Dáta. Novinky. Odborné články.

S Cloudom máte prístup
ku všetkému odkiaľkoľvek.

Cloud vs. Ochrana osobných údajov
09.08.2016 / Ján Golais (Slovak Telekom, Poradca bezpečnosti)

Legal socha

V posledných rokoch sme svedkami pri vývoji cloudových riešení dvoch, naviac v mnohých prípadoch paralelných javov: Prvým je často-krát aj preceňovane popularizovaný rýchly rozvoj služieb (aj keď si myslím, že preceňovať treba, pretože každý potrebuje postrčiť a trh vyrieši zvyšok) a druhým najmä v našich zemepisných šírkach obľúbeným je „zabúdanie“ na podmienky stanovujúce rôzne zákonné úpravy (v zásade je to v tomto momente jedno či je toto „zabúdanie“ vedomé či nevedomé). Pozrime sa preto na túto problematiku očami poskytovateľov cloudových riešení.

Hlavnou úlohou cloudových riešení je zabezpečenie dôvernosti, dostupnosti a integrity dát uchovávaných alebo spracovávaných formou vami ponúkaného či využívaného riešenia. Tieto podmienky sa snažia napĺňať takmer všetci poskytovatelia cloudových riešení. Otázku transparentnosti vyriešili formou zverejnených podmienok spracovávania údajov, ktoré každý akceptuje bez toho, aby ich čítal.

Čo však robiť ak zabezpečíte takmer dokonalý produkt - službu, ktorý sa veľmi dobre predáva, ešte lepšie sa na ňom zarába a zrazu vám klient oznámi, že vami poskytovaná služba je síce fajn ale on vzhľadom na to, že ju využíval, dostal pokutu od regulátora pre oblasť ochrany súkromia.

Zákon o ochrane osobných údajov totiž zaväzuje prevádzkovateľa a sprostredkovateľa k jednoducho povedané absolútnemu prehľadu a transparentnosti pri spracovávaní osobných údajov.

Kde nám to pokrivkáva:

Určite drvivá väčšina poskytovateľov cloudových riešení má rezervy v transparentnosti spracovávania údajov. Jedná sa o jednu zo základných požiadaviek nielen pri spracovávaní osobných údajov. Transparentnosť zahŕňa v prípade cloudových riešení pre prevádzkovateľa najmä povinnosť jasne deklarovať, kde sú zákazníkove dáta uchovávané a prípadne inak spracovávané, definovanie nevyhnutného rozsahu spracovávaných údajov. Zákazník musí mať jasnú informáciu, kde sa jeho dáta nachádzajú, čo najmä do budúcnosti môže byť aj problém presne určiť. Zákazník ako prevádzkovateľ pri spracovávaní osobných údajov nesie plnú mieru zodpovednosti za legálne spracovávanie osobných údajov, má teda zákonné povinnosti a je výlučne na prevádzkovateľovi určiť účel spracovávania osobných údajov a vybrať si sprostredkovateľov či povoliť subdodávateľov, ktorí spĺňajú požiadavky na primeranú ochranu osobných údajov. Na to, aby tieto podmienky boli preukázateľné a kontrolovateľné, je potrebné zabezpečiť vzťah medzi prevádzkovateľom a sprostredkovateľom formou písomnej zmluvy. Takmer žiaden z poskytovateľov cloudu vám však nezabezpečí naplnenia ustanovenia § 8 Zákona o ochrane osobných údajov a nezabezpečí zmluvy o spracovávaní údajov medzi prevádzkovateľom a sprostredkovateľom, prípadne aj ďalšími subdodávateľmi.

Vezmime si jednoduchý príklad, ak si kúpite napríklad účtovný systém alebo fleet manažment či crm systém. Pri týchto produktoch je odôvodnené predpokladať, že v nich budete spracovávať osobné údaje vašich zamestnancov alebo zákazníkov. Vie to už ten, kto vám ponúka predmetné riešenie, no čo nevie je to, či niekedy budete jeho zákazníkom. V čase, keď kontrahoval ponúkané produkty od rôznych poskytovateľov vo svojom aplikačnom obchode ešte nevedel, kto si ich nakúpi a kto bude jeho zákazníkom.

