Text navazuje na článek Odpovědnost za osobní údaje je na správci. Na cloudové služby se nevymluvíte.
Evropské nařízení GDPR o ochraně osobních údajů se netýká jen Evropanů, ale všech, kteří s daty občanů Evropské unie nějakým způsobem zacházejí. Evropští správci osobních údajů by proto měli mít jistotu, že se jimi řídí i jejich poskytovatelé cloudu mimo EU a EHP. Připomeňme si, že je na správcích, aby analyzovali dopady řešení využití cloud computingu, zajistili adekvátní opatření na své straně a uzavřeli smluvní vztahy s případným poskytovatelem cloudu založené na zákonných pravidlech a zárukách požadovaných pro předávání osobních údajů.
Například Microsoft z důvodu ulehčení situace a větší důvěryhodnosti ukládá data evropských zákazníků primárně ve svých datových centrech v Irsku a Nizozemí. A na souladu s GDPR pracuje také Google. Ve službě Google Cloud pracujeme na získávání důvěry našich uživatelů každý den. Ochrana soukromí a zabezpečení informací našich zákazníků je nejvyšší prioritou a dodržování tohoto požadavku má pro nás zásadní význam. Pokračujeme v rozvíjení našich schopností v souladu s měnící se regulační oblastí a budeme spolupracovat s klienty, abychom jim ulehčili dodržování pravidel GDPR,
říká za Google Suzanne Frey, ředitelka sekce Bezpečnosti, důvěry a soukromí Google. Firma novým požadavkům přizpůsobí jak službu G Suite, tak Google Cloud Platform. Obě dvě splňují řadu auditů a certifikací. Kromě bezpečnostního auditu podle normy ISO 27001 jsou to od loňského roku také ISO 27017 pro bezpečnost cloudu a ISO 27018 pro ochranu osobně identifikovatelných informací ve veřejných cloudech.
V drtivé většině budou osobní data zpracovávána v rámci EU. U některých služeb třetích stran, kde to ACTIVE 24 nebude umět garantovat, například Office 365, budou data chráněna odpovídajícím způsobem,
říká k tématu marketingová manažerka ACTIVE 24 Martina Pohořelická a doplňuje: Myslíme tím ujednání EU-USA Privacy Shield. Ochrana osobních údajů bude garantována buď certifikací třetí strany dle tohoto ujednání, nebo na základě individuální smlouvy podle vzoru tzv. EU Standard Contractual Clauses.
EU-USA Privacy Shield
Ujednání Privacy Shield, takzvaný štít soukromí, který za Evropskou unii se Spojenými státy americkými vyjednala česká eurokomisařka Věra Jourová, nahradilo donedávna používanou certifikaci Safe Harbor. (Safe Harbor/Bezpečný přístav byl Evropským soudním dvorem prohlášen za neplatný 6. října 2015. Privacy Shield/Bezpečnostní štít je platný od 1. 8. 2016.) Jde o samocertifikační mechanismus pro společnosti se sídlem v USA, který by mohl být jistou zárukou. Evropská komise totiž uznala, že štít soukromí poskytuje odpovídající úroveň ochrany osobních údajů evropských osob předaných z Evropské unie do USA takto certifikované společnosti, a představuje tedy nástroj zajišťující právní záruky pro uvedená předání osobních údajů. Rámec štítu soukromí přiznává subjektům osobních údajů určitá práva. Zejména mají právo být informováni o předání jejich dat z Evropské unie do USA a mohou uplatnit právo na přístup ke svým osobním údajům, jejich opravu nebo i výmaz.
Privacy Shield se vztahuje na jakýkoli druh osobních údajů předaných z Evropské unie do USA, včetně obchodních, zdravotních a zaměstnaneckých údajů, za předpokladu, že společnost v USA provedla samocertifikaci pro rámec štítu soukromí, a přihlásila se tak k dodržování zásad, pravidel a povinností stanovených rámcem štítu soukromí. To, že se americký poskytovatel cloudu programu účastní, se dá snadno ověřit na webových stránkách federálního ministerstva obchodu USA.
Správce osobních údajů odpovědný za jejich předávání by se ale ani tak neměl spokojit s konstatováním poskytovatele cloudu, že má certifikaci. Měl by ověřit, zda je tato certifikace platná a požadovat důkazy, že zásady z ní plynoucí jsou také v praxi dodržovány. V souvislosti s ochranou zpracovávaných osobních údajů uvádí stanovisko pracovní skupiny WP29 k GDPR ke cloud computingu následující:
„Zásady bezpečnosti samy o sobě nemusejí vývozci údajů zaručovat prostředky nezbytné k zajištění toho, že například poskytovatel cloudových služeb v USA přijal vhodná bezpečnostní opatření tak, jak mohou vyžadovat vnitrostátní právní předpisy. Pokud jde o bezpečnost údajů, jsou s cloud computingem spojena specifická rizika (např. ztráta kontroly, nezabezpečený nebo neúplný výmaz údajů, nedostatečné auditní stopy a selhání izolovanosti), která nejsou dostatečně ošetřena. Proto je možné zavést dodatečná ochranná opatření. Například lze využít odbornosti a zdrojů třetích stran, jež jsou schopny posoudit odpovídající úroveň poskytovatelů cloudových služeb na základě různých auditních, standardizačních a certifikačních systémů. Z těchto důvodů může být žádoucí doplnit závazek dovozce údajů o dodatečná ochranná opatření, jež by přihlížela ke zvláštní povaze cloud computingu.“
Psali jsme: GDPR: Nový strašák pro firmy. Nařízení shrnuje právník
Přihlášení se k dodržování zásad Privacy Shield tedy především legalizuje samotný přenos těchto údajů do USA příslušné certifikované společnosti, nicméně ještě automaticky nezaručuje, že osobní údaje zpracovávané v cloudu jsou dostatečným způsobem chráněny. Stejně tak neexistuje žádná záruka, že zpracování v USA splňuje všechny požadavky podle platného evropského práva regulující oblast ochrany osobních údajů. Podobně jako v případě zpracování, prováděném zpracovatelem na základě pokynu správce, tak i v případě zpracování v cloudu, zůstává za dodržování zákona primárně odpovědný správce. Proto bude nutné v tomto ohledu smluvně zavázat zpracovatele ve smyslu garance vhodných bezpečnostních záruk.
Držitelem certifikace Privacy Shield je například Microsoft. Přesto tato firma láká klienty i na jiné možnosti ochrany. Pro své klíčové produkty jako Office 365 nebo Azure používá Microsoft vyšší standard ochrany než Privacy Shield, a to takzvané Standardní smluvní doložky, schválené Evropskou komisí,
vysvětluje Jiří Černý, ředitel pro právní záležitosti Microsoft Česko a Slovensko. Plně certifikované jsou už v bezpečnostním štítu i služby Googlu.
Připomeňte si: Začněte třídit databáze svých kontaktů, jen tak obstojíte po zavedení GDPR
Jak řešit případné bezpečnostní incidenty?
Dotazy a stížnosti týkající se zpracování osobních údajů je potřeba přednostně adresovat evropské společnosti, která je předala do USA, nebo americké společnosti, která je v zámoří či jinde ve světě zpracovává. Pokud tyto společnosti neodpoví, je možné pro konzultaci kontaktovat Úřad pro ochranu osobních údajů. Pokud správce osobních údajů dospěje k závěru, že americká společnost účastnící se programu Privacy Shield nesplnila nebo porušila povinnosti vyplývající z rámce štítu EU-USA pro ochranu soukromí, může správce podat stížnost u příslušného národního orgánu pro ochranu údajů nebo přímo u českého Úřadu pro ochranu osobních údajů. U velkých firem by to ale hrozit nemělo. Služby G Suite a Goggle Cloud Platform naplňují smluvní povinnosti týkající se oznámení o incidentu po mnoho let. Se stovkami našich inženýrů, kteří se věnují bezpečnostním službám Google Cloud, navíc pokračujeme v investicích do našich bezpečnostních a incidentových reakcí, detekce hrozby i prevence,
doplňuje Marc Crandall, ředitel sekce Ochrany dat a dodržování předpisů Google.
K tématu dále čtěte: GDPR bude i ochranou před „blbostí mládí“
Používání certifikovaných a jinak prověřených cloudových služeb firmám přechod na GDPR nevyřeší úplně, ale určitě zjednoduší. A to zejména ze dvou hlavních důvodů. Prvním je úspora nákladů a zároveň nároků na know-how nutné k zajištění technické funkčnosti infrastruktury. Ve spojitosti s GDPR se setkáváme s pojmy jako šifrování, zálohování, dostupnost, zajištění integrity a další. Řešit požadavky GDPR na straně software je jedna věc, nicméně bez adekvátně připravené hardwarové infrastruktury je naplnění požadavků evropského nařízení velice obtížné, ne-li skoro nemožné. A právě to je parketou velkých poskytovatelů cloudu. Průzkumy jasně ukazují, že přechod do cloudu pomohl rapidně snížit náklady na infrastrukturu i obřím společnostem, které mají lidské i finanční zdroje na provoz a správu vlastní fyzické infrastruktury. Jaká tedy asi bude situace v případě malých a středních podniků?
pokládá řečnickou otázku marketingová manažerka společnosti INTERNET CZ | FORPSI Ilona Filípková.
Druhým faktorem je to, že globální počítačová kriminalita a investice do ní rostou geometrickou řadou a žádná jednotlivá organizace nemůže s těmito investicemi na své straně soutěžit. Poskytovatelé cloudu investují do kybernetické bezpečnosti na úplně jiné úrovni, než by byli schopni zákazníci jednotlivě. Nutno ale znovu podotknout, že využití cloudu není pro zákazníky zcela samospásné a je nutné současné zavedení nezbytných organizačních opatření i na jejich straně.