Legislatívny rámec ovplyvňujúci využívanie cloudových služieb je v podmienkach SR ešte len v začiatkoch. Rámcovo sa tejto oblasti dotýka viacero osobitných právnych predpisov, za všetky spomeniem zákon o ochrane utajovaných skutočností, zákon o informačných systémoch verejnej správy, zákon o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci (tzv. zákon o e-Governmente), zákon o elektronickom podpise a samozrejme zákon o ochrane osobných údajov (ďalej len „zákon“).
Postavenie subjektu poskytujúceho cloudové služby z pohľadu zákona
Rozširovaním cloudových služieb vystupuje do popredia aj problematika spracúvania osobných údajov v rámci týchto služieb a s tým spojené otvorené otázky „kategorizácie“ jednotlivých subjektov, ktoré sú v procese poskytovania a využívania cloudových služieb zainteresované. Z pohľadu zákona môže byť poskytovateľ cloudových služieb v postavení prevádzkovateľa, ak využíva cloudové služby interne pre svoje potreby alebo v postavení sprostredkovateľa, ak poskytuje cloudové služby pre externé subjekty (vo výnimočných prípadoch v postavení subdodávateľa vykonávajúceho činnosti na zodpovednosť sprostredkovateľa). Pre úplnosť uvádzam, že z hľadiska zákona je pojem sprostredkovateľ vymedzený ako každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve a v súlade so zákonom.
V niektorých prípadoch sa kladie až prehnaný dôraz na oblasť ochrany osobných údajov, čím ale nechcem spochybňovať legitímny záujem a potrebu chrániť osobné údaje v rámci poskytovania cloudových služieb. Ich ochranu považujem za potrebnú a správnu.
Je každý poskytovateľ cloudových služieb sprostredkovateľom?
V dnešnej téme sa budem v krátkosti venovať všeobecne presadzovanému názoru, že každý poskytovateľ cloudových služieb je sprostredkovateľom. Uvedené konštatovanie umocňuje stanovisko č.5/2012 ku cloud computingu tzv. „Pracovnej skupiny WP29“, ktoré bolo prijaté 1. júla 2012. V stanovisku pracovná skupina analyzuje relevantné otázky týkajúce sa poskytovateľov služby cloud computing pôsobiacich v Európskom hospodárskom priestore (EHP) a ich zákazníkov a špecifikuje tu všetky uplatniteľné zásady zo smernice EÚ o ochrane údajov (95/46/ES) a smernice o súkromí a elektronických komunikáciách 2002/58/ES.
Preto nemôžeme nechať bez povšimnutia skutočnosť, či je všeobecné zaškatuľkovanie poskytovateľov cloudových služieb za sprostredkovateľov správne a hlavne žiadúce. Pri tých poskytovateľoch, ktorí v rámci cloudových služieb vedome spracúvajú osobné údaje to žiadúce iste je. Existuje však aj skupina takých poskytovateľov cloudových služieb, ktorí z povahy prijatých bezpečnostných opatrení (napr. v prípade využívania šifrovania dát klientmi) nemajú ani tušenie čo je obsahom dát, ktoré ich klienti v rámci cloudu spracúvajú. Taktiež nemožno opomenúť skutočnosť, že dáta spracovávané klientom prostredníctvom cloudu nemusia byť vždy charakteru osobných údajov, nakoľko môže ísť iba o tabuľky s číslami, grafy a pod. Obdobná situácia môže nastať v prípade banky prenajímajúcej bezpečnostné schránky. Banka netuší či obsahom uchovávaných dokumentov sú alebo nie sú osobné údaje a preto banka nemôže byť automaticky pasovaná do pozície sprostredkovateľa.
Domnievam sa, že pri určovaní, či je daný poskytovateľ cloudových služieb v postavení sprostredkovateľa alebo nie, je potrebné pristupovať prísne individuálne a to po zohľadnení charakteru dát, ktoré budú klientom v rámci cloudu využívané ako aj ďalších okolností nakladania s dátami (napr. ich šifrovanie).
V závislosti od rozhodnutia či poskytovateľ cloudových služieb je alebo nie je sprostredkovateľom je následne potrebné zabezpečiť plnenie zákonom požadovaných povinností. V prípadoch keď poskytovateľ cloudových služieb nie je sprostredkovateľom je nevyhnutné venovať primeranú pozornosť ochrane spracovávaných dát.
JUDr. Miroslav Fridrich
Autor je konzultant analytickej bezpečnosti v spoločnosti TEMPEST