Cloud není jen o technologiích. Podívejme se proto na právní úpravu využívání cloudových služeb v rámci EU. Tímto stále oblíbenějším řešením ukládání dat mohou podniky ušetřit mnohé peníze i starosti s bezpečností. Je však nutné vědět, na které právní aspekty by si měli poskytovatelé i jejich klienti dát pozor a jaká možná rizika z této spolupráce plynou.
Petr Glogar, advokát mezinárodní advokátní kanceláře PwC Legal
V České republice zatím nepůsobí mnoho místních poskytovatelů cloudových služeb a většina poskytovatelů má sídlo v zahraničí. Právní úprava se však neodvíjí od sídla poskytovatele, ale je vymezena místem, kde je usazen koncový zákazník, případně jeho trvalým bydlištěm či sídlem jím provozované činnosti.
Na území EU je ošetřeno poskytování cloudových služeb společnou směrnicí č. 95/46/ES a doplňkovou směrnicí 2002/58/ES, týkající se ochrany osobních údajů. Tyto směrnice specifikují práva a povinnosti poskytovatelů i uživatelů a stanovují zásady pro úroveň transparentnosti a ochrany dat, stejně jako zásadu vymezení jejich účelu. Na základě této směrnice je poskytovatel povinen upozornit zákazníka o jakémkoliv přesunu cloudových dat do jiných zemí. Pokud se však přesun odehrává v rámci států EU, není k tomuto kroku potřeba souhlas Úřadu pro ochranu osobních údajů. Na území České republiky je ochrana osobních údajů upravena zákonem č. 101/2000 Sb., který v sobě již obsahuje principy evropské směrnice 95/46/ES.
Pokud poskytovatel disponuje s daty mimo země EU, zvyšuje se tím riziko nedostatečné kontroly nad daty, a tedy jejich možného zneužití. Pro předání dat třetím zemím by tedy měl být vyžadován souhlas Úřadu na ochranu osobních údajů. Výjimku tvoří státy, ve kterých je ochrana dat na stejné úrovni jako v EU, což vyplývá z toho, že stát ratifikoval Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, a jeho zákony jsou tak v souladu s evropskou směrnicí 95/46/ES.
Existují však i výjimky, kdy se souhlas Úřadu pro ochranu osobních údajů nevyžaduje ani v případě, že země neratifikovaly Úmluvu o ochraně osob. Jedná se o případy, kdy subjekt dat výslovně souhlasí s předáním údajů, nebo když je předání dat dalším zemím nezbytné pro ochranu jeho práv či životně důležitých zájmů. Správce dat je však povinen se na Úřadě pro ochranu osobních údajů zaregistrovat, v případě, že zákon nestanoví jinak.
V rámci cloudových služeb se tedy data často pohybují v rámci mnoha zemí po celém světě a provozovatel ani nemusí vědět, kde konkrétně se data v danou chvíli nacházejí. Jeho povinností však zůstává zajistit jim úplnou ochranu. V současné době právní úprava disponuje spíše vágními kontrolními mechanismy na ochranu uživatele. Poskytovatelé cloudových služeb by v první řadě měli zaručit, že jejich služby jsou v souladu s evropskou legislativou a uživatel si naopak musí dát pozor, aby byly ve smlouvě uvedeny dostatečné záruky týkající se technických a organizačních opatření. Pokud jsou data poskytnuta zemím, které neratifikovaly výše zmíněnou Úmluvu pro ochranu osob, je vždy nutný souhlas Úřadu pro ochranu osobních údajů. V případě, že jsou data předána bez jeho souhlasu, hrozí poskytovateli cloudových služeb pokuta ve výši až 5.000.000,- Kč.
Závěrem je tedy nutné říci, že poskytovatel by vždy měl upozornit zákazníka na jakýkoliv pohyb s jeho daty. Zákazník by měl mít přehled o tom, kdo a kde spravuje jeho data a ve smlouvě o spolupráci si pečlivě ošetřit možné sporné body. Důležité je především co nejpřesněji konkretizovat práva a povinnosti poskytovatele a zákazníka. V rámci toho lze ošetřit širokou škálu činností, jako například povinnost oznamovat jakékoliv narušení či poškození zákazníkových údajů, celkový přístup k datům, jejich opravu či výmaz. Je také možnost stanovit, aby měl zákazník dohled nad zpracováním dat. Dalším z klíčových bodů je například úprava sdělování údajů třetím osobám, především ve vztahu k požadavkům oprávněných orgánů o poskytnutí osobních údajů. Smlouva by také měla obsahovat doložku mlčenlivosti pro poskytovatele a všechny jeho zaměstnance.
Cloudové služby jsou stále rozvíjejícím se oborem, v němž je mnoho neznámých. Je proto důležité, aby poskytovatelé v první řadě dbali na bezpečí svých zákazníků, měli na zřeteli možná právní rizika a ujistili se, aby nakládání s daty zákazníka bylo vždy v souladu s právními předpisy místa, kde klient sídlí.
Petr Glogar, advokát mezinárodní advokátní kanceláře PwC Legal