Zmluva podľa § 8 Zákona o ochrane osobných údajov

Ak budú predmetné služby realizované prostredníctvom subdodávateľa so sídlom mimo územie SR bude naozaj zábavné sledovať ako sa o ňom dozviete, pretože poskytovateľ riešenia vám to nepovie, a možne ešte zaujímavejšie bude (samozrejme za predpokladu, že poznáte vaše povinnosti) ako sa zatvári, keď ho vyzvete na podpis zmluvy podľa § 8 Zákona o ochrane osobných údajov…

Ak to za vás neurobí poskytovateľ cloudového riešenia tak to bude pekná zábava a možno svoj výber aj oľutujete. Ale to všetko za predpokladu, že poznáte svoje povinnosti. Ak ich nepoznáte, zostávate v blaženej nevedomosti.

V zásade je to ako keby vám niekto predával auto bez certifikácie toho, že auto je spôsobilé jazdy podľa predpisov o cestnej premávke a to, že nemá technické osvedčenie, to vás bude trápiť až keď vás zastavia policajti. V našom prípade vás však nezastavia policajti ale inšpekcia Úradu na ochranu osobných údajov. Táto inšpekcia bude preverovať ako ste si poradili s povinnosťami prevádzkovateľa a to najmä pri výbere sprostredkovateľa a s naplnením povinnosti o uzatvorení zmluvného vzťahu na spracovávanie osobných údajov. Ako prevádzkovateľ máte povinnosť dbať pri výbere sprostredkovateľa na jeho spôsobilosť a zaručiť spracovávanie osobných údajov spôsobom, ktorý neohrozí ich dôvernosť a integritu. Táto povinnosť vo forme rozvitej vety sa často vyskytuje v zmluvách o poskytovaní služieb, no je natoľko vágna a nekonkrétna, že si naozaj neviem predstaviť ako bude v takomto prípade prevádzkovateľ preukazovať inšpekcii, čo skontroloval a podľa čoho vyberal a pod. Nebudeme sa ani rozpisovať o aktualizácií Bezpečnostného projektu, ktorý by o týchto podmienkach mal hovoriť.

Preto bola Zákonom 122/2013 Z.z. o ochrane osobných údajov zavedená povinnosť, že pri spracovávaní osobných údajov medzi prevádzkovateľom a sprostredkovateľom musí byť uzatvorená osobitná zmluva s taxatívne vymenovanými ustanoveniami. Pritom nie je nevyhnutné, aby sa jednalo o osobitnú zmluvu, ale tieto ustanovenia môžu byť súčasťou aj obchodnej zmluvy. Nutné je však uviesť opatrenia na spracovávanie osobných údajov, rozsah povolených operácií s osobnými údajmi, okruh dotknutých osôb, názov informačného systému prevádzkovateľa a pod. Výhodou je, že pri tejto zmluve je možné zabezpečiť tzv. reťazenie a uzatvorenie zmluvy s identickými povinnosťami ochrany, zodpovednosťami a zabezpečenia dôvernosti a integrity osobných údajov zo sprostredkovateľa na prípadných subdodávateľov. Musí to však byť v písomnej podobe.

Ako ste napríklad poskytovateľ riešenia cloudových služieb vo forme aplikačného obchodu alebo dátového úložiska, je celkom bežné, že viete kto je sprostredkovateľ a subdodávateľ, ale ani len netušíte kto bude prevádzkovateľom v zmysle Zákona o ochrane osobných údajov. Nikdy nebudete vopred vedieť, ako sa volá jeho informačný systém, ktorého údaje budú predmetom spracovania, aký je účel spracovávania osobných údajov (ktorý sa musí zhodovať s účelom spracovávania v predmetnom informačnom systéme).

Vzhľadom na poskytovaný produkt - aký je okruh dotknutých osôb, aký je rozsah alebo zoznam osobných údajov, ktoré budú predmetom spracovávania.

