Postavenie zákazníka a poskytovateľa cloudovej služby
Definícia „spracúvania osobných údajov“ je v zákone o ochrane osobných údajov vymedzená pomerne široko. V zmysle § 4 ods. 3 písm. a) tohto zákona sa spracúvaním osobných údajov rozumie vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie.
Rozsah tejto definície pri nakladaní s osobnými údajmi teda s určitosťou pokrýva celý rad spracovateľských operácií vykonávaných v samotnom cloude.
Je potrebné identifikovať postavenie jednotlivých strán, t. j. postavenie zákazníka cloudovej služby a poskytovateľa tejto služby. Zákazník cloudovej služby určuje konečný účel spracúvania a rozhoduje o outsourcingu tohto spracovania a delegovaní všetkých alebo časti spracovateľských činností na externú organizáciu poskytovateľa cloudovej služby. Zákazník cloudovej služby vystupuje ako prevádzkovateľ. V tomto kontexte je potrebné zdôrazniť, že je to práve prevádzkovateľ, ktorý nesie primárnu zodpovednosť za spracúvanie osobných údajov v súlade so zákonom o ochrane osobných údajov. To znamená, že prvotnou a najdôležitejšou úlohou pojmu prevádzkovateľ je určiť, kto má niesť zodpovednosť za dodržiavanie pravidiel ochrany údajov a ako, u koho si môžu dotknuté osoby uplatniť svoje práva v praxi.
Ďalší subjekt v predmetnom vzťahu predstavuje poskytovateľ cloudovej služby, ktorý zastáva postavenie sprostredkovateľa, nakoľko je to subjekt, na ktorý prevádzkovateľ deleguje niektoré zo svojich úloh a povinností. Podľa § 4 ods. 2 písm. d) sprostredkovateľ je každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom. Na základe uvedeného platí, že poskytovateľ cloudových služieb je subjektom, ktorý v danom vzťahu vystupuje v postavení sprostredkovateľa, nakoľko spracovateľské operácie vykonáva v mene zákazníka cloudovej služby, na základe jeho poverenia ustanoveného v písomnej zmluve. Sprostredkovateľ by mal brať ohľad na povinnosť zabezpečiť bezpečnosť spracúvania osobných údajov. V prípade sprostredkovateľa je potrebné podotknúť, že právom aplikujúcim sa na bezpečnosť spracovania, predstavujú vnútroštátne právne predpisy členského štátu, v ktorom má sprostredkovateľ sídlo.
Postavenie subdodávateľov
Ďalšími subjektmi, ktoré sa môžu zapojiť do vzťahu zákazník cloudovej služby a poskytovateľ cloudovej služby, sú subdodávatelia na ktorých poskytovateľ cloudových služieb - sprostredkovateľ, deleguje niektoré z činností, ktorými ho poveril zákazník cloudovej služby - prevádzkovateľ. Možnosť sprostredkovateľa poveriť ďalší subjekt spracúvaním osobných údajov je možné len za splnenia podmienky, že si tak s prevádzkovateľom písomne v zmluve dohodne vykonanie spracúvania osobných údajov prostredníctvom inej osoby. Takýto subdodávateľ spracúva osobné údaje a zabezpečuje ich ochranu na zodpovednosť sprostredkovateľa, t. j. voči prevádzkovateľovi nesie zodpovednosť sprostredkovateľ aj za konanie, respektíve nekonanie subdodávateľa.
Ustanovenie § 8 ods. 5 zákona o ochrane osobných údajov stanovuje, že ustanovenia zákona o sprostredkovateľovi sa vzťahujú aj na subdodávateľa. Na subdodávateľa úrad nahliada ako na sprostredkovateľa. Pracovná skupina WP 29 pre ochranu údajov vo svojom stanovisku ku cloud computingu uviedla, že všetky relevantné povinnosti sa musia uplatňovať aj na subdodávateľov prostredníctvom zmlúv medzi poskytovateľom cloudovej služby a subdodávateľom odrážajúc požiadavky uvedené v zmluve uzatvorenej medzi zákazníkom a poskytovateľom cloudovej služby.
Zmluva medzi zákazníkom a poskytovateľom cloudovej služby
Na to, aby bol vzájomný vzťah zákazníka a poskytovateľa cloudovej služby súladný so Zákonom o ochrane osobných údajov, je nevyhnutné, aby tieto dva subjekty medzi sebou uzatvorili písomnú zmluvu podľa zákona.
Cezhraničný prenos osobných údajov
Z hľadiska určenia, ktoré vnútroštátne právne predpisy budú uplatniteľné pri spracúvaní osobných údajov, je rozhodujúcim faktorom umiestnenie prevádzkovateľa. Uplatniteľnými právnymi predpismi sú právne predpisy krajiny, v ktorej má sídlo prevádzkovateľ zadávajúci služby cloud computingu, a nie miesto, kde sa nachádzajú poskytovatelia cloud computingu.
Zdroj:
Metodické usmernenie č. 3/2016 - Cloudové služby z pohľadu zákona o ochrane osobných údajov
www.dataprotection.gov.sk