Není žádnou novinkou, že v květnu roku 2018 vešel v platnost zákonný požadavek definující zvýšenou ochranu osobních údajů, tedy GDPR. Na jeho dodržování musí dbát fyzické i právnické osoby, které spravují citlivé údaje svých klientů, ale například také svých zaměstnanců. Je však třeba zdůraznit, že se tato povinnost netýká jen těch, kteří tyto údaje napřímo spravují. Stejně tak jsou ji povinni dodržovat ji i ti, kteří mají k osobním údajům přístup z toho důvodu, že je zpracovávají pro jejich správce. GDPR je tedy platné i pro samotné zpracovatele těchto údajů neboli třetí subjekt. Tím nejčastěji bývají dodavatelé cloudových řešení, ale i poskytovatelé nejrůznějších informačních systémů. GDPR se jednoduše řečeno týká všech, kdo zpracovávají osobní data.
Kdo je správce a kdo zpracovatel
K tomu, abyste byli schopni dodržet GDPR nařízení, musíte znát zásadní rozdíly mezi správcem a zpracovatelem osobních údajů. Vztah správce a zpracovatele totiž není určen tím, kdo komu platí. Definuje ho to, na které straně stojí osoba, která má pravomoc rozhodovat o zpracování osobních údajů.
Správce osobních údajů:
- Nařizuje zpracovateli to, jak a proč provádí zpracování osobních údajů.
- Je uveden v informacích o ochraně soukromí.
- Je povinen uzavřít se zpracovatelem závaznou dohodu, která upravuje náležitosti GDPR.
- Správce se přizváním zpracovatele nezbavuje odpovědnosti za zpracování osobních údajů.
Zpracovatel osobních údajů:
- Jedná vždy dle pokynů správce (sám nepoužívá, nezveřejňuje ani neurčuje účel zpracování osobních údajů).
Zejména pro malé a střední společnosti se s platností GDPR stal přechod na cloud vítanou možností, která jim efektivněji pomáhá dodržet všechny povinné náležitosti GDPR. Zároveň jim toto povinnost pomáhá splnit jednodušeji a levněji. Kvalitní cloudové služby totiž zaručují mnohem efektivnější záruku zabezpečení citlivých údajů, oproti jejich uchovávání na často pofiderních lokálních serverech. Firmy, jež cloudové služby nabízejí, si totiž v naprosté většině případů bezpečnost údajů velmi pečlivě hlídají. Protože jsou jejich provozovatelé s GDPR problematikou srozuměni velmi detailně, uvědomují si důležitost, s jakou je třeba těmto datům zajistit povinnou bezpečnost. Zároveň k tomu využívají nejen znalostí, ale i technických možností.
Výhody cloudového řešení jsou nesporné:
- Úspora času
- Úspora peněz
- Zálohovaná data
- Vyšší bezpečnost dat
- Přístup k datům odkudkoliv
- Možnost využití dalších služeb
Zodpovědnost správce dat
Samozřejmě, že není možné přesunout veškerou zodpovědnost za bezpečnost osobních dat na společnost, která cloudové služby zajišťuje. Správce má i přes toto jinak výhodné řešení vždy odpovědnost za dodržování nařízení GDPR v souvislosti se zpracováním dat. Navíc by si vždy měl se zpracovatelem smluvně nastavit podmínky spolupráce. A to takovým způsobem, kterým bude jasně definováno, kdo ponese odpovědnost za případné nedodržení povinnosti ochrany osobních dat ve spojitosti s jejich zneužitím či únikem. A za kým půjdou sankce, které plynou z nedodržení povinností. Sankce se totiž mohou vyšplhat do milionových částek a nárok na odškodnění může podat také konkrétní subjekt, kterému nedodržení nařízení GDPR způsobí újmu, a to ať už hmotnou, či nehmotnou.
Doporučení se vyplatí dodržovat
Obecná, avšak účinná rada pro společnosti, které se chystají využívat cloudových služeb obsahuje hned několik doporučení. Nezapomenout na smluvní opatření, kterými si účinně ošetří organizaci zpracování údajů, včetně jejich možného úniku a vzniklých škod. A v neposlední řadě využívat cloudových služeb od společností, které se nacházejí v EU a jsou plně pod jurisdikcí evropského práva. Dodržením těchto podmínek se stává riziko nedodržení povinností spojených s GDPR minimálním. Využívání kvalitních cloudových služeb je za těchto podmínek pro mnoho společností nepřekonatelným řešením, které šetří čas i peníze a minimalizují možné riziko.