Cloudové služby z hlediska ochrany osobních údajů
Jednou z oblastí diskutovaných v souvislosti s ochranou soukromí a osobních údajů je dopad právních předpisů upravujících ochranu osobních údajů na poskytování a vyžívání cloudových služeb. Dochází ale při poskytování cloudových služeb vždy nutně ke zpracování osobních údajů? A co to znamená pro jejich poskytovatele a uživatele?
cloudové služby osobní údaje přeshraniční předávání Privacy Shield zpracovatel subzpracovatel správce
Zpracování osobních údajů v cloudu a role aktérů
Již před účinností evropského nařízení všeobecně známého pod zkratkou GDPR1 se s rozvojem cloudových služeb – k problematice vztahu GDPR a cloudových služeb postupně vyjadřovaly orgány na evropské (Pracovní skupina WP29, poradní orgány Komise a předchůdce Evropského sboru pro ochranu osobních údajů) i národní úrovni (Úřad pro ochranu osobních údajů2). Obecně se shodují, že při provozování cloudových služeb bude téměř vždy docházet ke zpracování osobních údajů a že obecně platí, že zákazník se standardně nachází v pozici tzv. správce osobních údajů, zatímco poskytovatel v pozici zpracovatele3. Tento závěr pak obecně dopadá na jakékoli cloudové služby bez ohledu na využívaný model – SaaS (software jako služba), PaaS (platforma jako služba) a IaaS (infrastruktura jako služba) – či typ cloudu z hlediska vlastnictví (veřejný, soukromý, hybridní).
Český Úřad pro ochranu osobních údajů (ÚOOÚ) zároveň však připustil, že „mohou nastat situace, kdy bude poskytovatel cloudových služeb v závislosti na konkrétních okolnostech považován buď za společného správce, nebo správce v rámci vlastních pravomocí“4. S výjimkou obecného konstatování, že to bude v případech, kdy poskytovatel zpracovává osobní údaje pro vlastní účely, se však již dále nevyjadřuje k tomu, za jakých okolností lze poskytovatele cloudové služby považovat za správce a jaké z toho plynou pro jednotlivé aktéry důsledky.
Vymezení právního statusu jednotlivých smluvních stran (podle GDPR role správce a zpracovatele) v kontextu cloudových smluvních vztahů přitom není jen nějakou teoretickou právní otázkou. Naopak má toto vymezení dopad na smluvní strukturu, na jednotlivá práva a povinnosti stran a samozřejmě s tím souvisí dopad do odpovědnostní sféry stran.
Osobní údaje vždy a všude?
Výše uvedené vymezení rolí na zákazníka-správce a poskytovatele- zpracovatele se obecně uplatnilo i v režimu GDPR. Rovněž se stalo víceméně notorietou, že při poskytování jakýchkoli cloudových služeb bude vždy v nějaké míře docházet ke zpracování osobních údajů, a to především vzhledem k tomu, že i pouhé ukládání osobních údajů je dle GDPR zpracovatelskou operací, proto se na něj pravidla tohoto nařízení vztahují v plném rozsahu. Obvykle neobstojí argument, že poskytovatel služby nemá vůbec přístup k datům ani možnost s nimi jakkoli manipulovat, případně že si vůbec nemůže být vědom, jaká data zákazník v rámci jeho služby ukládá. Ten většinou naráží na skutečnost, že málokdy lze předem jednoznačně vyloučit, a tudíž garantovat, že v rámci poskytovaných služeb opravdu nikdy nebude docházet k žádné zpracovatelské operaci, a to ani k pouhému ukládání takových údajů v rámci pronajaté úložné kapacity či k jakémukoli přístupu např. v rámci služeb podpory či údržby.
V praxi se lze samozřejmě setkat s případy, kdy si zákazník s poskytovatelem cloudových služeb výslovně ve smlouvě sjednají, že služba nepředpokládá zpracování osobních údajů (např. se zdůvodněním, že ukládaná data jsou průmyslová či obchodní neosobního charakteru nebo že se jedná o takovou službu podpory či údržby, která vylučuje přístup k osobním údajům, resp. ten je maximálně nahodilý). Takovéto smluvní nastavení si lze představit v případě některých služeb PaaS nebo IaaS. Daleko častěji však strany pragmaticky a z důvodů minimalizace právních rizik akceptují, že nelze předem stoprocentně vyloučit zpracování osobních údajů (už jen vzhledem ke zmiňované šíři právní definice „zpracování“5, ale i šíři samotné definice „osobních údajů“6) a rovněž právní status správce (zákazník) a zpracovatele (poskytovatel služby).
Ačkoli již dřívější právní úprava ochrany osobních údajů kladla řadu povinností na správce a zpracovatele včetně povinnosti uzavřít zpracovatelskou smlouvu (a to samozřejmě nejen v kontextu cloudových služeb, ale i mimo něj), teprve s GDPR začalo ve velké míře docházet k promítnutí vztahů mezi správci a zpracovateli do smluvní dokumentace i ve vztazích mezi poskytovateli a zákazníky cloudových služeb. Téměř bezvýhradně se přitom na trhu uplatnilo základní a nejčastější vymezení: zákazník-správce a poskytovatel-zpracovatel.
Postavení zákazníka
Právní status zákazníka jakožto správce je poměrně jasný a zdánlivě nezpochybnitelný: zákazník je tím, kdo má primární oprávnění (právní důvod) nakládat s osobními údaji, tudíž určuje účel a v obecné rovině obvykle i prostředky zpracování těchto údajů. Nebýt rozhodnutí zákazníka, nebudou osobní údaje uloženy, tedy zpracovávány v cloudové službě. Realita bývá ovšem daleko pestřejší: zákazník, který je logicky z hlediska poskytovatele cloudové služby vnímán jako správce („svěřuje“ osobní údaje poskytovateli služby pro jejich zpracování v cloudu), je ve skutečnosti často sám již fakticky v roli poskytovatele služeb ve vztahu k jiným subjektům – svým vlastním zákazníkům a uživatelům – kteří ho logicky považují za svého zpracovatele. On sám již má osobní údaje z důvodu, že mu byly svěřeny ke zpracování jeho zákazníky či uživateli, a nerozhoduje o účelu zpracování.
Toto lze ilustrovat na příkladu, kdy společnost Alpha je provozovatelem SaaS aplikace (např. poskytuje datovou analytiku na datech svých zákazníků a uživatelů), ale data z této aplikace ukládá nebo jinak zpracovává prostřednictvím cloudového řešení jiného subjektu, např. v cloudu Amazon Web Services (AWS) nebo Microsoft Azure. V tomto zákaznicko- dodavatelském řetězci je koncový zákazník či uživatel služby datové analytiky správcem případných osobních údajů, které služba využívá nebo na nichž je založena. Společnost Alpha je zpracovatelem a poskytovatelem cloudového úložiště (AWS, Microsoft), je tzv. dalším zpracovatelem (sub-zpracovatelem). Poskytovatel cloudového úložiště však často7 ve svých smluvních podmínkách výslovně řeší jen vztah se svým zákazníkem (společností Alpha), kterého automaticky staví do role správce a uzavře s ním zpracovatelskou smlouvu, v níž bude sám figurovat jako zpracovatel bez ohledu na další případné řetězení a komplexitu dodavatelsko- zákaznického ekosystému.
Je to logické řešení – poskytovatel cloudového úložiště nemá zpravidla jakoukoli vědomost o tom, čí data u něj jeho zákazník ukládá a jaký právní vztah jeho zákazník k těmto datům má; zkrátka přebírá své zpracovatelské odpovědnosti vůči jakýmkoli datům, které u něj zákazník uloží, a chová se k nim jednotně jako k datům svého zákazníka, jenž je z jeho pohledu správcem. Pokud navíc jeho služba spočívá v poskytování datového úložiště nebo jakékoli jiné standardizované služby, kterou tento poskytovatel poskytuje tisícům uživatelů, bude je poskytovat za standardizovaných smluvních podmínek stejných pro všechny zákazníky (případně diferencované kategorie zákazníků). Zpravidla vůbec nepřichází v úvahu úprava smluvních podmínek na míru tak, aby reflektovaly specifické podmínky zpracovatelských smluv, které společnost Alpha uzavřela se svými vlastními zákazníky či koncovými uživateli.
Podobně zjednodušené schéma, kdy zákazník (společnost Alpha) je postaven poskytovatelem cloudové služby do role správce, je často i jediným pragmatickým řešením, zejména pokud se jedná o přeshraniční zpracování, kdy poskytovatel cloudových služeb zpracovává osobní údaje mimo Evropský hospodářský prostor (EHP) a Alpha přitom sídlí v rámci EU/EHP. V současné době totiž neexistuje vhodný právní mechanismus pro přeshraniční (mimoevropské) předávání osobních údajů mezi dvěma zpracovateli, v našem případě společností Alpha coby prvotním zpracovatelem v EU/EHP a poskytovatelem cloudu coby sub-zpracovatelem mimo EHP. Existující právní mechanismy, zejména tzv. standardní smluvní doložky jsou aplikovatelné pouze pro předávání osobních údajů mezi dvěma správci (z EHP mimo EHP) nebo mezi správcem (z EHP) a zpracovatelem (mimo EHP).
Závěrem lze shrnout, že v kontextu smlouvy o poskytování cloudových služeb bude zákazník zpravidla a téměř bez výjimky považován za správce ve vztahu k jakýmkoli osobním údajům, které předá do cloudu, i když tento právní status nemusí vždy zcela odpovídat realitě.
Poskytovatel služby jako zpracovatel, správce či společný správce?
Jak bylo popsáno výše, poskytovatelé cloudových služeb bývají tradičně považováni za zpracovatele osobních údajů. Byť tomu tak ve většině případů skutečně bude, postavení poskytovatele cloudové služby je třeba vždy posoudit v kontextu konkrétní služby a konkrétní operace prováděné s osobními údaji. I v rámci jedné komerční služby může mít totiž její poskytovatel různé postavení, které se liší např. ve vztahu ke konkrétním funkcionalitám služby či konkrétním souborům dat. Postavení se nejenže odvíjí od faktických okolností, ale často je záměrně uzpůsobováno a modelováno tak, aby z ryze pragmatických důvodů vyhovovalo obchodnímu modelu té či oné strany smluvního vztahu.
Jako příklad lze uvést výše zmíněnou službu datové analytiky poskytovanou na bázi SaaS: zkušenost s vyjednáváním smluvních podmínek takové služby je, že zákazník, pokud je v daném případě silnější stranou, prosazuje „svou vizi“ toho, jaké právní postavení má jeho (slabší) smluvní partner, které vyhovuje jeho obchodnímu modelu a zavedeným interním procesům. Zpravidla to znamená, že vnímá poskytovatele služeb jednoznačně jako svého zpracovatele, který jakékoli operace s veškerými osobními údaji provádí pouze a jen v rozsahu svého zmocnění a instrukcí. Toto nastavení ovšem ignoruje skutečnost, že minimálně ve vztahu ke správě zákaznických účtů či ve vztahu k ochraně své vlastní SaaS služby před kybernetickými riziky bude daný poskytovatel služby správcem osobních údajů. Menší část zmíněných zákazníků pak poskytovatele téže služby naopak staví do role buď společného, nebo samostatného správce, což bývá motivováno zejména snahou přenést větší míru odpovědnosti na partnerského poskytovatele služby. Proto mu vůbec nechce přiznat jakoukoli „pouhou“ zpracovatelskou roli, kdy by břímě největší (tj. správcovské) odpovědnosti nesl zákazník sám, zatímco poskytovatel služby by nesl nižší míru odpovědnosti vytyčenou mantinely konkrétní zpracovatelské smlouvy a obecně nižším standardem ochrany vyžadovaným od zpracovatelů.
