Ochrana osobných údajov v cloude krok za krokom

V tomto článku si stručne vysvetlíme, čo to je cloud, resp. cloud computing a ako postupovať pri jeho využívaní. Na čo si dať pozor v prípade záujmu o používanie cloudových služieb?

Dátum publikácie:27. 10. 2021
Autor:JUDr. Marcela Macová, PhD.

tt_cloud

  • Čo je to cloud, resp. cloud computing?
  • Postavenie subjektov cloudu
  • Príklady podľa usmernenia EDPB č. 7/2020
  • Vzťah prevádzkovateľ a sprostredkovateľ
  • Obsah zmluvy alebo iného právneho úkonu

Úvod

Podmienky spracúvania osobných údajov sú upravené najmä v nariadení Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „GDPR“ alebo „Nariadenie“), a v zákone č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 18/2018 Z. z.“ alebo „Zákon“).

 

Európsky výbor na ochranu osobných údajov (ďalej len „EDPB“) vydáva usmernenia/guidelines, ktoré popisujú určité situácie, ktoré môžu nastať pri spracúvaní osobných údajov, podáva svoj právny názor na dané situácie a následne tieto dozorné orgány pomáhajú dozorným orgánom, ale aj samotným prevádzkovateľom vykladať a uplatňovať GDPR.

 

Konkrétne usmernenia je možné nájsť:

 

Čo je to cloud, resp. cloud computing?

Cloud computing pozostáva zo súboru technológií a modelov služieb, ktoré sa zameriavajú na používanie a poskytovanie IT aplikácií cez internet, schopnosť spracúvania, uchovávania a poskytovania pamäťového priestoru. Pojem cloud sa v celom texte GDPR nevyskytuje (vrátane Recitálu).

Stanovisko predchodcu EDPB WP29 č. 05/2012 ku cloud computinguhttps://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2015/wp232_en.pdf zavádza základné rozdelenie modelov poskytovaných cloudových služieb ako SaaS, IaaS a PaaS. Uvedené rozdelenie platí aj pre aplikáciu GDPR.

 

Poskytovatelia cloud computingu môžu svojim zákazníkom v závislosti od ich požiadaviek poskytovať rôzne riešenia.

Tými najhlavnejšími službami/riešeniami sú:

  • Infraštruktúra ako služba (IaaS2 ) – ide o službu, kde si zákazník cloudovej služby prenajme hardvérovú a softvérovú infraštruktúru do úrovne operačného systému, a to v požadovanej špecifikácii. IaaS teda v sebe zahŕňa hardvérové prostriedky pripravené na použitie vrátane základného softvéru, napr. operačný systém s nastavenou IP adresou, sieťovou konfiguráciou a diskovým priestorom. Hlavnou časťou IaaS služieb je virtualizácia serverovej a storage infraštruktúry na dosiahnutie nízkych nákladov a vysokej dostupnosti.
  • Softvér ako služba (SaaS4 ) – poskytovateľ poskytuje prostredníctvom internetu služby rôznych aplikácií a sprístupňuje tieto aplikácie konečným požívateľom.
  • Platforma ako služba (PaaS5 ) – poskytovateľ ponúka riešenia pre pokročilý vývoj a hosting aplikácií. Tieto služby sú väčšinou určené subjektom, ktoré ich ďalej používajú na vývoj a hosting vlastných, na aplikáciách založených riešení, s cieľom pokryť interné požiadavky a/alebo poskytovať služby tretím stranám. Zákazník využívajúci služby poskytované poskytovateľom PaaS nemusí mať žiadny dodatočný a/alebo špecifický interný hardvér či softvér.

 

Z pohľadu ochrany osobných údajov treba analyzovať niektoré riziká, predovšetkým riziko straty kontroly nad spracúvanými osobnými údajmi. Poskytnutím údajov do cloudu zákazníci cloudových služieb strácajú výlučnú kontrolu nad poskytnutými údajmi, ktoré sa dostávajú do dispozície poskytovateľa cloudovej služby, resp. ďalších dodávateľov týchto služieb naviazaných na pôvodného poskytovateľa. Uvedené riziko spočíva predovšetkým v tom, že poskytovateľ cloudovej služby pri prevádzkovaní tejto služby aplikuje vlastné mechanizmy, na ktoré má samotný zákazník len obmedzený dosah (napr. technické a personálne opatrenia, prístup iných strán k údajom a iné). Pokiaľ majú prevádzkovatelia záujem o využívanie cloudových služieb, je potrebné, aby pred výberom poskytovateľa cloudovej služby dôkladne zvážili riziká, ktoré táto služba prináša.

