ACT Legal pôsobí vo všetkých hlavných európskych obchodných centrách.
Bratislava | Brusel | Frankfurt | Paríž | Praha | Viedeň | Varšava

Viac informácií na www.actlegal.com

Špecializujeme sa na ICT právo, konkurz a reštrukturalizáciu, daňové právo a transferové oceňovanie.

Novinky

Späť na novinky

Publikácie
Cloudové služby a ochrana osobných údajov

Autor Mgr. Jana Alušíková
Zobraziť profil

Napriek množstvu výhod, ktoré sú s cloudovými riešeniami nesporné spojené, je pri uzatváraní zmluvných vzťahov, na základe ktorých budú cloudové služby poskytované, potrebné dbať okrem iného aj na splnenie podmienok spojených s ochranou osobných údajov.

Z hľadiska ustanovení zákona č. 122/2013 Z.z. o ochrane osobných údajov v platnom znení (ďalej len „zákon o ochrane osobných údajov“) sú obe zmluvné strany (poskytovateľ cloudových služieb, ako aj zákazník cloudovej služby) povinné dbať na dodržiavanie viacerých povinností, ktoré im právna úprava ukladá, a ktorých porušenie môže mať za následok vznik škôd, ako aj vyvodenie zodpovednosti a uloženie sankcií za porušenie povinností na úseku ochrany osobných údajov.

Pre jednoznačné vymedzenie povinností je nevyhnutné v uzatváranom zmluvnom vzťahu jednoznačne vymedziť postavenie oboch zmluvných strán, t.j. poskytovateľa, ako aj zákazníka cloudovej služby.

Podľa § 4 ods. 2 písm. b) zákona o ochrane osobných údajov je prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene.

Zohľadňujúc charakter cloudových riešení možno konštatovať, že konečný účel spracúvania osobných údajov a podmienky spracúvania osobných údajov určuje práve zákazník cloudovej služby, ktorý napĺňa definíciu prevádzkovateľa, a teda nesie primárnu zodpovednosť za dodržanie povinností v súvislosti s ochranou osobných údajov.

Čo sa týka postavenia poskytovateľa cloudových služieb, poskytovateľ zastáva postavenie sprostredkovateľa, ktorému sú na základe uzavretého zmluvného vzťahu so zákazníkom stanovené povinnosti, ktoré je povinný dodržiavať. Z uvedeného dôvodu je pri uzatváraní zmluvného vzťahu nevyhnutné dbať na to, aby bol zmluvný vzťah uzavretý v písomnej forme a zároveň aby spĺňal náležitosti podľa § 8 ods. 4 zákona o ochrane osobných údajov.

Podľa uvedeného ustanovenia musí zmluva spĺňať nasledovné náležitosti:

- údaje o zmluvných stranách

- deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa

- účel spracúvania osobných údajov

- názov informačného systému

- zoznam osobných údajov, ktoré sa budú spracúvať

- okruh dotknutých osôb

- podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi

- vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa postupoval podľa § 8 odseku 2 prvej vety

- súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby, ak postupujú podľa § 8 odsek 5

- dobu, na ktorú sa zmluva uzatvára

- dátum uzatvorenia zmluvy a podpisy zmluvných strán.

Nad rámec uvedených náležitostí odporúčame v zmluvnom vzťahu dostatočne identifikovať a popísať  informačný systém prevádzkovateľa a dostatočne určiť spôsob, akým je sprostredkovateľ oprávnený s osobnými údajmi nakladať.

Taktiež je nevyhnutné poukázať na znenie § 8 ods. 2 zákona o ochrane osobných údajov, podľa ktorého je prevádzkovateľ pri výbere sprostredkovateľa povinný dbať na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť, ako aj na jeho spôsobilosť zaručiť bezpečnosť spracúvaných osobných údajov opatreniami uvedenými v § 19 ods. 1 zákona o ochrane osobných údajov (prevádzkovateľ je povinný chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. Na tento účel prijme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania osobných údajov, pričom berie do úvahy najmä použiteľné technické prostriedky, dôvernosť a dôležitosť spracúvaných osobných údajov, ako aj rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému). Zohľadňujúc uvedené je potrebné, aby uzatváraná zmluva obsahovala vyhlásenie prevádzkovateľa (zákazníka cloudového riešenia), že pri uzatváraní zmluvného vzťahu dbal na dodržanie povinností, ktoré mu vyplývajú z § 8 ods. 2 a § 19 ods. 1 zákona o ochrane osobných údajov.    

Z praktického hľadiska a za účelom vytvorenia lepšej dôkaznej pozície pre prípad súdneho sporu odporúčame, aby zákazník cloudového riešenia požadoval počas kontraktačného procesu od poskytovateľa služieb predloženie referencií od iných zákazníkov, predloženie certifikátov vo vzťahu k bezpečnostným systémom, poprípade iných dokumentov, prostredníctvom ktorých bude možné preukázať, že výber poskytovateľa cloudovej služby nebol len formálnou záležitosťou bez skutočného overenia podmienok vyžadovaných zákonom.  

Zároveň je nevyhnuté zohľadniť trend meniacej sa legislatívy na úseku ochrany osobných údajov, s čím je spojená potreba vytvorenia dostatočného priestoru na zmenu podmienok uzavretého zmluvného vzťahu. Uvedené je potrebné zohľadniť aj v nadväznosti na prijatie Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679, ktoré bude platiť od 25. mája 2018, a ktoré v značenej miere zmení súčasnú legislatívu na úseku ochrany osobných údajov. Práve z uvedeného dôvodu je potrebné už v súčasnosti uzatváraných zmluvných vzťahov vytvoriť mechanizmus, na základe ktorého zmluvné strany pristúpia k zmene podmienok zmluvného vzťahu po tom, ako dôjde k zmenám právnej úpravy a zabezpečiť tak splnenie požiadaviek zákona vo vzťahu k ochrane osobných údajov aj do budúcna. V prípade, ak by v súvislosti s poskytovaním cloudových služieb dochádzalo k cezhraničnému prenosu osobných údajov, uplatniteľnými právnymi predpismi budú právne predpisy krajiny, v ktorej má sídlo prevádzkovateľ zadávajúci cloudovú službu a nie krajina, kde má sídlo poskytovateľ cloudovej služby. V prípade, ak by v súvislosti s poskytovaním cloudových služieb dochádzalo k prenosu osobných údajov do krajiny nezaručujúcej primeranú úroveň ochrany osobných údajov, je potrebné disponovať primeraným právnym základom a prijať primerané záruky ochrany súkromia a základných práv a slobôd jednotlivcov a výkonu príslušných práv, ktoré sú upravené v ustanoveniach § 31 ods. 2 zákona o ochrane osobných údajov. Zabezpečenie splnenia týchto požiadaviek by malo zabezpečiť začlenenie štandardných zmluvných doložiek do zmluvy o cezhraničnom prenose alebo schválenie záväzných pravidiel dozorným orgánom so sídlom v členskej krajine EÚ.       


Späť na novinky

Ďalšie novinky

Publikácie
Limity ochrany spotrebiteľov pri spotrebiteľskom úvere

Spotrebiteľský úver je pomenovaný zmluvný typ, ktorým sa veriteľ v pozícii dodávateľa zaviaže poskytnúť dlžníkovi, ktorý je spotrebiteľom, peňažné prostriedky v jeho prospech do určitej sumy a dlžník sa zaväzuje poskytnuté peňažné prostriedky vrátiť a zaplatiť úroky.
Čítať ďalej


Ocenenia
MPH advokátska kancelária je PRÁVNICKOU FIRMOU ROKA 2017

MPH advokátska kancelária s radosťou oznamuje dosiahnutie významného umiestnenia v prestížnej súťaži „Právnická firma roka 2017“.
Čítať ďalej


Zobraziť všetky novinky