Kdy a jaká data lze v cloudu ukládat v rámci EU?

Česká republika představuje v globálním měřítku jen malý trh, a proto se v praxi velmi často vyskytuje situace, kdy jsou poskytovatelé cloudových služeb usazeni mimo ni. V tomto ohledu je třeba nejprve zmínit, že faktorem vymezujícím použití práva určitého státu ve vztahu ke správci dat (tj. konkrétnímu ukladateli údajů do cloudu – jeho zákazníkovi, uživateli) je místo jeho usazení resp. bydliště nebo místo jím provozované činnosti, nikoliv místo usazení poskytovatele cloudových služeb jak se mnozí mylně domnívají.

Poskytovatel cloudových služeb je povinen zákazníka informovat o případném předávání jeho dat do jiných států. Nachází-li se úložiště dat na území EU a jejich případné předávání zahrnuje také pouze oblast EU, pak je možné předávat data i bez svolení Úřadu pro ochranu osobních údajů (na základě zásady volného pohybu osobních údajů). Poskytovatel a zákazník uzavírají smlouvu o zpracování osobních údajů, která musí obsahovat předepsané náležitosti. Ukládání dat k poskytovateli služby má v rámci EU jasná pravidla, která jsou upravena především evropskou směrnicí č. 95/46/ES (doplňkově i směrnicí č. 2002/58/ES). Ta určuje práva a povinnosti jak poskytovatelů cloudových služeb, tak i jejich uživatelů. Práva a povinnosti zahrnují především dodržování zásady určení a omezení účelu, transparentnosti a odpovídající úrovně ochrany. Primárním účelem těchto zásad je zajištění ochrany osobních údajů subjektů údajů (subjektů, jichž se zpracovávané údaje týkají). Pro území ČR je právní úprava obsažena v zákoně č. 101/2000 Sb., o ochraně osobních údajů, který v sobě zakotvuje principy evropské směrnice č. 95/46/ES.

Ukládání dat mimo EU?

Předávání dat do zemí mimo EU, tzv. třetích zemí, je obecně považováno za rizikové a může se vyznačovat nedostatečnou mírou ochrany. Z tohoto důvodu lze bez předchozího souhlasu Úřadu pro ochranu osobních údajů předávat data pouze do zemí, které zaručují odpovídající úroveň jejich ochrany. Těmi jsou zejména státy, které ratifikovaly Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních dat a jejich ochrana je tak v souladu se směrnicí 95/46/ES. Zákon stanoví důvody, kdy lze data předávat i do třetích zemí, které neratifikovaly Úmluvu o ochraně osob. Jedná se např. o situace, kdy k předání dochází s výslovným souhlasem subjektu údajů nebo kdy je předání nezbytné pro ochranu práv nebo životně důležitých zájmů subjektu údajů. V takovém případě je správce povinen se u Úřadu zaregistrovat, nestanoví-li zvláštní zákon jinak (např. zákon o zaměstnanosti, zákon o sociálně-právní ochraně dětí, …). Data lze také legálně předávat provozovatelům úložišť dat s tzv. „safe harbour“ certifikací a to bez ohledu na to, ze které země cloud provozují – typicky se tento model používá u firem sídlících v USA či jinde mimo EU.

Kontrola, důkazy a sankce

Cloud computing se však velmi často vyznačuje principem, kdy pevné umístění dat takřka neexistuje a ta se tak mohou v horizontu hodin pohybovat na opačných koutech světa. V reálném čase pak správce údajů vůbec nemusí vědět, kde jsou data uložena a kam se předávají, ale současně je jeho povinností, jakožto správce údajů, poskytnout jim dostatečnou ochranu. Troufáme si tvrdit, že v tomto bodě právní úprava postrádá lepší kontrolní mechanismy, které by uživatel jakožto správce dat mohl využívat. Z těchto důvodů by poskytovatelé cloudových služeb měli zaručit soulad s právními předpisy EU, a důsledně dbát na to, aby ve smlouvě byly uvedeny dostatečné záruky ohledně technických a organizačních opatření. Poskytovatel cloudových služeb by měl být schopen dostatečně zaručit zákonnost mezinárodního předávání. Předávání dat do třetích zemí, které neratifikovaly výše zmíněnou Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních dat, vždy podléhá souhlasu Úřadu, který je vydáván v povolovacím řízení. V případě, že k oznámení a následnému souhlasu Úřadu nedojde, hrozí poskytovateli cloudových služeb pokuta až do výše 5.000.000,- Kč.

Závěr a doporučení

Všem poskytovatelům cloudových služeb je třeba důrazně doporučit, aby zajistili jistotu a bezpečí svých zákazníků, přičemž hlavním bodem zájmu by měla být možná právní rizika. Zpracování dat prostřednictvím cloudových služeb je obecně považováno za velkou neznámou, především kvůli nedostatku informací a malým možnostem kontroly (viz pohyb dat výše). A to i navzdory legislativně zakotvené povinnosti poskytovatele cloudových služeb informace zákazníkovi poskytovat.

V neposlední řadě bychom rádi upozornili na několik záležitostí, které je záhodno smluvně ošetřit. První z nich je přístup k údajům, který by měly mít pouze oprávněné osoby. Z tohoto důvodu by smlouva s poskytovatelem měla obsahovat doložku mlčenlivosti pro poskytovatele a jeho zaměstnance. Druhou, avšak neméně podstatnou věcí je sdělování údajů třetím osobám, a to především ve vztahu k požadavkům oprávněných orgánů o poskytnutí osobních údajů. Poslední a současně nejnáročnější věcí doporučeníhodnou pro smluvní specifikaci je detailně konkretizovaná povinnost spolupráce poskytovatele a zákazníka. Zde lze smluvně upravit širokou škálu věcí – od možnosti vykonávat dohled nad zpracováním, přes oznamování narušení či poškození zákazníkem uložených údajů až po upravení přístupu, opravy či výmaz uložených dat.

Dominik Vajda Autor je junior associate ve společnosti PwC Legal. Předtím než se připojil k týmu PwC Legal, pracoval v jedné z největších českých advokátních kanceláří. Dominik se specializuje zejména na právo IP/IT, obchodních společností, M&A, nemovitostí, energetiky a životního prostředí.