Cloud computing je dnes velmi často využívaná služba, která uživateli umožňuje využívat servery s větším výpočetním výkonem a úložný prostor na internetu. Uživatel tedy nemá data uložena na svém vlastním počítači, ale připojuje se na vzdálená zařízení poskytovatele, který mu tyto služby za odměnu poskytuje.
Smlouva o poskytování služeb cloud computingu a ochrana osobních údajů
JUDr.
Eva
Janečková
Přestože se jedná o službu obvyklou, účastníci smluvního vztahu většinou netuší, že součástí smlouvy týkající se poskytování této služby musí být ustanovení vztahující se k ochraně osobních údajů, neboť součástí ukládaných dat obvykle bývají i osobní údaje.
Smlouvy o poskytování služeb cloud computingu bývají často uzavírány adhezním způsobem. Adhezní smlouvy jsou smlouvy, u kterých nedochází mezi smluvními stranami k vyjednávání o obsahu smlouvy. Jsou vždy založeny na principu
take it or leave it
, tedy jedna strana předloží hotový text smlouvy a druhá strana má možnost návrh buď přijmout, anebo odmítnout. Základní smluvní podmínky jsou určeny ekonomicky silnější stranou a v tomto smluvním vztahu slabší strana (zákazník) nemá příležitost obsah této smlouvy ovlivnit. Z hlediska ochrany osobních údajů není tento způsob příliš vhodný, neboť správcem osobních údajů je uživatel a právě ten by měl stanovit parametry zpracování osobních údajů. Podle § 4 písm. j) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů“), je správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Vzhledem k tomu, že je to právě zákazník cloudových služeb, kdo určuje konečný účel zpracování a rozhoduje o zadání tohoto zpracování nebo jeho části externí organizaci, vystupuje tento zákazník jako správce osobních údajů. Pokud správce provádí zpracování, odpovídá za něj. Uživatel cloudových služeb by si proto měl uvědomit, že primární odpovědnost za zpracování osobních údajů leží na něm. V jeho zájmu je proto včlenit do smlouvy o poskytování cloudových služeb co nejpřesnější pravidla pro zpracování osobních údajů.
Zákon o ochraně osobních údajů umožňuje, aby zpracování osobních údajů neprováděl výhradně sám správce, ale aby některou z operací nebo operace veškeré prováděl za správce jiný subjekt – zpracovatel. Je však podstatné si v této souvislosti uvědomit, že i když dochází k takovému přesunu činnosti, nedochází k úplnému přechodu odpovědnosti správce na zpracovatele. Za škodu způsobenou subjektu údajů v souvislosti se zpracováním osobních údajů totiž odpovídají správce a zpracovatel společně a nerozdílně. Subjekt údajů tak má určitou, právem garantovanou jistotu, že náhrady škody, způsobené subjektu údajů v souvislosti se zpracováním osobních údajů, se může vždy domáhat především u správce.1)
V případě, že zpracování provádí zpracovatel (v tomto případě poskytovatel cloudových služeb), je nutné uzavřít smlouvu podle § 6 zákona o ochraně osobních údajů. Zákon požaduje, aby tato smlouva byla písemná. To však neznamená, že smlouva musí být uzavřena zcela samostatně jako samostatný dokument. Takovou povinnost zákon o ochraně osobních údajů nestanoví. Lze tedy připustit, aby obsahové náležitosti smlouvy o zpracování byly součástí i jiné písemně uzavřené smlouvy. Zákon o ochraně osobních údajů vyžaduje, aby v takové smlouvě kromě jiných podstatných částí smlouvy bylo také výslovně uvedeno, v jakém rozsahu, tedy o jaké osobní údaje se jedná, za jakým účelem a na jakou dobu se smlouva uzavírá a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů.2)
Do služeb cloud computingu může být zapojena řada smluvních stran, jež vystupují jako zpracovatelé. Zpracovatelé běžně externě zadávají zpracování údajů dílčím zpracovatelům, kteří pak získávají přístup k osobním údajům. V těchto situacích musí být povinnosti a úkoly vyplývající z právních předpisů na ochranu údajů jasně stanoveny a nesmí docházet k jejich rozptýlení v průběhu subdodavatelského řetězce nebo v rámci externího zajištění služeb. Cílem je přidělit jasnou odpovědnost za zpracovávání údajů a zajistit jeho účinnou kontrolu. Podle názoru WP 293) může zpracovatel externě zadávat svou činnost pouze se souhlasem správce, který jej obecně může poskytnout na začátku služby s tím, že zpracovatel má jasnou povinnost informovat správce o veškerých zamýšlených změnách týkajících se přidání či náhrady subdodavatele a že správce má po celou dobu možnost vznést proti těmto změnám námitku či smlouvu ukončit. Poskytovatel cloudových služeb by měl mít jasnou povinnost uvádět jména všech pověřených subdodavatelů. Kromě toho by měla být mezi poskytovatelem cloudových služeb a subdodavatelem podepsána smlouva, jež odráží ustanovení smlouvy mezi poskytovatelem cloudových služeb a zákazníkem.4)
Smlouva o zpracování osobních údajů v rámci poskytování služeb cloud computingu
V zájmu právní jistoty a ochrany správce osobních údajů je vhodné do smlouvy zapracovat následující ustanovení:
a)
Pokyny uživatele směrem k poskytovateli služeb, včetně případných sankcí a smluvních pokut.
b)
Podle § 6 zákona o ochraně osobních údajů musí smlouva o zpracování obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. Nestačí pouze uvést, že poskytovatel služby (zpracovatel) se zavazuje osobní údaje chránit. Je nezbytné uvést konkrétní technická a organizační opatření. Opatření musí být popsána tak, aby správci byly skutečně poskytnuty záruky, a to záruky kontrolovatelné. Měl by tedy vědět a ze smlouvy by mělo být zřejmé, jak budou uvedené záruky realizovány; uvedeny by měly být minimálně alespoň odkazem na konkrétní interní dokumenty zpracovatele, který musí osobní údaje chránit v rozsahu a za podmínek § 13 zákona o ochraně osobních údajů, a to celého ustanovení. Opatření by tedy měla být dokumentována v rozsahu odst. 2 zákona o ochraně osobních údajů. Jen tak totiž může správce náležitě kontrolovat jejich dodržování a musí je znát i z důvodů určení možné odpovědnosti za porušení zákona o ochraně osobních údajů.5) Zároveň by měla být zakotvena povinnost poskytovatele informovat uživatele o bezpečnostních rizicích a případném úniku dat.
c)
Předmět a časový rozvrh cloudové služby dodávané příslušným poskytovatelem, rozsah, způsob a účel zpracovávání osobních údajů prováděného poskytovatelem cloudových služeb, jakož i typy zpracovávaných údajů.6)
d)
Již při uzavírání smlouvy by měl uživatel pamatovat na případné ukončení spolupráce s poskytovatelem. Smlouva by měla obsahovat ustanovení o formě předání údajů zpátky uživateli tak, aby je mohl systematicky nadále využívat. Další otázky, které by neměly být ve smlouvě mezi uživatelem a poskytovatelem opomenuty, jsou zajištění výmazu údajů po uplynutí doby nezbytné pro jejich zpracování.7)
e)
Závazek důvěrnosti dat uložených v cloudu znamená, že zařazení doložky o mlčenlivosti je závazné pro poskytovatele cloudových služeb i všechny jeho zaměstnance, kteří mohou přijít s údaji do styku. Přístup k údajům mohou mít pouze oprávněné osoby. Tato povinnost vyplývá z § 15 zákona o ochraně osobních údajů.
f)
Smlouva by měla výslovně stanovit, že poskytovatel cloudových služeb nesmí sdělovat údaje třetím stranám, s výjimkou subdodavatelů, pokud správce souhlasil s jejich zapojením. Pro dodržení závazku poskytovatele zahrnout příslušné povinnosti do smluv se subdodavateli je vhodné poskytovatele „motivovat“ například smluvní pokutou. Zároveň by měla být uvedena povinnost poskytovatele informovat uživatele v situaci, kdy státní orgán vyžaduje přístup k uloženým datům.
g)
Ve smlouvě musí být uveden seznam lokalit, kde budou data uložena, neboť z podstaty cloudových služeb vyplývá, že se osobní údaje mohou nacházet na různých místech v různých zemích. Poskytovatel by proto měl uživatele informovat o tom, ve kterých zemích jsou data umístěna, komu mohou být údaje dále předávány a v jaké zemi se příjemce údajů nachází.
h)
Povinnost poskytovatele informovat zákazníka o změnách služeb.
i)
Záruka poskytovatele cloudových služeb, že použité postupy jsou v souladu s vnitrostátními a mezinárodními právními požadavky a normami.
Z výše uvedeného vyplývá, že uživatel cloudových služeb by měl dávat přednost poskytovateli, který netrvá na své smlouvě formulářového typu a který je ochoten vložit do smlouvy zmíněná ustanovení.
1) Bartík, V., Janečková, E.:
Zákon o ochraně osobních údajů s komentářem
. ANAG, Olomouc 2010, s. 56 a násl.2) Bartík, V., Janečková, E.: Outsourcing při zpracování osobních údajů.
Daně a právo v praxi
2012/6.3) Pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů zřízená směrnicí Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995.
4) Stanovisko č. 05/2012 ke cloud computingu, https://www.uoou.cz/VismoOnline_ActionScripts/File.ashx?id_org=200144&id_dokumenty=16709.
5) Bartík, V., Janečková, E.: Outsourcing při zpracování osobních údajů.
Daně a právo v praxi
2012/6.6) Stanovisko č. 05/2012 ke cloud computingu, https://www.uoou.cz/VismoOnline_ActionScripts/File.ashx?id_org=200144&id_dokumenty=16709
7) http://www.epravo.cz/top/clanky/cloud-computing-a-ochrana-osobnich-udaju-96164.html?mail.