Ochrana osobních údajů v cloudu
strana 1
Ochrana osobních údajů v cloudu
2/2
CIO a vývojářské týmy se snaží v rámci inovací přesouvat IT systémy do cloudu spolu s databázemi a údaji v nich uloženými. Při projektech ať už inovovaných, nebo nových informačních systémů je třeba dbát na soulad s legislativou na ochranu osobních údajů. Ne všechny údaje je možné přesunout do cloudu. Legislativa specifikuje, že některé údaje do cloudu uložit nelze a některé údaje nesmí opustit území Evropské unie. Málokterý informační systém pracuje s důvěrnými nebo tajnými informacemi, ale většina informačních systémů obsahuje více nebo méně podrobné a více nebo méně citlivé údaje obdobné. Získávání a zpracovávání osobních údajů je regulováno příslušnými legislativními normami, konkrétně zákonem o ochraně osobních údajů. Ukládání osobních údajů do cloudu musí být tudíž v souladu s tímto zákonem. Například zákon o ochraně osobních údajů rozlišuje: Osobní údaje – zahrnují širokou kategorii informací týkajících se určené nebo určitelné fyzické osoby, která může jejich prostřednictvím být identifikována přímo či nepřímo. Citlivé údaje (zvláštní kategorie osobních údajů) – jsou informace týkající se rasového a etnického původu, náboženského vyznání, politického názoru, členství v odborových organizacích, zdravotních záznamů a sexuálního života. Rovněž jsou v této kategorii zahrnuty biometrické údaje, údaje o odsouzení za trestný čin (například výpisy z rejstříku trestů) a rodné číslo.
Srpen 2014
2/2
osobní a citlivé údaje
2/2
strana 2
Nástroje IT manažera
Všechny údaje, které nejsou klasifikovány jako citlivé, se považují za „obyčejné“ osobní údaje. Pro ukládání citlivých osobních údajů do cloudu budou aplikována přísnější pravidla než pro „obyčejné“ osobní údaje.
údaje právnických osob
Zákon o ochraně osobních údajů je zaměřen na údaje fyzických osob. Údaje týkající se právnických osob ve většině případů nebudou považovány za osobní údaje. Pokud byly údaje plně anonymizovány, nebudou považovány za osobní údaje. Tyto údaje lze přenést do cloudu bez větších omezení. Anonymizované údaje jsou údaje, které se v minulosti vztahovaly na fyzickou osobu, ale anonymizace způsobila, že dotčená osoba již nemůže být přímo ani nepřímo identifikována.
pseudonymizované údaje
Účelem pseudonymizace je sběr dat o osobě, aniž by byla známa její identita. Klasickým příkladem pseudonymizace jsou například kódované údaje. Pseudonymizované údaje musíme v mnoha případech považovat za údaje osobní, protože existuje možnost zpětné identifikace osob. Zpětná identifikace osob (změna pseudonymních údajů zpět na údaje osobní) je zpravidla možná prostřednictvím klíče, který vlastní společnost, jež tyto údaje zpracovává, nebo třetí strany. V případě, že taková zpětná identifikace již není možná, lze údaje považovat za anonymizované, a tedy stojící mimo působnost zákona o ochraně osobních údajů. Které údaje nemohou být přesunuty do cloudu Převážná většina osobních údajů může být přesunuta do
Srpen 2014
Ochrana osobních údajů v cloudu
cloudu bez jakýchkoliv komplikací, pokud se dodrží podmínky stanovené zákonem na ochranu osobních údajů, zejména povinnost mít písemnou smlouvu s poskytovatelem. Omezení však existují zejména v následujících případech: Citlivé údaje mohou být přesunuty do cloudu ve třetí zemi mimo zemí EÚ/EHP9 jen s písemným souhlasem dotčených osob. Přesun biometrických údajů do cloudu regulátor nedoporučuje. Outsourcing v bankovním sektoru je obecně povolen. Existuje však limit pro objem bankami uchovávaných údajů, jejichž citlivost nedovolí zpřístupnění třetím osobám, mezi které patří i poskytovatelé cloudových služeb. Rozsah těchto údajů není stanoven legislativou a určují si ho banky na základě rizika ohrožení bezpečnostních zájmů banky. Údaje, na které se vztahuje bankovní tajemství, do cloudu uložené být mohou, avšak pouze s písemným souhlasem klienta. Utajované skutečnosti jsou dalšími údaji, jejichž ukládání do cloudu je omezené. Omezení se však vztahuje pouze na úzkou kategorii údajů uchovávaných veřejným sektorem, která je definována jako „utajované informace“. Na většinu údajů uchovávaných veřejným sektorem, které nespadají do této kategorie, se toto omezení nevztahuje. Zákon vyžaduje splnění stejných podmínek pro přenos dat k poskytovateli cloudových služeb v Čechách i na Slovensku nebo k poskytovateli cloudových služeb v jiné zemi EU/ /EHP. Toto je zajištěno pravidlem volného pohybu osobních údajů mezi zeměmi EU/EHP.
Srpen 2014
strana 3
2/2
2/2
strana 4
náležitosti smlouvy o zpracování osobních údajů
Nástroje IT manažera
Písemná smlouva o zpracování mezi klientem a poskytovatelem cloudových služeb musí obsahovat následující aspekty: Identifikační údaje smluvních stran; datum, od kterého je poskytovatel cloudových služeb (zprostředkovatel) oprávněn začít se zpracováváním osobních údajů jménem klienta (provozovatele), a podmínky zpracování osobních údajů, včetně seznamu povolených operací s osobními údaji; účel zpracování osobních údajů; název informačního systému; seznam osobních údajů, které se budou přesouvat do cloudu (pokud to bude vhodnější, seznam lze nahradit rozsahem osobních údajů), a čí údaje (údaje klienta, údaje zaměstnanců atd.) se zpracovávají; prohlášení klienta, že poskytovatel cloudových služeb byl vybrán na základě jeho odborné, technické, organizační a personální způsobilosti a jeho schopnosti zaručit bezpečnost zpracování dat; souhlas klienta, pokud poskytovatel bude využívat služeb subdodavatele; dobu, na kterou se smlouva uzavírá. V případě, že písemná smlouva mezi klientem a poskytovatelem cloudových služeb neobsahuje výše uvedené body, zákon o ochraně osobních údajů umožňuje uložení pokuty.
přenos dat do cloudu mimo zemí EU/EHP
Klienti si mohou vybrat i poskytovatele cloudových služeb v třetích zemích, mimo území EU/EHP. Konkrétní podmínky
Srpen 2014
Ochrana osobních údajů v cloudu
strana 5
přenosu se liší podle toho, zda cílová země, do níž budou osobní údaje přenášeny, zaručuje, nebo nezaručuje odpovídající úroveň ochrany. Pokud cílová země nezajišťuje odpovídající úroveň ochrany, bude navíc nutné uzavřít smlouvu o předávání osobních
smlouva o předávání osobních údajů
údajů. Pokud je poskytovatel cloudových služeb v jedné ze třetích zemí, které zajišťují odpovídající úroveň ochrany osobních údajů (Andora, Argentina, Faerské ostrovy, Guernsey, Izrael, Jersey, Kanada, Monako, Nový Zéland, Ostrov Man, Švýcarsko, Uruguay, USA – Bezpečný přístav), musí klient dotčeným osobám poskytnout základní informace o zpracování (například které osobní údaje budou přeneseny, do které země, za jakým účelem atd.), avšak smlouva o předávání osobních údajů nebude nutná. Na tyto země se tedy hledí jako na země, jejichž právní systém dostatečně chrání soukromí dotčených osob. Co znamená „Bezpečný přístav“? USA jsou zemí, která vzhledem k absenci obecné legislativy ohledně ochrany osobních údajů neposkytuje dostatečné záruky ochrany osobních údajů. Bezpečný přístav představuje souhrn opatření, která mají zaručit ochranu osobních údajů při předávání z EU do USA. Na společnosti, které se přihlásí k zásadám Bezpečného přístavu a aplikují je při zpracovávání a přenosu, se hledí jako na společnosti, jejichž úroveň ochrany osobních údajů je přiměřená a přenášejí osobní údaje bezpečně. Klientské společnosti by se však neměly spolehnout pouze na tvr-
Srpen 2014
bezpečný přístav
2/2
2/2
strana 6
Nástroje IT manažera
zení poskytovatele služeb, že splňuje zásady Bezpečného přístavu, ale měly by si vyžádat důkazy, že tyto zásady jsou skutečně poskytovatelem implementovány. (Stanovisko č. 05/2012 ohledně cloud computingu vydané pracovní skupinou pro ochranu osobních údajů založenou podle článku 29 z 1. července 2012, kapitola 3.5.1.)
standardní smluvní doložky
Pokud se poskytovatel cloudových služeb nachází v zemi, která podle rozhodnutí Evropské komise nezajišťuje odpovídající úroveň ochrany osobních údajů, smlouva o přenosu bude muset obsahovat standardní smluvní doložky (SSD) přijaté Evropskou komisí, které budou nedílnou součástí této smlouvy.
kodex ochrany osobních údajů
Standardní smluvní doložky mohou být nahrazeny vnitropodnikovými závaznými pravidly (Binding Corporate Rules, certifikované referenční materiály BCR), pokud budou přijaty v rámci společnosti. Certifikované referenční materiály BCR coby kodex ochrany osobních údajů pro nadnárodní společnosti jsou interní pravidla, která podléhají schvalovacímu mechanismu dohlížitelem zpravidla v tom státě, ve kterém má provozovatel největší majetkovou účast. Standardní smluvní doložky Evropské komise odrážejí standardy EU ohledně ochrany osobních údajů. SSD přijaté Evropskou komisí jsou v několika ohledech nad rámec našeho zákona na ochranu osobních údajů. V roce 2010 Evropská komise vydala novou verzi SSD pro zprostředkovatele zřízené mimo země EU/EHP (rozhodnutí Evropské komise ze dne 5. února 2010 o standardních smluvních ustanovení
Srpen 2014
Ochrana osobních údajů v cloudu
strana 7
2/2
týkajících se předávání údajů poskytovatelem sídlících ve třetích zemích na základě Směrnice). Po roce 2010 se mohou použít již jen nově přijaté SSD. Pokud jsou SSD přijaté Evropskou komisí zahrnuty do smlouvy o přenosu beze změn, pak takový přenos ne-
souhlas s přenosem dat
podléhá povolovacímu řízení ze strany Úřadu pro ochranu osobních údajů a přenos dat se bude moci uskutečnit ihned po uzavření smlouvy. Pokud použité SSD vykazují nesoulad oproti verzi SSD, které přijala Evropská komise, bude nutné ještě před přenosem osobních údajů požádat Úřad pro ochranu osobních dat o souhlas s přenosem. Doplnění nad rámec SSD se nepovažuje za provedení změn. Zákon o ochraně osobních údajů nepředepisuje, jaká bezpečnostní opatření musí poskytovatel cloudových služeb
bezpečnostní opatření předepsané legislativou
implementovat. Zákon vyžaduje jen to, aby byly údaje zpracovávané bezpečným způsobem, který je ochrání před ztrátou, poškozením, změnou nebo nezákonným zpřístupněním. V případě incidentu legislativa ukládá plnou odpovědnost klientovi. Zákon tedy od klientů vyžaduje, aby si pro správu svých dat vybrali takové poskytovatele cloudových služeb, jejichž systémy jsou dostatečně bezpečné a neohrozí zájmy dotčených osob. Mezinárodní bezpečnostní standardy (jako například ISO/ IEC 27000) nebo certifikace prostřednictvím renomovaných organizací (ISO25, IAASB26 nebo AICPA27) představují způsob, jakým mohou poskytovatelé cloudových služeb
Srpen 2014
mezinárodní bezpečnostní standardy
2/2
strana 8
Nástroje IT manažera
prokázat bezpečnost svých systémů ohledně požadavků na ochranu osobních údajů. Klienti by si měli ověřit, zda poskytovatelé cloudových služeb mohou poskytnout kopii takového certifikátu nebo kopii auditorské zprávy z těchto organizací (stanovisko č. 05/2012 ohledně cloud computingu vydané pracovní skupinou pro ochranu osobních údajů založenou podle článku 29 z 1. července 2012, kapitola 4.2).
audit v prostředí cloudu
Individuální audity prováděné samotnými klienty v cloudovém prostředí, kde jsou uložena data více klientů, jsou spíše nepraktické. Pro výkon klientského práva na audit v prostředí cloudu je vhodnější audit provedený třetí stranou dle výběru klienta.
vrácení údajů po ukončení smlouvy
Při uzavírání smluv s poskytovateli cloudových služeb by se klienti měli ujistit, že nezůstanou „uzamčení“ ve službě daného poskytovatele cloudových služeb. Taková situace může nastat, když si při ukončení smlouvy klienti nebudou umět data přenést k jinému poskytovateli nebo zpět do svých systémů, protože data nebudou vrácena v jednoduše přenositelném nebo obecně používaném formátu. Plán zpětného přenosu dat by měl obsahovat časové závazky, v rámci kterých musí být osobní údaje klientovi vráceny, a formát dat by měl být přesně specifikován. V roce 2014 se v EU předpokládá značná změna režimu ochrany osobních údajů, která bude souviset se vznikem účinnosti nového nařízení na ochranu osobních údajů (návrh
Srpen 2014
Ochrana osobních údajů v cloudu
strana 9
na nařízení Evropského parlamentu a Rady o ochraně osob při zpracování osobních údajů a o volném pohybu těchto údajů). Nařízení zavádí nový požadavek přenositelnosti údajů, data portability. Jeho účelem je ještě více posílit právo klientů na kontrolu nad svými daty. Toto nové nařízení opravňuje klienty získat údaje od poskytovatelů cloudových služeb ve formátu, který je běžně používán a umožňuje jejich další použití. Klienti, kteří přesunuli své údaje do cloudu, předpokládají, že jejich informace nebudou poskytovateli cloudových slu-
zpřístupnění údajů policii nebo vyšetřovacím orgánům
žeb zpřístupněny třetím stranám bez jejich souhlasu a bez odůvodněné potřeby. Kromě případu formální žádosti státních orgánů na základě zákona poskytovatelé cloudových služeb nesmějí zpřístupnit data klientů bez jejich souhlasu třetím stranám. Situace, ve kterých musejí poskytovatelé cloudových služeb spolupracovat a vyhovět formálním písemným žádostem státních orgánů, jsou zejména následující: Žádosti vydané soudy nebo orgány činnými v trestním řízení pro účely vedení soudního řízení nebo vyšetřování; žádosti vydané daňovými úřady za účelem určení a/nebo výběru daní nebo cel; žádosti vydané bezpečnostními a zpravodajskými službami za účelem výkonu jim svěřených úkolů. Žádosti o zpřístupnění osobních údajů mohou být státními orgány doručeny i poskytovatelům cloudových služeb s datovými centry mimo ČR a SR. Žádosti o zpřístupnění
Srpen 2014
žádost o zpřístupnění osobních údajů
2/2
