Odpovědnost za osobní údaje je na správci. Na cloudové služby se nevymluvíte

6. 9. 2017
Doba čtení: 6 minut

Sdílet

Ilustrační obrázek
Ilustrační obrázek
Spoléháte při implementaci GDPR na svého poskytovatele cloudu? Pak byste o něm měli vědět všechno podstatné a znát jeho vnitřní infrastrukturu a procesy.

Odpovědnost za osobní údaje má v konečném důsledku i správce, nejen zpracovatel. Úroveň zabezpečení zpracovatele proto není radno podceňovat. GDPR přímo nakazuje ji znát.

Zabezpečení dat s osobními údaji bude od příštího roku pro mnohé firmy oříškem. Bude nutné přemýšlet nejen o tom, kde podniky tyto informace shromažďují, ale také o tom, kde je ukládají, kde se osobní údaje zpracovávají a kdo všechno je sdílí. Podle GDPR bude muset být správce osobních údajů schopen toto všechno sdělit subjektu osobních údajů. Už v článku Nejlepším řešením GDPR pro malé firmy bude přechod na cloud byla jako jedna z vhodných a zároveň výhodných variant při implementaci pravidel GDPR do firemních struktur malých podniků popisována cloudová úložiště. Jenže ne všichni provozovatelé těchto služeb jsou s evropským nařízením o ochraně osobních údajů v souladu.

Navíc také není možné spoléhat na to, že přesunem citlivých dat do struktur některého z cloudových providerů je vše vyřešeno ani v případě, že je provider v souladu. Používáním těchto služeb se správce nezbavuje vlastní zodpovědnosti za dodržování pravidel nařízení. Nařízení o ochraně osobních údajů počítá se sdílenou zodpovědností za zpracování dat. Správci budou mít povinnost nastavit si se zpracovateli, v tomto případě cloudovými službami, takové smlouvy, ze kterých bude zjevné, kdo je odpovědný za případný únik dat nebo jiné narušení ochrany. Pokud bude ke zpracování dat docházet mimo EU, musí být respektována pravidla pro přenos dat do zahraničí.

Je na správci, aby analyzoval dopady řešení využití cloud computingu, zajistil adekvátní opatření na své straně a aby si uzavřením smluvních vztahů s případným poskytovatelem služeb cloud computingu ošetřil veškeré podmínky zpracování. Z hlediska zákonných pravidel a záruk požadovaných pro předávání osobních údajů lze doporučit využívat pouze webové služby a cloudová úložiště, které se nacházejí na území EU a jsou plně pod jurisdikcí evropského práva, komentuje za Úřad pro ochranu osobních údajů jeho mluvčí David Pavlát.

K tématu dále čtěte: Začněte třídit databáze svých kontaktů, jen tak obstojíte po zavedení GDPR

Někteří provideři teprve analyzují

Server Podnikatel.cz se proto obrátil na některé z cloudových providerů, jejichž služeb často využívají malé a střední podniky, aby zjistil, jak se na GDPR připravují, zda se jejich klienti mohou spolehnout na dodržování nových zákonných požadavků a počítat s podporou. 

Že budou s nařízením GDPR ve shodě, už před nějakým časem potvrdily společnosti Google i Microsoft. Druhá jmenovaná už například nové smluvní podmínky plně reflektující požadavky GDPR přijala. Ve smluvní části jsem již s předstihem plně v souladu s GDPR. Naše společnost se přípravě na toto nařízení intenzivně věnuje již dva roky a vynakládá na tuto oblast enormní množství úsilí a finančních prostředků. Kromě toho, že jsme naši smlouvu uvedli plně do souladu s GDPR a garantujeme náš soulad s GDPR nejpozději k datu jeho účinnosti, poskytujeme podporu při implementaci rovněž našim zákazníkům. Ti mohou využívat různé podpůrné nástroje v rámci našich produktů, připravenou dokumentaci, sdílené know-how, semináře, konference a řadu jiných iniciativ, které postupně připravujeme, potvrzuje Jiří Černý, ředitel pro právní záležitosti Microsoft Česko a Slovensko.

U jiných poskytovatelů cloudových služeb tomu tak ale ještě není. Jak společnost ACTIVE 24, tak INTERNET CZ | FORPSI uvádějí, že jsou ve fázi důkladného mapování a dokumentování procesů zpracovávání osobních údajů a připravují se na nezbytné organizační a technologické změny. Oba dva tito poskytovatelé cloudu přitom podle průzkumu, který agentura STEM zpracovala exkluzivně pro společnost HP, patří vedle Microsoftu nebo Googlu mezi TOP 5 poskytovatelů cloudu v segmentu malých a středních firem. Bezpečností osobních dat našich zákazníků se zabýváme průběžně, proto nebude v souvislosti s GDPR docházet k nějakým radikálním změnám. Důkazem je například kodex CISPE, který potvrzuje naše snahy v tomto směru, uklidňuje za INTERNET CZ | FORPSI marketingová manažerka Ilona Filípková.

Poskytovatelé cloudových služeb musí zajistit jejich soulad s pravidly GDPR nejen v Evropě, respektive Evropské unii, ale i jinde ve světě, pokud tam shromažďovaná data ukládají. A správce osobních údajů o tom musí být informován a znát vnitřní nastavení providera. Z pohledu malých firem se proto jeví jako výhodnější zvolit si takového poskytovatele, který údaje zpracovává na území EU. Nutno ale podotknout, že toto rozhodně není podmínkou. GDPR nijak nemění stávající pravidla pro předávaní osobních údajů mimo Evropskou unii ani Evropský hospodářský prostor. Stávající možnosti, jak osobní údaje předávat mimo území unie, zůstávají zachovány, připomíná Jiří Černý.  Jde zkrátka o to, že malé firmy často nedisponují dostatečným počtem lidí, kteří by byli schopni náležitě komunikovat se zpracovateli.

Dále čtěte: Důvěřuj, ale prověřuj. Je váš poskytovatel ERP systému připraven na GDPR?

Kde tedy data ukládají výše zmínění provideři? Microsoft ukládá data evropských zákazníků primárně ve svých datových centrech v Irsku a Nizozemí. Datovým centrům je poskytována podpora z různých míst i mimo EU, která se plynule přesouvá napříč časovými pásmy podle toho, kde je právě pracovní část dne. V tomto nastavení nedojde s účinností GDPR k žádné změně. Zcela klidní mohou být i ti, kteří využívají služeb poskytovaných na platformě FORPSI Cloud. Naše mateřská společnost Aruba S.p.A je jedním ze zakládajících členů CISPE. Poskytovatelé, kteří se zavázali dodržovat kodex CISPE, se mimo jiné zavazují ukládat a zpracovávat data svých zákazníků pouze v rámci území EU/EHP. Kodex byl navržen tak, aby splňoval všechny požadavky GDPR, uvádí za INTERNET CZ | FORPSI Ilona Filípková.

Evropská koalice CISPE

Právě provideři z koalice CISPE (Cloud Infrastructure Services Providers in Europe) se vedle velkých firem Google a Microsoft ukazují být v problematice implementace GDPR jednou z vhodných cest. Proto se s ní pojďme stručně seznámit. 

Koalice firem zaměřených na poskytování cloud computing infrastruktur v Evropě je složená z více než 20 providerů napříč Evropou a působí ve více než 15 zemích. Do CISPE se může zapojit jakýkoliv poskytovatel cloudové infrastruktury, který splní požadavky na ochranu a zpracování osobních dat CISPE Kodexu. Mimo jiné ho do svých služeb začlenili poskytovatelé cloudu Arsys, Aruba, BIT, Daticum, Host Europe Group, IDS, UpCloud, XXL Webhosting nebo 1&1 Internet. Služby, které splňují kritéria, jsou jasně označeny takzvanou Trust Mark. Tuto „značku důvěry“ mohou poskytovatelé cloudových služeb využít pro informování svých zákazníků o tom, že jejich služby splňují toto nařízení. Organizace splňující tato kritéria jsou zveřejněny na stránkách CISPE.

Mohlo by se hodit: Je legální obchodovat s osobními údaji a za jakých podmínek?

Kodex chování CISPE pak dává zákazníkům informaci o tom, zda jsou nabízené služby cloudové infrastruktury vhodné pro zpracování osobních údajů. Podle kodexu získají zákazníci využívající cloudové služby jistotu, že poskytovatelé této infrastruktury nezpracovávají jejich osobní údaje k vlastním účelům nebo za účelem prodeje dalším stranám, například pro profilování dat, marketing nebo podobné aktivity. Jedná se o první kodex chování napříč celým odvětvím. Dává zákazníkům jistotu, že jejich data budou vždy výlučně pod jejich kontrolou a v jejich vlastnictví, řekl předseda CISPE Alban Schmutz. Poskytovatelé certifikovaní Kodexem chování CISPE musí navíc svým zákazníkům nabídnout možnost zpracovávat a ukládat svá data výlučně na území Evropské unie nebo Evropského hospodářského prostoru. To znamená, že správci dat mohou kontrolovat, kde se budou jejich data zpracovávat a fyzicky ukládat, navíc s vědomím, že provider nebude tato data dále užívat nebo přeprodávat.

Marketing Meeting AI a tvorba obsahu

Kodex zaručuje, že poskytovatel cloudu nabízí takové služby, které odpovídají zvyšujícím se požadavkům v oblasti ochrany dat napříč Evropou, a splňuje kritéria GDPR. Patříme mezi první poskytovatele, kteří zaručují takový model služeb, v němž si každý zákazník může vybrat, v jaké zemi bude své cloudové služby aktivovat. Již dnes, ještě před zahájením platnosti GDPR, jsou záruky ochrany a zabezpečení dat certifikovány prohlášením o tom, že veškeré Aruba Cloud (FORPSI Cloud) IaaS služby splňují požadavky stanovené v Kodexu chování CISPE, prohlásil Stefano Cecconi, CEO Aruba S.p.A.

Žádné certifikáty ale nejsou zárukou. O této problematice čtěte víc v příštích dnech, kdy na serveru Podnikatel.cz vyjde pokračování tohoto článku.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).