facebook
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
K2 atmitec
IT řešení pro veřejný sektor a zdravotnictví , IT právo , Veřejný sektor a zdravotnictví

Vybrané právní aspekty migrace dat

Jak předejít vendor lock-inu

Jan Svoboda


PwCData se stávají stále cennějším artiklem a zvyšuje se i množství jejich ukládání a dalšího zpracovávání. Velké množství správců dat pak z různých důvodů, včetně důvodů kapacitních nebo ekonomických, nechává svá data spravovat externí subjekty, tzv. zpracovatele dat. V souvislosti s outsourcingem zpracování dat však vyvstává reálné nebezpečí závislosti správce na zpracovateli, tzv. proprietárního uzamčení (jinak též „vendor lock-inu“, nebo jednoduše „uzamčení“/„lock-inu“).


Správci se v uzamčení ocitnou, když jsou při dalším postupu „svázáni“ na základě dříve uzavřené smlouvy se zpracovatelem. PricewatehouseCoopers v roce 2015 provedla průzkum, dle kterého se v nějaké formě uzamčení ocitlo 42 % dotázaných veřejných zadavatelů napříč Evropskou unií (52 %, pokud vezmeme v potaz pouze ty, kteří znají význam výrazu vendor lock-in). Není tak překvapením, že se lock-in často vyskytuje i při migraci dat, a to nejen ve veřejné, ale i soukromé sféře. Na vině uzamčení je pak povětšinou nevhodně poptané plnění, respektive nekvalitně nastavený smluvní vztah.

Smluvní zajištění migrace dat

Není-li smluvní vztah mezi správcem a zpracovatelem dobře nastaven, může se stát, a v praxi se nezřídka stává, že zpracovávaná data nebude správce bez zpracovatele po skončení smluvního vztahu schopen využívat – přenést je do své sféry (např. cloudu), uspořádat je do databází nebo je ke zpracování předat jinému dodavateli, a to např. z důvodu speciálního kódování nebo nemožnosti přenosu dat z dané infrastruktury. Vedle právní nebo technologické nemožnosti, či neúměrné náročnosti, může být problémem i neúměrná nákladnost (tzv. „switching costs lock-in“).

Úprava migrace dat by tak měla být neodmyslitelnou součástí každé smlouvy o jejich zpracování, a to včetně migrace předčasné. Migrace dat by měla být zajištěna v požadovaném rozsahu, formátu a čase. K tomu je možné využít řadu nástrojů, vč. The Open Data Element Framework („O-DEF“), Cloud Data Management Inferference („CDMI“) DevOps nástrojů a procesů. V případě cloudových řešení je na místě zvážení i multi-cloudové strategie. Za zásadní lze pak považovat smluvení ustanovení o tom, kdo je vlastníkem dat, protože např. u cloudových služeb je vlastníkem těchto dat typicky provozovatel/poskytoval cloudu.

V oblasti veřejných zakázek může pro kvalitní nastavení smluvního vztahu a zvýšení portability již při definování samotného předmětu tenderu veřejný zadavatel využít předběžné tržní konzultace s odborníky a dodavateli dle § 33 zákona č. 134/2016 Sb., zákon o zadávání veřejných zakázek. Při sestavování zadávací dokumentace, respektive při definování kritérií hodnocení, může veřejný zadavatel v rámci zadávání veřejné zakázky přikročit k zohlednění výše nákladů na migraci dat, jakožto dílčího hodnotícího kritéria v rámci hodnocení ekonomické výhodnosti. Právě zohledněním nákladů již v počáteční fázi kontraktačního procesu může být snížena možnost výskytu switching costs lock-inu.

Bez ohledu na to, zda správce outsourcuje zpracování osobních údajů, nebo jiného druhu dat, lze doporučit do zpracovatelské smlouvy zařadit ustanovení obdobné těm, která Nařízení (EU) č. 2016/679 ze dne 27. 4. 2016 (dále jen „GDPR“) ukládá ve svém čl. 28 povinně zařadit do zpracovatelské smlouvy o zpracování osobních údajů. Vhodné je ve smlouvě upravit zejména: povinnost zpracování dat pouze na základě doložených pokynů správce, zajištění řádného zabezpečení zpracování, zohlednění povahy zpracování, povinnost v souladu s rozhodnutím správce všechny osobní údaje buď vymazat, nebo je správci vrátit a vymazat existující kopie, stejně jako správci po dobu outsousingu umožnit audity.

Zpracovatelská smlouva, kterou GDPR ukládá správcům osobních údajů se zpracovateli uzavřít, má obsahovat i ustanovení, že zpracovatel osobních údajů v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie. Byť neuzavření dané smlouvy podléhá dle GDPR správním sankcím, GDPR neumožňuje správci přistoupit k mandatorní migraci osobních údajů „ze zákona“, aniž by si správce toto ve smlouvě vyhradil. Na tento potenciální problém uzamčení tak v současné době nereaguje ani GDPR, ani nynější návrh (adaptačního) zákona o zpracování osobních údajů.

Mandatorní migrace

Osobní údaje jsou jen úzkou výsečí z širokého spektra dat, které mohou správci zpracovávat. U takto „obecně“ určených data může být v určitých situacích přistoupeno k využití zákonných ustanovení umožňujících mandatorní migraci. V současné době umožňuje mandatorní migraci dat (bez ohledu na nedostatečně upravené smluvní podmínky) zákon č. 181/2014 Sb., o kybernetické bezpečnosti, a to díky své novelizaci zákonem č. 104/2017 Sb., účinným od 1. července 2017. Zákon o kybernetické bezpečnosti nově opravňuje správci informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému pověřit provozem tohoto systému jiný orgán nebo osobu – provozovatele, pokud to jiný zákon nevylučuje.

Správce takovéhoto systému může od provozovatele při migraci požadovat součinnost; konkrétně aby mu provozovatel předal data, vč. provozních údajů a informací, které má v souvislosti s provozováním tohoto systému k dispozici a které jsou nezbytné pro případný další provoz tohoto systému nebo jeho jiné využití. Provozovatel má ve spojitosti s touto součinností nárok na úhradu účelně vynaložených nákladů. Vedle výše uvedeného má provozovatel také povinnost bezpečně zlikvidovat veškeré kopie těchto dat ve svém digitálním prostředí. V případě hrozby kybernetického bezpečnostního incidentu může být povinnost k migraci dat uložena rozhodnutím Národního bezpečnostního úřadu, a to na návrh správce.

Dle důvodové zprávy byla tato novela přijata pro prevenci stavů, kdy správce nemá přístup k datům nutným pro výkon své pravomoci.

Stejná novela zároveň novelizuje i zákon č. 365/2000 Sb., zákon o informačních systémech veřejné správy. Novelizovaný zákon pak ve svém § 9e ukládá provozovateli informačního systému bez zbytečného odkladu na vyžádání správce informačního systému předat tomuto správci data a provozní údaje, které se tohoto systémů veřejné správy týkají. Obdobně je provozovatel povinen tato data správci předat i po ukončení provozování daného systému. Kopie těchto provozních údajů pak musí provozovatel zlikvidovat. I v tomto případě má provozovatel informačního systému nárok na úhradu účelně vynaložených nákladů.

Závěr

Základní prevencí proti uzamčení v oblasti migrace dat je tedy vždy kvalitně nastavený a vyvážený smluvní vztah. Již přes rok však máme možnost za určitých okolností využít i zákonné instituty pro mandatorní migraci. Jak zákon o kybernetické bezpečnosti, tak zákon o informačních systémech veřejné správy z logických důvodů omezují svou působnost jen na některé systémy. Přestože tyto zákony představují užitečný nástroj, zvláště pak pro veřejné zadavatele, a tedy určitě pozitivní zásah do právního prostředí, nejedná se o komplexní řešení vendorlock-inu při migraci dat.

Za promarněnou příležitost pak lze považovat neinspirování se výše zmíněnou novelou u návrhu (adaptačního) zákona o zpracování osobních údajů, který má být přijat v souvislosti s použitelností GDPR. V tom mohla být komplexně vyřešena migrace dat v současnosti tolik sledované a rozhlehlé oblasti, kterou zpracování osobních údajů bezpochyby je.

Jan Svoboda Jan Svoboda
Autor působí v mezinárodní advokátní kanceláři PricewaterhouseCoopers Legal s.r.o.

