Sledujeme tak bouřlivý vývoj nových technologií, přívaly chytrých telefonů na mobilních trzích, stahující se mraky nad klasickými koncepty IT z 20. století. Posledně zmíněná metafora je o to trefnější, pokud skutečně považujeme nastupující trend tzv. cloudových technologií za schopný ohrozit zažité postupy.

Kromě technických přínosů či ekonomických výhod je však minimálně z pohledu právního potřeba zůstat nohama pevně na zemi, pokud máme hlavu v oblacích a rozhlížíme se tam, zda by to nebylo vhodné místo pro naše data. Nedomnívám se, že by to vyžadovalo nějaké nové uvažování odlišné od toho, které bychom měli mít kdykoliv jindy, když rozhodujeme, jak naložit s aktivy, jež v rámci podnikání spravujeme. Ovšem zvláštní rizika vyplývají z relativní novosti cloudových řešení a de facto neexistující specifické regulace: když si například vybíráte banku pro uložení svých peněz, můžete spoléhat na bankovní dohled a pojištění vkladů; při ukládání podobné záruky dat nemáte. Pojďme se tedy podívat na jednotlivá nejčastější rizika, která bychom měli při rozhodování o cestě do oblak vzít v úvahu (a slibuji, že už žádné metafory).

Než začneme

Předně bychom měli mít představu o tom, jakou hodnotu naše data mají. Jinak řečeno, jakou ztrátu utrpíme, pokud o ně přijdeme, neboť žádný poskytovatel cloudu nebude chtít nést odpovědnost za jiné než úmyslně způsobené zničení dat - a na rovinu si řekněme, že úmyslné poškození je zhruba tak stejně pravděpodobné, jako když lupiči přepadnou banku. Tuto ztrátu je vhodné si rozdělit na dočasnou (nedostupnost datového úložiště - s tím souvisí otázka, nakolik je naše podnikání závislé na tom, že jsou naše data neustále dostupná) a trvalou (zničení). Na základě toho bychom měli volit řešení, kterým například pokryjeme pouze kompletní ztrátu - v pravidelných intervalech budeme provádět zálohy -, nebo navíc zajistíme maximální dostupnost svých dat a budeme je ukládat na více místech současně. Zatímco provádění zálohy si ještě můžeme zajistit sami, používání geograficky odlišných úložišť bychom již měli mít zajištěno smluvně s poskytovatelem cloudu a neplnění povinností ošetřit např. smluvní pokutou.

Dále bychom měli zohlednit, zda jsou data naše, někoho jiného nebo o někom jiném - druhé dva případy s sebou nesou pochopitelně další rizika. Pokud jsme se zavázali zajistit nějaký standard ochrany dat třetích osob, nemůžeme si dovolit tento standard snížit při přechodu na novou technologii - naše další kroky by měl jednoznačně řídit požadavek na smluvní úpravu back-to-back. A pokud spravujeme data o někom jiném, tj. půjde asi o osobní údaje těchto osob, nemůžeme přejít na novou technologii bez zajištění náležité ochrany v souladu s právními předpisy na ochranu osobních údajů. Nejde-li o lokální poskytovatele datových úložišť, přibývá nám zde problematika předávání osobních údajů do zahraničí - poskytovatelé cloudu si bohužel tímto problémem většinou moc hlavu nelámou a veškerou odpovědnost svalují na objednatele.

Nezanedbatelná ochrana osobních údajů

Právě problematice ochrany osobních údajů v době cloudové se alespoň v Evropě věnují různé instituce nejvíce - například Mezinárodní pracovní skupina pro ochranu osobních údajů v telekomunikacích (IWGDPT) vydala v dubnu tohoto roku tzv. Sopotské memorandum a pracovní skupina sdružující regulátory ochrany osobních údajů z členských států EU (WP29) v červnu zveřejnila stanovisko o cloud computingu. Oba dokumenty obsahují řadu doporučení jak směrem ke státům odpovědným za legislativní rámec (teprve uvidíme, zda se v rámci EU připravované obecné nařízení o ochraně osobních údajů bude tomuto tématu dostatečně věnovat), tak ve vztahu k poskytovatelům cloudových řešení, ale i jejich zákazníkům. Pokud bychom tato doporučení čítající desítky stran měli shrnout, pak bychom zřejmě poukázali na nutnost vyjasnit si povahu právního vztahu poskytovatele a zákazníka (kdo je za co odpovědný), uvědomit si, že primární odpovědnost má právě zákazník jakožto správce osobních údajů, zajistit kontrolu nad daty a jejich bezpečnost po celou dobu jejich zpracování, včetně přičitatelnosti porušení povinností, a vše si pojistit zárukami poskytovatele, že přístup k datům nezíská neoprávněná osoba, poskytování dat třetím osobám bude vždy dokumentovatelné (např. ve vztazích se subdodavateli), bude zajištěna nezbytná součinnost (např. ve vztahu k možnému uplatnění práv subjektů údajů), předávání údajů do zahraničí bude odpovídat pravidlům EU (zde je nutno dávat pozor zejména u globálních poskytovatelů majících svá datová centra např. v USA či Asii), technická a organizační opatření budou adekvátně vyvažovat rizika spojená s tímto typem technologie.

Individuální přístup

Zmiňovaná doporučení jsou cenným nástrojem nejen tehdy, pokud zpracováváte osobní údaje - mnohé principy jsou uplatnitelné i na jakákoliv jiná data, která s ohledem na jejich hodnotu potřebujete zabezpečit stejně kvalitně. Zatímco pro běžného spotřebitele či malý podnik ještě může být akceptovatelné řešení založené na všeobecných podmínkách použití cloudové služby přijaté kliknutím myši, v případě cenných dat či jejich větších objemů je nutné trvat na individualizovaných smluvních podmínkách. A v případě lokálního datového úložiště na okraji města je těch otázek k řešení jen o něco méně.

Richard Otevřel, advokát
Havel, Holásek & Partners, advokátní kancelář