Snad každý, kdo se pohybuje na internetu, ví, že od května bude účinné nové nařízení EU, které upravuje ochranu osobních údajů (známé jako „GDPR“). GDPR nerozlišuje, zda k nakládání s osobními údaji dochází fyzicky či elektronicky, off-line či on-line, a proto se bude vztahovat na spoustu nejrůznějších forem nakládání s osobními údaji.
GDPR se tak bude dotýkat také nakládání s osobními údaji v rámci využívání softwaru či on-line služeb. Stále šířeji využívanými on-line službami jsou cloudové služby (neboli také cloud computing nebo jenom cloud), které slouží především k ukládání dat, která mohou obsahovat osobní údaje.
Využívání cloudu je stále rozšířenější, neboť jeho uživatel není omezen vlastním hardwarem a jeho paměťovým prostorem a cloud může být prostřednictvím internetu přístupný takřka odkudkoliv a kdykoliv. Dle GDPR je pak zpracováním osobních údajů i jejich samotné uložení, tedy i uložení na cloud, a proto se úprava GDPR bude dotýkat i cloudových služeb. Cloud můžete využívat k řadě účelů, ať už pro ukládání databáze svých zákazníků nebo zaměstnanců či pro provoz svých webových stránek nebo aplikací.
V tomto článku se zaměříme na využívání využívaných cloudových služeb z hlediska GDPR, zejména na vaše postavení jako uživatele cloudu a postavení poskytovatele cloudové služby a povinnosti mít uzavřenou smlouvu o zpracování osobních údajů.
POSTAVENÍ UŽIVATELE A POSKYTOVATELE CLOUDU
Základními druhy osob, které zpracovávají osobní údaje, jsou správce a zpracovatel. Správce je osoba, která stanovuje cíl, za jakým bude docházet k získávání a zpracování osobních údajů a jakým způsobem (nástrojem) budou tyto osobní údaje zpracovávány. Správce nese hlavní odpovědnost, že zpracování osobních údajů je v souladu s GDPR. Zpracovatelem je pak osoba pověřená správcem k tomu, aby za stanoveným cílem a určeným způsobem pro správce zpracovávala osobní údaje. Zpracovatel se musí řídit především pokyny správce a zpracovávat osobní údaje pouze v rozsahu, který mu správce stanoví.
V případě ukládání osobních údajů Vašich zákazníků, zaměstnanců, uživatelů Vaší aplikace či jiných osob na cloud jste to vy, kdo stanoví cíl, za jakým dochází ke zpracování osobních údajů. Tímto cílem bude nejčastěji využívání osobních údajů v rámci Vašeho podnikání, např. za účelem vedení evidence zákazníků, propagace Vašich služeb či výrobků nebo vedení evidence zaměstnanců. Jste to pak také vy, kdo volí jednotlivé nástroje, kterými dochází ke zpracování osobních údajů. V případě cloudu je pak tímto nástrojem právě cloudové uložiště, na které se osobní údaje ukládají.
V určitých případech to ani nemusíte být přímo vy, kdo navrhne řešení ukládání osobních údajů na cloud. Mnoho podnikatelů využívá služeb IT společností, které jim spravují webové stránky, aplikace, CRM, či systémy k vedení zaměstnanecké evidence. Tyto IT společnosti vám mohou v rámci komplexního řešení navrhnout a následně nastavit ukládání osobních údajů na cloud. I v těchto případech jste to však stále vy, kdo IT společnost pověřuje k výběru technického řešení (ukládání osobních údajů na cloud) a následně toto řešení přijímá.
Pokud tedy využíváte cloud k ukládání vámi získaných osobních údajů za účelům provozu vašeho podnikání, budete vždy správcem osobních údajů a budete tak nést primární odpovědnost za řádné zpracovávání – v tomto případě za ukládání osobních údajů na cloud. Poskytovatel vámi zvoleného cloudu pak bude ve většině případů vystupovat jako zpracovatel osobních údajů, kterého pověřujete ke zpracovávání osobních údajů tím, že si u něj objednáte cloud, do kterého následně osobní údaje ukládáte.
SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Stejně jako zatím platný zákon o ochraně osobních údajů i GDPR stanoví, že správce a zpracovatel musí mít o zpracování osobních údajů uzavřenou písemnou smlouvu, přičemž GDPR stanoví, co vše musí tato smlouva obsahovat. Pokud tedy využíváte cloud k ukládání osobních údajů, musíte mít s poskytovatelem cloudu uzavřenou písemnou smlouvu o zpracování osobních údajů (neboli zpracovatelskou smlouvu), která bude obsahovat zejména záruky a povinnosti poskytovatele týkající se ukládání osobních údajů na cloud. Poskytovatel cloudu je především povinen zajistit řádné zabezpečení uložených osobních údajů, poskytovat vám nezbytnou součinnost a nevyužívat osobní údaje k jinému než vámi stanovenému účelu.
K objednávání cloudových služeb dochází zpravidla on-line přes webové stránky daného poskytovatele a smluvní úprava využívání cloudu je pak obsažena v jeho obchodních podmínkách. V těchto obchodních podmínkách může být zahrnuta také výše zmíněná zpracovatelská smlouva. Jelikož ale ne každý uživatel cloudových služeb ukládá na cloud osobní údaje, bývá výše uvedená zpracovatelská smlouva uzavírána samostatně nad rámec standardních obchodních podmínek. Poskytovatelé cloudových služeb mají většinou své vlastní návrhy zpracovatelské smlouvy, které mohou mít formu smlouvy, dodatku ke smlouvě či doplňkových obchodních podmínek. Při objednávání cloudových služeb je tak nutné zkontrolovat obchodní podmínky cloudu a zjistit, zda v sobě neobsahují také zpracovatelskou smlouvu a zda je tato smlouva v souladu s GDPR.
Pokud obchodní podmínky neupravují práva a povinnosti vztahující se k ukládání osobních údajů, doporučujeme vám zkontrolovat, zda nemá poskytovatel cloudu připravený návrh zpracovatelské smlouvy v samostatném dokumentu. Pokud poskytovatel cloudu bude mít svůj vlastní návrh zpracovatelské smlouvy, je dále nutné zkontrolovat, zda naplňuje všechny požadavky dle GDPR. Pokud ano, je třeba učinit kroky stanovené poskytovatelem cloudu k uzavření zpracovatelské smlouvy. V případě, že by poskytovatel cloudových služeb na zpracovatelskou smlouvu nijak nepamatoval, je na vás, abyste tohoto poskytovatele zkontaktovali s vlastním návrhem zpracovatelské smlouvy.
Vždy je nutné pamatovat na to, že příslušné kroky k uzavření zpracovatelské smlouvy musíte učinit vy jako správce a rovněž jste to vy, kdo odpovídá za to, že zpracovatelská smlouva obsahuje všechny náležitosti dle GDPR. V případě zájmu o přípravu nebo kontrolu zpracovatelské smlouvy se na nás neváhejte obrátit. Rádi vám poskytneme více informací a připravíme či zkontrolujeme veškeré potřebné dokumenty.