31.1.2017
ID: 3584upozornenie pre užívateľov

Cloudové služby a ochrana osobných údajov

Napriek množstvu výhod, ktoré sú s cloudovými riešeniami nesporné spojené, je pri uzatváraní zmluvných vzťahov, na základe ktorých budú cloudové služby poskytované, potrebné dbať okrem iného aj na splnenie podmienok spojených s ochranou osobných údajov.

 
 Malata, Pružinský, Hegedüš & Partners s. r. o.
 
Z hľadiska ustanovení zákona č. 122/2013 Z. z. o ochrane osobných údajov v platnom znení (ďalej len „zákon o ochrane osobných údajov“) sú obe zmluvné strany (poskytovateľ cloudových služieb, ako aj zákazník cloudovej služby) povinné dbať na dodržiavanie viacerých povinností, ktoré im právna úprava ukladá, a ktorých porušenie môže mať za následok vznik škôd, ako aj vyvodenie zodpovednosti a uloženie sankcií za porušenie povinností na úseku ochrany osobných údajov.

Pre jednoznačné vymedzenie povinností je nevyhnutné v uzatváranom zmluvnom vzťahu jednoznačne vymedziť postavenie oboch zmluvných strán, t.j. poskytovateľa, ako aj zákazníka cloudovej služby.

Podľa § 4 ods. 2 písm. b) zákona o ochrane osobných údajov je prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene.

Zohľadňujúc charakter cloudových riešení možno konštatovať, že konečný účel spracúvania osobných údajov a podmienky spracúvania osobných údajov určuje práve zákazník cloudovej služby, ktorý napĺňa definíciu prevádzkovateľa, a teda nesie primárnu zodpovednosť za dodržanie povinností v súvislosti s ochranou osobných údajov.

Čo sa týka postavenia poskytovateľa cloudových služieb, poskytovateľ zastáva postavenie sprostredkovateľa, ktorému sú na základe uzavretého zmluvného vzťahu so zákazníkom stanovené povinnosti, ktoré je povinný dodržiavať. Z uvedeného dôvodu je pri uzatváraní zmluvného vzťahu nevyhnutné dbať na to, aby bol zmluvný vzťah uzavretý v písomnej forme a zároveň aby spĺňal náležitosti podľa § 8 ods. 4 zákona o ochrane osobných údajov.

Podľa uvedeného ustanovenia musí zmluva spĺňať nasledovné náležitosti:

  • údaje o zmluvných stranách
  • deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa
  • účel spracúvania osobných údajov
  • názov informačného systému
  • zoznam osobných údajov, ktoré sa budú spracúvať
  • okruh dotknutých osob
  • podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi
  • vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa postupoval podľa § 8 odseku 2 prvej vety
  • súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby, ak postupujú podľa § 8 odsek 5
  • dobu, na ktorú sa zmluva uzatvára
  • dátum uzatvorenia zmluvy a podpisy zmluvných strán.

Nad rámec uvedených náležitostí odporúčame v zmluvnom vzťahu dostatočne identifikovať a popísať  informačný systém prevádzkovateľa a dostatočne určiť spôsob, akým je sprostredkovateľ oprávnený s osobnými údajmi nakladať.

Taktiež je nevyhnutné poukázať na znenie § 8 ods. 2 zákona o ochrane osobných údajov, podľa ktorého je prevádzkovateľ pri výbere sprostredkovateľa povinný dbať na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť, ako aj na jeho spôsobilosť zaručiť bezpečnosť spracúvaných osobných údajov opatreniami uvedenými v § 19 ods. 1 zákona o ochrane osobných údajov (prevádzkovateľ je povinný chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. Na tento účel prijme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania osobných údajov, pričom berie do úvahy najmä použiteľné technické prostriedky, dôvernosť a dôležitosť spracúvaných osobných údajov, ako aj rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému). Zohľadňujúc uvedené je potrebné, aby uzatváraná zmluva obsahovala vyhlásenie prevádzkovateľa (zákazníka cloudového riešenia), že pri uzatváraní zmluvného vzťahu dbal na dodržanie povinností, ktoré mu vyplývajú z § 8 ods. 2 a § 19 ods. 1 zákona o ochrane osobných údajov.   

Z praktického hľadiska a za účelom vytvorenia lepšej dôkaznej pozície pre prípad súdneho sporu odporúčame, aby zákazník cloudového riešenia požadoval počas kontraktačného procesu od poskytovateľa služieb predloženie referencií od iných zákazníkov, predloženie certifikátov vo vzťahu k bezpečnostným systémom, poprípade iných dokumentov, prostredníctvom ktorých bude možné preukázať, že výber poskytovateľa cloudovej služby nebol len formálnou záležitosťou bez skutočného overenia podmienok vyžadovaných zákonom. 

Zároveň je nevyhnuté zohľadniť trend meniacej sa legislatívy na úseku ochrany osobných údajov, s čím je spojená potreba vytvorenia dostatočného priestoru na zmenu podmienok uzavretého zmluvného vzťahu. Uvedené je potrebné zohľadniť aj v nadväznosti na prijatie Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679, ktoré bude platiť od 25. mája 2018, a ktoré v značenej miere zmení súčasnú legislatívu na úseku ochrany osobných údajov. Práve z uvedeného dôvodu je potrebné už v súčasnosti uzatváraných zmluvných vzťahov vytvoriť mechanizmus, na základe ktorého zmluvné strany pristúpia k zmene podmienok zmluvného vzťahu po tom, ako dôjde k zmenám právnej úpravy a zabezpečiť tak splnenie požiadaviek zákona vo vzťahu k ochrane osobných údajov aj do budúcna. V prípade, ak by v súvislosti s poskytovaním cloudových služieb dochádzalo k cezhraničnému prenosu osobných údajov, uplatniteľnými právnymi predpismi budú právne predpisy krajiny, v ktorej má sídlo prevádzkovateľ zadávajúci cloudovú službu a nie krajina, kde má sídlo poskytovateľ cloudovej služby. V prípade, ak by v súvislosti s poskytovaním cloudových služieb dochádzalo k prenosu osobných údajov do krajiny nezaručujúcej primeranú úroveň ochrany osobných údajov, je potrebné disponovať primeraným právnym základom a prijať primerané záruky ochrany súkromia a základných práv a slobôd jednotlivcov a výkonu príslušných práv, ktoré sú upravené v ustanoveniach § 31 ods. 2 zákona o ochrane osobných údajov. Zabezpečenie splnenia týchto požiadaviek by malo zabezpečiť začlenenie štandardných zmluvných doložiek do zmluvy o cezhraničnom prenose alebo schválenie záväzných pravidiel dozorným orgánom so sídlom v členskej krajine EÚ.      


Mgr. Jana Alušíková,
partner


Malata, Pružinský, Hegedüš & Partners s. r. o.

Apollo Business Center II
Prievozská 4/B
821 09 Bratislava

Tel.: +421 2 321 130 31
Fax: +421 2 321 441 48
email: office@mph-advocates.com


© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk