPR poskytuje môžu vytvárať požiadavky prevádzkovateľov smerom k sprostredkovateľom. Napríklad také vymazanie, zmena alebo presun dát u cloudovej infraštruktúry je náročná. Naviac s rozšírenou definíciou osobných údajov kam podľa GDPR okrem iných patria MAC adresa (jedinečný identifikátor sieťového zariadenia), IP adresa (jednoznačne identifikuje sieťové rozhranie v počítačovej sieti, ktorá používa IP protokol), UDID (jedinečné ID pre každé jedno Apple zariadenie), sa zvyšuje náročnosť pri splnení týchto povinností.

 

[1] GDPR, článok 82, odstavec 1

[2] GDPR, článok 82, odstavec 2

[3] GDPR, článok 28, odstavec 1

[4] GDPR. článok 32, odstavec 1

[5] GDPR, článok 32, odstavec 1

[6] GDPR, článok 30, odstavec 5

[7] GDPR, článok 28, odstavec 2

[8] GDPR, článok 28, odstavec 4

[9] GDPR, recitál 101 a 116

[10] GDPR, článok 28, odstavec 3, písmeno e

[11] GDPR, článok 33, odstavec 2

ZDROJE:

NEZMAR, Luděk. GDPR. Praktický průvodce implementací. Praha: GRADA Publishing, 2017, 304 s., ISBN  978-80-271-0668-4

Nariadenie EÚ č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane osobných údajov – GDPR)

Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *