Cloudové služby a GDPR

Cloudové služby a GDPR

Jaký je vztah cloudových služeb a GDPR?

V našem blogu jsme se již opakovaně zabývali vztahem zdravotnictví a GDPR. V této souvislosti nás zaujal nedávný článek uveřejněný v Hospodářských novinách nazvaný „Všeobecná fakultní nemocnice jako první ve střední Evropě přesunula data do cloudu“. Vzhledem ke skutečnosti, že obliba cloudů u českých společností stoupá, jak vyplývá například i ze článku „Hlavní brzdou rozvoje cloudu zůstávají obavy o bezpečnost“, je zajímavé se trochu zamyslet nad problematikou cloudů ve světle rozdělení odpovědnosti za dodržování povinností stanovených GDPR.

Jak je to s odpovědností ve světle GDPR?

Pokud společnost zabývající se kupříkladu prodejem zboží ukládá svá data obsahující osobní údaje do cloudových úložišť, je tato společnost z hlediska GDPR v pozici správce osobních údajů; provozovatel cloudového úložiště je v pozici zpracovatele osobních údajů. Správce údajů má v prvé řadě povinnost využít pro zpracování osobních údajů pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky GDPR (čl. 28 GDPR). Jinými slovy správce odpovídá za výběr vhodného zpracovatele. Dále je to správce osobních údajů, kdo je povinen zajistit a doložit, že zpracování osobních údajů je prováděno v souladu s GDPR (čl. 24 GDPR). Při (případném) ukládání pokut přitom dozorový úřad zohlední míru odpovědnosti správce či zpracovatele s přihlédnutím k zavedeným technickým a organizačním opatřením. Podle § 21 odst. 1 zákona č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich, v účinném znění, právnická osoba za přestupek neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby přestupku zabránila. Obdobné pak platí i pro podnikající fyzickou osobu (§ 23 odst. 1 téhož zákona).

Co může správce osobních údajů očekávat?

Z uvedeného tak vyplývá, že správce osobních údajů musí být velmi obezřetný při výběru zpracovatele osobních údajů, jelikož může být postižen i za jednání jím zvoleného zpracovatele, které je v rozporu s GDPR. Například pokud toto porušení GDPR smluvně přímo umožní, kupříkladu tím, že zpracovateli „zadá“ zpracování osobních údajů, které je v rozporu s GDPR, nebo když si nevhodně zpracovatele zvolí (např. si za zpracovatele zvolí někoho, kdo již v minulosti byl opakovaně postižen za porušování předpisů týkajících se ochrany osobních údajů), popřípadě pokud zpracovatel porušuje povinnosti zakotvené v GDPR svévolně, avšak správce jej nijak nekontroluje, tedy porušení GDPR vlastně umožní. Vyvstává tak otázka, zda se trend zvyšující se obliby cloudových úložišť s ohledem na brzkou účinnost GDPR nezpomalí či nezastaví.

V každém případě správcům osobních údajů, kteří cloudová úložiště využívají či se využívat chystají, nezbývá než doporučit pečlivě se zabývat otázkou, u koho si tuto službu objednávají, pečlivě formulovat smlouvu, kterou s tímto zpracovatelem uzavírají a v rámci svých možností dohlížet na to, zda zpracovatel skutečně zpracovává osobní údaje poskytnuté správcem pouze způsobem uvedeným v podepsané smlouvě. To vše proto, že mohou odpovídat i za porušení povinností zakotvených v GDPR, byť tyto poruší zpracovatel a nikoli oni jakožto správci osobních údajů.

Share

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *