Archiv pro štítek: dychovú skúšku odmietol

Ako by mal Cloud fungovať z pohľadu našich zákonov


Snáď náhoda dala tomu, že som sa musel pred krátkym časom zamyslieť nad tým, ako vlastne naše zákony, konkrétne tie týkajúce sa ochrany osobných údajov riešia Cloud. Ono to znie až nezaujímavo, no bol som zaskočený, keď som zistil, čo by som ako bežný používateľ cloud služieb musel riešiť a na čo si dávať pozor.

Ak využívate cloud, v akejkoľvek podobe, počítam, že s výnimkou riešenia od slovenských operátorov, ste iba odsúhlasili povinné políčko súhlasu s podmienkami používania a bolo hotovo. Samotné podmienky nikto, alebo málokto číta, pri zahraničných službách nemusia byť preložené do slovenského jazyka. No aj keď sú, prioritná pri spornosti výkladu býva iná jazyková mutácia, ako tá slovenská.

cloud prenos

V podstate odhliadnuc od toho, či je cloud využívaný súkromne alebo vo firme, vždy vystupujem ako jeho používateľ, teda zákazník. Pre tento účel ma zákon definuje ako prevádzkovateľa. Ak by sme nazreli do zákona o ochrane osobných údajov, naskytne sa nám rôznorodá zmes povinností, ktoré by ste mali pri cloud službe, kde sa spracúvajú osobné údaje plniť. A to aj v prípade, že sú to vaše osobné údaje, pri firemnom prostredí je to už vážnejší zásah, pretože môže ísť o zamestnancov a ich dáta. Nepochybujem však o tom, že súlad s týmito povinnosťami a vôbec ich plnenie bežný zákazník cloud služby nikde riešiť nebude.

No a na druhej strane je osoba, ktorá má status sprostredkovateľa, teda ten, kto vlastne samotnú službu poskytuje. Čiže vykonáva všetky operácie s mojimi osobnými údajmi v cloude v mojom mene, ako zákazníka. Opäť je tu množstvo povinností, ktoré musí tento poskytovateľ plniť voči mne, ako zákazníkovi. To, že sa to v praxi pri mnohých službách tiež nedeje, nepochybujem rovnako. Je samozrejme dôležité, kde má reálne sídlo tento sprostredkovateľ, od čoho sa odvíja aj jeho viazanosť našim zákonom o ochrane osobných údajov. K tomu však treba brať zreteľ aj na zákazníka, totiž, ak tento má sídlo alebo býva na Slovensku a poskytovateľ v inom členskom štáte EÚ, musí riešiť aj povinnosti nášho zákona o ochrane osobných údajov. Celý proces komplikuje aj prenos údajov mimo Slovenska, kedy sa rozlišuje, kam prúdia a kde sú uložené. V rámci EÚ to nie je problém, tretie krajiny už sú na tom horšie a pri firemnom cloude by sme mali voči svojich zamestnancom plniť aj informačné povinnosti, ak ich dáta opúšťajú EÚ. Záleží to od toho, či daná krajina zaručuje primeranú úroveň ochrany osobných údajov alebo nie.

cloud logo

Najzakladanejšia vec, ktorú mi zákon ukladá je tá, že by som mal v písomnej podobe mať s poskytovateľom cloud služby zmluvu. Musí obsahovať jedenásť povinných náležitostí a ide okrem všeobecných údajov o zúčastnených, napríklad o názov informačného systému, kde sa budú osobné dáta spracúvať, ich zoznam a podobne. Verím, že niektoré údaje sa pri masových službách nedajú ani získať a aj keď by sa na daný cloud mal vzťahovať náš zákon, jeho prevádzkovateľ by sa pozeral s úsmevom na požiadavku podpisu písomnej zmluvy. Dokonca, bez takejto zmluvy by sa nemalo samotné spracúvanie osobných údajov v cloude ani realizovať. V praxi však ako zákazník nemám možnosť ani ovplyvniť samotné podmienky používania cloud služby, buď ich odsúhlasím alebo môžem ísť o službu ďalej. Slovenský zákon ma dokonca núti, aby som preveroval technické a personálne zabezpečenie vlastného poskytovateľa, čo je pri väčšine z nich z ríše fantázie. Ozvať sa u poskytovateľa cloud, že si chcem pozrieť jeho priestory, technické a personálne zabezpečenie, no neviem, ako by sa tvárili.

Samozrejme, existuje aj externé hodnotenie, ktoré vďaka ISO/IEC norme a iným certifikátom dokáže prezradiť, ako daný poskytovateľ je pripravený na ochranu osobných dát, ktoré budem do cloudu vkladať. No pri prenose údajov na zahraničný cloud mimo EÚ, sa za určitých okolností musí získavať súhlas nášho Úrad na ochranu osobných údajov.

data zamok

Pri reálnom prípade sa dá celkom presne analyzovať a určiť, aké povinnosti mám ako bežný používateľ cloudu a aké v situácii, že do cloudu ukladám dáta svojich zamestnancov a ide o cloud firemný. Každopádne som osobne zistil, že v praxi to málokto rieši a dáta putujú aj mimo Slovenska bez toho, že by sa tieto podmienky plnili. V zásade problém nastane vtedy, ak sa s dátami niečo stane a do procesu sa vloží slovenská autorita (Úrad na ochranu osobných údajov).

Tagy :



Source link