Právnická fakulta Masarykovy univerzity Právo a podnikání Ústav práva a technologií
BAKALÁŘSKÁ PRÁCE
Problematika ochrany osobních údajů v cloud computing
Milan Šorm 2013/2014
Prohlašuji, že jsem bakalářskou práci na téma Problematika ochrany osob-‐ ních údajů v cloud computingu zpracoval sám. Veškeré prameny a zdroje informací, které jsem použil k sepsání této práce, byly citovány v poznámkách pod čarou a jsou uvedeny v seznamu použitých pramenů a literatury. Milan Šorm
1
Poděkování Rád bych poděkoval svému vedoucímu JUDr. Matěji Myškovi za odborné ve-‐ dení, věcné připomínky, rady a vstřícnost při konzultacích a vypracování této bakalářské práce. Dále bych rád poděkoval JUDr. Josefovi Donátovi, LLM z AK Rowan Legal za odborné rady a připomínky k praktické části této práce.
2
Abstrakt Obchodní společnosti stále více využívají prostředků cloud computingu pro uchování informací pro potřebu svou nebo svých zákazníků, jejichž součástí jsou rovněž osobní údaje třetích osob. Tyto údaje jsou často uchovávány u mezinárodních poskytovatelů řešení cloud computingu. Tato práce se za-‐ bývá problematikou ochrany takto uchovávaných osobních údajů z pohledu českého a evropského práva, a to z pohledu nejen dotčeného zákazníka, ale i společností užívajících těchto prostředků či provozovatele příslušné techno-‐ logie. Klíčová slova Ochrana osobních údajů; cloud computing; uchování osobních dat; zpracová-‐ ní osobních dat; osobní data v mezinárodním prostředí; administrace osob-‐ ních dat; data v cloudu; ochrana třetích osob. Abstract Overall increase of commercial companies usage of cloud computing for stor-‐ ing information for its use or its customers, which often includes also the personal data of third parties. These data are usually stored at international providers of cloud computing. This work deals with the protection of person-‐ al data in this way retained from the perspective of Czech and European law, and not only from the perspective of the customer but also companies using these technologies or relevant technology providers. Keywords Personal data protection; cloud computing; retention of personal data; pro-‐ cessing of personal data, personal data in an international environment; ad-‐ ministration of personal data; data in the cloud environment; protection of third parties.
3
Obsah Úvod ................................................................................................................................. 5 1 1.1 1.2 1.3 2 2.1 2.2 2.3 3 3.1 3.2 3.3 4 4.1 4.2 4.3 5 5.1 5.2 5.3
Základní pojmy .......................................................................................................... 7 Ochrana osobních údajů ........................................................................................... 7 Cloud computing ...................................................................................................... 11 Zúčastněné subjekty ............................................................................................... 15 Ochrana osobních údajů v České republice ........................................... 17 Zákon na ochranu osobních údajů .................................................................... 17 Oznamovací povinnost správce údajů ............................................................ 21 ZoOU a cloud computing v mezinárodním prostředí ............................... 23 Ochrana osobních údajů v Evropské unii ................................................ 25 Směrnice č. 95/46/ES ............................................................................................ 25 Mezinárodní prvek ochrany osobních údajů ............................................... 27 Stanovisko pracovní skupiny č. 05/2012 ke cloud computingu ......... 28 Případy užití osobních údajů v cloud computingu ............................ 37 Přímé využití cloudové služby ze strany subjektu údajů ........................ 37 Zpracování údajů zákazníkem služby cloud computingu ....................... 44 Zprostředkované zpracování údajů v řetězci subdodavatelů ............... 50 Rozbor případů užití z pohledu práva ...................................................... 54 Rozbor situací řešených dle českého práva .................................................. 54 Rozbor situací řešených v rámci evropského práva ................................. 57 Rozbor situací s mezinárodním prvkem přesahujícím hranice EU .... 59 Závěr ............................................................................................................................. 63
4
Úvod Předložená práce se věnuje problematice ochrany osobních údajů při využí-‐ vání moderních informačních technologií – prostředků cloud computing a služeb cloudových poskytovatelů. Vzhledem ke globálnímu rozšíření těchto technologických prostředků v rámci celého světa, velmi obtížné lokalizaci jednotlivých zdrojů a mnoha aktérům v rámci jednotlivých obchodních pří-‐ padů vstupuje do hry nejen české a evropské právo, ale rovněž mezinárodní prvek při styku subjektu údajů z Evropské unie s poskytovatelem cloudu mimo Evropskou unii. Cílem této práce je popsat existující právní úpravu, současný oficiální názor převládající v Evropské unii, poukázat na existující případy různého užití těchto technologií a vymezit právní rámec, pomocí kterého lze (nebo případně nelze) uvedené služby v evropském prostředí využívat. Téma je v současné době velmi aktuální, neboť velké množství uživa-‐ telů využívá mezinárodní cloudové služby bez znalosti ochrany jejich osob-‐ ních údajů. Pro autora práce je současně velmi důležité, neboť působí jako jednatel ve společnosti poskytující i využívající cloudové služby v meziná-‐ rodním prostředí a problematika ochrany osobních údajů je často diskutova-‐ ným tématem jak v rámci obchodních jednání, tak při dotazech zákazníků – subjektů údajů. Jako vstupní materiály lze využít jak existující odbornou literaturu po-‐ pisující stav ochrany osobních údajů v České republice, tak přímo primární právní normy ochrany těchto údajů v České republice i Evropské unii. Vzhle-‐ dem k existenci pracovní skupiny pro problematiku ochrany osobních údajů na evropské úrovni je možné využít stanoviska této skupiny k jednotlivým řešeným problémům a případům. V rámci předkládané práce chceme nejen představit existující právní úpravu, ale zejména nalézt konkrétní případy v současném světě, v rámci kterých je/a případně není zajištěná dostatečná ochrana osobních údajů dle evropských standardů, popsat způsoby aplikace ochrany osobních údajů s mezinárodním prvkem překračujícím hranice Evropské unie a poskytnout doporučení v těch situacích, kde aktuálně není ochrana údajů dostatečná. V rámci první kapitoly představíme základní terminologii, principy a zásady z oblasti ochrany osobních údajů na základě existujících mezinárod-‐ ních úmluv, dále vysvětlíme technologické pojmy v problematice cloud com-‐ puting a popíšeme jednotlivé subjekty/aktéry vstupující do právních vztahů při aplikaci ochrany osobních údajů v prostředí cloud computing. Druhá a třetí kapitola představují rozbor současné právní úpravy v českém a evropském právním prostředí, s přihlédnutím k současným vý-‐ kladům pracovní skupiny pro ochranu osobních údajů v EU. Tyto kapitoly vy-‐
5
chází z odborné literatury i primárních pramenů a syntetizují dosavadní po-‐ měrně roztříštěnou materii zásad, principů, zákonů, smluv, doložek, usnese-‐ ní, oficiálních i odborných výkladů. Čtvrtá kapitola analyzuje jednotlivé situace při poskytování služeb cloud computing a hledá jednotlivé případy užití, na kterých bude možné demonstrovat správné/či naopak nesprávné aplikování uvedených principů ochrany osobních údajů. Jednotlivé případy jsou nacházeny od situací zá-‐ kladních (jednoduchých) k situacím komplikovaným, kde v rámci právního vztahu vystupuje řada subjektů v různých rolích. Pátá kapitola následně syntetizuje získané poznatky dříve popsané teoretické části a na praktických příkladech ze čtvrté kapitoly ukazuje postu-‐ py aplikace práva v českém, evropském a mezinárodním prostředí. Závěrem tato kapitola sumarizuje rovněž případy nedostatečné ochrany osobních úda-‐ jů u mezinárodních služeb a navrhuje možný způsob nápravy. Zdůrazňuje potřebu plného využití nástrojů a metod nabízených evropským právem na ochranu osobních údajů u všech vznikajících cloudových služeb. V práci si neklademe za svůj cíl úplné prozkoumání všech možných variant aplikace práva na situace v prostředí cloud computing, zejména se výrazně méně věnuje aplikaci ve veřejnoprávní sféře (která má svá odlišná pravidla a výjimky z ochrany osobních údajů), ve sféře ochrany zájmů státu a ve sféře působení donucovacích orgánů. Rovněž nacházené příklady se zamě-‐ řují na vztah Česká republika – Evropská unie – Spojené státy americké, ne-‐ boť většina technologických firem primárně řeší vztah Evropská unie – Spo-‐ jené státy americké (v obou směrech). Do budoucnosti by bylo zajímavé podrobit průzkumu v oblasti ochra-‐ ny osobních údajů také ostatní technologické velmoci, jako je Ruská federace a Čínská lidově demokratická republika. Výše uvedené problémy a jejich po-‐ pis však již překračují rozsah této bakalářské práce.
6
1
Základní pojmy
Ochrana osobních údajů v cloud computing je specifické téma, které vyžaduje mezioborové znalosti jak z právní vědy, tak z problematiky informačních technologií. V této kapitole se zaměříme na vysvětlení základních pojmů obou těchto disciplín a současně vymezíme jednotlivé zjednodušené termíny pro účely této práce. V závěru kapitoly stanovíme jednotlivé modelové sub-‐ jekty účastnící se typických vztahů při užívány cloud computing při řešení problematiky ochrany osobních údajů. 1.1 Ochrana osobních údajů Ochrana osobních údajů je na začátku 21. století významným objektem ochrany zájmů jednotlivce, která je aktivně prosazována ze strany státu, je vystavena zájmu ze strany komerčních společností a současně útoku pacha-‐ telů trestných činů. Ke zpracování osobních údajů pak dochází ve všech oblas-‐ tech společenského dění – při platbě kartou, identifikaci na pracovišti, telefo-‐ nátu kamarádovi, účasti ve správním řízení, při žádosti o úvěr a v mnoha dal-‐ ších běžných situacích. Základní principy a zásady právní úpravy ochrany osobních údajů1 vy-‐ chází z mezinárodněprávních pramenů. Prvním významným dokumentem pojmenovávajícím problém a systematicky se mu věnujícím je Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (ETS č. 108, Štrasburk, 28. 1. 1981)2 a její Dodatkový protokol.3 Základní zásady stanovené Úmluvou č. 108 jsou poté na národní úrovni rozpracovány do příslušných zákonů. Právě uvedená úmluva sjedno-‐ cuje zásady a principy na mezinárodní úrovni, což je pro oblast cloud compu-‐ tingu (s typicky mezinárodním prvkem) zásadní. 1. Zásada legitimity zpracování stanovuje obecný požadavek na získávání a zpracování osobních dat v souladu se zákony, při dodržení základních svobod a práv osob, jichž se příslušné osobní údaje týkají, zejména pak 1 MATES, P. – JANEČKOVÁ, E. – BARTÍK, V. Ochrana osobních údajů. Praha: Leges, 2012. 208 s. ISBN 978-‐80-‐87576-‐12-‐0. 2 Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat ze dne 28. ledna 1981 byla publikována pod č. 115/2001 Sb. m. s. 3 Sdělení č. 29/2005 Sb. m. s. Ministerstva zahraničních věcí o sjednání Dodatkového protokolu k Úmluvě o ochraně osob se zřetelem na automatizované zpracování osobních dat o orgánech dozoru a toku dat přes hranice. Uveřejněno v č. 15/2005 Sbírky mezinárodních smluv na straně 363.
7
právo na soukromí uznané také v článku 8 Evropské úmluvy o ochraně lidských práv a základních svobod4. 2. Zásada omezení účelem (nezbytnosti) umožňuje shromažďovat osobní údaje pouze a jen pro specifické, vyjádřené a legitimní účely; zamezuje tak shromažďování pro nedefinované, resp. obecně vymezené účely. Sta-‐ novení účelu musí vždy předcházet vlastnímu shromažďování údajů, při-‐ čemž takový účel musí být vždy v souladu s domácím právním řádem. Zpracování údajů pak musí následovat uvedený účel, jednou shromáždě-‐ né údaje nelze později zpracovat a využít pro jiný účel. 3. Zásada časového omezení znemožňuje uchování údajů ad infinitum, údaje je možné uchovávat jen a pouze po dobu nezbytně nutnou pro naplnění stanoveného účelu, tedy po určitý ohraničený časový úsek. Po naplnění daného účelu smějí být dále údaje uchovány pouze pro účely historického, vědeckého nebo statistického výzkumu, příp. pro opětovné právní posou-‐ zení situace. Všeobecně se však neuznává neomezená doba jako všeobec-‐ ná doba splňující požadavek časového rámce. 4. Zásada potřebnosti a přiměřenosti (proporcionality) dat stanoví, že každá kategorie údajů, která má být shromážděna a dále zpracovávána, musí být posouzena s ohledem na účel zpracování. Tuto zásadu můžeme chápat ja-‐ ko zásadu nezbytnosti, která znemožňuje nadměrnému uchovávání údajů, a která omezuje množství údajů na přiměřenost danému účelu. Toto chá-‐ pání nemůže být statické, některé údaje mohou o statut přiměřenosti v průběhu zpracování přijít. V každé fázi zpracování je tak třeba osprave-‐ dlnit potřebu dalšího uchovávání těchto dat. 5. Zásada průhlednosti vyžaduje plnou informovanost subjektu údajů o všech okolnostech zpracování osobních údajů, které se ho týkají. Po-‐ skytnutá informace pak musí být úplná a pro subjekt údajů srozumitelná. Jediné přiměřené prolomení této zásady je přípustné v zákonem stanove-‐ ných nezbytných opatřeních v demokratické společnosti v zájmu ochrany státu, veřejné bezpečnosti, měnových zájmů a pro potírání trestné činnos-‐ ti či je-‐li to v zájmu subjektu nebo práv a svobod jiných osob. 6. Zásada bezpečnosti stanoví potřebu existence bezpečnostních opatření chránících osobní údaje obsažené v datových souborech; dále pak tato opatření technické, organizační a personální povahy musí být přiměřená a dostupná pro prevenci rizik zneužití či zcizení těchto dat. 7. Zásada práva přístupu k datům patří k nejznámějším zásadám, umožňuje pak získat přístup k osobním údajům pro jejich subjekt v přiměřených in-‐ tervalech a bez přílišných průtahů nebo nákladů. Toto právo může být omezeno pouze zákonem analogicky jako v zásadě průhlednosti. Problé-‐ mem této zásady může být předávání dat přes hranice státu, neboť vlastní 4 EVROPSKÝ SOUD PRO LIDSKÝ PRÁVA. Úmluva o ochraně lidských práv a základních svobod. Text ve znění Protokolů č. 11 a 14 s Protokoly č. 1, 4, 6, 7, 12 a 13, s platností od 1. 6. 2010. Online na http://www.echr.coe.int/Documents/Convention_CES.pdf [cit. 13. 4. 2014]
8
právní úpravy zásad jsou v jednotlivých státech odlišné. Na tento princip budeme při využití cloud computingu narážet nejčastěji. Specifickou kapi-‐ tolou pak představují mezinárodní informační systémy, kde je z pohledu zásady práva přístupu k datům nutné zvážit, jaká právní úprava se pro přístup k jakým kategoriím informací využije. 8. Zásada práva na opravu a výmaz omezuje uchovávané a zpracovávané osobní údaje pouze na pravdivé, přesné a pokud možno aktuální. Subjekt údajů má tak možnost učinit prohlášení o pravdivosti údajů, má právo vznést požadavek na jejich úpravu, příp. výmaz. Pravdivost údajů nelze rovněž posuzovat staticky, údaje se mohou stát nepravdivými v průběhu plynutí času. 9. Zásada nezávislého dozoru stanoví potřebu existence nezávislého státního orgánu pro dozor nad osobními údaji zpracovávanými jak ve veřejno-‐ právní, tak v soukromoprávní sféře. Pro státy Evropské unie pak doda-‐ tečné povinnosti v oblasti nezávislého dozoru stanoví příslušné směrnice ES, které budou rozebrány v kapitole 3. Mezi základní pojmy v oblasti ochrany osobních údajů patří pak zejména vlastní pojem osobní údaj. Tento pojem je definován5 v § 4 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů6 (dále jen ZoOU) jako každý údaj týkající se urče-‐ ného nebo určitelného subjektu údajů, jestliže jej lze přímo či nepřímo identi-‐ fikovat zejména na základě čísla, kódu nebo jednoho a více prvků, specific-‐ kých pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní ne-‐ bo sociální identitu. Pojem je jednoznačně determinován několika faktory, resp. prvky. Jedná se zejména o informaci, která může být jakákoliv, nikterak nevymeze-‐ ná, ale také neomezená, a tedy i nepravdivá. Může také jít nejen o informace objektivní, ale i různé soudy, hodnocení, závěry apod. Osobní údaj je tedy jakýkoliv údaj, jenž se vztahuje k nějaké fyzické osobě, na základě kterého je tuto osobu možné identifikovat. Pokud je možné na straně správce údajů možné vytvořit vztah mezi údajem a danou fyzickou osobou, jde o naplnění podmínky identifikovatelnosti. Jednotlivé prvky, po-‐ mocí kterých lze vytvořit příslušný vztah, lze označit za identifikátory. Jako typické minimální identifikátory jsou běžně5 uvažovány v České republice jméno, příjmení, rodné číslo, příp. datum narození a adresa bydliš-‐ 5 BARTÍK, V. – JANEČKOVÁ, E. Ochrana osobních údajů z pohledu zvláštních právních úprav k 1. 8. 2012. Olomouc: ANAG, 2012. 348 s. ISBN 978-‐80-‐7263-‐749-‐2. 6 Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění poz-‐ dějších předpisů.
9
tě, v malé lokalitě7 pak i menší množina (jméno, příjmení, povolání). Při exis-‐ tenci identifikátorů na straně osobních údajů hovoříme o určeném subjektu na základě přímé identifikace. Za situace, kdy správce disponuje pouze omezenou množinou údajů, avšak z běžně dostupného zdroje může získat doplňující údaje, pomocí kte-‐ rých vytvoří minimální identifikátory vedoucí k určení subjektu, jedná se o určitelný subjekt na základě nepřímé identifikace. I v takovém případě hovo-‐ říme o omezené množině údajů jako o osobních údajích. V kvalifikovaném případě pak hovoříme o citlivých osobních údajích za situace, kdy uchovávané údaje dle ZoOU vypovídají o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organi-‐ zacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a dále libovolný genetic-‐ ký nebo biometrický údaj subjektu. Právní prostředí pak s tímto typem údajů zachází jako se zvláště citlivými údaji. Protikladem osobních údajů ve sféře ochrany osobních údajů jsou po-‐ tom anonymní údaje, které není možné ani v původním tvaru, ani po prove-‐ deném zpracování vztáhnout k určenému nebo určitelnému subjektu údajů. Pro účely této práce představují anonymní údaje z právního hlediska pravý opak údajů osobních. Základními operacemi5 při nakládání s osobními údaji (na základě ZoOU) jsou poté zejména (bez výhrady na úplnost, přičemž ostatní metody nakládání s osobními údaji lze zahrnout do pojmu zpracování): 1. shromažďování osobních údajů jako systematický postup nebo soubor po-‐ stupů jehož cílem je získání osobních údajů za účelem jejich dalšího ulo-‐ žení na nosič informací pro jejich okamžité nebo pozdější zpracování, 2. zpracování osobních údajů jako jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky; za zpracování lze pak zejména označit shromažďování, ukládání na nosiče informací, zpřístup-‐ ňování, úprava nebo pozměňování, vyhledávání, používání, předávání, ší-‐ ření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blo-‐ kování a likvidace (vybrané klíčové operace vymykající se běžnému hro-‐ madnému zpracování dat jsou popsány individuálně), 3. uchovávání osobních údajů jako udržování údajů v takové podobě, která je umožňuje dále zpracovávat, 7 Malou lokalitou zde myslíme takovou skupinu obyvatel, v rámci které může k identifikaci osoby postačovat výrazně méně identifikátorů (skupina je méně anonymní), např. kolektiv pracovníků v zaměstnání nebo obyvatelé menší vesnice.
10
4. blokování osobních údajů jako operace nebo soustava operací, kterými se na stanovenou dobu omezí způsob nebo prostředky zpracování osobních údajů, s výjimkou nezbytných zásahů, 5. likvidace osobních údajů jako operace fyzického zničení jejich nosiče, je-‐ jich fyzické vymazání nebo jejich trvalé vyloučení z dalšího zpracování, 6. zveřejnění osobních údajů jako zpřístupnění hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného se-‐ znamu blíže neurčené skupině příjemců, v případě zveřejnění jako sys-‐ tematické činnosti správce jde o jednu z nejvíce citlivých forem zpracová-‐ ní osobních údajů, 7. zpřístupnění osobních údajů jako omezené zveřejnění osobních údajů omezené, byť relativně velké, skupině předem známých příjemců a 8. anonymizace osobních údajů jako jedna z metod zpracování osobních úda-‐ jů, která odstraněním identifikátorů či jejich modifikací mění osobní úda-‐ je na anonymní údaje. Z hlediska jednotlivých aktérů vystupujících v problematice ochrany osobních údajů pak musíme rozlišit následující5: 1. subjektem údajů je fyzická osoba, k níž se osobní údaje vztahují, 2. správcem údajů je každý subjekt, který určuje účel a prostředky zpraco-‐ vání osobních údajů, provádí zpracování a odpovídá za něj (i za situace, kdy ke zpracování zmocnil či pověřil zpracovatele), 3. zpracovatelem údajů je každý subjekt, který na základě zvláštního zákona, zmocnění nebo pověření správcem zpracovává osobní údaje a 4. příjemcem pak každý subjekt, kterému jsou osobní údaje zpřístupněny (ovšem za příjemce se nepovažuje subjekt, který zpracovává osobní údaje jako správce nebo zpracovatel). Jako evidence údajů nebo též datový soubor osobních údajů považuje-‐ me jakýkoliv soubor osobních údajů uspořádaný nebo zpřístupnitelný podle společných nebo zvláštních kritérií. Za souhlas subjektu údajů se zpracováním osobních údajů pak považu-‐ jeme svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svo-‐ lení subjektu údajů se zpracováním jeho osobních údajů. 1.2 Cloud computing Cloud computing představuje8 moderní, na celosvětové počítačové síti Inter-‐ net založený model vývoje a používání informačních technologií. Jednoduše 8 REESE, G. Cloud Application Architectures: Building Applications and Infrastructure in the Cloud. Sebastopol, CA: O’Reilly Media, 2009. 208 s. ISBN 978-‐0-‐596-‐15636-‐7.
11
jej lze charakterizovat jako poskytování služeb a aplikací uložených na serve-‐ rech v Internetu s tím, že uživatelé k nim mohou přistupovat vzdáleně pomo-‐ cí webového prohlížeče nebo klienta dané aplikace a používat je prakticky odkudkoliv. Uživatelé pak neplatí (za předpokladu, že jde o placenou službu) za vlastní software, ale za jeho užívání. Mezi základní rysy této technologie pak patří zejména sdílený přístup k využívání výpočetních prostředků (náklady jsou rozkládány mezi uživatele při využívání sdílených prostředků, angl. multitenancy), vysoká míra škálova-‐ telnosti a elasticity (uživatelé mohou měnit požadavky na výkon dle své oka-‐ mžité potřeby), redundance (jednotlivé zdroje a prostředky jsou umístěny v geograficky odlišných lokalitách dostupných prostřednictvím Internetu, což snižuje riziko výpadku služby), aktualizovatelnosti (uživatelé využívají vždy poslední dostupnou verzi software bez nutnosti věnovat se funkčním nebo bezpečnostním aktualizacím), placením dle skutečné spotřeby (v závislosti na míře využití zdrojů a jejich kvality) a vzdálený přístup (jednotlivé zdroje jsou dostupné v rámci Internetu v libovolném místě s přístupem k této síti). Uvedené vlastnosti předurčují tento způsob poskytování služeb v soudobé společnosti, neboť přináší cenově atraktivní, rychle dostupnou, bezúdržbovou a dostatečně kvalitní alternativu ke klasickému modelu prona-‐ jatého nebo zakoupeného software na vlastní infrastruktuře (tzv. on-‐premise model). Z hlediska problematiky ochrany osobních údajů je pro tuto práci podstatný způsob uchování dat (a specificky pak osobních údajů) v rámci cloud computing, metody zpracování, zabezpečení a zpřístupnění těchto dat. Jednotlivé modely nasazení a distribuce aplikací v cloud computing přináší do problematiky ochrany osobních údajů nové subjekty v roli poskytovatelů infrastruktury, aplikací a služeb, kteří mohou (ale také nemusí) ovlivnit tra-‐ diční dělení subjektů na správce, zpracovatele a příjemce. V rámci možného dělení cloud computingu rozlišujeme dle modelu na-‐ sazení technologie8 (tedy způsobu, jakým je cloud computing poskytován uži-‐ vatelům) následující varianty: 1. veřejný cloud (public cloud computing) představuje klasický a původní model cloud computingu, kdy infrastruktura, služby a aplikace jsou po-‐ skytnuty a nabízeny široké veřejnosti, v rámci tohoto modelu je poskyto-‐ vatel veřejného cloudu nezávislým subjektem na správci a často též na zpracovateli či příjemci dat, 2. soukromý cloud (private cloud computing) je provozován pouze pro jednu organizaci, typicky organizací samotnou nebo třetí stranou v rámci smluvního vztahu, v tomto modelu nedochází ke sdílení zdrojů mezi or-‐ ganizacemi (absence vlastnosti multitenancy) a bezpečnostní politika
12
správce je shodná s bezpečnostní politikou poskytovatele (stejná organi-‐ zace, příp. smluvní ujednání), 3. hybridní cloud (hybrid cloud computing) kombinuje vlastnosti veřejných a soukromých cloudů – z vnějšího pohledu se jedná o jediný cloud compu-‐ ting, který však uvnitř kombinuje dílčí cloud technologie pomocí standar-‐ dizovaných rozhraní a standardizačních technologií; z hlediska této práce je však hybridní cloud nutné považovat za veřejný cloud co do metody od-‐ lišení poskytovatele a správce dat, 4. komunitní cloud (community cloud computing) představuje nadorgani-‐ zační soukromý cloud, který vzniká spojením několika takových řešení pro více organizací či pro skupinu uživatelů – pokud tyto organizace spo-‐ juje bezpečnostní politika a obor zájmu, může být z hlediska této práce komunitní cloud považován za soukromý, v opačném případě jde o speci-‐ fickou formu hybridního cloudu a bude považován za cloud veřejný. Ty-‐ pickým komunitním cloudem mohou být cloud vytvářené v rámci veřej-‐ noprávní sféry pro jednotlivé silové či bezpečnostní složky státu. Alternativním dělením cloud computingu je tradiční dělení dle distri-‐ bučního modelu9 podle typu výpočetního prostředku (infrastruktury, aplikací a služeb), který je v rámci cloud computingu nabízen uživateli (obvykle kom-‐ binace software, hardware a nástrojů pro společné řízení uvedených techno-‐ logií): 1. IaaS (infrastruktura jako služba) – poskytovatel služby v tomto případě nabízí uživateli infrastrukturu k provozu jeho software, typicky jde o vir-‐ tualizaci hardware pro ty subjekty, které nechtějí odpovídat za materiální stránku provozu technických prvků řešení, 2. PaaS (platforma jako služba) – jedná se o mezistupeň, který přidává k in-‐ frastruktuře kompletní sadu nástrojů potřebnou pro vývoj a provoz indi-‐ viduálních softwarových aplikací, typicky jde o vývojové prostředí určené softwarovým společnostem, pro které je součástí infrastruktury také ak-‐ tualizované vývojové a produkční prostředí pro jejich platformu (tyto společnosti teprve dodávají řešení koncovým uživatelům), 3. SaaS (software jako služba) – představuje licencování pronájmu aplikace jednotlivým koncovým uživatelům, přičemž uživatelé si nekupují aplikaci samotnou, ale pouze právo přístupu k této aplikaci, k jejímu využití a k výsledkům vytvořeným v této aplikaci. Tento model je výhodným zejména pro koncové uživatele, kteří požadují přístup k aplikaci odkudko-‐ liv a kdykoliv. 9 RITTINGHOUSE, J. W. – RANSOME, J. F. Cloud Computing: Implementation, Management, and Se-‐ curity. Boca Raton, FL: CRC Press, 2010. 301 s. ISBN 978-‐1-‐4398-‐0680-‐7.
13
Nezřídka dochází k situaci, kdy poskytovatelé PaaS a SaaS služeb vyu-‐ žívají existujících IaaS poskytovatelů, příp. softwarové společnosti nabízejí svůj software formou SaaS modelu na řešení PaaS třetí strany. Jednotlivé sub-‐ jekty se na trhu specializují na řešení jednotlivých distribučních modelů, čímž dochází díky ekonomickému tlaku k prohlubování funkčnosti, zvýšení úrovně bezpečnosti a snížení nákladů na jednotlivá řešení. Z hlediska problematiky ochrany osobních údajů pak dochází k zvýše-‐ ní počtu subjektů při manipulaci s daty obsahujícími osobní údaje, neboť po-‐ skytovatel software (SaaS) umožní správci dat využít jeho aplikaci k uchování osobních údajů, avšak tato data jsou umístěna v řešení PaaS poskytovatele na infrastruktuře IaaS poskytovatele, kteří mohou mít (a často teoreticky mají) přístup k uvedeným údajům. Při snižování nákladů a zvýšení redundance je pak využíváno globální počítačové sítě Internet ke geografické koncentraci jednotlivých řešení do datových center, která nejsou často umístěna ve stejném státě jako je domov-‐ ský stát subjektu zpracování údajů. Ne zřídka tak můžeme nalézt situaci, kdy každý z účastníků (subjekt údajů, správce, zpracovatel, poskytovatelé SaaS, PaaS a IaaS10, příjemce) se nacházejí v jiném státě. Do hry tak vstupuje mezinárodní prvek ochrany osobních údajů v nemalé míře a je nezbytné zvážit, dle jakého národního práva bude postu-‐ pováno při jednotlivých operacích zpracování a uchování osobních údajů a které orgány nezávislého dozoru nad tímto zpracováním mohou či musí pro-‐ vádět odpovídající šetření a dohled. Je třeba rovněž vést v patrnosti, že poskytování služeb nebo uchová-‐ vání dat v některých zemích může zcela znemožnit nabízení služby některým zákazníkům, pokud by docházelo k porušení povinností uložených národní legislativou na ochranu osobních dat11. 1.3 Zúčastněné subjekty Vzhledem k rostoucímu počtu subjektů podílejících se na uchovávání či zpra-‐ cování dat v prostředí cloud computing a vzhledem k přítomnosti meziná-‐ rodního prvku souvisejícího s odlišnými zeměmi jednotlivých subjektů je ne-‐ 10 SaaS, PaaS a IaaS budeme nadále souhrnně označovat jako XaaS, pokud budeme hovořit o libovolné službě poskytované v prostředí cloud computing. 11 Poskytování služby z USA nebo společností z USA se řídí mj. US zákonem Patriot Act, který umožňuje vládě USA získat přístup k datům klienta. Pokud by tímto klientem byl klient z Evropské unie, mohou být požadavky kladené na ochranu osobních údajů klienta ze strany zákona v klientské zemi v příkrém rozporu s uvedenou situací, a mohou tak znemožnit uží-‐ vání uvedené služby.
14
zbytné popsat si jednotlivé účastníky právního vztahu ochrany osobních úda-‐ jů v cloud computingu: 1. Subjekt údajů – i v situaci cloud computing se stále jedná o fyzickou oso-‐ bu, k níž se uvedené osobní údaje vztahují. 2. Správce údajů – správcem údajů je nadále pouze ten subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpo-‐ vídá za něj, tedy typicky společnost, jejíž produkt či služby subjekt údajů odebírá nebo do jehož sféry zájmu subjekt dat spadá (např. potenciální klient, návštěvník webové prezentace apod.). 3. Zpracovatel údajů – zpracovatelem je nadále osoba zmocněná správcem údajů, při využívání řešení XaaS je zpracovatelem nezřídka přímo posky-‐ tovatel uvedených služeb. 4. Poskytovatel SaaS služeb – autor aplikace, pomocí které správce údajů zpracovává údaje subjektu údajů, typicky tedy zpracovatel údajů zmoc-‐ něný správcem údajů na základě uzavřené písemné smlouvy o zpracování osobních údajů v rámci užívání SaaS řešení. 5. Poskytovatel PaaS služeb – autor platformy, pomocí které poskytovatel SaaS služeb nabízí své aplikace nebo správce údajů vytváří a nabízí svou aplikaci, typicky tedy buď zpracovatel údajů zmocněný správcem údajů přímo pomocí smlouvy o zpracování osobních údajů nebo pouze smluvní partner zpracovatele údajů v podobě poskytovatele SaaS řešení. 6. Poskytovatel IaaS služeb – typicky dodavatel infrastruktury řešení pro po-‐ skytovatele ostatních XaaS řešení nebo přímo správce údajů, subjekt od-‐ povědný především za fyzickou bezpečnost údajů, ale současně také sub-‐ jekt rozhodující o místě fyzického uložení vlastních dat (a tedy determi-‐ naci právního řádu, na základě kterého jsou uchovávány osobní údaje). Tento poskytovatel je zpracovatelem údajů zejména v oblasti uchovávání na základě zmocnění správce údajů pomocí uzavření smlouvy o zpraco-‐ vání osobních údajů nebo pouze smluvní partner jiného zpracovatele úda-‐ jů v podobě ostatních poskytovatelů XaaS řešení. 7. Příjemce údajů – jakákoliv osoba, které jsou osobní údaje zpřístupněny, může jít o oprávněného nebo neoprávněného příjemce údajů, nejedná se však o správce či zpracovatele údajů, tedy ani o jednotlivé poskytovatele XaaS řešení. Je třeba si vždy uvědomit, že poskytovatelé XaaS řešení nej-‐ sou příjemci údajů, ale jsou vždy zpracovateli údajů na základě explicitní-‐ ho pověření nebo zmocnění, příp. smluvními partnery jiného zpracovate-‐ le údajů. 8. Orgán nezávislého dozoru – orgán nezávislého dozoru je kterýkoliv pří-‐ slušný národní orgán nezávislého dozoru v problematice ochrany osob-‐ ních údajů, do jehož jurisdikce spadá subjekt údajů, místo uchování dat (dle fyzické polohy datového centra poskytovatele IaaS služeb) nebo kte-‐ rýkoliv správce či zpracovatel údajů. Zejména v přístupu orgánů nezávis-‐ lého dozoru se uplatní prvek mezinárodní spolupráce těchto dozorových
15
orgánů, protože pouze v omezené míře jsou data o subjektu údajů ucho-‐ vávána a zpracovávána na území stejného státu, jako je stát subjektu úda-‐ jů.
Mimo výše uvedené subjekty právního vztahu pak můžeme nalézt dal-‐ ší aktéry v obchodním procesu využívání cloud computingu, kteří však při bližším prozkoumání zapadnout do některé z výše uvedených kategorií. Pří-‐ kladem může být klient cloudové služby, kterým je buď přímo subjekt údajů (např. uživatel Facebooku), správce údajů (např. společnost provozující CRM software SalesForce) nebo poskytovatel SaaS služeb (např. implementátor aplikace na platformě Google App Engine). Dalším aktérem může být zprostředkovatel obchodu, kterým může být zpracovatel údajů (tzv. affiliate prodejce zmocněný správcem údajů), po-‐ skytovatel XaaS (v rámci dodávky služeb nabízí poskytovatelé rovněž služby svých zákazníků ostatním zákazníkům v rámci tzv. cross-‐sell) nebo nemusí být účastníkem právního vztahu ochrany osobních údajů vůbec.
16
2
Ochrana osobních údajů v České republice
Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (ETS č. 108, Štrasburk, 28. 1. 1981)2 je v České republice implementována zejména zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně někte-‐ rých zákonů, ve znění pozdějších předpisů6 (dále jen ZoOU). 2.1 Zákon o ochraně osobních údajů Tento obecný právní předpis je základním předpisem na úseku ochra-‐ ny osobních údajů vč. vymezení základních pojmů a metod, avšak ve dvou svých ustanoveních zakládá možnost aplikování specifických právních před-‐ pisů umožňujících odlišné nakládání s osobními údaji. Těmito ustanoveními jsou § 3 odst. 6 ZoOU, který obsahuje tzv. blokové výjimky5 a dále § 5 odst. 2 písm. a) ZoOU, který vyčleňuje zpracování osobních údajů dle dalších práv-‐ ních povinností správce z působnosti ZoOU. Zatímco první ustanovení se týká převážně veřejnoprávní oblasti – a to oblastí zajištění bezpečnosti republiky, obrany, veřejného pořádku, vnitřní bezpečnosti, odhalování a stíhání trestní činnosti, ochrany význam-‐ ných hospodářských či finančních zájmů České republiky nebo Evropské unie a výkonu kontroly, dozoru, dohledu a regulace spojených s výkonem veřejné moci v těchto oblastech a v činnosti spojené se zpřístupňováním svazků bý-‐ valé Státní bezpečnosti – což jsou oblasti, které rámcově překračují možnosti této práce (veřejnoprávní organizace tohoto typu zatím nevyužívají veřejný cloud nebo to autorovi práce zatím není známo), ustanovení druhé ovlivňuje všechny subjekty v pozici správce dat na území České republiky. Toto druhé ustanovení totiž umožňuje i bez souhlasu subjektu údajů zpracovávat osobní údaje ze strany správce údajů, jestliže provádí zpracová-‐ ní nezbytné pro dodržení jiné právní povinnosti. Jiné právní předpisy však jen zřídka obsahují přímo ustanovení pro nakládání s osobními údaji, v tomto případě tak půjde o situace, kdy by plnění jiných právních povinností bez uchování osobních údajů nebylo možné.12 Častým zvykem správců osobních údajů na území České republiky je požadovat souhlas subjektu údajů se zpracováním osobních údajů i k datům, která spadají do výjimky tohoto druhého ustanovení – a tím nadbytečně a re-‐ 12 Např. zákon č. 301/2000 Sb., o matrikách, jméno a příjmení a o změně některých souvise-‐
jících zákonů, ve znění pozdějších předpisů, obsahuje pojem osobní údaje pouze v § 9 odst. 5 v souvislosti s oprávněním tam uvedených osob k přístupu k osobním údajům uvedeným v matričních knihách a sbírkách listin, přitom je ale zřejmé, že na základě tohoto zákona do-‐ chází k masivnímu zpracování osobních údajů v míře daleko vyšší – a toto zpracování bude probíhat mimo působnost ZoOU na základě § 5 odst. 2 písm. a) ZoOU.
17
dundantně řešit problém ochrany osobních údajů na základě povinností ulo-‐ žených ZoOU. Při posouzení, zda může údaje správce údajů zpracovávat bez souhlasu subjektu údajů, je třeba podrobit zamýšlené zpracovaní údajů testu souladu s právní úpravou a dovodit, zda souhlas ke zpracování třeba je či ne-‐ ní. I za předpokladu oprávnění zpracovávat osobní údaje mimo rámec ZoOU je však třeba dodržovat základní zásady zmíněné v kapitole 1, které vy-‐ cházejí z mezinárodní úmluvy, ke které se Česká republika připojila. Tato práce je tedy relevantní i k této množině údajů – i když některá práva a po-‐ vinnosti budou realizována odlišně a méně restriktivně. Z hlediska textu zákona6 je významné ustanovení § 3 vymezující pů-‐ sobnost zákona, a to na všechny veřejnoprávní a soukromoprávní subjekty (s výjimkami uvedenými výše) a na veškeré zpracování osobních údajů, ať už k němu dochází automatizovaně nebo jiným způsobem. Tento paragraf ale dále vyjímá ze své působnosti fyzické osoby shromažďující osobní údaje pro svou potřebu a nahodilé shromažďování osobních údajů, které dále nejsou uchovávány. Působnost zákona je dále rozšířena v § 3 odst. 5 také na případy za-‐ hraničních správců údajů, kteří provádí zpracování údajů na území České re-‐ publiky (teritoriální princip z hlediska objektu práva – osobních údajů) nebo těch situací, které upravují mezinárodní smlouvy. ZoOU lze tedy považovat skutečně za základní zákon upravující zpra-‐ cování osobních údajů též vzhledem k mezinárodnímu prvku v ochraně osobních údajů při cloud computingu, jsou-‐li údaje uchovávány v cloudu na území České republiky nebo pokud je správce údajů, zpracovatel údajů nebo subjekt údajů z České republiky. Hlava II ZoOU stanovuje oprávnění a ukládá povinnosti jednotlivým subjektům účastnícím se právního vztahu ochrany osobních údajů. Většina základní zásad a principů ochrany osobních údajů uvedených v kapitole 1 je přímo vtělena do textu zákona v § 5 odst. 1. Tento odstavec zejména ukládá správci údajů povinnost stanovit účel zpracování osobních údajů, prostředky a způsob tohoto zpracování a omezuje časově, věcně a účelově toto zpraco-‐ vání. Z hlediska dosud poznaných zásad je ustanovení § 5 odst. 1 přesným vymezením zásad legitimity, účelnosti, nezbytnosti, proporcionality, časové-‐ ho omezení, bezpečnosti, transparentnosti a aktuálnosti osobních údajů. Nad rámec obecných zásad pro nakládání s osobními údaji pak § 5 odst. 1 písm. c) omezuje uchovávané údaje pouze na údaje přesné a aktuální, v opačném případě nařizuje údaje blokovat a likvidovat a to včetně oznámení příslušným příjemcům těchto dat. Výjimkou z této zásady je pouze veřejno-‐ právní užití k účelům prvního průlomu do působnosti zákona (viz výše).
18
Na základě § 5 a jeho ustanovení lze tak označit zpracovávané osobní údaje u správce údajů za přesné, účelově vymezené a aktuální. Tyto údaje pak může zpracovávat pouze tehdy, jestliže k tomu na základě § 5 odst. 2 ZoOU získal souhlas subjektu údajů. Průlomem do požadavku na souhlas subjektu údajů je pak jednak výše zmíněný průlom v souvislosti s plněním jiných právních požadavků, ale dále pak zpracování nezbytné pro účely plnění smlouvy či k úkonům vedoucím k jejímu uzavření, pokud je jednou ze smluvních stran subjekt údajů; zpraco-‐ vání osobních údajů o veřejně činné osobě, funkcionáři nebo zaměstnanci ve-‐ řejné správy, které vypovídají o jeho veřejné nebo úřední činnosti, o jeho funkčním nebo pracovním zařazení; a zpracování za účelem archivnictví dle zvláštního zákona. Dočasným průlomem je pak zpracování takových údajů, pokud je to nezbytné k ochraně životně důležitých zájmů subjektu údajů, který však ná-‐ sledně k takovému zpracování musí dát souhlas. Relativním průlomem je zpracování těchto údajů pro ochranu práv a právem chráněných zájmů správce, příjemce nebo jimi dotčených osob, ovšem takovéto zpracování se nesmí dotknout práv na ochranu soukromého a osobního života subjektu údajů. Z výše uvedeného je patrno, že až na situace uložené jinými právními předpisy a specifické životní situace není možné shromažďovat a dále zpra-‐ covávat osobní údaje bez souhlasu subjektu údajů. Subjekt údajů pak pro udě-‐ lení takového souhlasu musí být informován, pro jaký účel budou údaje zpra-‐ covávány, jakému správci a na jaké období. Častým případem zpracování osobních údajů nevyplývajících účelově z jiných právních předpisů je shromažďování osobních údajů za účelem nabí-‐ zení dalšího obchodu nebo služby subjektu údajů, příp. předání těchto údajů subjektu třetímu za tímtéž zamýšleným účelem. Tato situace je ošetřena přímo v ZoOU §§ 5 až 9, kdy je vymezen okruh údajů (jméno, příjmení, adresa), způsob sběru těchto údajů (veřejné seznamy a v souvislosti s jinou činností správce údajů), způsob zákazu sběru těchto údajů (výhradně písemně ze strany subjektu údajů) a zákaz tranzitivity pře-‐ dávání těchto údajů mezi subjekty (předání může proběhnout pouze od ori-‐ ginálního správce údajů). Tímto způsobem je umožněno shromažďovat údaje pro realizaci potenciálního obchodu ze strany správce údajů nebo jeho part-‐ nerů. Vzhledem k působnosti ZoOU v oblasti subjektů údajů pouze na fyzic-‐ ké osoby se však výše uvedené nevztahuje na shromažďování údajů o práv-‐ nických osobách. Toto shromažďování není omezeno žádným právním před-‐ pisem5, využití takto získaných dat je však omezeno zejména zákonem č. 480/2004 Sb., o některých službách informační společnosti a o změně ně-‐
19
kterých zákonů, ve znění pozdějších předpisů13, který upravuje zejména způ-‐ sob zasílání obchodních sdělení (ochrana proti spamu). Problematické z hlediska cloud computingu se jeví zejména ustanove-‐ ní § 6 ZoOU, které stanovuje povinnost uzavření písemné smlouvy o zpraco-‐ vání osobních údajů mezi správcem údajů a zpracovatelem údajů – vzhledem k současné praxi uzavírat smlouvy mezi poskytovateli XaaS služeb a správci údajů akcesoricky (přistoupením k obchodním podmínkám služby) a vý-‐ hradně elektronicky, vzniká otázka, jaké je právní postavení poskytovatele XaaS služby, neboť na základě § 6 ZoOU nevzniká jeho pověření jako zpraco-‐ vatele údajů. Avšak ne každý poskytovatel XaaS služeb je automaticky zpra-‐ covatelem údajů, toto záleží na úvaze správce údajů a povaze poskytovaných služeb ze strany poskytovatele XaaS služeb. Vzhledem k existenci § 14 ZoOU může zpracovatel údajů využít svých zaměstnanců a přeneseně též dalších smluvních partnerů14, neboť uvedený paragraf umožňuje využít na tyto úkoly dalších osob na základě smlouvy se správcem nebo zpracovatelem údajů. Vzhledem k tomu, že taková smlouva je uzavírána dle § 14 a ne dle § 6, nejedná se o další zpracovatele údajů, ale pouze o smluvní partnery stávajícího zpracovatele. Zpracovatelem údajů je tedy pouze ten subjekt, který uzavře smlouvu dle § 6 se správcem údajů o zpracování osobních údajů. Dále § 14 ZoOU rovněž nebrání pověřit ze strany správce údajů jinou společnost jinou smlouvou než smlouvou o zpracování osobních údajů řeše-‐ ním problematiky nebo její části v oblasti uchovávání či zpracování osobních dat. Pokud budeme realizovat tuto činnost v rámci § 14 místo § 6, je možné uzavřít smlouvu i jiným způsobem než písemně, což je hojně využíváno v oblasti cloud computing v rámci obchodních podmínek poskytovatelů XaaS služeb. Správné využití § 14 ZoOU pro řešení problému zpracování osobních údajů a zejména pro poskytování infrastruktury je podpořeno rovněž názo-‐ rem dozorujícího orgánu.15 V kvalifikované podobě při zpracování citlivých osobních údajů pak přistupuje k dosavadním podmínkám také požadavek explicitního souhlasu se zpracováním tohoto typu údajů nebo zpracování za úzce zákonem vyme-‐ zeným účelem v § 9 ZoOU – zejména pro účely zdravotnictví, úpravu pracov-‐ 13 Zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů, ve znění pozdějších předpisů. 14 BARTÍK, V. – JANEČKOVÁ, E. Ochrana osobních údajů v životě podnikatele. Olomouc: ANAG, 2013. 199 s. ISBN 978-‐80-‐7263-‐811-‐6. 15 ÚŘAD NA OCHRANU OSOBNÍCH ÚDAJŮ. Stanovisko č. 1/2009 „Zpracování osobních údajů na zá-‐
kladě smluv uzavíraných se zpracovateli (tzv. řetězení zpracovatelů osobních údajů).“ in Ná-‐ zory úřadu, Stanoviska. Online na http://www.uoou.cz/files/stanovisko_2009_1.pdf [cit. 9. 3. 2014]
20
ního práva, pojištění, činnosti specifických sdružení (náboženství, odbory, politické či filozofické cíle), archivnictví a odhalování trestné činnosti. Specifickým případem je uchovávání citlivých osobních údajů, které subjekt údajů sám zveřejnil – v takovém případě je zpracování těchto citli-‐ vých údajů povoleno (tohoto ustanovení § 9 písm. g) hojně užívají Interneto-‐ vé seznamky a komunitní weby typu Facebook). Správce údajů nebo přeneseně zpracovatel údajů dle § 12 zajistí na vyžádání (a případně za přiměřenou úhradu) informace pro subjekt údajů o zpracovávaných osobních údajích, účelu tohoto zpracování, povaze auto-‐ matizovaného zpracování těchto údajů a případných dalších příjemcích těch-‐ to údajů. Dále jsou správce údajů a zpracovatel údajů povinni podle § 13 zajistit dostatečné technicko-‐organizační zabezpečení znemožňující neoprávněný přístup či zveřejnění údajů, za tímto účelem má na základě zákona možnost omezit přístup svých zaměstnanců a naopak povinnost evidovat přístupy k osobním údajům vč. účelu tohoto přístupu. 2.2 Oznamovací povinnost správce údajů Každý správce údajů (až na výjimky stanovené v § 18) je povinen před zahá-‐ jením zpracování osobních údajů provést písemné oznámení o tomto záměru dozorovému orgánu – Úřadu pro ochranu osobních údajů (UOOU). Součástí tohoto oznámení je zejména vymezení účelu zpracování, popis kategorie osobních údajů, způsob jejich pořízení, popis způsobu zpracování, místo zpracování těchto údajů, popis opatření k zajištění ochrany těchto údajů, se-‐ znam potenciálních příjemců a předpokládaná předání osobních údajů přes hranice do jiných států. Při aplikaci oznamovací povinnosti v § 16 je třeba si zejména uvědo-‐ mit, že součástí oznámení jsou pouze příjemci údajů – což nejsou zpracovate-‐ lé údajů na základě pověření správce údajů, tedy v této oznamovací povin-‐ nosti se neuvádí poskytovatelé XaaS služeb. Dále není třeba plnit oznamovací povinnost na ty okruhy osobních údajů, které jsou shromažďovány mimo rámec ZoOU na základě jiných právních předpisů – např. pracovněprávní údaje, údaje nezbytné pro zajištění výkonu veřejnoprávní funkce, údaje o smluvních stranách či údaje nikterak neomezené ochranou osobních údajů – např. identifikační údaje právnických osob. Z hlediska aplikace mezinárodního prvku v oblasti cloud computingu je rozhodující potřeba uvádění plánovaného předání osobních údajů do ji-‐ ných států – zejména předání ke zpracování poskytovatele XaaS službě
21
(i když poskytovatel jako zpracovatel údajů není ohlašovaným příjemcem údajů). Předávání osobních údajů do jiných států se dále věnuje hlava III ZoOU6 v jediném § 27. Uvedené ustanovení přímo stanovuje, že předávání osobních údajů do zemí Evropské unie nemůže být nijak omezováno. Dále je povoleno předávat osobní údaje i bez souhlasu dozorujícího orgánu do zemí v rámci uzavřené mezinárodní smlouvy16 (např. Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat (ETS č. 108, Štrasburk, 28. 1. 1981)2) nebo kde o tom rozhodl orgán Evropské unie17. V ostatních případech je nutné povolení dozorujícího orgánu při pro-‐ kázání splnění podmínek v § 27 odst. 3 ZoOU, přičemž jako základní se jeví splnění dvou základní podmínek14 – zajištění souhlasu subjektu údajů se zpracováním těchto údajů v třetí zemi, příp. je-‐li toto v jeho zájmu či činěno s jeho vědomím; a doložení, že v třetí zemi, kde mají být osobní údaje zpraco-‐ vávány, jsou vytvořeny dostatečně zvláštní záruky ochrany osobních údajů, např. prostřednictvím jiných právních nebo profesních předpisů a bezpeč-‐ nostních opatření. Takové záruky mohou být dány zejména smlouvou mezi správcem údajů a jejich příjemcem (což může být i společnost zajišťující XaaS služby pro cloud computing dle § 14 ZoOU), pokud tato smlouva zajišťuje uplatnění těchto požadavků nebo pokud smlouva obsahuje smluvní doložky pro předá-‐ ní osobních údajů do třetích zemí zveřejněné ve Věstníku Úřadu (dozorující-‐ ho orgánu). Standardní smluvní doložky jsou nástrojem, který je považován za dostatečné ochranné opatření s ohledem na ochranu soukromí a základ-‐ ních práv a svobod jednotlivců, jakož i s ohledem na výkon odpovídající práv v souladu s čl. 26 odst. 2 směrnice 95/46/ES, jak bude uvedeno později. Alternativou k uvedené smlouvě či doložkám je pak možnost, že zajiš-‐ tění odpovídajících podmínek zajistí sám správce formou vydání Závazných podnikových pravidel (Binding Corporate Rules, dále jen BCR). Tento způsob je vhodný zejména pro velké nadnárodní společnosti, pro které BCR předsta-‐ vují nejschůdnější a nejlevnější cestu ke zpracování osobních údajů v rámci celé společnosti. Pro zajištění zpracování i mimo vlastní společnost pak lze využít standardních smluvních doložek v tzv. případech onward transfer (předání údajů dalším smluvním společnostem). 16 Např. Albánie, Bosna a Hercegovina, Černá Hora, Gruzie, Island, Lichtenštejnsko, Makedo-‐ nie, Moldavsko, Norsko, Srbsko, Švýcarsko a Andorra. 17 Např. Argentina, Guernsey, Jersey, Ostrov Man.
22
2.3 ZoOU a cloud computing v mezinárodním prostředí V oblasti cloud computingu s mezinárodním prvkem i potenciálně překračují-‐ cím hranice Evropské unie lze tedy doporučit zajištění obchodních podmínek poskytovatelů XaaS služeb na bázi § 14 ZoOU s uvedením smluvních doložek odpovídající popisu výše, pokud jakýkoliv řetězený XaaS poskytovatel bude sídlit mimo země Evropské unie nebo země spadající pod povolení § 27 odst. 2 ZoOU. Na základě názoru v odborné literatuře14 je z hlediska ZoOU vždy tře-‐ ba rozlišit, zda poskytovatel cloud computing služeb (XaaS poskytovatel) vů-‐ bec nabízí služby související se zpracováním osobních dat nebo pouze nabízí prostor/pronájem výpočetní kapacity. Rozlišujeme tak dva základní typy aplikace ochrany osobních údajů v oblasti cloud computing dle ZoOU: 1. Správce údajů si pronajímá zařízení nebo služby, přičemž ale neztrácí kontrolu nad svými aplikacemi a daty. V těchto případech, i když jsou data umístěna u poskytovatele často mimo území České republiky, nedochází k předání osobních údajů do zahraničí a nedochází ke zpracování osob-‐ ních údajů zpracovatelem, zpracování nadále provádí sám správce údajů. 2. Správce údajů si pronajímá zařízení a služby, přičemž předává i některé zpracovatelské operace poskytovateli služeb cloud computingu (typicky PaaS nebo SaaS poskytovateli) – v tomto případě se poskytovatel služeb cloud computingu nachází v pozici zpracovatele a dochází k předávání osobních údajů do zahraničí, je tedy třeba ze strany správce údajů požá-‐ dat dozorující orgán o schválení takového zpracování (pokus poskytova-‐ tel XaaS služeb je ze třetích zemí a není automaticky schváleno takové předávání, např. v rámci Evropské unie). V souvislosti se zpracováním osobních údajů na bázi cloud computing se nabízí dle odborné literatury otázka14, jaké záruky musí požadovat správce osobních údajů po XaaS poskytovateli, aby bylo učiněno zadost povinnostem podle § 13 a násl. ZoOU. Společnost užívající službu/aplikaci formou cloud computing je v pozici správce údajů a je za zpracování osobních údajů plně odpovědná. Na druhou stranu poskytovatel služby či aplikace není v pozici zpracovatele osobních údajů, pokud s daty nijak nemanipuluje, pouze prona-‐ jímá své výpočetní prostředky. I tak je však z hlediska správce osobních údajů vhodné, aby poskyto-‐ vatele XaaS zavázal k přijetí odpovídajících technických, organizačních a per-‐ sonálních bezpečnostních opatření – zejména by se mělo jednat o závazek uložit data v zabezpečeném úložišti, o závazek odpovídajícím způsobem za-‐ bezpečit přenos dat, o závazek poskytovatele XaaS informovat správce o po-‐
23
kusech neoprávněného přístupu k datům, včetně obecného přístupu k logům apod.18 Solidní poskytovatel XaaS služby má tato opatření sám upravena ve svých obchodních podmínkách pro provoz služby, čímž aktivně těmto situa-‐ cím předchází.
18 MORÁVEK, J. – BURIAN, D. Předávání osobních údajů do zahraničí: česká a evropská právní úprava, otázky a odpovědi. Praha: Linde, 2012. 264 s. ISBN 978-‐80-‐7201-‐878-‐9.
24
3
Ochrana osobních údajů v Evropské unii
Česká republika je od roku 2003 součástí Evropské unie, nadnárodního poli-‐ tického a ekonomického celku, v rámci kterého jednotlivé státy dobrovolně sjednocují jednotlivé právní normy pro dosažení vzájemné kompatibility a snazší naplnění jednoho z hlavních cílů tohoto celku – volného pohybu osob, zboží a kapitálu. Problematika ochrany osobních údajů je na evropské úrovni řešena zejména Směrnicí Evropského parlamentu a Rady č. 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, ve znění pozdějších pozměňovacích aktů19. 3.1 Směrnice č. 95/46/ES Uvedená směrnice 95/46/ES představuje20 na evropské úrovni referenční normu v oblasti ochrany osobních údajů. Zavádí právní rámec, jehož cílem je ustavení rovnováhy mezi vysokou úrovní ochrany soukromí jednotlivců a volným pohybem osobních údajů v rámci Evropské unie (EU). Za tímto úče-‐ lem směrnice stanoví přísná omezení pro shromažďování a využívání osob-‐ ních údajů a požaduje, aby byl v každém členském státě vytvořen nezávislý vnitrostátní subjekt pověřený ochranou těchto údajů (nezávislý orgán dozo-‐ ru). Směrnice se vztahuje jak na údaje zpracovávané automaticky (tedy např. počítačové databáze zákazníků), tak i na údaje, které jsou obsaženy v neautomatizovaném rejstříku nebo do něj mají být zařazeny (např. tradiční lístkové rejstříky). Analogicky k ZoOU v České republice je z působnosti směrnice vyňato zpracování osobních údajů fyzickými osobami pro jejich osobní potřebu a zpracování osobních údajů pro výkon těch činností, které nespadají do působnosti práva EU, tedy typicky do oblasti veřejné bezpeč-‐ nosti, obrany a bezpečnosti státu. V souladu s Úmluvou o ochraně osob se zřetelem na automatizované zpracování osobních dat (ETS č. 108, Štrasburk, 28. 1. 1981)2 jsou zásady a principy vtělené do uvedené směrnice analogické s mezinárodní smlouvou přijatou dříve. 19 Směrnice Evropského parlamentu a Rady č. 95/46/ES ze dne 24. října 1995 o ochraně fyzic-‐ kých osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, ve znění pozdějších pozměňovacích aktů. 20 EVROPSKÁ UNIE. Ochrana osobních údajů. Online na http://europa.eu/legislation_summaries/information_society/data_protection/l14012_cs.htm [cit. 9. 3. 2014]
25
Směrnice analogicky k Úmluvě stanoví20 v oblasti ochrany práv a svo-‐ bod osob v souvislosti se zpracováním osobních údajů následující zásady oprávněnosti zpracování takových údajů: 1. Zásada kvality údajů – je požadováno zpracovávat osobní údaje korektně a zákonným způsobem a shromažďovat je pouze pro předem stanovené účely, výslovně vyjádřené a legitimní. Mimo to je požadováno zpracování údajů přesných, a je-‐li to nezbytné, pak také aktualizovaných. 2. Zásada legitimního zpracování údajů – zpracování osobních údajů může být provedeno pouze a jen tehdy, pokud subjekt údajů nezpochybnitelně udělil souhlas nebo je zpracování takovýchto údajů nezbytné pro některé specificky vyjádřené důvody související se zájmy subjektu údajů. 3. Zásada zvláštní kategorie léčby – je zakázáno zpracování osobních údajů, které odhalují rasový či etnický původ, názory na veřejné otázky, nábo-‐ ženské nebo filozofické přesvědčení, příslušnost k odborům, jakož i zpra-‐ cování údajů týkajících se zdraví a sexuálního života subjektů údajů. Toto ustanovení platí s výhradou případů, kdy je zpracování nezbytné např. k obraně životně důležitých zájmů subjektu údajů nebo pro účely zdra-‐ votní prevence či lékařských diagnóz. 4. Zásada informování dotčených osob – správce údajů musí poskytnout oso-‐ bě, od které získává údaje, které se jí týkají, adekvátní informace ohledně zpracování (svou totožnost, účel zpracování a relevantní příjemce údajů). Dále musí správce údajů respektovat právo těchto osob na přístup k úda-‐ jům, které se ho týkají; opravu, výmaz nebo blokování údajů, které nejsou zpracovávány v souladu se směrnicí (zejména z důvodu neúplné nebo ne-‐ přesné povahy údajů). Existují výjimky z této zásady v případě vyšších zá-‐ jmů (bezpečnost státu, obrana, veřejná bezpečnost, stíhání trestných činů, významný hospodářský nebo finanční zájem členského státu nebo EU apod.). 5. Zásada důvěrné povahy a bezpečnosti zpracování – jakákoliv osoba, která jedná z pověření správce údajů nebo zpracovatele údajů, jakož i samotný zpracovatel, který má přístup k osobním údajům, je smí zpracovávat pou-‐ ze dle pokynů správce údajů. Mimo to je správce údajů odpovědný za při-‐ jetí vhodných opatření na ochranu osobních údajů proti náhodnému nebo nedovolenému zničení, náhodné ztrátě, úpravám a neoprávněnému sdě-‐ lování či přístupu. 6. Zásada práva námitky proti zpracování údajů – subjekt údajů musí mít za-‐ ručeno právo vznést námitku z legitimních důvodů proti zpracování osobních údajů, které se ho týkají. Dále je požadováno umožnit vznést námitku proti zpracování osobních údajů pro účely přímého marketingu, příp. před sdělením těchto údajů třetí osobě za stejným účelem. 7. Oznamovací zásada – správce údajů je povinen zaslat oznámení vnitro-‐ státnímu orgánu dozoru před zahájením zpracování. Orgány dozoru po obdržení oznámení provádí předběžná šetření o případných rizicích
26
z hlediska práv a svobod subjektů údajů. Orgány jsou povinny zveřejnit průběh zpracování a vést rejstřík oznámených zpracování. 8. Zásada ochrany v případě porušení práv – každá osoba, jejíž práva v ochraně osobních údajů jsou porušena, musí mít zaručena vnitrostát-‐ ními předpisy předložit věc soudu. V případě poškození neoprávněným zpracováním pak takové osobě přísluší právo na náhradu utrpěné škody. 9. Zásada ochrany osobních údajů při předání do třetí země – je přípustné předat údaje z členského státu do třetí země jen a pouze tehdy, pokud do-‐ tyčná třetí země zajistí odpovídající úroveň ochrany. Výjimky z tohoto pravidla jsou velmi omezené. Současně směrnice zřizuje pracovní skupinu pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů, která je složena ze zástup-‐ ců vnitrostátních orgánů dozoru, zástupců orgánů dozoru vytvořených pro orgány a instituce Společenství, a ze zástupce Komise. Zákon o ochraně osobních údajů6 v České republice je implementací této směrnice a přejímá plně její zásady a principy a ustanovuje odpovědný dozorový orgán. 3.2 Mezinárodní prvek ochrany osobních údajů Evropská unie představuje politický a ekonomický nadstátní útvar, který však neprosazuje své právo přímo prostřednictvím svých Směrnic, ale jeho jednotlivé státy přijímají vlastní národní legislativu, která implementuje Směrnice do svého právní prostředí. Z tohoto hlediska je tedy nutné vždy po-‐ suzovat, které národní právní prostředí se aplikuje v konkrétním posuzova-‐ ném případě, i když si všechny členské implementace odpovídají vzhledem k společnému základu ve Směrnici. Specificky je pak mezinárodní prvek patrný v situacích, kdy jsou osob-‐ ní údaje předávány do či vně území Společenství, neboť Směrnice a následně národní legislativy umožňují volné předávání dat uvnitř Společenství jako podporu volného pohybu osob, zboží a kapitálu. Obecně ze Směrnice vyplývá, že členský stát bude aplikovat své ná-‐ rodní právo v oblasti ochrany osobních údajů tehdy, pokud je zpracování prováděno v rámci činnosti provozovny správce údajů na jeho území a dále bude aplikovat své národní právo ten stát, na jehož území je umístěno zaří-‐ zení pro automatické zpracování osobních údajů, pakliže správce údajů nemá provozovnu na území Společenství. Toto základní ustanovení je pro cloud computing důležité, neboť vy-‐ mezuje, jakým právem se bude řídit zpracování osobních údajů pro jednotlivé správce údajů – primárně se posuzuje podle příslušnosti provozovny správce
27
údajů a pouze pro správce bez provozovny na území EU je uvažován stát, kde je umístěna infrastruktura cloudu. Výjimkou z tohoto pravidla je situace, kdy mezinárodní právo umožňuje uplatňovat vnitrostátní předpisy členského stá-‐ tu i nad územím mimo území Společenstva, kde je umístěna provozovna správce údajů. Pro situace, kdy jsou osobní údaje předávány vně Společenství se apli-‐ kují pravidla o povolení dozorujícího orgánu, která dle Směrnice implemen-‐ toval i český ZoOU a byla již vysvětlena v kapitole 2. Nad rámec ZoOU je Směrnicí stanoven také způsob spolupráce jednotlivých států EU při vyhle-‐ dávání třetích států, které nezajišťují přiměřenou ochranu osobních údajů. Analogicky k českému ZoOU jsou i v případě Směrnice umožněna ces-‐ ta k předání do třetího státu na základě BRC, souhlasu dotčeného subjektu nebo aplikací smluvních doložek – ty jsou navíc ze strany Komise EU stan-‐ dardizovány Rozhodnutím 2004/915/ES Komise ze dne 27. 12. 2004, kterým se mění rozhodnutí 2001/497/ES o zavedení alternativního souboru standardních smluvních doložek pro předávání osobních údajů do třetích zemí21. Uvedené rozhodnutí stanoví povinnost členských států uznat, že spo-‐ lečnosti či organizace, které ve svých smlouvách o předávání osobních údajů do třetích zemí používají takové standardní položky, zajišťují „odpovídající úroveň ochrany“ osobních údajů vyžadovanou Směrnicí. V případě meziná-‐ rodní obchodní smlouvy je tedy vhodné využít rozpracování mezinárodního prvku ochrany osobních údajů z tohoto rozhodnutí, jak je povoleno i národní legislativou (viz ZoOU). 3.3 Stanovisko pracovní skupiny č. 05/2012 ke cloud computingu V kapitole 3.1 bylo popsáno zřízení pracovní skupiny pro ochranu údajů na základě článku 29 směrnice 95/46/ES19 jako nezávislého evropského porad-‐ ního orgánu ve věci ochrany údajů a soukromí. Úkoly této pracovní skupiny jsou dále popsány v článku 30 téže směrnice a článku 15 směrnice 2002/58/ES22. Dne 1. července 2012 přijala tato pracovní skupina souhrnné stano-‐ visko č. 05/2012 k problematice cloud computingu23 s výkladem analýzy otá-‐ 21 EVROPSKÁ UNIE. Rozhodnutí 2004/915/ES Komise ze dne 27. 12. 2004, kterým se mění roz-‐ hodnutí 2001/497/ES o zavedení alternativního souboru standardních smluvních doložek pro předávání osobních údajů do třetích zemí. 22 Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracová-‐ ní osobních údajů a ochraně soukromí v odvětví elektronických komunikací. 23 PRACOVNÍ SKUPINA PRO OCHRANU ÚDAJŮ ZŘÍZENÁ PODLE ČLÁNKU 29 SMĚRNICE 95/46/ES. Stanovis-‐ ko č. 05/2012 ke cloud computingu. Přijato dne 1. července 2012. Online na
28
zek relevantních pro poskytovatele služeb cloud computingu působících v Evropském hospodářském prostoru (dále jen EHP) i jejich zákazníky s při-‐ hlédnutím k platným zásadám stanoveným v odpovídající směrnici EU o ochraně údajů20 a v dalších odpovídajících směrnicích relevantních pro tuto problematiku. Pracovní komise shledává cloud computing z hlediska zpracování osobních údajů za způsob s vyšší úrovní rizika při zpracování než běžné zpracování lokálními prostředky správce či zpracovatele, a to zejména v ob-‐ lasti snížení kontroly nad údaji a v netransparentním způsobu samotného zpracování údajů. V oblasti snížení kontroly nad osobními údaji dochází ke ztrátě výluč-‐ né kontroly zákazníků poskytovatelů cloud computing nad těmito daty a ke snížení možnosti aktivace technických a organizačních opatření nutných k zajištění dostupnosti, integrity, důvěrnosti, transparentnosti a izolovanosti dat a dále ke snížení schopnosti intervence a přenositelnosti údajů. Nedosta-‐ tek kontroly se může projevovat zejména: 1. Snížením dostupnosti dat kvůli chybějící interoperabilitě (dochází zde k jevu tzv. vendor lock-‐in, závislosti na jednotlivých poskytovatelích) – technologie jednotlivých poskytovatelů jsou proprietární a je velmi obtíž-‐ né přenést data k jinému poskytovateli cloudových služeb nebo na lokální řešení. 2. Nedostatečnou integritou způsobenou sdílením zdrojů – v rámci cloudo-‐ vých řešení jsou uchovávána data ve sdílených infrastrukturách, přičemž může dojít k nežádoucímu střetu zájmů při setkání osobních údajů po-‐ cházejících z různých zdrojů. 3. Nedostatečnou důvěrností při vymáhání práva třetí zemí – existuje riziko vydání osobních údajů zpracovaných v cloudu jako předmětu žádosti do-‐ nucovacích orgánů třetích stran v závislosti na majiteli či provozovateli cloudového řešení – v tomto případě by mohlo dojít k průlomu do práva EU a k vydání údajů donucovacím orgánům bez platného právního zákla-‐ du EU, čímž by došlo k porušení právních předpisů EU pro ochranu údajů. 4. Neschopností intervence v rámci řetězce poskytovatelů – cloudové služby nabízené jedním poskytovatelem jsou často míchány ze služeb jiných po-‐ skytovatelů či jsou provozovány na základě dalších služeb ostatních po-‐ skytovatelů XaaS řešení, v rámci těchto řetězců je velmi obtížné zajistit jednotná pravidla zpracování osobních údajů, zejména též vzhledem k dynamice celého procesu (v rámci jedné smlouvy se mohou podmínky průběžně měnit).
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp196_cs.pdf [cit. 9. 3. 2014]
29
5. Neschopností intervence správce údajů – zejména u větších poskytovatelů cloudových služeb nemusí být jednoduché prosadit ekvivalentní opatření a nástroje, které by správci údajů napomohly při správě těchto údajů. 6. Absencí izolovanosti – vzhledem ke sdíleným infrastrukturním zdrojům může u poskytovatelů cloudových služeb docházet na fyzické úrovni k propojování osobních údajů v rámci jednotlivých správců údajů (zákaz-‐ níků), čímž může dojít k získání úplnějšího obrazu o údajích subjektu úda-‐ jů bez možnosti této kontroly ze strany jednotlivých správců údajů. V oblasti netransparentního přístupu ve zpracování samotných údajů vyplývá zvýšené riziko jak pro správce údajů, tak pro jednotlivé subjekty údajů, neboť možná rizika a hrozby jsou více zastřená podmínkami poskyto-‐ vatele cloudové služby nebo řetězce takových poskytovatelů. Potenciální hrozby plynoucí z neobeznámenosti správce údajů s konkrétními řešeními v rámci cloudových služeb mohou vyústit v následující problémy: 1. Řetězec zpracování jednotlivých údajů bude zahrnovat více zpracovatelů a subdodavatelů. 2. Osobní údaje mohou být zpracovávány na různých místech v rámci EU/EHP, což má přímý dopad na užité právní předpisy ve sporech ohled-‐ ně ochrany údajů mezi uživatelem a poskytovatelem. 3. Osobní údaje mohou být v rámci cloudu předávány do třetích zemí mimo EU/EHP, kde nemusí být zajištěna odpovídající úroveň ochrany osobních údajů, může dojít dokonce i k nezákonnému předávání osobních údajů, pokud nebudou zajištěna vhodná ochranná opatření (standardní smluvní doložky, BCR apod.). Pracovní skupina v rámci svých závěrů hledajících cestu k vyřešení výše uvedených problémů v oblasti zpracování osobních údajů v cloud com-‐ puting jako první vymezuje na základě příslušné Směrnice EU19 a na základě svého předchozího stanoviska24 právní rámec a použitelné právo pro uvedené případy. Ve shodě s výše uvedenou kapitolou 3.2 je pro volbu použitelného práva stanovený následující více faktorový postup: 1. Základním faktorem, který vede k použití práva EU na správce osobních údajů je v první řadě místo jeho usazení a provozované činnosti (čl. 4 odst. 1 písm. a)) bez ohledu na použitý model cloudové služby. Použitelné je tak právo země, ve které je správce zadávající služby cloud computingu usazen, a nikoliv místa, v němž se nachází poskytovatelé cloud computin-‐ gu. 24 PRACOVNÍ SKUPINA PRO OCHRANU ÚDAJŮ ZŘÍZENÁ PODLE ČLÁNKU 29 SMĚRNICE 95/46/ES. Stanovis-‐ ko č. 8/2010 k použitelnému právu. Přijato dne 16. prosince 2010. Online na
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp179_cs.pdf
[cit. 29. 3. 2014]
30
2. Pokud by byl správce údajů usazen v různých členských státech a zpraco-‐ vání údajů by tvořilo část jeho činností v těchto státech, použitelné je pak právo každého členského státu, ve kterém se toto zpracování uskutečňuje. 3. Není-‐li správce usazen v členském státu EU, avšak používá-‐li tento správ-‐ ce automatizované či neautomatizované prostředky umístěné na území některého členského státu pro jiný účel než pro účel tranzitu, pak na zá-‐ kladě čl. 4 odst. 1 písm. c) se použije se právo země, kde jsou umístěny použité prostředky – tedy prostředky cloud computingu. Z tohoto vyplý-‐ vá, že zákazník cloudové služby usazený mimo EU/EHP, který využije cloudové služby poskytovatele umístěného v EU/EHP, podléhá předpi-‐ sům EU na základě „exportu“ předpisů na ochranu údajů ze strany posky-‐ tovatele na jeho zákazníka (správce údajů). Vzhledem ke složitosti vztahů a řetězců zúčastněných subjektů v pří-‐ padě cloud computingových služeb je naprosto nezbytné vymezit jednotlivé subjekty, jejich úkoly a odpovědnost na úseku ochrany osobních údajů. Pra-‐ covní skupina se ve své zprávě23 věnuje rozčlenění jednotlivých aktérů a uvedenému vymezení. Již ve svém stanovisku č. 1/201025 poukazuje pracovní komise na po-‐ třebu rozlišit „správce“ a „zpracovatele“ tak, aby hlavním významem pojmu správce bylo určení, kdo je odpovědný za dodržování pravidel pro ochranu údajů a jak mohou subjekty údajů uplatňovat svá práva v praxi. Jinými slovy se snaží přidělit odpovědnost za ochranu osobních údajů. Je tak třeba, aby zúčastněné strany měly tato dvě obecná kritéria odpovědnosti za dodržování příslušných předpisů a přidělení odpovědnosti na paměti v průběhu analýzy jednotlivých aktérů, jejich úkolů a přiřazení odpovědnosti. Zákazník cloudových služeb vždy určuje konečný účel zpracování osobních údajů a rozhoduje o zadání tohoto zpracování nebo jeho části ex-‐ terní organizaci. Zákazník cloudových služeb tak vystupuje v roli správce osobních údajů. Dle směrnice19 se správcem rozumí jakýkoliv fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účel a prostředky zpracování osob-‐ ních údajů. Zákazník cloudových služeb nese své rozhodnutí o užití prostřed-‐ ků cloud computing a tudíž je povinen přijmout odpovědnost za dodržování právních předpisů na ochranu údajů a vztahují se na něj veškeré právní zá-‐ vazky stanovené ve směrnici 95/46/ES19. Poskytovatel cloudových služeb může být pověřen svým zákazníkem výběrem postupů a technických či organizačních opatření, jež mají sloužit 25 PRACOVNÍ SKUPINA PRO OCHRANU ÚDAJŮ ZŘÍZENÁ PODLE ČLÁNKU 29 SMĚRNICE 95/46/ES. Stanovis-‐
ko č. 1/2010 k pojmům „správce“ a „zpracovatel“. Přijato dne 16. února 2010. Online na http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_cs.pdf
[cit. 29. 3. 2014]
31
k naplnění účelu správce údajů. Pokud by poskytovatel cloudových služeb zajišťoval prostředky a platformu a jednal současně jménem zákazníka clou-‐ dových služeb, pak se považuje za zpracovatele údajů a naplnil by příslušné znaky dle výše uvedené směrnice. Pro stanovení, zda se jedná opravdu o zpracovatele údajů je nezbytné provést hodnocení správy příslušného zpracování, např. na základě kritérií vyplývajících ze stanoviska č. 1/201025. Mezi nejdůležitější kritéria patří úroveň předchozích pokynů vydaných správcem údajů, které určují manévrovací prostor zpracovatele údajů, sledo-‐ vání poskytování služby ze strany správce údajů, zviditelnění údajů poskyt-‐ nuté správcem a očekávání subjektů údajů na základě tohoto zviditelnění a odborné znalosti zúčastněných stran. Subdodavatel představuje smluvní stranu v pozici zpracovatele a vy-‐ tvářejí tak řetězce zpracovatelů, kteří dílčím způsobem zpracovávají poskyt-‐ nuté osobní údaje na základě pokynů správce údajů. Každý zpracovatel je po-‐ vinen informovat o svých subdodavatelích v této oblasti svého správce nebo nadřazeného zpracovatele v řetězci subdodavatelů. Na základě názoru pra-‐ covní skupiny lze využít subdodavatele pouze s předchozím souhlasem správce a správce má právo znát smluvní podmínky ochrany osobních údajů uzavřené mezi zpracovatelem a jeho subdodavateli. O tom, zda je zpracovatel či subdodavatel v postavení zpracovatele a jsou opravdu pověřeni úkony zpracování osobních údajů, nebo jsou pouze poskytovateli konkrétních služeb nesouvisejících se zpracováním osobních údajů (byť by teoreticky k uvedeným datům mohli získat přístup) vychází vždy a pouze na základě pověření správce údajů za účelem zpracování nebo dílčího zpracování osobních údajů. Pracovní skupina uvedená výše stanovila (či spíše zdůraznila) základ-‐ ní zásady, na základě kterých lze hovořit o dodržení zákonnosti zpracování osobních údajů v cloudu. Jednotlivé základní zásady vycházejí ze základních principů ochrany osobních údajů v EU a patří mezi ně transparentnost vůči subjektu údajů, dodržení zásady určení a omezení účelu užití osobních údajů, dodržení zásady vymazání osobních údajů v okamžiku, kdy jejich uchovávání již není nutné. Mimo to komise požaduje za nutné, aby poskytovatelé cloudo-‐ vých služeb přijali vhodná technická a organizační opatření, která zajistí od-‐ povídající úroveň ochrany a bezpečnosti údajů. Všechny tyto zásady a záruky vč. přijatých technických a organizač-‐ ních opatření by měly být podpořeny zejména smluvními zárukami ve vztahu správce – zpracovatel, tedy ve vztahu zákazníka cloudových služeb a posky-‐ tovatele cloudových služeb, pokud je pověřen byť jen dílčím zpracováním osobních údajů. Pracovní skupina doporučuje uplatnit tyto smluvní záruky rovněž v ostatních případech, neboť poskytovatel cloudové služby má (teore-‐ ticky) přístup k osobním údajům zpracovávaným správcem údajů v jeho in-‐ frastruktuře/platformě/aplikaci.
32
V zájmu právní jistoty by smluvní podmínky dle názoru pracovní sku-‐ piny23 měly upravovat následující body: 1. Podrobnosti (rozsah a podmínky) pokynů zákazníka určených poskytova-‐ teli, zejména v oblasti platných dohod o úrovni služeb (objektivní a měři-‐ telná kritéria) a příslušné sankce. 2. Bezpečnostní opatření, která musí poskytovatel cloudových služeb dodr-‐ žovat v závislosti na rizicích, které vznikají při zpracování údajů a na po-‐ vaze chráněných údajů. Jde zejména o konkrétní technická a organizační opatření. 3. Předmět a časový rozvrh cloudové služby dodávané příslušným poskyto-‐ vatelem, rozsah, způsob a účel zpracování osobních údajů prováděné po-‐ skytovatelem a typ zpracovávaných údajů. 4. Podmínky navrácení osobních údajů nebo zničení údajů po dokončení služby. 5. Zařazení doložky o mlčenlivosti závazné pro poskytovatele cloudových služeb a všechny jeho zaměstnance, kteří mohou přijít s údaji do styku. 6. Povinnost poskytovatele podporovat zákazníka při usnadňování výkonu práv subjektů údajů na přístup ke svým údajům, na jejich opravu a výmaz. 7. Výslovný zákaz pro poskytovatele cloudových služeb pro nesdělování údajů třetím stranám a to ani pro účely uchovávání, s výjimkou ustanove-‐ ní o subdodavatelích a rozsahu jejich pověření (viz výše diskuze o subdo-‐ davatelích a řetězcích zpracovávatelů). 8. Zpřesnění oznamovací povinnosti poskytovatele cloudových služeb vůči zákazníkovi v případě jakéhokoliv narušení ochrany údajů. 9. Povinnost poskytovatele cloudové služby poskytnout seznam míst, ve kterých mohou být údaje zpracovávány. 10. Právo správce na dohled a příslušnou povinnost poskytovatele cloudo-‐ vých služeb spolupracovat. 11. Zajištění informovanosti zákazníka o relevantních změnách na straně po-‐ skytovatele cloudové služby vč. zavádění nových funkcí. 12. Úpravu evidence a kontroly příslušného zpracovávání osobních údajů, které provádí poskytovatel cloudové služby nebo jeho subdodavatelé. 13. Povinnost oznamovat zákazníkovi cloudových služeb veškeré právně zá-‐ vazné požadavky na zveřejnění osobních údajů ze strany donucovacího orgánu, pokud tak nezakazuje trestní právo. 14. Obecná povinnost poskytovatele cloudových služeb zaručit, že jeho vnitř-‐ ní organizace a systémy zpracování údajů jsou v souladu s použitelnými vnitrostátními a mezinárodními právními požadavky a normami. Čl. 17 odst. 2 směrnice 95/46/ES19 vyžaduje po zákaznících cloudo-‐ vých služeb, kteří jednají jako správci údajů, vybrat si takové poskytovatele technického řešení (a tedy poskytovatele cloudových služeb), kteří přijmou vhodná technická a organizační opatření na ochranu osobních údajů, za která
33
odpovídají. Mezi tyto cíle patří požadavky v oblasti bezpečnosti, dostupnosti, důvěrnosti a integrity dat, stejně jako požadavky na transparentnost, izolo-‐ vanost, schopnost intervence, odpovědnost a přenositelnost zmíněné výše. Dostupnost představuje zajištění včasného a spolehlivého přístupu k osobním údajům, přičemž na tomto poli lze očekávat nejen technická a technologická selhání, ale zejména záměrné útoky proti osobním údajům technikami distribuovaného odepření služby (Denial of Service). Integritu můžeme definovat jako vlastnost spočívající v pravosti údajů, které nebyly během zpracovávání, uchovávání nebo předávání nijak zlovolně či náhodně pozměněny. Existují technické prostředky eliminace narušení údajů jak v oblasti uchování (šifrování) a zpracování (autentizace), tak v ob-‐ lasti zpětné detekce existence problémů (systémy detekce a prevence naru-‐ šení síťového prostředí, IPS/IDS systémy). Důvěrnost představuje v prostředí cloudu vlastnost zaručeného půvo-‐ du původních údajů a zamezení jejich kompromitace vydáním neoprávněné třetí osobě. Důvěrnost je zajišťována šifrováním jak při uložení dat (IaaS), tak při zpracování a poskytování dat (ostatní XaaS modely). Dalším mechanis-‐ mem pro zajištění důvěrnosti je autorizace a přísné ověřování přístupu, např. na základě dvou a více-‐ faktorové identifikace. Transparentnost je vlastnost vyžadující možnost přezkumu provádě-‐ ných operací a stavu uchovávání, dnes je možné ji dosahovat vedením audit-‐ ních záznamů a tzv. logů zpracování (deníků provedených operací). Izolovanost představuje omezení zpracování údajů na předem stano-‐ vený účel jejich fyzickým nebo logickým oddělením od ostatních údajů. V stá-‐ vajících multi-‐tenant systémech (systémech se sdílenými zákazníky) tohoto lze dosáhnout přísným systémem oprávnění pro přístup k údajům (autoriza-‐ cí) na všech vrstvách služeb a systémů. Obecněji řešeno, administrátoři a uži-‐ vatelé musí mít zajištěn přístup jen k těm informacím, které jsou nezbytné pro jejich legitimní účely podle zásady přidělení minimálních oprávnění. Schopnost intervence představuje smluvní opatření pro zajištění pro-‐ sazení práv subjektů údajů na přístup, opravu, výmaz a blokování údajů a pro zajištění jeho práva na námitku. Zákazník cloudových služeb nemůže toto opatření vždy zajistit sám bez spolupráce poskytovatele služby. Přenositelnost představuje požadavek na využívání standardních pro-‐ tokolů, datových formátů a rozhraní u poskytovatelů služeb tak, aby byla za-‐ jištěna možnost přechodu k jinému poskytovateli bez výrazných dodatečných nákladů. Jde o zamezení vendor lock-‐in syndromu na všech úrovních posky-‐ tovaných řešení cloud computingu. Odpovědnost v oblasti IT úzce souvisí s požadavkem transparentnosti, tedy se schopností zjistit, jakým způsobem docházelo k přístupu a manipulaci s osobními údaji v minulosti za účelem monitorování a evidence plnění zásad ochrany údajů. Poskytovatelé cloudových služeb by měli být schopni doložit
34
rovněž písemné dokladu o vhodných a účinných opatřeních, jejichž výsled-‐ kem je plnění zásad ochrany údajů uvedených výše v textu. Vzhledem k problematickému zajištění omezení volného pohybu osobních údajů do zemí mimo EU/EHP, jak je vyžadováno čl. 25 a 26 směrni-‐ ce 95/46/ES19, je třeba zavést dle závěrů pracovní skupiny23 dodatečná opat-‐ ření. Tradiční právní nástroje umožňující předávání údajů do třetích zemí v případě cloud computingu navrženého primárně jako globální služba nará-‐ žejí velmi brzy na své limity. V rámci mezinárodního předávání údajů v prostředí cloud computing nelze dle závěrů pracovní skupiny plně důvěřovat definici tzv. „bezpečného přístavu“, tedy zeměpisně omezené zemi a organizacím z této země, které dodržují stanovené zásady pro ochranu osobních údajů. V rámci prostředí cloud computing bohužel absentuje účinná možnost prosazovat zásady ochrany osobních údajů a zákazník cloudové služby by se měl proto sám pře-‐ svědčit u konkrétního provozovatele cloudové služby, jak ctí a dodržuje pří-‐ slušné zásady, v jakých lokalitách bude uchovávat a zpracovávat údaje zá-‐ kazníka a jaké vnitrostátní předpisy budou při takovém zpracování apliková-‐ ny. Jednotlivé země spadající pod „bezpečný přístav“ (Safe Harbor) se ob-‐ vykle smluvně zavazují vůči Evropské komisi k dodržování standardů ochra-‐ ny osobních údajů obdobné Evropské unii (v současné době zejména Spojené státy americké, Švýcarsko). Specifická rizika spojená s cloud computingem (ztráta kontroly, neza-‐ bezpečený nebo neúplný výmaz údajů, nedostatečné auditní stopy a selhání izolovanosti) nejsou dostatečně ošetřeny stávajícími zásadami „bezpečného přístavu“ k bezpečnosti údajů, jak je definováno ve směrnici 95/46/ES19. Standardní smluvní doložky přijaté Komisí EU za účelem stanovení rámce pro mezinárodní předávání údajů mezi dvěma správci údajů nebo me-‐ zi správcem a zpracovatelem údajů jsou založeny na dvoustranném přístupu. Pokud je poskytovatel cloudových služeb považován za zpracovatele, mohou být mezi ním a správcem údajů sjednány podle rozhodnutí Komise 2010/87/EU26 vzorové doložky jakožto základ pro prostředí cloud compu-‐ ting, jež nabízí dostatečná ochranná opatření v kontextu mezinárodního pře-‐ dávání údajů. Pracovní skupina dále konstatuje, že mimo těchto standardních smluvních doložek by poskytovatelé cloudových služeb mohli zákazníkům 26 EVROPSKÁ KOMISE. Rozhodnutí komise ze dne 5. února 2010 o standardních smluvních dolož-‐ kách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES. Online na http://eur-lex.europa.eu/LexUriServ/
LexUriServ.do?uri=OJ:L:2010:039:0005:0018:CS:PDF [cit. 30. 3. 2014]
35
nabízet i ustanovení, která vycházejí z jejich praktických zkušeností, pokud nejsou v přímém rozporu s uvedenými standardními smluvními doložkami. Pro poskytovatele vystupující jako zpracovatelé usazené v EU je však situace komplikovanější, neboť existující vzorové doložky se obecně vztahují pouze na předávání údajů od správce údajů v EU zpracovateli mimo EU (více viz závěry rozhodnutí Komise o standardních doložkách 2010/87/EU, což přesahuje rozsah této práce). Jde-‐li o smluvní vztah mezi zpracovatelem mimo EU a dílčím zpraco-‐ vatelem, měla by existovat vždy písemná smlouva, která dílčím zpracovate-‐ lům ukládá stejné povinnosti, jaké mají zpracovatelé stanoveny ve vzorových doložkách EU.
