Cloudové služby a osobné údaje

V mesiaci jún Úrad na ochranu osobných údajov vydal viacero metodických usmernení a jedno z nich pod číslom 3/2016 sa týka cloudových služieb. Prinášame Vám zhrnutie z tohto usmernenia.

Cloudové služby v dnešnej dobe prežívajú svoj rozmach a využíva ich čoraz viac firiem. Treba si však uvedomiť aj určité riziká, ktoré musí zákazník cloudovej služby zobrať do úvahy. Jedná sa predovšetkým o riziko straty kontroly nad spracúvanými osobnými údajmi. Poskytnutím údajov do cloudu zákazníci cloudových služieb strácajú  výlučnú kontrolu nad poskytnutými údajmi, ktoré sa dostávajú do dispozície poskytovateľa  cloudovej služby. Uvedené  riziko  spočíva  predovšetkým  v tom,  že  poskytovateľ cloudovej  služby  pri  prevádzkovaní  tejto  služby aplikuje  vlastné  mechanizmy,  na  ktoré má samotný zákazník len obmedzený dosah (napr. technické a personálne opatrenia, prístup iných strán k údajom a iné). Preto si treba dobre zvážiť výber poskytovateľa služby. Medzi cloudové služby patrí napríklad DCOM (dátové centrum miest a obcí) alebo archivácia školských dát v ASC agende.

Z hľadiska zákona o ochrane osobných údajov je potrebné presne identifikovať postavenie jednotlivých strán. Zákazník cloudovej služby vystupuje ako prevádzkovateľ, ktorý určuje  konečný  účel  spracúvania   a   rozhoduje   o outsourcingu tohto spracovania a delegovaní všetkých alebo časti spracovateľských činností na poskytovateľa cloudovej služby. V tomto kontexte je potrebné zdôrazniť, že je to práve prevádzkovateľ, ktorý nesie primárnu zodpovednosť za spracúvanie osobných údajov v súlade so zákonom o ochrane  osobných  údajov.

Ďalší subjekt v predmetnom vzťahu je poskytovateľ cloudovej služby, ktorý zastáva postavenie sprostredkovateľa, nakoľko je to subjekt, na ktorý prevádzkovateľ deleguje niektoré  zo  svojich úloh  a povinností. Aj keď sa možno nezdá, že dochádza k spracovaniu osobných údajov, ale treba si uvedomiť, že definícia spracovania je vymedzená v zákone veľmi široko. Pod spracovaním sa rozumie vykonávanie operácie, alebo súboru operácií nad osobnými údajmi. Rozsah  tejto  definície  pri  nakladaní s osobnými údajmi teda s určitosťou pokrýva celý rad spracovateľských operácií vykonávaných v samotnom cloude.

Zákazníka cloudovej služby považujeme za prevádzkovateľa. Poskytovateľa naopak za sprostredkovateľa. Preto je medzi nimi potrebné uzavrieť sprostredkovateľskú zmluvu, ktorá bude mať všetky náležitosti vyžadované zákonom o ochrane osobných údajov. Viac informácií o vzťahu prevádzkovateľ –  sprostredkovateľ  sa dozviete v článku uverejnenom na našom webe.

Nemenej dôležitou otázkou je aj to, kde sú fyzicky osobné údaje umiestnené. Pri  poskytovaní  cloudových  služieb  nie  je  neobvyklé,  že  sa  dátové  úložiská poskytovateľov cloudových služieb nachádzajú v iných štátoch, ako sú štáty, v ktorých pôsobia zákazníci týchto služieb. Podľa umiestnenia rozlišujeme nasledovné prenosy:

Európska únia – zákon o ochrane osobných údajov umožňuje voľný prenos osobných údajov medzi Slovenskou republikou a členskými krajinami únie.

Krajiny zaručujúce primeranú úroveň ochrany osobných údajov – zákon  o ochrane  osobných  údajov  spája  s takýmto  prenosom  osobných  údajov povinnosť zákazníka cloudovej služby ako prevádzkovateľa  informovať dotknuté osoby o tomto prenose. Zoznam krajín s primeranou úrovňou ochrany osobných údajov nájdete na stránke Úradu na ochranu osobných údajov.

Krajiny nezaručujúce primeranú úroveň ochrany osobných údajov – pri prenose osobných údajov do takejto krajiny sa vyžaduje (buď) súhlas dotknutej osoby, alebo sa prenos môže realizovať na základe zmluvy, ktorá obsahuje štandardné zmluvné doložky.

Využívanie  cloudových služieb prináša so sebou okrem výhod  aj  mnohé  riziká. Potencionálni zákazníci by teda mali zvážiť využitie tejto služby predovšetkým s ohľadom na podmienky,  ktoré  dokážu  poskytovatelia  tejto  služby  vytvoriť.  Výberom toho  správneho poskytovateľa cloudovej služby však proces zabezpečenia ochrany osobných údajov nie  je možné  považovať  za ukončený, nakoľko je  nevyhnutné  dôsledne  zabezpečovať  ochranu osobných údajov počas celej doby ich spracúvania.

Celé metodické usmernenie nájdete tu.