Ochrana osobních údajů v cloudových službách

21. 9. 2017

Sdílet

 Autor: © Tommi - Fotolia.com
Dynamický rozvoj služeb souvisejících s informačními technologiemi přináší kromě zefektivnění činností podnikatele i zvýšené nároky na kontrolu plnění povinností stanovených právními předpisy.

Zejména nové způsoby administrace interních procesů mohou vést k nečekaným povinnostem při nakládání s osobními údaji. Jako příklad lze uvést využívání služeb tzv. cloud computingu. Z hlediska ochrany osobních údajů je totiž klíčové, že podnikatel využívá v oblasti IT služeb třetích osob na bázi vzdáleného přístupu. Data, se kterými se v rámci služeb cloud computing pracuje, obsahují typicky i osobní údaje fyzických osob.

Ačkoli v roce 2018 dojde k zásadním úpravám ochrany osobních údajů fyzických osob na základě nového nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR), je tato otázka dlouhodobě a relativně komplexně upravena již nyní. V ČR je ochrana osobních údajů upravena zákonem č. 101/2000 Sb., o ochraně osobních údajů.

Zákon zohledňuje právo EU, především směrnici Evropského parlamentu a Rady 95/46/ES, o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a dále i mezinárodní smlouvy, zde ratifikovanou Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních dat.

Každý správce osobních údajů je povinen reagovat na rizika spojená s jejich zpracováním.

Skutečnost, že poskytovatelé cloudových služeb budou často usazeni mimo území ČR a případně i mimo prostor EU/EHP, není sama o sobě určující pro vyslovení závěru, že podnikatel, který cloudové služby využívá, nemusí respektovat pravidla ochrany osobních údajů stanovená právními předpisy ČR, respektive v rámci EU.

Klíčovým faktorem bude určení osoby správce osobních údajů, tedy podnikatele, který využívá cloudové služby. Český správce, typicky společnost se sídlem v ČR, je povinen zmíněnou regulaci ochrany osobních údajů respektovat bez ohledu na to, kde se nachází poskytovatel cloudových služeb. Evropská pravidla ochrany osobních údajů se uplatní i v případě, že správce osobních údajů nesídlí v EU/EHP, ale poskytovatel cloudových služeb, který se na jejich zpracování podílí, ano.

Správcem je každá osoba, která určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, který na základě toho údaje zpracovává, ať už jde o úkony v rámci ukládání, vyhledávání, jejich třídění či jiné související operace.

bitcoin_skoleni

 

Autor je advokátem právní kanceláře PwC Legal