 

Postavenie subjektov cloudu

Je potrebné identifikovať postavenie jednotlivých strán, t. j. postavenie zákazníka cloudovej služby a poskytovateľa tejto služby.

V zmysle čl. 4 ods. 7 GDPR je prevádzkovateľom každá fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu.

Zákazník cloudovej služby určuje účel spracúvania a rozhoduje o outsourcingu tohto spracúvania a delegovaní všetkých alebo časti spracovateľských činností na externú organizáciu poskytovateľa cloudovej služby. Zákazník cloudovej služby vystupuje ako prevádzkovateľ. Prevádzkovateľ je ten, ktorý nesie primárnu zodpovednosť za spracúvanie osobných údajov v súlade s platnými predpismi o ochrane osobných údajov.

Sprostredkovateľ je podľa čl. 4 ods. 8 GDPR fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa.

Ďalší subjekt v predmetnom vzťahu je poskytovateľ cloudovej služby. O tom, či je poskytovateľ cloudovej služby v pozícii sprostredkovateľa alebo prevádzkovateľa, sa vedie v praxi viacero diskusií. Svetlo do tohto vzťahu prinieslo aktualizované usmernenie EDPB č. 7/2020 o pojmoch prevádzkovateľ a sprostredkovateľ v GDPR (ver 02) aktualizované 7. 7. 2021https://dataprotection.gov.sk/uoou/sites/default/files/guidelines_on_the_concepts_of_controller_and_processor_in_the_gdpr.pdf.

Usmernenie zastáva názor, že poskytovateľ cloudových služieb je subjekt, na ktorý prevádzkovateľ deleguje niektoré zo svojich úloh a povinností.

Ten istý názor, t. j. že poskytovateľ cloudových služieb je subjektom, ktorý v danom vzťahu vystupuje v postavení sprostredkovateľa, keďže spracovateľské operácie vykonáva v mene zákazníka cloudovej služby a na základe jeho poverenia ustanoveného v písomnej zmluve, zastáva aj Úrad na ochranu osobných údajov SR vo svojom stanovisku Metodické usmernenie č. 3/2016 Cloudové služby z pohľadu zákona o ochrane osobných údajovhttps://dataprotection.gov.sk/uoou/sites/default/files/mu_3_2016_cloudove_sluzby_z_pohladu_zako_na_o_ochrane_osobnych_udajov_pdf.pdf.

 

Odborný článok je uvedený v skrátenom znení. Celé znenie článku:

Ochrana osobných údajov v cloude krok za krokom

 


Autor: JUDr. Marcela Macová, PhD.

 

Ročný prístup si môžete objednať v našom e-shope:

Výhody predplateného prístupu nájdete v časti O PORTÁLI

Chcete mať pravidelné informácie o novinkách a aktuálnej ponuke?

Prihláste sa na odber noviniek e-mailom.

 

Súvisiace odborné články

Súvisiace usmernenia, pokyny, nariadenia

Súvisiace právne predpisy ZZ SR

Funkcie

Partner

logo_aion_50
bvp3_logo-fbi
bvp3_envipak

PORADCA PODNIKATEĽA vydavateľský a vzdelávací dom

 

Poradca podnikateľa - vydavateľský a vzdelávací dom

O portáli  

Napísali o nás  

Čo najviac oceňujem na produkte, je jeho KOMPLEXNOSŤ – prehľadné štruktúrovanie jednotlivých podoblastí s hodnotným obsahom, rýchla a prehľadná orientácia, ktorá šetrí ČAS a PENIAZE, a v praxi zúročím najmä praktické príklady. Výhodné je to, že všetko môžem nájsť na jednom mieste.

Miroslava H., Považská Bystrica

S-EPI, s.r.o. © 2010-2025, všetky práva vyhradené
úvodná strana | o bezpecnostvpraxi.sk | kontakt

cookies24x24  Súhlas s použitím cookies

Táto webová stránka používa rôzne cookies pre poskytovanie online služieb, na účely prihlásenia, poskytovania obsahu prostredníctvom tretích strán, analýzu návštevnosti a iné. V súlade s platnou legislatívou, prosíme, o potvrdenie súhlasu alebo nastavenie Vašich preferencií.

Pamätajte, že súbory cookies sú užitočné pre rôzne užívateľské nastavenia a ich odmietnutím sa môže znížiť Váš užívateľský komfort.

Viac informácií o cookies.