Menu

Je nejlepším řešením GDPR přechod na cloud?

Nové povinnosti ohledně zvýšené ochrany osobních údajů nedolehnou účinností GDPR od května 2018 pouze na správce, tedy všechny fyzické nebo právnické osoby, které určují účel zpracování těchto údajů. Společnou odpovědnost ponesou i tzv. zpracovatelé, tj. všechny subjekty, které zpracovávají osobní údaje pro správce, zkrátka všechny třetí strany, jež mají přístup k těmto údajům od správce.

V okamžiku, kdy vstoupí do zpracování osobních údajů třetí subjekt, je nutné mít na paměti, že ve své pozici zpracovatele spoluodpovídá i on za případné porušení ochrany dat. Podle článku 28 GDPR je správce povinen si vybrat pro zpracování údajů takového zpracovatele, který poskytne dostatečné záruky zavedením vhodných technických nebo organizačních opatření, aby byla zajištěna dostatečná ochrana práv subjektů údajů.

A právě adekvátní zabezpečení dat s osobními údaji bude od příštího roku pro mnohé firmy oříškem a zároveň výzvou. Co se týká technologického řešení, tím nejsnazším a relativně laciným bude pro malé firmy přechod na cloud. Poskytovatelé cloudových služeb si totiž bezpečnost pečlivě hlídají. V praxi budou data v naprosté většině případů více v bezpečí v cloudu než ve firmě, kde je bezpečnost dat na lokálních serverech řešena všelijak. Výhodou cloudových služeb je navíc to, že servery, úložiště, služby a aplikace, které tyto služby nabízejí, jsou uživatelům dostupné vzdáleně přes síť nebo internet. Firmám se nejspíš vyplatí jít do cloudu a nechat bezpečnost na lidech, kteří jí rozumí.

Na druhou stranu není možné spoléhat na to, že přesunem osobních dat do cloudu některého z jeho providerů máte vše s GDPR vyřešeno, a to i za předpokladu, že dodavatel prohlásí, že je v souladu s nařízením. Používáním těchto služeb se správce nezbavuje vlastní zodpovědnosti za dodržování pravidel nařízení, protože GDPR počítá se sdílenou zodpovědností za zpracování dat. Správci budou mít povinnost nastavit si se zpracovateli takové smlouvy, ze kterých bude zjevné, kdo je odpovědný za případný únik dat nebo jiné narušení ochrany. V neposlední řadě by také ve smlouvě měli ošetřit situaci, kdo ponese odpovědnost za případné škody. Jak už je všeobecně známo, sankce mohou při porušení pravidel GDPR dosáhnout až 4 procent celkového ročního obratu nebo 20 milionů eur a organizace navíc mohou být vystaveny žalobám od subjektů dat s nárokem na odškodnění v případě hmotné či nehmotné újmy.

Je na správci, aby analyzoval dopady řešení využití cloud computingu, zajistil adekvátní opatření na své straně a aby si uzavřením smluvních vztahů s případným poskytovatelem služeb cloud computingu ošetřil veškeré podmínky zpracování. Z hlediska zákonných pravidel a záruk požadovaných pro předávání osobních údajů lze doporučit využívat pouze webové služby a cloudová úložiště, které se nacházejí na území EU a jsou plně pod jurisdikcí evropského práva,“ komentuje za Úřad pro ochranu osobních údajů jeho mluvčí David Pavlát.

Server Podnikatel.cz se obrátil na některé z cloudových providerů, jejichž služeb často využívají malé a střední podniky, aby zjistil, jak se na GDPR připravují, zda se jejich klienti mohou spolehnout na dodržování nových zákonných požadavků a počítat s jejich podporou.

Prohlášení o shodě s nařízením GDPR už před nějakým časem potvrdily obě společnosti Google a Microsoft, takže lze oprávněně předpokládat, že značnou část povinností a odpovědnosti za bezpečné zacházení s osobními údaji převezmou za svoje klienty.

Ostatní poskytovatelé uvádějí, že jsou ve fázi důkladného mapování a dokumentování procesů zpracovávání osobních údajů a připravují se na nezbytné organizační a technologické změny. Nicméně je nutné zdůraznit ten fakt, že se nová pravidla GDPR rozhodně nevztahují pouze na dodavatele cloudových řešení, ale na každý subjekt, který je v roli zpracovatele, ať už jde o poskytovatele jakéhokoliv informačního systému, v němž jsou zpracovávána osobní data, nebo o zpracovatele v roli poskytovatelů služeb různého charakteru.

Publikováno 17. 9. 2017 v kategorii Aktuality
Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři

GDPR vstoupí v platnost za :

  dnů :   hodin :   minut :   vteřin

: 25. května 2018