36
4
Případy užití osobních údajů v cloud computingu
Cloud computing jako fenomén současné doby nachází využití ve stále více a více doménách a nové způsoby jeho využití přicházejí každý den. V této kapi-‐ tole se budeme snažit popsat základní modely využití cloud computingu na příkladech ze současné IT praxe, ve kterých dochází k odlišné kombinaci růz-‐ ných aktérů v některém z následujících případů důvodu uchování a zpraco-‐ vání osobních údajů: 1. Právní norma povoluje uchování a zpracování osobních údajů subjektu u provozovatele cloudové služby v poskytnutém rozsahu. 2. Osobní údaje subjektu jsou uchovávány z důvodu potřeby subjektu údajů umožnit provozovateli cloudové služby jeho data zpracovávat. 3. Požadavek provozovatele cloudové služby na uchování či zpracování osobních údajů subjektu údajů pro pozdější využití, pokud neexistuje bezprostřední potřeba subjektu údajů pro takové uchování či zpracování. 4. Neoprávněné uchovávání osobních dat s i bez souhlasu subjektu údajů bez zřejmého účelu ze strany zákazníka nebo provozovatele cloudové služby. 5. Obchodování a jiné speciální využití osobních údajů ze strany provozova-‐ tele cloudu, tedy typicky situace prodeje získaných osobních údajů třetí straně. Následující příklady užití osobních údajů jsou rozděleny do tří katego-‐ rií podle stupně obtížnosti obchodního vztahu (počet zúčastněných subjektů, způsob uchování a zpracování osobních údajů, přítomnost mezinárodního prvku v rámci Evropské unie, přítomnost mezinárodního prvku přes hranice Evropské unie). V jednotlivých kategoriích se budou vyskytovat případy spa-‐ dající do některého z výše uvedených důvodů. 4.1 Přímé využití cloudové služby ze strany subjektu údajů Nejjednodušší formou využívání cloudové služby je situace, kdy subjekt údajů je zároveň zákazníkem vybrané cloudové služby a bezprostředně si její služby objednává a tyto služby využívá (konzumuje). Poskytovatel cloudové služby pak nabízí převážně koncovou službu, v méně častých případech (a pro po-‐ kročilé zákazníky) rovněž infrastrukturu nebo platformu27. Asi nejběžnější způsob využívání cloudové služby v České republice představuje zřízení e-‐mailové schránky nebo registrace do portálu sociální či 27 Z pohledu technologie cloud computing je platforma a infrastruktura velmi specifický typ nabízené služby, která je obvykle poskytována jak koncovým zákazníkům, tak zejména ostatním provozovatelům cloudových služeb.
37
komunitní sítě, přičemž většina těchto služeb je v současné době nabízena formou cloudové služby. I v těchto případech je pak vhodné rozlišit situace, kdy je společnost nebo jí spravovaná data usazeny v Evropské unii a kdy se jedná o službu společnosti např. ze Spojených států amerických, která má da-‐ ta umístěny rovněž mimo území Evropské unie. PŘÍPAD 1: Zřízení e-‐mailové schránky ve službě Seznam.cz E-‐mailovou schránku si registruje přímo subjekt údajů na webovém portálu www.seznam.cz, který provozuje společnost Seznam.cz, a.s., se sídlem Rad-‐ lická 10, Praha, tedy společnost usazená v Evropské unii, konkrétně v České republice. V rámci registrace nového uživatele souhlasí 28 registrující s podmínkami použití služeb Seznam.cz, jejichž součástí je i udělení výslov-‐ ného souhlasu v souladu s ustanovením § 5 ZoOU provozovateli, tedy této obchodní společnosti. Registrující nemůže rozlišit, zda jsou služby uvedené obchodní spo-‐ lečnosti provozovány z její místní infrastruktury (vlastní či najaté) nebo zda je využita další infrastruktura cloudového typu formou služby, z jeho pohledu je samotná služba zřízení e-‐mailové schránky poskytována modelem SaaS z privátního cloudu společnosti Seznam.cz, a.s. Privátní cloud a tedy i vlastní data mohou být umístěny nejen lokálně (jako tomu je u této společnosti), ale rovněž v datovém centru mimo území Evropské unie. Z hlediska zpracování osobních údajů je možné nalézt dva základní případy užití a zpracování těchto dat pomocí služeb uvedeného portálu: 1. V rámci registrace služeb od společnosti Seznam.cz jsou sbírány identifi-‐ kační údaje (e-‐mail, rok narození, jméno a příjmení, místo bydliště, příp. jeho fotografie), které může dále společnost Seznam.cz využít v souladu s podmínkami použití jejích služeb. 2. Samotný subjekt údajů může zasílat osobní údaje prostřednictvím e-‐ mailu a uchovávat e-‐maily s osobními údaji svými, svých komunikačních partnerů (v záhlaví každého e-‐mailu je možné nalézt osobní údaje) nebo např. zákazníků (pokud využije e-‐mail od Seznam.cz pro uchování kopií objednávek z e-‐shopu, které budou obsahovat osobní údaje jeho zákazní-‐ ků).29 28 SEZNAM.CZ. Smluvní ujednání upravující užívání služeb poskytovaných společností Seznam.cz, a.s. Online na https://registrace.seznam.cz/licenceScreen [cit. 5. 4. 2014] 29 Zhodnocení jednotlivých případů užití a správné chování pro jednotlivé aktéry je předmě-‐ tem následující kapitoly.
38
PŘÍPAD 2: Využití sociální sítě Facebook Fenomén sociálních, komunitních a profesních sítí, ve kterých uživatelé vzá-‐ jemně sdílejí informace o sobě, svých kontaktech a aktuálním dění ve svém okolí, je dnes všudypřítomný a výrazně změnil nahlížení i přístup k využití celosvětové počítačové sítě běžnými uživateli. Současně také tento fenomén vnesl do problematiky osobních údajů a jejich ochrany zcela nové prvky a přístupy, neboť prostřednictvím těchto sítí řada subjektů údajů dobrovolně sdílí množství jinak osobních údajů30. Provozovatelé těchto sítí také nemusí být a obvykle nejsou rezidenty stejného státu jako subjekt údajů, i když v oblasti vlastnictví a správy osobních údajů zakládají specializované společ-‐ nosti např. v Evropské unii. Nejvíce užívanou sociální sítí současnosti je síť Facebook, původně vyvinutá a provozovaná společností Facebook Inc., 1601 Willow Road, Menlo Park, CA 94025, Spojené státy Americké. V současné době podle doplňujících informací k zásadám používání dat provozovatele služby Facebook31 jsou služby pro uživatele mimo území Spojených států amerických a Kanady nabí-‐ zeny a zajišťovány dceřinou společností Facebook Ireland Ltd., Hanover Re-‐ ach, 5-‐7 Hanover Quay, Dublin, Irsko. Uvedená společnost založená a regis-‐ trovaná v Irsku jako soukromá akciová společnost má kontrolu nad veškerý-‐ mi daty a odpovídá za Vaše osobní údaje. Uvedená společnost je tedy usazená v Evropské Unii, avšak v jiné zemi než subjektů údajů pocházející např. z České republiky. Na základě auditu32 prováděném irským úřadem komisaře pro ochra-‐ nu údajů v roce 2011 bylo zjištěno, že Facebook Ireland Ltd. v roli správce údajů využívá společnost Facebook Inc. v roli zpracovatele údajů pro provoz a zajištění veškerého provozu vlastní sítě Facebook pro uživatele mimo úze-‐ mí Spojených států amerických a Kanady. 30 Dobrovolné sdílení (a tedy zveřejnění) osobních údajů na sociální síti přenáší stanovení
účelu použití těchto dat na vlastní subjekt údajů (on rozhodl, že jeho údaje budou sdíleny a zveřejněny), avšak současně tento subjekt nemůže vykonávat vlastní správu těchto údajů na sociální síti (není v jeho možnostech zajistit odpovídající technické a organizační opatření na ochranu svých údajů). Z tohoto hlediska lze tedy zveřejnění chápat spíše jako implicitní vy-‐ jádření souhlasu subjektu údajů s dalším zpracováním jeho údajů formou zveřejnění. Objem a množství takto získaných údajů pak výrazně usnadňuje kombinaci získaných údajů jednot-‐ livých uživatelů a tím zvýšení rizika útoku proti takové databázi osobních údajů. 31 FACEBOOK. Zásady používání dat – Některé další věci, které je třeba vědět. Online na https://www.facebook.com/about/privacy/other [cit. 5. 4. 2014] 32 OFFICE OF THE DATA PROTECTION COMMISSIONER OF IRELAND. Facebook Ireland Ltd. Report of Audit from 21 December 2011. Online na http://dataprotection.ie/documents/facebook%20report/final%20report/report.pdf [cit. 5. 4. 2014]
39
Facebook sám pro zajištění svého smluvního vztahu mezi Facebook Ireland Ltd. a Facebook Inc. dle svého prohlášení31 postupuje v souladu s ev-‐ ropskými předpisy o principu bezpečného přístavu (Safe Harbor33), které by-‐ ly stanoveny dohodami mezi Spojenými státy americkými, Evropskou unií a Švýcarskem. S předáváním informací ke zpracování na území Spojených států amerických navíc explicitně uživatel souhlasí v Prohlášení o právech a po-‐ vinnostech 34 , které je přijímáno jako součást podmínek provozu služby při registraci služby. Z hlediska zpracování osobních údajů lze identifikovat čtyři různé způsoby zpracování osobních údajů v rámci sociální sítě Facebook, kterou lze obecně považovat za globální cloudovou službu35 typu SaaS36: 1. Identifikační údaje sbírané v okamžiku registrace do sociální sítě (jméno, příjmení, datum narození, pohlaví) jsou postupně doplňovány dalšími údaji (místo narození, bydliště, vzdělání, povolání) a tyto údaje mohou být využity společností Facebook Ireland Ltd. (ve Spojených státech ame-‐ rických a Kanadě společností Facebook Inc.) a jejími partnery k rozvoji sociální sítě, k ochraně práv a majetku, k poskytování informací Vašim přátelům, k určení účinnosti a analýze reklam, k sdílení zajímavých in-‐ formací mezi Vašimi přáteli a k internímu využití. Tyto údaje navíc mohou být doplňovány řadou dalších údajů o subjektu údajů, zejména automa-‐ ticky přijaté údaje z příslušného počítače, poloha subjektu pomocí GPS a rozšiřovány také o údaje poskytnuté přáteli subjektu. Tento rozsáhlý soubor informací může být využit k mnoha dalším účelům.37 2. Subjekt údajů může zveřejňovat řadu osobních údajů svým přátelům38 nebo široké veřejnosti prostřednictvím tzv. zdi. I přes osvětovou snahu 33 U.S. DEPARTMENT OF COMMERCE. U.S.-‐EU Safe Harbor List. Online na https://safeharbor.export.gov/list.aspx [cit. 5. 4. 2014] 34 FACEBOOK. Prohlášení o právech a povinnostech. Online na
https://www.facebook.com/legal/terms [cit. 5. 4. 2014] 35 Specifickým průlomem do globálnosti této sociální sítě je rozhodnutí německého odvola-‐
cího soudu v Berlíně (volně přeloženo z http://www.berlin.de/sen/justiz/gerichte/kg/ presse/archiv/20140214.1835.394435.html), který jednoznačně stanovil, že ani globální so-‐ ciální síť nesmí porušovat práva německých občanů podle německého práva – a Facebook tak pro uživatele v Německu ve svých podmínkách použití služby upravuje, že na tyto uživa-‐ tele se vztahuje německé právo vč. práva na anonymní užívání Facebooku bez nutnosti uchovávat osobní údaje dané osoby. 36 AVINASH, C. Cloud computing: How tech giants like Google, Facebook, Amazon store the world's data. Online na http://articles.economictimes.indiatimes.com/2012-05-27/news/ 31860969_1_instagram-largest-online-retailer-users [cit. 11. 4. 2014] 37 FACEBOOK. Zásady používání dat – informace, které o vás získáváme, a způsob jejich použití. Online na https://www.facebook.com/about/privacy/your-info [cit. 5. 4. 2014] 38 Např. informace o svých přátelích, jejich identifikační údaje, adresu bydliště, narozeniny apod.
40
provozovatele sociální sítě může dojít k tomu, že uživatel zveřejní řadu zadaných údajů nevědomky (údaje jsou společné s těmi, které se využívají v prvním případě, navíc Facebook sám implicitně navrhuje tyto údaje sdí-‐ let s ostatními uživateli). 3. Dále je možné, že subjekt údajů uchovává některé osobní údaje třetích stran v privátní části Facebooku – ve dvoustranných zprávách nebo v osobních (jako soukromé označených) příspěvcích. Jedná se sice o méně tradiční způsob využití sociální sítě Facebook, avšak způsob možný. 4. Informace a údaje vložené subjektem mohou být dále sdíleny (a to i omy-‐ lem) autorům rozšíření (plug-‐ins), které jsou součástí portálu a jsou na-‐ vzájem doporučovány mezi jednotlivými uživateli. Tato rozšíření mohou přistupovat k osobním údajům pouze na základě explicitního povolení uživatele, toto povolení však méně znalý subjekt údajů vydá i tehdy, po-‐ kud si není bezprostředně jist účelem (tento způsob je často využíván k podvodnému získání dalších údajů a informací o subjektu, které on pů-‐ vodně nechtěl sdílet nebo zveřejnit – uvedený přístup může být klamáním uživatele a podvodným způsob může získat souhlas se zpracováním jeho údajů). Tímto způsobem dochází nejčastěji ke ztrátě kontroly nad osob-‐ ními údaji. PŘÍPAD 3: Sdílení dokumentů prostřednictvím služby Dropbox Sdílení dokumentů mezi více počítači stejného uživatele i sdílení dokumentů mezi více uživateli je často poptávanou službou v cloudovém prostředí. Jed-‐ nou z nejznámějších služeb pro poskytování „virtuálního diskového prosto-‐ ru“ je služba Dropbox provozovaná společností Dropbox, Inc., jejíž hlavní síd-‐ lo se nachází v San Francisco, CA, Spojené státy americké. Společnost jako ta-‐ ková je však registrována ve státě Delaware, USA. Uvedená společnost není rezidentem v Evropské unii, subjekt údajů z EU uzavírá smlouvu přímo s mateřskou společností ve Spojených státech amerických a to souhlasem s podmínkami služby a podmínkami na ochranu osobních údajů a soukromí.39 Společnost Dropbox, Inc. přistoupila na podmínky bezpečného přísta-‐ vu stanovené dohodou mezi Spojenými státy americkými, Evropskou unií a Švýcarskem (analogicky ke společnosti Facebook Inc. z předchozího přípa-‐ du), avšak jako správce údajů vystupuje přímo mateřská společnost z USA, nikoliv s ní spřízněná evropská společnost. 39 DROPBOX. Terms of Service and Privacy Policy. Online na https://www.dropbox.com/privacy [cit. 5. 4. 2014]
41
Z hlediska zpracování osobních údajů můžeme identifikovat tři zá-‐ kladní způsoby zpracování údajů analogické předchozím případům, v tomto případě lze Dropbox považovat jak za službu typu SaaS (využíváme službu sdílení dokumentů), tak za službu typu PaaS (pronajatý virtuální diskový prostor představuje platformu pro další služby): 1. Zpracování identifikačních údajů vložených při registraci (jméno, příjme-‐ ní, e-‐mailová adresa, pravděpodobně rovněž IP adresa registrujícího počí-‐ tače40) přímo společností Dropbox, Inc. 2. Uchovávání osobních údajů třetích stran v dokumentech uchovávaných pouze pro potřeby jednotlivce (jednoho registrovaného zákazníka) v pro-‐ najatém diskovém prostoru. 3. Sdílení osobních údajů k dalšímu zpracování nebo jen prosté uložení těch-‐ to údajů v dokumentech sdílených mezi více uživateli služby – v podniko-‐ vém nebo komunitním využití uvedené služby. Společnost Dropbox, Inc. výslovně uvádí, že ručí za zpřístupnění těchto dat pouze takovým uživate-‐ lům, které určil její zákazník – správce údajů. PŘÍPAD 4: Ukládání poznámek ve službě Fetchnotes Ukládání a sdílení poznámek je jedna ze základních činností, ke které člověk využívá prostředky výpočetní techniky, cloudové služby nevyjímaje. Existuje velké množství společností a produktů, které je možné pro ukládání zpráv, jejich sdílení a prohledávání využít. Při namátkové kontrole autorovi zná-‐ mých služeb všechny ctí princip Safe Harbor a respektuje ochranu osobních údajů v podobném rozsahu, jako společnosti v předchozích případech. Na Internetu však nalezneme také mnoho menších start-‐up společnos-‐ tí, které ještě nemají dostatečnou znalost v oblasti ochrany osobních údajů, netuší svůj globální potenciál nebo nemají ambice působit na trhu Evropské unie. Přesto však jejich služby jsou dostupné z Evropské unie a nezkušený uživatel je tak může snadno využít. Jednou z takovýchto služeb je služba Fe-‐ tchnotes, kterou vytváří a provozuje společnost Fetchnotes, Inc., 3122 Vista-‐ brook Ave SE, Grand Rapids, MI 49512, Spojené státy americké. Uvedená služba, vytvářená několikačlenným start-‐upem, umožňuje uchovávat Vaše poznámky získané z webové aplikace, mobilního telefonu, e-‐mailu, SMS nebo telefonního hovoru a třídit tyto informace způsobem velmi podobným službě Twitter. Při registraci této služby uživatel nepotvrzuje žádné podmínky použi-‐ tí, přesto tyto podmínky existují na speciální stránce41, stejně jako podmínky 40 Řada identifikačních údajů je automaticky odesílána s každým požadavkem uživatele we-‐ bového prohlížeče (IP adresa počítače, typ prohlížeče, operační systém, geografický region apod.).
42
na ochranu osobních údajů42, které však neobsahují žádná opatření odpoví-‐ dající principu Safe Harbor nebo standardním pravidlům Evropské unie – i když obsahem a náplní ochrany jsou obdobná ujištění a obdobný rozsah služeb. Vzhledem k dobrovolnému přijetí opatření proti zcizení osobních údajů nepůjde pravděpodobně o záměr provozovatele neřešit ochranu osob-‐ ních údajů v Evropě, ale spíše na neznalost prostředí a způsobu této ochrany mimo Spojené státy americké. Vzhledem k tomu, že uvedená služba je velmi jednoduchá SaaS služba a neeviduje žádné osobní údaje pro své potřeby, přichází v úvahu jen dvě možná zpracování osobních údajů: 1. Subjekt údajů si uchovává své údaje či údaje třetích stran ve vlastních po-‐ známkách pro své potřeby. 2. Subjekt údajů tyto své poznámky se svými údaji či údaji třetích stran sdílí s ostatními uživateli prostřednictvím odkazování na jiné uživatele (spo-‐ lupráce nad poznámkami). PŘÍPAD 5: Pronájem serveru prostřednictvím služby Amazon AWS Existují případy, kdy běžnému uživateli nepostačí jen využívat nabízené služby třetích stran, ale má sám zájem využít dostupnou infrastrukturu stá-‐ vajících veřejných cloudů – ať již za účelem poměrně jednoduchého základ-‐ ního využití uvedené infrastruktury (zálohování, sdílení, zveřejňování údajů), tak za účelem vytváření nových služeb základní úrovně (webový server, vlastní poštovní server, diskuzní fórum, obchodní databáze apod.). Jedním z předních světových hráčů nabízejících infrastrukturu nejen pro právnické osoby, ale prakticky pro libovolné uživatele, je společnost Amazon.com, Inc. Tato společnost, původně zajišťující prodej knih přes In-‐ ternet, získala díky svým obchodním a technickým zkušenostem převahu a náskok v budování rozsáhlých datových center po celém světě, ze kterých nabízí cloudové služby typu IaaS všem typům zákazníků. Její nejznámější cloudová služba se nazývá Amazon Web Services (AWS) a zahrnuje výpočetní výkon, datové úložiště, zasílání zpráv, databázi, infrastrukturu, virtuální sítě, platební brány a další specializované služby. Tyto služby provozuje dceřiná společnost Amazon Web Services, Inc. se sídlem v Seattle, WA, Spojené státy americké. 41 FETCHNOTES. Site Terms and Conditions of Use. Online na http://www.fetchnotes.com/#/tos [cit. 5. 4. 2014] 42 FETCHNOTES. Privacy policy. Online na http://www.fetchnotes.com/#/privacy [cit. 5. 4. 2014]
43
Během registračního procesu jednotlivých IaaS služeb tohoto posky-‐ tovatele je nezbytné souhlasit s registračními podmínkami vč. prohlášení o ochraně údajů43. V rámci tohoto prohlášení jsme informováni, že společnost Amazon Web Services, Inc., stejně jako ostatní společnosti holdingu Amazon a přímí obchodní partneři dodržují pravidla Safe Harbor pro ochranu osob-‐ ních údajů a tudíž údaje osob z Evropské unie budou pod ekvivalentní ochra-‐ nou jako by byly uloženy u evropského poskytovatele. Součástí řídícího panelu služeb Amazon Web Services je dále možnost definovat provoz jednotlivých pronajímaných služeb (částí infrastruktur) v přidělených geografických lokacích – zákazník tak má možnost stanovit, že si pronajímá infrastrukturu fyzicky se nacházející uvnitř Evropské unie (v Irsku), ve Spojených státech amerických (několik lokalit) nebo mimo úze-‐ mí těchto států. Sám si tak může ovlivnit podle lokálních podmínek, kde bude jeho služba provozována. Z hlediska ochrany osobních údajů u této IaaS služby můžeme rozlišit celkem tři scénáře: 1. Osobní údaje pronajímatele jsou uchovány u společnosti Amazon Web Services, Inc. a mohou být jí využity – jde o identifikační a fakturační úda-‐ je subjektu pronajímajícího si infrastrukturu. 2. Na infrastruktuře mohou být přítomny osobní údaje, jejichž správcem je pronajímatel, který nadále rozhoduje o využití této infrastruktury (lze očekávat, že v základní podobě je infrastruktura dostupná též provozova-‐ teli cloudové služby, který je tak zpracovatelem, neboť i uchování je zpra-‐ cováním44). 3. Infrastruktura může být použita pro provoz dalších PaaS nebo SaaS slu-‐ žeb, kde zpracování může/ale nemusí nadále vykonávat zákazník cloudo-‐ vé služby – v tomto případě se již ale dostáváme do komplikovanějšího subdodavatelského řetězce, který budeme rozebírat v další části této ka-‐ pitoly. 4.2 Zpracování údajů zákazníkem služby cloud computingu Složitějším případem využití cloud computingu je situace, kdy koncový zá-‐ kazník (subjekt údajů) pouze využívá běžnou službu sítě Internet a nemůže 43 AMAZON WEB SERVICES. AWS Privacy. Online na http://aws.amazon.com/privacy/ [cit. 5. 4. 2014] 44 Zpracovatel v podobě provozovatele cloudové služby zde má možnost přistoupit k údajům
umístěným na infrastruktuře, pokud tyto údaje nejsou explicitně šifrovány. Vzhledem k objemu pronajímané infrastruktury ze strany Amazon Web Services, Inc., je však pravdě-‐ podobnost přístupu a nalezení příslušných osobních údajů vysoce nepravděpodobná – avšak stále možná (a tudíž je nezbytné ji z pohledu práva řešit).
44
tušit, že poskytovatel uvedené služby dále využívá služeb cloud computing pro uchování a zpracování údajů. Uvedený poskytovatel služby je současně zákazníkem služby cloud computing, která je však pro koncového uživatele zcela skryta. V této situaci tak musíme rozlišit subjekt údajů (koncového zákazní-‐ ka), správce údajů (poskytovatele služby koncovému zákazníkovi, současně zákazníka služby cloud computing) a poskytovatele cloudové služby, který může vystupovat jak v roli zpracovatele osobních údajů, tak v roli subdoda-‐ vatele infrastrukturní/platformní služby. Jednotlivé možné situace si dále ukážeme na konkrétních případech. PŘÍPAD 6: Nákup na e-‐shopu provozovaném v cloudu Nákupy prostřednictvím internetových obchodů (e-‐shopů) jsou stále běžněj-‐ ší, neboť představují pohodlný ekvivalent nákupu v klasických prodejnách (zákazník si může důkladně rozmyslet svoji koupi, získat více informací o na-‐ kupovaných výrobcích, méně podléhá tlaku marketingových kampaní a ne-‐ musí se dopravovat k prodejci). Mnoho obchodníků však neprovozuje svůj e-‐shop na svých vlastních centrech, ale využívá služeb cloudové infrastruktury typu IaaS, PaaS nebo Sa-‐ aS. Mezi hlavní výhody provozu e-‐shopu v cloudu pak patří zejména vysoká míra dostupnosti (bezvýpadkový provoz), nižší provozní náklady, jednodušší pokrytí více geografických regionů a jednodušší správa e-‐shopu, pokud je na tuto službu najmuta outsourcingová společnost. Příkladem e-‐shopu provozovaném v cloudu je e-‐shop www.vipvina.cz společnosti V.I.P. FIRST STORE s.r.o., Skryjova 8, 614 00 Brno, Česká republi-‐ ka. Tento e-‐shop se zaměřuje na prodej značkových vín a rumů koncovým spotřebitelům. Z jeho obchodních podmínek45, které je nezbytné před náku-‐ pem v tomto e-‐shopu přijmout, neplyne žádný souhlas s poskytováním osob-‐ ních údajů, které jsou však evidentně v pokladně sbírány (zda jsou dále nějak využívány jinak než pro zákonné účely zatím nelze rozhodnout). Autor práce ví, že uvedené řešení je provozované u jiného poskytova-‐ tele infrastrukturních služeb v režimu IaaS. Ukládané údaje tak prochází in-‐ frastrukturou pod kontrolou třetí společnosti, o čemž v obchodních podmín-‐ kách není žádná zmínka. 45 V.I.P. FIRST STORE. Obchodní podmínky. Online na http://www.vipvina.cz/index.php?route=information/information&information_id=5
[cit. 5. 4. 2014]
45
Uvedené řešení z hlediska zpracování osobních údajů přináší následu-‐ jící otevřené problémy: 1. Absence informace o zpracování osobních údajů je možná pouze při účelu sběru a zpracování vymezeném zákonem – některá ustanovení obchod-‐ ních podmínek však naznačují, že jsou údaje využívány i k marketingo-‐ vým účelům, tedy nad onen uvedený zákonný rámec. 2. Údaje prochází infrastrukturou třetí strany, která může údaje zpracovávat na pokyn provozovatele e-‐shopu nebo může pouze poskytovat infrastruk-‐ turu pro provoz (a pak nepřistupuje k údajům nebo k nim přistupuje ne-‐ oprávněně, podle jednotlivých případů) – o skutečnosti, v jakém režimu pracuje poskytovatel infrastruktury však není na e-‐shopu žádná zmínka. PŘÍPAD 7: Nákup na hostovaném e-‐shopu Složitější situace při nakupování v elektronickém obchodě nastává v situaci, kdy provozovatel elektronického obchodu využije služeb společnosti, která zajistí hostování celého řešení elektronického obchodu na své straně. Tento přístup umožňuje výrazně snížit cenu celého řešení a zjednodušit procesy na straně prodávajícího, z hlediska ochrany osobních údajů však představuje složitější řetězec právních vztahů. Hostované řešení může představovat jak pořízení internetového ob-‐ chodu ve specializovaném řešení (např. WebNode, Kentico, Shopping.de), v rámci kterého zůstává obchodní entitou nadále prodávající, ale osobní úda-‐ je jsou uchovávány ve specializovaných systémech typu PaaS nebo SaaS do-‐ davatele cloudové služby (v této situaci platí analogická ustanovení k případu č. 6, kdy by bylo vhodné znát roli poskytovatele hostovaného řešení a jeho přístup k uchovávaným údajům v jeho řešení), tak využití specializovaného prodejce (resellera) obchodních řešení a služeb. Jako příklad v této kategorii si zvolíme společnost Avast Software, s.r.o. se sídlem v Praze, Česká republika, která nabízí mezinárodní obchod se svým softwarem na svých webových stránkách pod svým logem a obchodním označením, avšak vlastní prodejní řešení a prodejní partner pro zákazníka je specializovaná společnost Digital River International, S.à.r.l. z Luxemburku, Lucembursko. Uvedená společnost provozuje kompletní řešení elektronického ob-‐ chodu, ve kterém uchovává všechna data o zákaznících společnosti Avast Software, s.r.o. V rámci webových stránek je zákazník informován o zásadách zpracování osobních údajů46 společností Avast Software, s.r.o. a jejími dceři-‐ 46 AVAST SOFTWARE. AVAST Privacy and Information Security Policy. Online na http://www.avast.com/cs-cz/privacy-policy [cit. 5. 4. 2014]
46
nými společnostmi v zahraničí, avšak není informován, že v okamžiku náku-‐ pu bude přesměrován do stejně vypadajících webových stránek, které však provozuje společnost Digital River International, S.à.r.l., kde ale platí odlišné podmínky pro ochranu osobních údajů47. Pokud pomineme tento matoucí přístup, pak společnost Digital River International, S.à.r.l., která zajišťuje vlastní prodej svým jménem, předává in-‐ formace mateřské společnosti Digital River Ireland Limited usazené v Irsku, která je dále předává společnosti Digital River, Inc., usazené ve Spojených státech amerických. V rámci uvedených podmínek pro ochranu osobních údajů je explicitně zmíněno, že data mohou být vyvážena do společnosti Di-‐ gital River, Inc. Společnost Digital River, Inc. v tomto konkrétním případě ne-‐ přistoupila k principům Safe Harbor, ale aplikoval ve své podobě princip BCR (závazných podnikových pravidel), což směrnice EU připouští. Oba principy by zde byly adekvátní. Společnost Digital River dostatečným způsobem o zpracování údajů informuje. Z hlediska ochrany osobních údajů je zde velmi diskutabilní pouze ab-‐ sence informace o použití třetí společnosti pro zajištění obchodování ze stra-‐ ny Avast Software, kde uvedený přístup může vypadat až jako klamání zá-‐ kazníka, který se nejprve seznámí s podmínkami jedné společnosti a pak de facto nevědomky přijme podmínky jiné společnosti. PŘÍPAD 8: Využití logistického partnera Shipito Složitější vztahy v cloud computingovém prostředí nastávají i v případě, kdy sice e-‐shop je provozován prodávajícím (v cloudové nebo necloudové podo-‐ bě), ale logistické řešení je outsourcováno třetí straně. U klasických e-‐shop řešení bývá v obchodních podmínkách zmíněno, že data jsou předána do-‐ pravci za účelem přepravy zboží zákazníkovi, i v případě neuvedení tohoto údaje by se jednalo o využití osobních údajů pro zákonem definovaný účel (naplnění smlouvy o přepravě). Situaci nám ovšem opět mírně zkomplikuje mezinárodní prvek. Pokud občan Evropské unie (typicky České republiky) nakupuje na e-‐ shopech ve Spojených státech amerických, rád využije možnosti logistické služby Shipito, která zajistí odběr zboží do skladu ve Spojených státech ame-‐ rických (a tedy za nižší poštovné, příp. na některých e-‐shopech vůbec jediná možnost nákupu, pokud daný e-‐shop nepracuje s mezinárodními přepravci), konsolidaci zboží a jeho zaslání do vybrané země Evropské unie (např. České republiky) vč. vyřešení patřičných celních úkonů. 47 DIGITAL RIVER INTERNATIONAL. Prohlášení o ochraně soukromí Digital River. Online na https://store.avast.com/store/defaults/cs_CZ/DisplayDRPrivacyPolicyPage
[cit. 5. 4. 2014]
47
Problém ovšem nastává v situaci, kdy jsou údaje subjektu údajů z Ev-‐ ropské unie zaneseny postupně do e-‐shopu zahraničního partnera (o tom ví-‐ ce ostatní případy), který tyto údaje předá logistickému partnerovi – společ-‐ nosti Eastbiz, Inc. Tato společnost prostřednictvím služby Shipito, která za-‐ jišťuje logistiku prostřednictvím svých skladů v Kalifornii, Oregonu a Nevadě ve Spojených státech amerických, však ve svých podmínkách pro ochranu osobních údajů48 nepřistupuje na podmínky Safe Harbor a ani neaplikuje žádnou z ostatních forem ochrany osobních údajů stanovených Evropskou unií (standardní smluvní doložky, BRC). Společnost pouze vyjadřuje ve svých podmínkách ochrany osobních údajů svou dobrou vůli tyto údaje nezneužít. To je bohužel z hlediska ochrany z pohledu Evropské unie nedostačující. Z hlediska ochrany osobních údajů je tedy služba Shipito, která bývá využívána jako SaaS služba pro nákup, konsolidaci a zasílání zásilek evrop-‐ ským spotřebitelem z amerického trhu do Evropské unie, zřejmě nedostaču-‐ jící a otázkou je, jaká forma ochrany by byla potřebná, aby byla pro evrop-‐ ského uživatele (na kterého primárně cílí) postačující. Služba Shipito je ovšem službou americké společnosti Eastbiz, Inc., na kterou se evropské předpisy o ochraně osobních údajů nevztahují – odpovědnost za předání osobních údajů leží v tomto případě na straně subjektu údajů, který by neměl svěřit své údaje službě, u které nemá zaručeno zajištění stejných zásad pro ochranu osobních údajů jako v Evropské unii. Společnost Eastbiz, Inc. by ale měla vyjít vstříc své primární skupině uživatelů a přistoupit na podmínky Safe Harbor nebo jinou formu ochrany adekvátní evropským standardům. PŘÍPAD 9: Provoz partnerského portálu v cloudu Provoz partnerského portálu v cloudu je další variací na předchozí případy – tentokrát je v rámci webu vybrané společnosti provozován portál B2B řešení, tedy prostor pro komunikaci s partnerskými společnostmi. Typickým řeše-‐ ním v této oblasti jsou řešení společnosti Salesforce.com, Inc., Kalifornie, Spo-‐ jené státy americké, které nabízí CRM a PRM řešení na míru v cloudovém prostředí. Společnost provozující PRM řešení v cloudu (v České republice např. AVG Technologies, s.r.o. nebo Plastkon product s.r.o.) tak outsourcuje zpracování osobních údajů svých partnerů a zákazníků svých partnerů do řešení třetí strany. Vzhledem ke komplikovanosti obchodních vztahů však již většinou nebývá v podmínkách použití služby nebo v podmínkách vymezujících ochranu osobních údajů vymezeno, zda jde o smlouvu o zpracování osobních 48 EASTBIZ. Shipito Privacy Policy. Online na http://www.shipito.com/privacy-policy [cit. 5. 4. 2014]
48
údajů nebo subdodavatelský vztah řešení SaaS nebo PaaS. Navíc řešení spo-‐ lečnosti Salesforce.com, Inc. obvykle dodává lokální partner způsobilý k implementaci takového řešení, který rovněž přijde do styku s osobními údaji (často však pouze formou subdodávky zakryté příslušným NDA doku-‐ mentem). Uvážíme-‐li konkrétně případ Salesforce.com, Inc., tak dle informací portálu Salesforce jsou služby v Evropské unii nabízeny dceřinou společností Salesforce.com Europe, Sandyford Business Park, Dublin 18, Irsko. Navíc v podmínkách ochrany osobních údajů49 je explicitně zmíněno přistoupení k principu Safe Harbor pro případ předání osobních údajů na území Spoje-‐ ných států amerických, kde provozuje společnost Salesforce.com, Inc. svůj cloud. V roce 2012 rovněž společnost Salesforce.com, Inc. oznámila50 pláno-‐ vané otevření datového centra v Evropské unii, aby osobní údaje nebylo nut-‐ né předávat mimo území Evropské unie. V tomto složitém případě je nutné si uvědomit, že může dojít k reku-‐ rentnímu vztahu ukládání osobních údajů zákazníků u partnerů, kteří použí-‐ vají partnerské řešení svého dodavatele, který outsourcuje celé řešení od Sa-‐ lesforce.com, Inc., kteří mohou data ukládat mimo území Evropské unie. Ne každá společnost provozující partnerská řešení (PRM portály) má pak vyře-‐ šenu ochranu osobních údajů na stejné úrovni jako právě Salesforce.com, Inc., která přistupuje k řešení velmi podobně jako společnost Facebook, Inc. ve výše zmíněném případu. PŘÍPAD 10: Uchování kamerových záznamů v cloudu Často požadovanou vlastností současné výpočetní techniky je zpřístupnit údaje online, příp. z archívu, na kterékoliv místo ve světě, ideálně prostřed-‐ nictvím mobilních technologií. Na tento požadavek reagují výrobci součas-‐ ných kamer pro monitorování domácích prostor a nabízejí kameru, která ukládá všechny snímky do prostředí cloudu, odkud je příslušná mobilní apli-‐ kace v mobilním zařízení může zobrazit (aktuální nebo historické). Jednou ze společností, která realizuje uvedené služby, je společnost Stem Innovation, LLC ze Salt Lake City, Utah, Spojené státy americké. Tato společnost prodává prostřednictvím maloobchodní sítě Apple Store své ka-‐ mery IZON, které snímají okolní prostředí a uchovávají veškerá data v clou-‐ 49 SALESFORCE. Privacy and Security. Online na
http://www.salesforce.com/eu/company/privacy.jsp [cit. 5. 4. 2014] 50 MAYER, D. Salesforce finally solidifies European data center plans. Gigaom, 2013. Online na http://gigaom.com/2013/05/02/
salesforce-finally-solidifies-european-data-center-plans/ [cit. 5. 4. 2014]
49
dovém prostředí, které si společnost Stem Innovation, LLC, pronajímá od po-‐ skytovatelů infrastruktury. Infrastrukturu cloudu tato společnost získává od služby Unified Layer, která je provozována společností Bluehost, Inc., v Utahu. Data z videokamery se tak ukládají na infrastrukturu společnosti, která je zakryta za obchodním názvem služby, ke kterému je obtížné se dostat přes vlastního výrobce kamer a provozovatele cloud služby pro tyto kamery. Pokud si uživatel kameru za-‐ koupí v Apple Store, většinou vůbec nezjistí, kde jsou vlastně ukládána data z kamery. V současné době je kamera v prodeji pouze ve Spojených státech ame-‐ rických, obchodní podmínky51 Stem Innovation, LLC vůbec nepočítají s pro-‐ vozem mimo území Spojených států amerických a tudíž neřeší problematiku Safe Harbor. Pokud kameru IZON zakoupí občan Evropské unie (např. pro-‐ střednictvím výše uvedené logistické služby Shipito), bude on a snímky z jeho života uloženy na servery ve Spojených státech amerických bez jakékoliv ochrany jeho dat ekvivalentní evropskému standardu. Lze předpokládat, že tento typ kamery se začne prodávat také v Ev-‐ ropské unii a vyřešení výše uvedeného vztahu bude nezbytně nutné před za-‐ hájením takového prodeje. Podmínky služby52 v současné době nepředpo-‐ kládají zajištění adekvátních standardů v oblasti ochrany osobních údajů dle evropského práva pro situaci, kdy provozovatel cloudové služby ukládání ob-‐ razu z kamer bude zpracovatelem údajů (vzhledem k operaci uchovávání). Využití kamery bude vždy stanovovat správce údajů (v tomto případě majitel kamery, který pomocí ní bude pořizovat obraz a uchovávat jej v pro-‐ středí cloudu), avšak u tohoto typu služby bude nezbytně využívat služeb zpracovatele údajů v podobě výše uvedené společnosti (údaje budou umístě-‐ ny mimo území Evropské unie, společnost je zatím mimoevropská). 4.3 Zprostředkované zpracování údajů v řetězci subdodavatelů Jak ukázal poslední případ z předchozí kapitoly, vstoupí-‐li do řetězce dodava-‐ telů jednotlivých služeb v cloud computingu více subdodavatelů, je důležité definovat správce, zpracovatele a subdodavatele v oblasti ochrany osobních údajů pro rozlišení jejich povinností a odpovědnosti. V této kapitole si ukážeme několik případů, které využívají řetězce subdodavatelů služeb při realizaci globálního elektronického obchodu pro-‐ střednictvím obchodní cloudové platformy BizBox, která je autorovi práce 51 STEM INNOVATION. Stem Apps EULA. Online na http://steminnovation.com/terms-and-conditions [cit. 5. 4. 2014] 52 STEM INNOVATION. Privacy Policy. Online na http://steminnovation.com/privacy-policy
[cit. 5. 4. 2014]
50
dobře známa (a může tudíž využít detaily z její architektury). Modely fungo-‐ vání odpovídají modelu Digital River ve výše uvedeném případu Avast Soft-‐ ware – Digital River představuje jednoho z konkurentů platformy BizBox. PŘÍPAD 11: Realizace zákaznického e-‐shopu na platformě BizBox Základním případem je varianta, kdy se prodejce rozhodne realizovat svůj e-‐ shop prostřednictvím platformy pro online obchodování BizBox53. Platforma je cloudovou službou modelu PaaS, je tedy nabízen jako sada nástrojů, pomo-‐ cí kterých si prodejce může připravit vlastní e-‐shop a zajistit prodej zboží v tomto e-‐shopu. Prodejce vystupuje v roli správce údajů, neboť sám určuje rozsah a účel údajů, které uchovává v řešení BizBox. Zákazníci jeho e-‐shopu jsou subjekty údajů. Společnost BizBox, která připravila a provozuje obchodní řešení Bi-‐ zBox může vystupovat v roli subdodavatele (zajistila PaaS řešení a v obchod-‐ ních podmínkách či smlouvě se zaváže nemanipulovat se zákaznickými daty) nebo v roli zpracovatele údajů (uzavřením příslušné písemné smlouvy může následně manuálně nebo automatizovaně zpracovávat údaje pro prodejce). Je zřejmé, že většina vztahů bude v rovině subdodavatelské. Pro fyzickou realizaci platformy BizBox je využito IaaS řešení od spo-‐ lečnosti Amazon, která vystupuje pouze v roli subdodavatele a je úkolem spo-‐ lečnosti BizBox zajistit, aby společnost Amazon nepřistupovala přímo k da-‐ tům uloženým v řešení BizBox. Z hlediska ochrany osobních údajů je společ-‐ nost BizBox usazena v České republice a má od společnosti Amazon k dispo-‐ zici dostatek nástrojů, aby rovněž provozované řešení pro prodejce z Evrop-‐ ské unie bylo umístěno na infrastruktuře v Evropské unii (v Irsku). PŘÍPAD 12: Provoz e-‐shopu pomocí reseller služeb BizBox CS Rozšířením předchozího modelu je situace, ve které se původní prodejce sou-‐ středí na výrobu nebo dovoz zboží (a nadále budeme jej budeme souhrnně uvažovat v pozici výrobce) a zajištění prodeje přenechá specializované spo-‐ lečnosti – dceřinné společnosti od poskytovatele PaaS řešení BizBox, společ-‐ nosti BizBox Customer Services. V tomto okamžiku je správcem údajů společnost BizBox Customer Services, příp. podle rozsahu společné dohody je vykonávána sdílená správa osobních údajů výrobcem ve spolupráci s BizBox Customer Services jako 53 BIZBOX. BizBox – Innovative Online Sales Solution. Online na http://www.bizboxlive.com [cit. 5. 4. 2014]
51
prodejcem. Prodejce (BizBox CS) dále využije platformu BizBox analogicky jako jakýkoliv jiný prodejce z předchozího případu. BizBox je tak nadále do-‐ davatelem služby PaaS, avšak BizBox Customer Services vystupuje vůči vý-‐ robci v roli dodavatele komplexní služby, tedy dodavatele SaaS cloudové služby. V řetězci je zapojen jak SaaS (BizBox CS), tak PaaS (BizBox) i IaaS (Amazon) dodavatel, avšak pouze BizBox CS se aktivně účastní zpracování údajů (a tedy jejich správy, je to právě on, kdo stanovuje účel užití dat). Po-‐ kud by prodejce (BizBox CS) měl v úmyslu předat osobní údaje výrobci (v je-‐ hož brandu jako reseller zajišťuje prodej), musí společně vystupovat jako správci údajů ve sdílené správě nebo musí uzavřít mezi sebou smlouvu o zpracování osobních údajů, ve které výrobce definuje účel zpracování údajů (a stane se tak správcem údajů) a prodejce (BizBox CS) pouze zajistí naplnění uvedeného účelu. Ve srovnání s příkladem ohledně prodeje Digital River výše je také dů-‐ ležité informovat zákazníka (subjekt údajů), jaké podmínky platí v celém prodejním řešení (podmínky BizBox CS, tedy prodejce), kdo je prodejcem a jaká je role výrobce v rámci transakce. PŘÍPAD 13: Využití affiliate možností resellerského e-‐shopu Affiliate je takový obchodní subjekt, který pouze sjednává obchodní případy pro vlastního prodejce. Affiliate neuzavírá sám žádnou obchodní smlouvu a také nerealizuje vlastní prodeje. Jedná se o jednu z forem marketingové kam-‐ paně vůči koncovým zákazníkům, která však využívá aktivní prvek (osobu affiliate). Z hlediska ochrany osobních údajů uzavírá reseller smlouvu o zpraco-‐ vání údajů s affiliate, neboť tento přichází do styku s osobními údaji potenci-‐ álních zákazníků, účel a rozsah však stanoví prodejce (reseller). V některých převážně automatizovaných affiliate systémech (systémy výměnných re-‐ klamních kampaní, affiliate network apod.) je manipulace s osobními údaji minimalizována či úplně potlačena – všechny nezbytné údaje jsou shromáž-‐ děny až v e-‐shopu prodejce. V takovém případě není nutné s affiliate uzavírat další smlouvu a z hlediska ochrany údajů vystupuje pouze v roli subdodava-‐ tele služby (marketing, získání zákazníka). Mezi výrobcem a affiliate implicitně žádný právní vztah nevzniká. Analogicky nevzniká žádný vztah mezi affiliate a PaaS provozovatele, pokud se nejedná o dlouhodobou spolupráci PaaS poskytovatele se sítí affiliate, v rámci které PaaS poskytovatel sub dodává affiliate síť svým prodejcům.
52
PŘÍPAD 14: Outsourcování marketingové kampaně Posledním případem zpracování osobních údajů v případě prodeje na out-‐ sourcovaném a hostovaném e-‐shopu je využití jednou sbíraných údajů k dalším marketingovým aktivitám v kombinaci s ostatními znalostmi o cho-‐ vání uživatelů. Nezřídka je k takovýmto aktivitám najímána externí – out-‐ sourcingová společnost, specialista na marketingovou komunikaci. Externí marketingová společnost pracuje s osobními daty zákazníků prodejce (resellera), který také určuje, k jakému účelu data sbíral a zpraco-‐ vával. Externí marketingová společnost proto musí být najímána prodejcem (resellerem) a nikoliv poskytovatelem platformy nebo výrobcem (výrobcem pouze za předpokladu správy údajů ve sdíleném režimu). Vzhledem k objemu údajů a povaze úkonů pracuje marketingová spo-‐ lečnost nikoliv v pozici subdodavatele, ale výhradně v pozici zpracovatele osobních údajů a s jako takovou musí být uzavřena písemná smlouva o zpra-‐ cování osobních údajů ze strany prodejce. Prodejce rovněž musí na svém e-‐shopu informovat (a získat souhlas svých koncových zákazníků, tedy subjektů údajů) s takovýmto postupem (sbírání údajů pro marketingové účely a jejich předání ke zpracování).
53
5
Rozbor případů užití z pohledu práva
V předchozí kapitole jsme si představili čtrnáct základních případů, ve kte-‐ rých je využita služba cloud computingu s různými aktéry a různými modely právního vztahu. Je zjevné, že v řadě případů se jedná o velmi podobné způso-‐ by užití, které se liší přítomností mezinárodního prvku nebo jsou variantou stejné situace s různými aktéry. V této kapitole se pokusíme uvedené případy zobecnit na jednotlivé, z pohledu práva zajímavé, situace a ukážeme si postup aplikace právních no-‐ rem a zásad, které nám popíší uvedenou situaci. Následně vyzdvihneme pří-‐ slušná doporučení a upozorníme na vznikající problémy v konkrétní situaci. Pro zjednodušení situace si opět situace rozdělíme do tří rozdílných částí dle geografického prvku přítomného v situaci, s postupně rostoucí složi-‐ tostí právní situace. Jednotlivé případy popsané v předchozí kapitole zařadí-‐ me v této kapitole do odpovídající části podle geografické oblasti působení práva (tzn. lokální působení českého práva, případy vyžadující posouzení pouze evropským právem a globální případy s mezinárodním prvkem vůči Evropské unii). Vzhledem k rozsahu této bakalářské práce (diskutovaná problematika přesahuje možnosti jejího rozsahu) budeme hledat dále podobnost jednotli-‐ vých případů a odkazovat na jednotlivé zásady, právní principy a situace po-‐ psané v teoretické části bakalářské práce (v kapitolách 1 až 3) a nebudeme znovu citovat jednotlivé právní normy. 5.1 Rozbor situací řešených dle českého práva V rámci právní úpravy ochrany osobních údajů v českém právu můžeme řešit pouze situace, v rámci kterých je správce údajů usazen v České republice a nepředává data ke zpracování mimo území České republiky (resp. díky transpozici evropského práva lze vyřešit i další situace, ale těmi se budeme specificky zabývat v následující části). V rámci českého ZoOU je možné sbírat osobní údaje pouze s explicit-‐ ním souhlasem subjektu údajů nebo za konkrétním účelem stanoveným jiným právním předpisem. V rámci budování e-‐shopu české společnosti z případu č. 6 je tak možné sbírat základní osobní údaje nezbytné pro vytvoření daňo-‐ vého dokladu nebo pro doručení vlastního zboží, neboť tato povinnost vy-‐ chází ze zákona o dani z přidané hodnoty, pro uzavření kupní smlouvy jsou pak tytéž náležitosti zapotřebí již dle Občanského zákoníku. Nicméně uvedený zákonný rámec přesně vymezuje rovněž účel použi-‐ tí, kterým je právě uzavření kupní smlouvy, vystavení daňového dokladu, ve-‐ dení účetnictví nebo zajištění dopravy zboží k zákazníkovi. Není možné vyu-‐
54
žít tyto osobní údaje k jiném účelu, např. pro marketingový výzkum, kampaň, reklamní či statistické účely. Chceme-‐li rozšířit účel využívání nad zákonný rámec, je nezbytné zahrnout vysvětlení účelu do podmínek použití služby a explicitně si vyžádat souhlas subjektu údajů s tímto použitím. Musíme rovněž dodržet všechna ostatní ustanovení ZoOU pro zpracování a zejména pro li-‐ kvidaci těchto údajů v okamžiku, kdy je účelu dosaženo. Pomocí udělení explicitního souhlasu se sbíráním osobních údajů správci lze vyřešit také první případ použití osobních údajů při registraci webové služby poštovní schránky v případě č. 1. Společnost, která vhodným způsobem vymezí účel sběru údajů v podmínkách použití služby, může zpra-‐ covat a využít osobní údaje také pro reklamní, marketingové, statistické a ji-‐ né účely – uživatelé však tento souhlas musí explicitně vznést v průběhu re-‐ gistrace a musí jim být podle ZoOU umožněno tento souhlas zrušit, požadovat informace o zpracování a ochraně jejich osobních údajů, blokování či výmaz těchto údajů. Je dokonce možné (stejně jako v případu č. 14) umožnit zpracování těchto údajů třetí společnosti, např. marketingové agentuře, avšak toto zpra-‐ cování je podmíněno uzavřením smlouvy o zpracování údajů v písemné po-‐ době a účel a rozsah sbíraných údajů a jejich zpracování musí být vymezen původní společností (správcem údajů), nikoliv příslušnou agenturou. Je více než vhodné vymezit si možnost pověřit zpracováním údajů třetí společnost již v obchodních podmínkách. Na základě § 14 ZoOU by bylo možné pověřit třetí společnost zpraco-‐ váním i bez písemné smlouvy a bez stanovení zpracovatele údajů, avšak tento postup vzhledem k ochraně osobních údajů nelze doporučit – smluvním za-‐ jištěním v písemné podobě je sledováno zejména vymezení práv a povinností, účelu a rozsahu zpracování a předcházení případným kompetenčním sporům mezi správcem a jím pověřenou společností. Ze zákona je totiž zpracovatel údajů vázán stejnými pravidly jako správce údajů sám o sobě, což v případě pověření podle § 14 neplatí a odpovědnost zůstává zcela na správci údajů. Analogické využití je rovněž v situaci případu č. 13, kdy chceme využít třetí společnost na získávání kontaktů na potenciální obchodní případy – my jako správce údajů rozhodujeme o účelu a rozsahu a pověřujeme zpracovate-‐ le písemnou smlouvou nám tyto údaje připravit. Pokud využijeme § 14 ZoOU, odpovědnost za manipulaci s osobními údaji zůstává u nás – a záleží zejména na úrovni technického vybavení, které dáme k dispozici pro využití našim affiliate partnerům, zda je tato situace pro nás bezpečná či nikoliv. Zcela odlišná situace nastává (a poměrně často) v druhém případu použití zpracování osobních údajů v případu č. 1, tedy v případě uchovávání osobních údajů uvnitř e-‐mailů uložených u poskytovatele webové služby poš-‐ tovní schránky. V mnoha případech jsou např. objednávky zákazníků zasílány
55
e-‐mailem a uchovávány právě v této poměrně jednoduché podobě, která ma-‐ lým e-‐shopům plně postačuje. Správcem údajů v takovém případě není společnost provozující poš-‐ tovní schránku, ale přímo zákazník, který si poštovní schránku u takové spo-‐ lečnosti otevřel. Právě tento zákazník stanovuje účel a rozsah údajů, které jsou v e-‐mailu zpracovávány. Bohužel však není v jeho moci ovlivnit a stano-‐ vit také technické a organizační podmínky pro uchování důvěrnosti obsahu poštovní schránky, neboť tato je technicky zajišťována provozovatelem pří-‐ slušné cloudové služby. To jej však neomlouvá a nevyviňuje z působnosti zá-‐ kona – pokud nemůže uvedené technické a organizační podmínky stanovit a není možné dosáhnout naplnění zákona (např. smlouvou o zpracování údajů uzavřenou písemně), neměl by uvedenou službu používat. V současné době provozovatelé poštovních schránek figurují pouze jako subdodavatelé příslušných správců osobních údajů, tedy jejich uživatelů – typicky totiž není uzavřena smlouva v písemné formě o zpracování osobních údajů dle § 6 ZoOU mezi uživatelem a provozovatelem cloudové služby, uži-‐ vatel při registraci pouze poskytne nezbytný souhlas s obchodními podmín-‐ kami a akcesoricky uzavře smlouvu o využívání příslušné služby. Tímto kro-‐ kem nenaplní požadavky ZoOU na ustanovení zpracovatele údajů a tedy ani nemůže aplikovat své požadavky na technické a organizační zabezpečení, resp. tyto podmínky může pouze vyžadovat v jiném smluvním vztahu se svým subdodavatelem.54 Jediným v současně době rozumným způsobem, jak zajistit odpovída-‐ jící podmínky, pokud nejsou patřičně popsány v rámci obchodních podmínek poskytovatele služby, je nevyužívat poštovní schránky k uchovávání e-‐mailů, jejichž obsahem jsou osobní údaje. Pro zákazníka poskytovatelů cloudové služby poštovní schránky není technicky možné vynutit zásady a povinnosti stanovené v ZoOU a nemůže tak dostát svým povinnostem správce údajů, a to ani v případě, že je přesvědčen (dle svého vědomí a svědomí) o tom, že pro-‐ vozovatel poštovní schránky provozuje technicky a organizačně své dílo na takové úrovni, že lze očekávat, že by všem uvedeným požadavkům dostál. Je-‐ dinou možností je uzavření jiného smluvního vztahu se svým subdodavate-‐ lem – např. akcesoricky souhlasem s obchodními podmínkami na webu po-‐ skytovatele cloudové služby, pokud jsou v těchto podmínkách dostatečně přesně stanoveny odpovědnosti a sankce v oblasti ochrany osobních údajů. Závěrem lze doporučit, aby v případě stanovení obchodních podmínek příslušné služby bylo ze strany správce údajů přesně vymezeno, k jakému účelu a v jakém rozsahu budou osobní údaje sbírány a zpracovávány, a které 54 Analogicky viz str. 4 ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ. Provozování internetových obchodů (e-‐shopů). Metodika pro splnění základních povinností ukládaných zákonem o ochraně osob-‐ ních údajů. Online na http://www.uoou.cz/VismoOnline_ActionScripts/File.ashx?id_org= 200144&id_dokumenty=7278 [cit. 13. 4. 2014]
56
subjekty se na zpracování budou podílet. Nemá-‐li správce údajů možnost technicky ovlivnit způsob uchovávání takových údajů, je nejjistější metodou zvolit jiný způsob poskytování svých služeb než využití takových cloudových služeb. 5.2 Rozbor situací řešených v rámci evropského práva České právní prostředí je po vstupu do Evropské unie odrazem právního pro-‐ středí evropského, česká právní úprava vychází z úpravy evropského práva. Vzhledem k transpozici evropského práva a jeho přímé vykonatelnosti na zá-‐ kladě Ústavy ČR jsou veškeré právní normy evropského práva bezprostředně aplikovatelné i na české prostředí. V postupu transpozici představuje ZoOU odraz evropské směrnice o ochraně osobních údajů, navazující doporučení a vysvětlení pracovní skupiny pro tuto oblast však již není plně transponováno do českých výkladů, je však pro nás závazné stejně jako pro ostatní členské státy Evropské unie. Na základě § 27 ZoOU není nikterak omezeno předávání osobních údajů do ostatních členských zemí Evropské unie, čehož je u mezinárodních cloudových služeb hojně využíváno. Typickým příkladem je využití meziná-‐ rodního poskytovatele cloudových služeb, který však umožňuje omezit pou-‐ žití jeho infrastruktury do konkrétní geografické lokality – nejčastěji v Evrop-‐ ské unii pak do Irska, které je pro IT společnosti mimořádně příznivé z hle-‐ diska daní a snížených bariér vstupu na trh. Je-‐li tedy infrastruktura omezena na geografický region Evropy a správce údajů je usazen rovněž v Evropské unii, budou aplikovány principy a zásady evropského práva, které jsou analogické k zásadám českého práva za-‐ kotveným v ZoOU. Mnoho zahraničních společností zakládá za účelem zvýše-‐ ní právní jistoty svých zákazníků (tedy typicky správců dat, kteří tyto posky-‐ tovatele cloudových služeb u renomovaných mezinárodních společností hle-‐ dají) evropská datová centra provozovaná jejich dceřinými evropskými spo-‐ lečnostmi a zavazují se ve svých obchodních podmínkách spravovat a zpra-‐ covávat osobní údaje výhradně těmito evropskými společnostmi. Z výše uvedených případů lze vysledovat dva základní trendy řešení uvedené situace – vybudování čistě evropských datových center, příp. založení evropských společností pro správu osobních údajů zákazníků. První řešení (evropské datové centrum) je využito v případu č. 5 u společnosti Amazon Web Services, Inc., která umožňuje svým zákazníkům najmout si příslušnou infrastrukturu výhradně v té geografické lokalitě, jejíž pravidla ochrany osobních údajů chtějí využít. Současně jsou nabízeny takové infrastrukturní služby, v rámci kterých je možné příslušné technické pro-‐ středky zabezpečit (šifrováním uložení i přístupu k datům), takže příslušný
57
správce údajů (např. v případu č. 11, kdy si společnost BizBox najímá in-‐ frastrukturu od společnosti Amazon Web Services) může sám rozhodnout, jaké technické a organizační opatření přijme a kde budou jeho data uložena. Analogii k prvnímu řešení realizuje rovněž společnost Salesforce.com, Inc. v případu č. 9, která buduje evropské datové centrum, aby umožnila svým zákazníkům cloudové služby, kteří chtějí využít její CRM a PRM nástroje pro správu osobních údajů svých koncových zákazníků, zajistit vyšší úroveň kontroly nad osobními údaji a odpovídající technické a organizační opatření. Naopak druhým způsobem řeší situaci společnost Facebook, Inc. v případu č. 2, kdy tato společnost založila irskou společnost Facebook Ire-‐ land Limited, která je správcem údajů poskytnutých zákazníky cloudových služeb pro účely využití těchto dat pro marketingové aj. účely ze strany spo-‐ lečnosti Facebook, Inc., a současně je subdodavatelem řešení s omezenou in-‐ frastrukturou na evropský prostor pro své zákazníky (kteří jsou pak správci svých osobních údajů při využívání této sítě). U společnosti Facebook je situ-‐ ace zkomplikována aktuálně složitou vnitřní strukturou datových center, což je vyřešeno pomocí nástrojů bezpečného přístavu, o kterém více v následující kapitole. Vhodnost tohoto řešení a další návrhy opatření pak společnosti Facebook Ireland Limited potvrdil také nezávislý audit příslušným Úřadem na ochranu osobních údajů v Irsku. Analogicky druhým způsobem řeší situaci společnost Digital River z případu č. 7, která pro zpracování údajů založila vlastní evropskou společ-‐ nost, která využívá jak možnosti zákonného sběru osobních údajů na území Evropské unie, tak dalších obchodních a právních benefitů z daňové reziden-‐ ce na území Evropské unie. Závěrem lze konstatovat, že pokud jsme schopni zajistit zpracování osobních údajů na území Evropské unie (pronájmem infrastruktury s geogra-‐ ficky rozlišitelnými datovými centry), je možné provozovat cloudovou službu analogicky k situacím z předchozí kapitoly, tedy dle výkladu českého práva. Je vždy vhodnější, pokud nám tuto infrastrukturu pronajímá evropská spo-‐ lečnost, avšak vhodnými technickými a organizačními opatřeními lze zajistit, že neztratíme kontrolu nad osobními údaji a příslušný provozovatel cloudo-‐ vého řešení pak vystupuje pouze v roli subdodavatele (což nenarušuje evrop-‐ ské zásady na ochranu osobních údajů). Pokud by příslušný provozovatel nemohl zajistit odpovídající technic-‐ ké a organizační opatření nebo dokonce zpracovával část či všechny osobní údaje pro správce údajů, pak by vystupoval v roli zpracovatele osobních úda-‐ jů a v takové situaci je pro aplikaci evropského práva spolupracovat s evrop-‐ skou entitou nebo s entitou, která pracuje s údaji výhradně na území Evrop-‐ ské unie a dodržuje některý z principů uvedených v následující kapitole.
58
Zvláště specifickým případem je pak přenesení odpovědnosti správce údajů na třetí společnost (situace, kdy Digital River prodává jménem společ-‐ nosti Avast z případu č. 7 nebo společnost BizBox Customer Services prodává jménem výrobce z případu č. 12), je nezbytně nutné, aby společnost, na kte-‐ rou jsme přenesly rozhodování o účelu a rozsahu zpracování dat byla naším zpracovatelem údajů, sdíleným správcem údajů nebo správcem údajů usaze-‐ ným na území Evropské unie. Mimo specifických situacích rozebraných v následující kapitole není možné, aby si evropský subjekt údajů vybral ne-‐evropskou společnost a po-‐ skytl jí své osobní údaje. Rovněž tak není možné, aby mimo výše stanovené způsoby evropský správce údajů pověřil zpracováním ne-‐evropskou společ-‐ nost jako zpracovatele údajů nebo využil cloudovou službu ne-‐evropské spo-‐ lečnosti bez možnosti geografického omezení regionu. V takových situacích by se sám jako správce údajů vystavil možnému postihu, neboť by nemohl dostát evropským zásadám na ochranu osobních údajů – způsoby, jak těmto zásadám dostát ve třetích zemích jsou uvedeny v evropské směrnici o ochra-‐ ně osobních údajů19. Výjimkou a průlomem do této situace je získání patřičného povolení od orgánů Evropské unie nebo využití standardních nástrojů rozebraných v následující kapitole, blíže k tomuto viz § 27 ZoOU, resp. příslušná část ev-‐ ropské směrnice o ochraně osobních údajů19. 5.3 Rozbor situací s mezinárodním prvkem přesahujícím hranice EU Složitější situace nastává v okamžiku, kdy poskytovatel cloudové služby nebo datové centrum nejsou usazeny v Evropské unii nebo pokud dochází k pře-‐ dávání údajů, byť pouze ke zpracování, mimo území Evropské unie, typicky mateřské společnosti v jiném státě. Na tuto situaci pamatuje evropské právo existencí standardních smluvních doložek, které je nezbytné připojit k písemně uzavřené smlouvě, kterou je zpracování osobních údajů nebo sub-‐ dodávka příslušné cloudové smlouvy realizováno. Vzhledem ke složitosti uzavřít písemnou smlouvu s větším zahranič-‐ ním subjektem by však bylo obtížné pro evropské zákazníky využívat globál-‐ ních služeb od mezinárodních společností, rovněž tak nabízení takových slu-‐ žeb ze strany třetích společností mimo Evropskou unii by bylo výrazně ztíže-‐ no na území Evropské unie. Existují proto standardní nástroje, které zjedno-‐ duší jak využití cloudové služby v zahraničí pro evropské rezidenty, tak pře-‐ dání osobních údajů ke zpracování mateřské či jiné společnosti do zahraničí. Mezi tyto nástroje patří princip bezpečného přístavu (Safe Harbor) a závazná podniková pravidla (BCR).
59
Vzhledem k potřebě podpory exportu technologií amerických společ-‐ ností do zemí Evropské unie a současně existenci velkého množství techno-‐ logických společností pocházejících ze Spojených států amerických, které jsou a mohou být atraktivní také pro zákazníky z Evropské unie, uzavřela Ev-‐ ropská komise smlouvu se Spojenými státy americkými ohledně vytvoření institutu tzv. bezpečného přístavu (Safe Harbor), který umožňuje několikas-‐ tupňovou kontrolu ochrany osobních údajů a zajišťuje, že osobní údaje sub-‐ jektů z Evropské unie požívají na území Spojených států amerických stejnou úroveň ochrany osobních údajů, kterou by požívaly na území Evropské unie. Společnosti, které se dobrovolně k principu Safe Harbor přihlásí a provádí minimálně autoevaluaci svých řešení po stránce technických a orga-‐ nizačních opatření (vyšším stupněm je potom evaluace speciálně zřízenými auditními společnostmi pod dohledem Evropské unie), mohou zcela volně uzavírat smlouvy o zpracování osobních údajů s rezidenty Evropské unie, příp. se stávat subdodavateli cloudových řešení, která uchovávají údaje v da-‐ tových centrech na území Spojených států amerických. Princip Safe Harbor využívá většina technologických IT společností ze Spojených států amerických, které tímto způsobem zajišťují zpracování a vy-‐ užití osobních údajů pro své evropské dceřiné společnosti nebo přímo pro zákazníky jejich řešení (a cloudových služeb). V našich uváděných případech využívá principu bezpečného přístavu společnost Facebook, Inc. z případu č. 2 (jako zpracovatel údajů pro svou evropskou společnost), Dropbox, Inc. z případu č. 4 (přímo jako správce údajů pro evropské subjekty), Amazon Web Services, Inc. z případu č. 5 (umožňuje pronajímat infrastrukturu na území Spojených států amerických evropským subjektům i být přímo zpra-‐ covatelem osobních údajů nebo subdodavatelem infrastruktury těmto sub-‐ jektům bez existence její evropské entity) i společnost SalesForce.com, Inc. z případu č. 9 pro poskytování svých řešení jako zpracovatel osobních údajů pro správce údajů z řad evropských zákazníků. V případě Safe Harbor jsme ovšem omezeni pouze na takové země, které adekvátní ochranu v oblasti osobních údajů uzavřely s Evropskou unií – principiálně se jedná o Spojené státy americké a Švýcarsko. Na druhou stranu využití Safe Harbor je poměrně jednoduché, postačí vyřešit na úrovni auto-‐ evaluace a většina US společností se k tomuto principu hlásí ve svých doku-‐ mentech věnovaných ochraně osobních údajů, které jsou součástí smluvních obchodních podmínek provozu jejich služeb. Alternativní možností k principu bezpečného přístavu jsou závazná podniková pravidla (Binding Corporate Rules, BCR). Tato pravidla přijímá mezinárodní organizace napříč všemi svými právnickými osobami tak, aby sjednotila způsob ochrany osobních údajů vč. technických a organizačních pravidel podle souladu se standardy evropské ochrany osobních údajů. Do-‐
60
držování závazných podnikových pravidel uvnitř společnosti je pak z hledis-‐ ka evropského práva dostatečně závazné pro umožnění exportu osobních údajů do zemí, kde není jiná možnost ochrany osobních údajů. V našich případech využívá BCR společnost Digital River v případu č. 7, neboť působí rovněž v zemích, kde není možné využít principu Safe Har-‐ bor. Z hlediska přípravy a dodržování představují závazná podniková pravi-‐ dla náročnější metodu na přípravu a dodržování standardů ochrany osobních údajů, jejich nespornou výhodou je ale nezávislost na mezivládních dohodách a možnost aplikace i v zemích, které z hlediska evropského práva nesplňují zásady ochrany osobních údajů. Jako takové lze BCR doporučit všem společnostem, které se nechtějí omezovat na konkrétní země, a které potřebují vyvážet osobní údaje mimo země ctící princip bezpečného přístavu. Z hlediska aplikace mezinárodního prvku v ochraně osobních údajů a výše uvedených případů je třeba se rovněž zmínit o situacích, kde nebylo ochraně osobních údajů dle evropských standardů učiněno zadost. Jedná se o případy č. 4, 8 a 10. Důvody, proč nebyly aplikovány výše uvedené postupy, jsou ovšem rozdílné a vychází částečně z dohadů autora práce. Je nesporné, že pro zajištění globálnosti uvedených služeb a pro mož-‐ nost jejich využití subjektem údajů z evropské údaje, by bylo nezbytné při-‐ jmout některý z výše uvedených principů (individuální aplikace standardních smluvních doložek, evropský datový sklad, evropská entita, princip bezpeč-‐ ného přístavu nebo závazná podniková pravidla). Pojďme se na jednotlivé případy podívat podrobně. V případě č. 4 je společnost Fetchnotes, Inc. malým americkým start-‐ upem, který při své velikosti zřejmě nemá ambice aspirovat na globální trh vč. trhu evropského, z tohoto důvodu není tato společnost zřejmě dostatečně obeznámena s principy a pravidly pro ochranu osobních údajů pro evropské subjekty údajů. Absence jakéhokoliv souhlasu s obchodními podmínkami, a tedy i s podmínkami ochrany osobních údajů, i když tyto podmínky jsou na stránce přítomny v jiném místě, představuje hrubou chybu i z pohledu ame-‐ rického obchodního práva. Společnosti lze doporučit inspiraci z ostatních služeb, např. ze společnosti Dropbox, Inc., tj. aplikace autoevaluace principu bezpečného přístavu (Safe Harbor), čímž by zajistila fungování své služby i pro evropský trh bez ovlivnění evropských zásad a pravidel pro ochranu osobních údajů. Případ č. 8, logistická společnost Eastbiz, Inc. a její služba Shipito, vy-‐ chází pravděpodobně z modelu subdodávky logistických služeb pro ostatní e-‐ shopy, tzn. vychází z principu možnosti zpracovávat osobní údaje ze zákon-‐ ných důvodů (nezbytnost pro smlouvu o doručení). Bohužel služba Shipito obsahuje rovněž registrační portál pro zákazníky z Evropské unie, pomocí
61
kterého provádí zákazníci konsolidaci, asistované nákupy a odesílání zásilek do Evropy. Vzhledem k tomu, že tato služba primárně cílí na evropského zá-‐ kazníka a tedy evropský subjekt údajů, je nepochopitelné, že v jejích obchod-‐ ních podmínkách není zmínka o zpracování osobních údajů, a že nevyužívá principu bezpečného přístavu (Safe Harbor). Společnost vystupuje v některých rolích jako správce údajů (regis-‐ trační portál), případně zpracovatel údajů (zajišťuje logistiku smluvním partnerům, kterým dodává informace o svých zákaznících), nejčastěji pak ja-‐ ko subdodavatel logistických služeb. Využití principu bezpečného přístavu při zaměření na evropský trh je logické, pravděpodobně absentuje vzhledem k neznalosti problematiky ze strany společnosti. Případ č. 10 se vymyká ostatním případům tím, že společnost Stem Innovation LLC míří výhradně na trh ve Spojených státech amerických. Díky prodeji výrobků přes síť obchodů Apple Store však může být výrobek zakou-‐ pen fyzicky ve Spojených státech amerických, příp. zaslán do Evropy (skrz služby jako je výše zmíněné Shipito), kde bude bez větších problémů fungo-‐ vat po technické stránce. Vznikne však problém po stránce ochrany osobních údajů, neboť tato společnost neřeší žádným způsobem problematiku ochrany osobních údajů dle standardů evropského práva (zejména není přihlášena k principu bezpečného přístavu) a běžný uživatel u výrobku ani nezjistí, že data budou přenášena do cloudové sítě v Utahu, USA. Této společnosti lze doporučit přidat na výrobek varování o místě použití, příp. přistoupit k principu bezpečného přístavu a umožnit tak globální využití své služby. Závěrem lze říci, že základním krokem globálních společností mimo Evropskou unii je přistoupit k některé metodě zvýšené ochrany osobních údajů dobrovolně, pokud chtějí obsluhovat rovněž evropský trh a pracovat s fyzickými osobami (spotřebiteli) na tomto trhu (evropské subjekty údajů). Mezi tyto metody zvýšené ochrany patří zejména standardní smluvní dolož-‐ ky, princip bezpečného přístavu, závazná podniková pravidla, evropský dato-‐ vý sklad a využití evropské společnosti pro správu osobních údajů.
62
Závěr V rámci předložené bakalářské práce se podařilo syntetizovat existující práv-‐ ní úpravu v oblasti ochrany osobních údajů v českém i evropském právním prostředí a zejména popsat a vyhodnotit názory pracovní skupiny pro ochra-‐ nu osobních údajů v oblasti využití technologií cloud computing. Stanovený cíl práce zahrnoval nejen popis existující právní úpravy a současného oficiálního názoru převládajícího v Evropské unii, ale zejména ukázání aplikace uvedené úpravy s přihlédnutím k tomuto názoru na existu-‐ jící případy různého užití těchto technologií se zhodnocením, nakolik lze/nebo naopak nelze využít uvedené služby v evropském prostředí. Při řešení této bakalářské práce bylo nalezeno celkem čtrnáct případů demonstrujících jednotlivé případy užití technologie cloud computing s lo-‐ kálním i mezinárodním prvkem. Jedenáct z těchto případů bylo možné pomo-‐ cí současné právní úpravy s přihlédnutím k aktuálnímu výkladu a názoru vy-‐ hodnotit jako vyhovující a dostatečně využívající dostupné právní prostředky k zajištění evropského standardu ochrany osobních údajů, tři případy byly hodnoceny jako nedostatečné a byla navržena patřičná úprava jejich podmí-‐ nek používání. Závěrem je nezbytné znovu připomenout, že odpovědnost za svěření svých osobních údajů zůstává vždy na subjektu údajů, který musí poskytnout správci osobních údajů svůj souhlas s jejich zpracováním – a správce osobních údajů je odpovědný za stanovení účelu a rozsahu zpracování těchto údajů a současně za zajištění technických a organizačních podmínek tohoto zpraco-‐ vání údajů. K uvedenému může využít v českém i evropském právním prostředí institut zpracovatele údajů, avšak může také využít služeb subdodavatelů cloudových technologií, pokud zajistí kontrolu nad zpracováním těchto údajů. Pokud je správce údajů nucen využít (a nebo chce využít) cloudové technolo-‐ gie subjektu neusazeného v Evropské unii nebo technologie v lokalitě mimo Evropskou unii, nabízí mu evropské právo dostatečnou paletu prostředků (standardní smluvní doložky, princip bezpečného přístavu, závazná podniko-‐ vá pravidla, evropské datové úložiště, evropská společnost spravující osobní údaje) pro řešení této situace. Můžeme současně konstatovat, že významné technologické společnos-‐ ti aplikují uvedené principy a běžný uživatel tak může využívat běžně do-‐ stupné služby v prostředí sítě Internet vč. cloudových služeb bez obavy ze snížení ochrany jeho osobních údajů ze strany správce údajů, jeho zpracova-‐ telů nebo subdodavatelů.
63
Hlavní přínos této práce představuje syntéza dostupných informací a praktická ukázka aplikace současné právní úpravy na existujících příkladech z praxe. Závěry z této práce mohou být použity také při formování služeb no-‐ vých. Cíl stanovený v úvodu práce se podařilo plně naplnit, všechny oblasti, které nebyly negativně vymezeny již v úvodu práce, byly dle mínění autora práce dostatečně pokryty.
64
Použitá literatura V rámci použité literatury jsou rovnoměrně užity monografie, elektronické články a právní normy či jejich výklady od odborných orgánů či pracovních skupin. Vzhledem k tomu, že práce kombinuje teoretický přístup rešeršní a praktický výklad zahrnující rozbor online dokumentů, nejsou tyto zdroje dále rozčleněny na primární a fakultativní – pro vlastní práci mají všechny uvede-‐ né dokumenty stejný význam. [1] AMAZON WEB SERVICES. AWS Privacy. Online na http://aws.amazon.com/privacy/ [cit. 5. 4. 2014] [2] AVAST SOFTWARE. AVAST Privacy and Information Security Policy. Online na http://www.avast.com/cs-cz/privacy-policy [cit. 5. 4. 2014] [3] AVINASH, C. Cloud computing: How tech giants like Google, Facebook, Amazon store the world's data. Online na http://articles.economictimes.indiatimes.com/2012-0527/news/31860969_1_instagram-largest-online-retailer-users
[cit. 11. 4. 2014] [4] BARTÍK, V. – JANEČKOVÁ, E. Ochrana osobních údajů z pohledu zvláštních právních úprav k 1. 8. 2012. Olomouc: ANAG, 2012. 348 s. ISBN 978-‐ 80-‐7263-‐749-‐2. [5] BARTÍK, V. – JANEČKOVÁ, E. Ochrana osobních údajů v životě podnikatele. Olomouc: ANAG, 2013. 199 s. ISBN 978-‐80-‐7263-‐811-‐6. [6] BIZBOX. BizBox – Innovative Online Sales Solution. Online na http://www.bizboxlive.com [cit. 5. 4. 2014] [7] DIGITAL RIVER INTERNATIONAL. Prohlášení o ochraně soukromí Digital River. Online na https://store.avast.com/store/defaults/cs_CZ/ DisplayDRPrivacyPolicyPage [cit. 5. 4. 2014] [8] DROPBOX. Terms of Service and Privacy Policy. Online na https://www.dropbox.com/privacy [cit. 5. 4. 2014] [9] EASTBIZ. Shipito Privacy Policy. Online na http://www.shipito.com/privacy-policy [cit. 5. 4. 2014] [10] EVROPSKÁ UNIE. Ochrana osobních údajů. Online na [11]
http://europa.eu/legislation_summaries/information_society/ data_protection/l14012_cs.htm [cit. 9. 3. 2014] EVROPSKÁ UNIE. Rozhodnutí 2004/915/ES Komise ze dne 27. 12. 2004,
[12]
content/CS/TXT/PDF/?uri=CELEX:32004D0915&qid=1397405591594 &from=EN [cit. 30. 3. 2014] EVROPSKÁ KOMISE. Rozhodnutí komise ze dne 5. února 2010 o standard-‐
kterým se mění rozhodnutí 2001/497/ES o zavedení alternativního souboru standardních smluvních doložek pro předávání osobních údajů do třetích zemí. Online na http://eur-lex.europa.eu/legal-
ních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a
65
Rady 95/46/ES. Online na http://eur-lex.europa.eu/LexUriServ/ LexUriServ.do?uri=OJ:L:2010:039:0005:0018:CS:PDF
[cit. 30. 3. 2014] [13] EVROPSKÝ SOUD PRO LIDSKÝ PRÁVA. Úmluva o ochraně lidských práv a zá-‐ kladních svobod. Text ve znění Protokolů č. 11 a 14 s Protokoly č. 1, 4, 6, 7, 12 a 13, s platností od 1. 6. 2010. Online na http://www.echr.coe.int/Documents/Convention_CES.pdf
[14] [15] [16] [17] [18] [19]
[20]
[cit. 13. 4. 2014] FACEBOOK. Prohlášení o právech a povinnostech. Online na https://www.facebook.com/legal/terms [cit. 5. 4. 2014] FACEBOOK. Zásady používání dat – informace, které o vás získáváme, a způsob jejich použití. Online na https://www.facebook.com/about/ privacy/your-info [cit. 5. 4. 2014] FACEBOOK. Zásady používání dat – Některé další věci, které je třeba vědět. Online na https://www.facebook.com/about/privacy/other [cit. 5. 4. 2014] FETCHNOTES. Privacy policy. Online na http://www.fetchnotes.com/#/privacy [cit. 5. 4. 2014] FETCHNOTES. Site Terms and Conditions of Use. Online na http://www.fetchnotes.com/#/tos [cit. 5. 4. 2014] KAMMERGERICHT. Entscheidungsgründe in der Facebook-‐Sache verfügbar (PM 9/14). Online na http://www.berlin.de/sen/justiz/gerichte/kg/ presse/archiv/20140214.1835.394435.html [cit. 11. 4. 2014] MATES, P. – JANEČKOVÁ, E. – BARTÍK, V. Ochrana osobních údajů. Praha:
Leges, 2012. 208 s. ISBN 978-‐80-‐87576-‐12-‐0. [21] MAYER, D. Salesforce finally solidifies European data center plans. Gigaom, 2013. Online na http://gigaom.com/2013/05/02/ salesforce-finally-solidifies-european-data-center-plans/
[cit. 5. 4. 2014] [22] MORÁVEK, J. – BURIAN, D. Předávání osobních údajů do zahraničí: česká a evropská právní úprava, otázky a odpovědi. Praha: Linde, 2012. 264 s. ISBN 978-‐80-‐7201-‐878-‐9. [23] OFFICE OF THE DATA PROTECTION COMMISSIONER OF IRELAND. Facebook Ireland Ltd. Report of Audit from 21 December 2011. Online na [24]
http://dataprotection.ie/documents/facebook%20report/ final%20report/report.pdf [cit. 5. 4. 2014] PRACOVNÍ SKUPINA PRO OCHRANU ÚDAJŮ ZŘÍZENÁ PODLE ČLÁNKU 29 SMĚRNICE
95/46/ES. Stanovisko č. 1/2010 k pojmům „správce“ a „zpracovatel“. Přijato dne 16. února 2010. Online na http://ec.europa.eu/ justice/policies/privacy/docs/wpdocs/2010/wp169_cs.pdf
[cit. 29. 3. 2014] [25] PRACOVNÍ SKUPINA PRO OCHRANU ÚDAJŮ ZŘÍZENÁ PODLE ČLÁNKU 29 SMĚRNICE 95/46/ES. Stanovisko č. 8/2010 k použitelnému právu. Přijato dne
66
16. prosince 2010. Online na http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/2010/wp179_cs.pdf
[cit. 29. 3. 2014] [26] PRACOVNÍ SKUPINA PRO OCHRANU ÚDAJŮ ZŘÍZENÁ PODLE ČLÁNKU 29 SMĚRNICE 95/46/ES. Stanovisko č. 05/2012 ke cloud computingu. Přijato dne 1. července 2012. Online na http://ec.europa.eu/justice/data[27]
protection/article-29/documentation/opinionrecommendation/files/2012/wp196_cs.pdf [cit. 9. 3. 2014] REESE, G. Cloud Application Architectures: Building Applications and
Infrastructure in the Cloud. Sebastopol, CA: O’Reilly Media, 2009. 208 s. ISBN 978-‐0-‐596-‐15636-‐7. [28] RITTINGHOUSE, J. W. – RANSOME, J. F. Cloud Computing: Implementation, Management, and Security. Boca Raton, FL: CRC Press, 2010. 301 s. ISBN 978-‐1-‐4398-‐0680-‐7. [29] SALESFORCE. Privacy and Security. Online na http://www.salesforce.com/eu/company/privacy.jsp
[30]
[31] [32]
[33]
[34] [35] [36]
[cit. 5. 4. 2014] Sdělení č. 29/2005 Sb. m. s. Ministerstva zahraničních věcí o sjednání Dodatkového protokolu k Úmluvě o ochraně osob se zřetelem na auto-‐ matizované zpracování osobních dat o orgánech dozoru a toku dat přes hranice. Uveřejněno v č. 15/2005 Sbírky mezinárodních smluv na straně 363. In ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 5. 4. 2014]. SEZNAM.CZ. Smluvní ujednání upravující užívání služeb poskytovaných společností Seznam.cz, a.s. Online na https://registrace.seznam.cz/licenceScreen [cit. 5. 4. 2014] Směrnice Evropského parlamentu a Rady č. 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, ve znění pozdějších pozměňo-‐ vacích aktů. In ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 5. 4. 2014]. Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací, ve znění pozdějších pozměňova-‐ cích aktů. In ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 5. 4. 2014]. STEM INNOVATION. Privacy Policy. Online na http://steminnovation.com/privacy-policy [cit. 5. 4. 2014] STEM INNOVATION. Stem Apps EULA. Online na http://steminnovation.com/terms-and-conditions [cit. 5. 4. 2014] Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat ze dne 28. ledna 1981 byla publikována pod č. 115/2001 Sb. m. s. In ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 5. 4. 2014].
67
[37] ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ. Provozování internetových obchodů (e-‐shopů). Metodika pro splnění základních povinností ukládaných zákonem o ochraně osobních údajů. Online na [38]
http://www.uoou.cz/VismoOnline_ActionScripts/File.ashx? id_org=200144&id_dokumenty=7278 [cit. 13. 4. 2014] ÚŘAD NA OCHRANU OSOBNÍCH ÚDAJŮ. Stanovisko č. 1/2009 „Zpracování
osobních údajů na základě smluv uzavíraných se zpracovateli (tzv. řetězení zpracovatelů osobních údajů).“ in Názory úřadu, Stanoviska. Online na http://www.uoou.cz/files/stanovisko_2009_1.pdf [cit. 9. 3. 2014] [39] U.S. DEPARTMENT OF COMMERCE. U.S.-‐EU Safe Harbor List. Online na https://safeharbor.export.gov/list.aspx [cit. 5. 4. 2014] [40] V.I.P. FIRST STORE. Obchodní podmínky. Online na http://www.vipvina.cz/index.php?route=information/ information&information_id=5 [cit. 5. 4. 2014]
[41] Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. In ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 5. 4. 2014]. [42] Zákon č. 301/2000 Sb., o matrikách, jméno a příjmení a o změně některých souvisejících zákonů, ve znění pozdějších předpisů. In ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 5. 4. 2014]. [43] Zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů, ve znění pozdějších předpisů. In ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 5. 4. 2014].
68