Ešte horšie bude, ak poskytovateľ vami predávaného riešenia bude subjekt mimo SR, ktorý pramálo zaujímajú lokálne požiadavky na spracovávanie osobných údajov v SR a istotne nebude nadšený, ak mu pri každom predaji pristane na stole Zmluva o spracovávaní osobných údajov od každého prevádzkovateľa, ktorý si kúpi jeho produkt prostredníctvom vášho aplikačného obchodu.

Riešením je využitie takého prevádzkovateľa aplikačného obchodu alebo poskytovateľa cloudového riešenia, ktorý si je vedomý zákonných povinností na strane svojich potenciálnych zákazníkov. Na základe týchto vedomostí vopred zabezpečí všetky zákonné povinnosti a poskytne kompletný servis obohatený aj o tieto služby s pridanou hodnotou pre oblasť „privacy“ (ochrany osobných údajov).

Pri výbere cloudového riešenia by ste mali spoznať takéhoto partnera napríklad tak, že sa budete zaujímať o rozsah dát, ktoré budú prostredníctvom jeho riešenia spracovávané. Jeho prvotné otázky by mali smerovať na to, či budete prostredníctvom ním ponúkaného riešenia spracovávať aj osobné údaje dotknutých osôb, kto sú tieto dotknuté osoby, ako sa volá váš informačný systém, ktorého súčasťou sa stane riešenie, o ktoré ste prejavili záujem a pod. Okamžite po zaznamenaní informácie o tom, že budú prostredníctvom jeho riešenia spracovávané osobné údaje (aj keď len formou uchovávania), zabezpečí v spolupráci s vami podpísanie nie len obchodnej zmluvy ale aj Zmluvy o spracovávaní osobných údajov s predvyplnenými kogentnými ustanoveniami § 8 ods. 4 Zákona 122/2013 Z.z. o ochrane osobných údajov. Následne vám poskytne kompletný servis v prípade ak si nie vedomí svojich povinností, napríklad prostredníctvom Zodpovednej osoby na dohľad nad ochranou osobných údajov. Jedným z takých poskytovateľov je Telekom. Pri návšteve aplikačného obchodu ste jednoduchou formou oboznámený o jednotlivých aplikáciách, rozsahu údajov, ktoré sú predmetom spracovávania, úložisku dát, možných príjemcoch a pod. V prípade záujmu a predvyplnenia objednávky aplikácie, kde sa budú spracovávať osobné údaje, vám Telekom zašle Zmluvy o spracovávaní osobných údajov, ktorú po jej vyplnení z vašej strany zašlete späť do Telekomu. Vami vybranú aplikáciu už môžete používať, avšak v prípade ak Zmluva o spracovavaní osobných údajov nebude do Telekomu doručená do 30 dní, všetky spracovávané osobné údaje budú nenávratne zlikvidované a bude ukončené ich spracovávanie.

Samozrejme, že počas doby 30 dní budete prostredníctvom mailovej komunikácie notifikovaný o povinnosti doručiť predmetnú Zmluvu o spracovávaní osobných údajov - ak sa tak už nestalo. V prípade obojstranného podpisu tejto zmluvy budete ako prevádzkovateľ informačného systému, v ktorom sú spracovávané osobné údaje, plne zodpovedný v súlade s ustanoveniami § 8 Zákona o ochrane osobných údajov a môžete predmetné údaje spracovávať po celú dobu trvania zmluvného vzťahu prostredníctvom zakúpeného riešenia. Po ukončení vzťahu máte možnosť si opäť do 30 dní predmetné údaje archivovať, ale už len na svojom lokálnom zariadení a všetky vami spracovávané údaje v cloudovom riešení budú nenávratne zlikvidované.

V rámci využívania cloudového riešenia treba pre úplnosť pripomenúť nutnosť doplnenia vašej dokumentácie v bezpečnostnom projekte podľa Zákona o ochrane osobných údajov, doplnenia evidenčného listu, prípadne registrácie na Úrade na ochranu osobných údajov, transparentné získanie súhlasov dotknutých osôb, v prípade ak sa nebude jednať o spracovávanie na základe zákona a pod.