Zdroje:

  1. BENTO, Alberto, AGGARWAL, Anil. CloudComputingService and DeploymentModels. Hershey: Business Science Reference, 2013, 368 s. ISBN 978-1-4666-2188-6.
  2. BRÁZDIL, Martin. Rizika smluv o cloudových službách. PRÁVNÍ PROSTOR.CZ [online]. ATLAS consulting spol. s r.o., publikováno 28. 3. 2016 [cit. 18. 6. 2018]. ISSN 2336-4114. Dostupné z: https://www.pravniprostor.cz/clanky/ostatni-pravo/rizika-smluv-o-cloudovych-sluzbach
  3. Cloud Data Management Interface (CDMI) [online]. SIA [cit. 18. 6. 2018]. Dostupné z: https://www.snia.org/cdmi
  4. Důvodová zpráva k zákonu č. 104/2017 Sb. In: Beck-online [online právní informační systém]. Nakladatelství C. H. Beck [cit. 18. 6. 2018]. Dostupné z: https://www.beck-online.cz/bo/chapterview-document.seam?documentId=oz5f6mrqge3v6mjqgrpwi6q
  5. CHAN, Mike. 6 things you can do to avoid cloud vendor lock-in. ThornTech.com [online]. Thorn Technologies LLC, publikováno 18. 9. 2017 [cit. 18. 6. 2018]. Dostupné z: https://www.thorntech.com/2017/09/avoidingcloudvendorlockin/
  6. O-DEF [online]. The Open Group [cit. 18. 6. 2018]. Dostupné z: http://www.opengroup.org/subjectareas/platform3.0/o-def
  7. POLČÁK, Radim. Informace a data v právu. Revue pro právo a technologie [Online]. 2016, č. 13, s. 67-91. [cit. 18. 6. 2018]. ISSN 1805-2797. Dostupné z: https://journals.muni.cz/revue/article/view/4946
  8. SHAH, Rajiv; KESAN, Jay; KENNIS, Andrew. Lessonsfor Open Standard Policies: A Case Study of the Massachusetts Experience. International Conference on Theory and Practice of Electronic Governance, Illinois Public Law Research Paper No. 07-13. [online] University of Illinois, 2007, 12 s. [cit. 18. 6. 2018]. Dostupné z: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=1028133
  9. SOCHOR, Miloš. Právní aspekty ochrany osobních údajů v rámci cloudových služeb. PRÁVNÍ PROSTOR.CZ [online]. ATLAS consulting spol. s r.o., publikováno 27. 2. 2017 [cit. 18. 6. 2018]. ISSN 2336-4114. Dostupné z: https://www.pravniprostor.cz/clanky/obcanske-pravo/pravni-aspekty-ochranyosobnich-udaju-v-ramci-cloudovych-sluzeb
  10. Study on best practices for ICT procurement based on standards in order to promote efficiency and reduce lock-in [online]. 2015, 22 s. [cit. 18. 6. 2018]. Dostupné z: https://joinup.ec.europa.eu/sites/default/files/inline-files/Task_4_Survey_results’_analysis.pdf
  11. SVOBODA, Jan. Veřejné zakázky v oblasti ICT a problém závislosti zadavatele na dodavateli. Brno, 2018, 64 s. Diplomová práce. Masarykova univerzita, Právnická fakulta.
  12. VÉVODA, Petr. Data obsažená v IT systémech, jejich vlastnictví a zakázkové právo. Zakázkové právo v oblasti ICT a další aktuální témata - Informační list [online]. 2017, č. 1, s. 15 - 18 [cit. 18. 6. 2018]. Dostupné z: http://www.uohs.cz/download/Informacni_listy/2017/2017_1_Zakazkove-pravoa-oblasti-ICT.PDF
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Inzerce

Zjednodušení procesu změnového řízení pomocí PDM pro malé a středně velké firmy

PLMMáte kontrolu nad svým změnovým řízením? Ať již používáte systém pro správu produktových dat (PDM) pro malé, střední nebo velké společnosti, sledování změnového řízení je nejkritičtější částí PDM procesu, protože pomáhá vaší společnosti rychle reagovat na problémy ve výrobě, požadavky trhu nebo nepříjemnosti s konkurencí.