Osebni podatki in oblak

Datum: 01.08.2012

Avtor: Igor Pirc

Kraj objave: Računalniške novice

Smernice za shranjevanje in obdelavo osebnih podatkov v oblaku

Slovenski urad informacijskega pooblaščenca je sprejel smernice za shranjevanje in obdelavo osebnih podatkov v oblaku. Namen smernic je, kot navajajo, podati seznam kontrolnih točk, s pomočjo katerih bodo lahko uporabniki in nadzorni organi sprejemali bolj informirane odločitve. Na drugi strani smernice omogočajo ponudnikom storitev računalništva v oblaku napotke za nadaljnji razvoj s ciljem skladnosti z Zakonom o varstvu osebnih podatkov RS (v nadaljevanju: ZVOP-1).

Z vidika ZVOP-1 je ključno, da se uporabnik oz. naročnik storitev računalništva v oblaku šteje za upravljavca osebnih podatkov, ponudnik storitev računalništva v oblaku pa za njegovega pogodbenega obdelovalca, ki za naročnika izvaja določena ravnanja z osebnimi podatki, kot so hramba, kopiranje, posredovanje in podobno. Pri tem velja opozoriti, da so osebni podatki vsi podatki, ki se nanašajo na določenega ali določljivega posameznika.

Urad informacijskega pooblaščenca v smernicah ocenjuje, da so vidiki varstva osebnih podatkov, ki se ob uporabi računalništva v oblaku najbolj izpostavljajo, predvsem pogodbena obdelava osebnih podatkov, zavarovanje osebnih podatkov in iznos osebnih podatkov v tretje države.

Glede pogodbene obdelave osebnih podatkov je bistveno to, da upravljavec osebnih podatkov (uporabnik storitve) lahko računa na določeno raven zavarovanja osebnih podatkov tako s strani pogodbenega izvajalca, kot s strani njegovih podizvajalcev. Medsebojne pravice in obveznosti morata stranki urediti s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih, s katerimi bodo podatki zavarovani pred slučajnim ali namernim nepooblaščenim uničevanjem podatkov, njihovo spremembo ali izgubo ter nepooblaščeno obdelavo teh podatkov (24. člen. ZVOP-1).

Glede načina zavarovanja osebnih podatkov smernice ne dajejo neposrednega odgovora, opozarjajo pa na to, da je na uporabniku storitve, da preveri in oceni ali ponujene storitve ustrezajo njegovim in zakonskim zahtevam. Pri tem mora pridobiti zadostne in transparentne informacije s strani ponudnika ter opraviti analize tveganj, ki jih predstavlja sprejem ponudbe. Ustrezna skrbnost in s tem povezana odgovornost je tako na strani uporabnika. S strani ponudnikov storitev je zato bistveno, da zagotovijo transparentnost, s katero naročnikom predstavijo, kje se bodo obdelovali njihovi osebni podatki, kako bo zagotovljena njihova zaupnost in razpoložljivost ali in v katerih tretjih državah se bodo obdelovali, kateri podizvajalci bodo sodelovali pri obdelavah podatkov ter kako itd.

Poseben vidik varstva osebnih podatkov, ki ga je obravnaval urad informacijske pooblaščenke, je tudi iznos osebnih podatkov v tretje države, ki ne zagotavljajo ustrezne ravni varstva osebnih podatkov. Tak iznos je možen le pod določenimi pogoji, pri čemer mora pred iznosom podatkov upravljavec navadno pridobiti dovoljenje informacijskega pooblaščenca.

Iznos osebnih podatkov v tretje države je pomemben predvsem z vidika podjetij, ki imajo svoje uporabnike izven meja EU. Pri tem velja opozoriti na naslednje mehanizme, ki so za zagotovitev zakonskih zahtev na voljo upravljavcem:

  • Tipske pogodbe, ki jih je pripravila Evropska komisija – standardne pogodbene klavzule (SPK).
  • Multinacionalna podjetja se lahko k ustrezni ravni varstva osebnih podatkov zavežejo z zavezujočimi poslovnimi pravili (ang. »Binding Corporate Rules – BCR«). Bistveno je vedeti, da na podlagi BCR ni mogoč prenos osebnih podatkov podjetjem zunaj korporacije.
  • Iznos osebnih podatkov po načelu »Varnega pristana«, ki velja kot dogovor med EU in ZDA. Varen pristan omogoča upravljavcem osebnih podatkov, da svoje podatke posredujejo upravljavcem ali pogodbenim obdelovalcem iz ZDA (kot so npr. Google, Amazon ipd.), če so se ta podjetja zavezala k spoštovanju načel Varnega pristana.

Da bi se uporabniki in ponudniki storitev v oblaku lažje znašli v labirintu zakonskih zahtev in pravic, ki jih imajo na področju varstva osebnih podatkov, je v smernicah ponujen kontrolni seznam za lažje ugotavljanje skladnosti z obstoječimi zahtevami zakona o varstvu osebnih podatkov. Kontrolni  seznam predstavlja niz obveznih kontrol, ki predstavljajo minimalne zahteve brez izpolnitve, katerih odločitev se za uporabo storitev računalništva v oblaku ne priporoča.

Za uporabnike storitev v oblaku je pomemben povzetek iz katerega izhaja, da bo za morebitne kršitve slovenske zakonodaje o varstvu osebnih podatkov odgovarjal sam, četudi bo do kršitve prišlo na strani ponudnika storitev v oblaku.

 

Igor Pirc, univ. dipl. prav., EMBA

Svetovalec v podjetju Eudace d.o.o.

 

Osebni podatki in oblak.pdf