Příklady z praxe
Skutečnost, že vnímání postavení poskytovatelů cloudových služeb v kontextu duality správce – zpracovatel se v posledních letech vyvíjí, lze ilustrovat na následujících dvou příkladech. Prvním je společnost Microsoft, která před několika měsíci upravila své online podmínky poskytování služeb (Online Services Terms8) a smluvně převzala roli správce osobních údajů při poskytování cloudových služeb, jako je Azure, Office 365, Dynamics a Intune, v rozsahu zpracování osobních údajů, které se týká administrativních a provozních záležitostí, jako je např. správa uživatelských účtů, finanční výkaznictví, boj proti kybernetickým útokům či obecně dodržování zákonných povinností9. Dle vyjádření zástupců společnosti byly tyto změny důsledkem „zpětné vazby od zákazníků“ a odrážejí mimo jiné podmínky sjednané s nizozemským ministerstvem spravedlnosti, které v návaznosti na vlastní posouzení rizik dojednalo s Microsoftem změnu standardních smluvních podmínek i podmínek technického zabezpečení pro online služby Microsoft10. Ve vztahu ke zpracování zákaznických osobních údajů, jež je nezbytné pro poskytnutí samotné služby, jakožto i zpracování osobních údajů za účelem zlepšování služby, zajišťování její bezpečnosti a aktuálnosti a řešení technických problémů, zůstává Microsoft i nadále v roli zpracovatele. Výsledkem změny smluvních podmínek (Online Services Terms) pro zákazníky ze segmentu Enterprise a zákazníky z veřejné správy, kdy Microsoft přebírá ve výše uvedených případech nakládání s daty postavení a zvýšenou odpovědnost správce, je i vyšší míra transparence ohledně nakládání s diagnostickými daty.
Obdobný přístup razí i další cloudový gigant, společnost Amazon Web Services (AWS), která v kontextu rolí vymezených GDPR vystupuje v postavení správce, pokud jde o ukládání údajů o uživatelích při registraci, pro účely správy účtu, přístupu ke službě či ve vztahu ke kontaktním informacím přiřazeným k danému uživatelskému účtu za účelem poskytnutí zákaznické podpory. Jako zpracovatel vystupuje AWS tehdy, pokud jeho zákazníci a partneři využívají služby AWS ke zpracování osobních údajů, jež jsou součástí obsahu ukládaného těmito zákazníky a partnery v cloudu AWS; jako sub-zpracovatel pak AWS výslovně vystupuje v situacích, kdy zákazníci či partnerské organizace provádějí zpracovatelské operace (s využitím ovládacích nástrojů pro zabezpečení zpřístupněných AWS), při kterých jsou již sami v roli zpracovatelů11.
Nástrahy společného správcovství
Pro cloudové služby typu SaaS12 platí více než pro jiné služby zahrnující zpracovatelské činnosti, že ačkoli zákazník – správce určuje účel zpracování a nese za něj plnou odpovědnost, v praxi málokdy určuje prostředky takového zpracování a má minimální či žádné technické i faktické možnosti zpracování po této stránce ovlivnit. Zpracovatel pak v tomto rozsahu fakticky přebírá činnost správce, když rozhoduje o technických a organizačních opatřeních přijatých za účelem ochrany údajů. Toto faktické rozdělení správcovské role proto otevírá otázku, zda obě strany smluvního vztahu (zákazníka i poskytovatele cloudové služby) nelze považovat za společné správce, tudíž osoby, které určují účely a prostředky zpracování osobních údajů, a pokud ano, jaká rizika z toho vyplývají.
V případě společného správcovství platí, že každý subjekt údajů13 je v takovém případě oprávněn vymáhat svá práva vůči kterémukoli ze společných správců14. Vznikne-li subjektu údajů újma, nese každý ze společných správců odpovědnost za celou takto způsobenou újmu15. Poškozený subjekt údajů může požadovat po kterémkoli ze společných správců náhradu celé vzniklé škody bez ohledu na to, jak si společní správci navzájem vymezili své podíly na odpovědnosti ve smlouvě, a to i přesto, že bude o takovém vymezení odpovědností plně informován, jak předvídá čl. 26 odst. 2 GDPR. Pokud by poskytovatel cloudové služby a jeho zákazník vystupovali v konkrétní situaci jako společní správci osobních údajů, nesl by každý z nich odpovědnost za dodržování pravidel zpracování osobních údajů nejen sám za sebe, ale i za druhého smluvního partnera, přestože by fakticky nemohl ovlivnit ani jakkoli efektivně kontrolovat dodržování těchto povinností. Jakékoli vzájemné vypořádání odpovědnostních vztahů by muselo probíhat následně formou regresu s tímto smluvním partnerem. Z výše uvedených důvodů se koncept společného správcovství ve vztahu mezi poskytovatelem a zákazníkem cloudových služeb jeví jako nepraktický a v praxi se jen zřídka setkáváme s tím, že by se zákazník a poskytovatel cloudové služby výslovně dohodli na společném správcovství.
V této souvislosti je však třeba upozornit, že v případě řady služeb může společné správcovství vzniknout i tam, kde to strany nutně nezamýšlely (případně i výslovně smluvně vyloučily). To dokládá např. hodně diskutované rozhodnutí Soudního dvora EU z července 2019 (Fashion ID)16, kdy Soudní dvůr dovodil společné správcovství provozovatele webové stránky obsahující facebookové tlačítko „Like“ a společnosti Facebook ve vztahu ke shromažďování osobních údajů návštěvníků webové stránky a jejich předávání společnosti Facebook Ireland. Soud zde mimo jiné konstatoval, že není rozhodující, zda společní správci zpracovávají osobní údaje pouze za společným účelem, nebo každý z nich (navíc) tyto údaje dále zpracovává i samostatně (jak tomu bylo i v tomto případě).
Důsledky zpracovatelské a správcovské role
Jak již bylo řečeno, právní postavení poskytovatele služby jakožto zpracovatele či správce (popř. společného správce) má vliv na typ smlouvy, která bude mezi stranami uzavřena, na jednotlivá práva a zejména povinnosti stran, a tudíž i rozsah jejich odpovědnosti. Pokud je poskytovatel cloudového řešení v pozici zpracovatele, bude rozsah jeho povinností vůči zákazníkovi vymezen především zpracovatelskou smlouvou, která musí splňovat náležitosti předepsané čl. 28 odst. 3 GDPR. GDPR tyto náležitosti vymezuje pouze obecně a jejich faktický dopad bude záležet na samotné zpracovatelské smlouvě. V praxi vidíme, že řada zpracovatelských smluv zůstává koncipována v této obecné rovině, kdy jen fakticky přepisuje ustanovení čl. 28 odst. 3. V zájmu zákazníka je, aby povinnosti zpracovatele byly co nejvíce konkretizovány, protože jen tak bude schopen nezbytné plnění úspěšně vymoci či uplatňovat odpovědnost v případě porušení. To se týká hlavně detailního nastavení všech procesů, které se mezi správcem a zpracovatelem předvídají:
- jakým způsobem budou zpracovateli udělovány pokyny týkající se zpracování, jaký bude postup pro zapojení dalších zpracovatelů (sub-zpracovatelů),
- detailní nastavení postupu ohlašování bezpečnostních incidentů a postupu při jejich řešení (včetně odstraňování následků a prevenčních opatření do budoucna),
- podrobnější vymezení toho, jak má zpracovatel poskytovat zákazníkovi součinnost nezbytnou pro plnění jeho povinností správce,
- kontrolní a auditní postupy,
- co nejpodrobněji upravené závazky zpracovatele týkající se jím přijatých organizačních a technických opatření k ochraně osobních údajů.
Vhodné je upravit i otázky, které nejsou ve výčtu náležitostí zpracovatelské smlouvy v čl. 28 odst. 3 výslovně uvedeny, jako jsou sankční ustanovení, mechanismus a následky ukončení smluvního vztahu, závazky týkající se kvality a úrovně služeb (SLA, záruky), součinnost zpracovatele v případě přechodu k jinému poskytovateli či pojistné krytí zpracovatele. Jak precizní bude zpracovatelská smlouva, závisí do velké míry na vyjednávacím postavení zákazníka-správce.
Na druhou stranu se v praxi často setkáváme i s tím, že zákazníci prosazují, tam kde jim to umožňuje jejich vyjednávací pozice, své „standardní“ vzorové zpracovatelské smlouvy, které nejsou uzpůsobeny cloudovému prostředí. Aby si zákazník-správce zajistil co největší kontrolu nad zpracovatelem, podmiňuje řadu procesů písemnými instrukcemi či svým předchozím výslovným souhlasem (zejména jedná-li se o pokyny správce či mechanismus pro zapojení dalších zpracovatelů). V prostředí standardních (multitenantních) cloudových služeb, kdy veškeré operace s daty probíhají výhradně v digitálním rozhraní dané služby, často takto nastavené procesy nejsou prakticky realizovatelné.
Ačkoliv obecně stále převažuje povědomí, že pouze ve vztahu správce – zpracovatel má zákazník největší kontrolu nad zpracovávanými osobními údaji a obecně daty zpracovávanými v rámci cloudové služby, protože poskytovatel služby jakožto zpracovatel je vázán jeho instrukcemi a mantinely nastavenými zpracovatelskou smlouvou, realita je často odlišná. Míra skutečné kontroly bude záležet na tom, jaké smluvní závazky je poskytovatel cloudové služby ochoten přijmout a jaké mechanismy skutečně účinné kontroly poskytne. Proto v případech, kdy poskytovatel cloudové služby v řadě ohledů rozhoduje a jedná autonomně, má faktickou kontrolu nad zpracovatelskými operacemi (mimo jiné proto, že jen on má požadovanou expertízu), snaha „napasovat“ poskytovatele formálně do role pouhého zpracovatele je jen „papírovým“ cvičením, které zákazníkovi účinnou kontrolu stejně nezajistí.
V takových případech je třeba zvažovat, zda poskytovateli nepřiznat roli správce, byť jen pro určitý výsek jeho činností. To ovšem vyžaduje, aby byl zákazník dobře obeznámen s tím, jak daná služba funguje a pro jaké činnosti má být poskytovatel v roli správce, resp. pro jaké účely poskytovatel zamýšlí data využívat. To, že je poskytovateli přiznána role správce, přitom nutně nezmenšuje ochranu zákazníka. Naopak. Jednak i vztah dvou správců lze podrobně smluvně upravit, a tím jasně vymezit povinnosti a odpovědnosti stran (včetně jasného vymezení operací, za které bude poskytovatel výhradně odpovědný jako samostatný správce, a nastavení limitů pro využití zákaznických dat17), jednak správce dle GDPR podléhá většímu rozsahu povinností než zpracovatel. Dle čl. 5 GDPR je to správce, kdo nese plnou odpovědnost za zákonnost, korektnost a bezpečnost zpracování. Tyto základní povinnosti jsou dále GDPR rozvedeny do řady jednotlivých konkrétních povinností, zejména vůči subjektům údajů, které jdou nad rámec povinností vztahujících se na zpracovatele. Postavení správce znamená vyšší míru povinností a tomu odpovídající vyšší míru rizika a odpovědnosti pro správce v případě, že požadovaný standard nedodrží.
Přeshraniční transfer dat při poskytování cloudových služeb
Specifikem cloudových služeb je (zpravidla) jejich nadnárodní rozměr, jelikož u většiny služeb nebude docházet ke zpracování dat v cloudu lokálně (v jurisdikci zákazníka). Pokud jsou osobní údaje evropského zákazníka zpracovávány v datových úložištích mimo Evropský hospodářský prostor (EHP), dochází z pohledu GDPR k tzv. předávání osobních údajů do třetích zemí. Takové přeshraniční předávání (a ukládání či jiné zpracování osobních údajů v cloudu mimo EHP) je možné pouze tehdy, jsou-li splněny určité podmínky a záruky předvídané v kapitole V. GDPR.
V prvé řadě GDPR umožňuje údaje předávat bez dodatečných povinností na straně zákazníka a poskytovatele služby do konkrétních zemí, o kterých Komise rozhodla, že poskytují odpovídající úroveň ochrany (tzv. předání založená na rozhodnutí o odpovídající ochraně neboli adequacy decisions). Seznam18 těchto zemí je však poměrně úzký, využití této možnosti pro přeshraniční zpracování v rámci většiny cloudových služeb zpravidla nepřichází v úvahu. Stejně tak předávání osobních údajů založené na tzv. závazných podnikových pravidlech (Binding Corporate Rules – BCR) nebude ve vztahu ke cloudovým službám zpravidla využitelné, protože tento mechanismus umožňuje přeshraniční zpracování pouze v rámci skupiny či uskupení podniků vykonávajících společnou hospodářskou činnost19. Na běžné cloudové služby nedopadnou ani tzv. výjimky pro specifické situace, které umožňují předávání osobních údajů mimo EHP v konkrétně stanovených případech, i když nejsou jinak splněny odpovídající záruky, resp. předepsané transferové mechanismy20.
Modelové klauzule a štít ochrany soukromí pod drobnohledem
Zpracování osobních údajů v cloudu poskytovatele mimo EHP je v praxi téměř výlučně postaveno na tzv. standardních smluvních doložkách (SCC z anglického Standard Contractual Clauses nebo také Model Clauses)21, v případě amerických poskytovatelů služeb pak až do nedávna na tzv. Privacy Shield22.
Standardní smluvní doložky představují vzorový text smlouvy mezi správcem osobních údajů (tzv. vývozcem dat), který hodlá předat osobní údaje do třetí země mimo EHP, a příjemcem osobních údajů v této třetí zemi (tzv. dovozce údajů), který může být ve vztahu k těmto údajům buď v postavení správce, nebo zpracovatele. V současné době jsou stále k dispozici tři typy standardních smluvních doložek: dvoje pro předávání mezi dvěma správci a jedny pro předávání mezi správcem a zpracovatelem, přičemž tyto zpracovatelské doložky jsou nejčastěji (ne-li výlučně) součástí smluvních podmínek nadnárodních poskytovatelů cloudových služeb. Ve všech případech se jedná o rozhodnutí Komise, která byla přijata ještě v režimu čl. 26 (4) směrnice 95/46/ES nahrazené právě obecným nařízením. Tato rozhodnutí zůstávají podle čl. 46 (9) obecného nařízení v platnosti i v režimu nařízení, dokud Komise nerozhodne jinak.
Již delší dobu se diskutuje o potřebě tyto dnes již poněkud zastaralé23 smluvní doložky přizpůsobit novému evropskému právnímu rámci ochrany osobních údajů představovanému GDPR. Platnost standardních smluvních doložek již byla napadnuta i soudně na evropské úrovni, v kauze známé jako Schrems II24. V posuzovaném případě Schrems namítal neplatnost SCC zejména proto, že příjemce osobních údajů (zde americký Facebook) je podle SCC povinen osobní údaje svých uživatelů zpřístupnit americkým orgánům, jako je např. National Security Agency nebo FBI, což považuje za povinnost neslučitelnou s dodržováním doložek.
I když však odhlédneme od argumentace stěžovatele Schremse v dané soudní kauze (o které je stručně pojednáno dále), je zřejmé, že standardní smluvní doložky mají své limity. Jednak se staly jakýmsi automaticky přijímaným univerzálním a nenáročným řešením, jak posvětit přeshraniční transfer, který strany automaticky zahrnou do své smluvní dokumentace, aniž by jinak než na nejobecnější úrovni podrobněji vymezily zamýšlené zpracovatelské operace a zejména technická a organizační opatření (jinými slovy se jedná o jednu z příloh smlouvy, kterou zpravidla nikdo nečte a nevyvozuje z ní zásadní dopady). SCC však často nereflektují komplexitu předávání osobních údajů a dat, což je typické pro řadu cloudových služeb a vyznačuje se pluralitou stran v různém postavení správců, zpracovatelů a sub-zpracovatelů, a to i v rámci jedné služby.
Dlouhodobě chybí standardní smluvní doložky, které by byly použitelné na předávání osobních údajů mezi evropským (v EHP sídlícím) zpracovatelem a mimoevropským sub-zpracovatelem, tudíž scénář, který by lépe pokrýval výše zmíněné případy, kdy evropský zákazník je sám již v pozici zpracovatele ve vztahu k osobním údajům, jež dále zpracovává prostřednictvím neevropského poskytovatele cloudových služeb. Takovéto zpracování nelze prakticky překlenout jinak než uzavřením standardních smluvních doložek správce – zpracovatel, byť postavení zákazníka (naše modelová společnost Alpha z výše uvedeného příkladu) tomuto vymezení neodpovídá. Právně správná alternativa, kdy by tyto standardní smluvní doložky byly uzavřeny napřímo mezi koncovým zákazníkem (společnosti Alpha) a poskytovatelem služby, taky většinou příliš neodpovídá realitě.
Zákaznické smlouvy přesto někdy obsahují ustanovení, kterým koncový zákazník zmocňuje svého poskytovatele služby (společnost Alpha) k uzavření standardních smluvních doložek svým jménem s třetími stranami mimo EHP (tj. cloudovým poskytovatelem), které v konečném důsledku zákaznické údaje zpracovávají. Poskytovatel cloudu však bude jen stěží vědět, že je fakticky stranou smlouvy s daným koncovým zákazníkem (tj. že jeho přímý zákazník – společnost Alpha uzavírá SCC na základě takovéhoto zmocnění jeho vlastního koncového zákazníka, který se tímto ve vztahu k SCC stává přímým smluvním partnerem cloudového poskytovatele). To platí zejména v případě, že SCC jsou součástí standardních obchodních podmínek cloudového poskytovatele a tuto možnost „zmocnění“ vůbec nepředvídají. Navíc jsou zpravidla uzavřeny mezi cloudovým poskytovatelem a jeho zákazníkem (společností Alpha) dávno předtím, než se konkrétní koncový zákazník stane zákazníkem společnosti Alpha. Výše zmíněné „zmocnění“ k uzavření standardních smluvních doložek navíc nedává smysl ve chvíli, kdy koncový zákazník je sám neevropskou entitou – pokud se na něj nevztahuje GDPR, neřeší zpravidla transfer údajů směrem na svého evropského poskytovatele služby (společnost Alpha), a tudíž ani následný transfer z EHP (od společnosti Alpha) k dalšímu neevropskému poskytovateli cloudového řešení (resp. ne z pohledu práva EU).
Dalším až donedávna hojně využívaným způsobem zajištění vhodné ochrany a záruk při přeshraničním transferu osobních údajů je již zmíněný Privacy Shield25 pro přenos osobních údajů mezi EU a USA. Jednalo se o mechanismus vyjednaný mezi vládou USA a EU, který měl garantovat, že všechny americké společnosti takto certifikované zajistí vhodný standard ochrany osobních údajů, kompatibilní s unijními požadavky. Privacy Shield měl být sofistikovanějším nástupcem zrušeného nástroje „Safe Harbor“, nicméně se také jedná o mechanismus založený na dobrovolném přistoupení amerických společností (příjemců údajů) k evropskému standardu ochrany údajů, který tyto společnosti prokazují formou vlastní certifikace. Na rozdíl od Safe Harbor došlo k posílení prvků ochrany (zejména v rovině procesní – řešení stížností subjektů údajů v arbitrážním řízení – a rovině auditní, kontrolní a dozorové), nicméně příklady vyšetřování neoprávněných Privacy Shield certifikací ze strany americké Federal Trade Commission (FTC) z poslední doby svědčí o tom, že záruky ochrany postavené výlučně na principu vlastní certifikace nejsou nutně spolehlivé26. Privacy Shield napadal i Maximilian Schrems v rámci výše zmíněné kauzy Schrems II; obdobně jako u standardních smluvních doložek se principiálně jednalo o tvrzený střet mezi evropským standardem ochrany a nedostatečnou ochranou údajů v USA spočívající zejména v možnosti potenciálního přístupu amerických orgánů k evropským osobním údajům. Dne 16. července 2020 vydal Soudní dvůr Evropské Unie přelomové rozhodnutí27, kterým Privacy Shield z výše uvedených důvodů prohlásil za neplatný. A ačkoliv soud v rozsudku Schrems II potvrdil obecnou platnost standardních smluvních doložek, zároveň jedním dechem varuje, že USA nemohou být považovány za zemi poskytující adekvátní ochranu osobních údajů. V této souvislosti soud zdůraznil jednak povinnost správců přijmout dodatečná opatření zajišťující soulad s právem EU (nebo do takové země osobní údaje nepředávat vůbec), jednak možnost dozorových úřadů dočasně či trvale zakázat předávání osobních údajů na základě těchto doložek do třetích zemí, ve kterých nelze zajistit ochranu osobních údajů odpovídající evropskému právu, což je případ právě USA.
Je tedy zřejmé, že i osud standardních smluvních doložek (jakožto mechanismu pro předávání osobních údajů do zemí jako je USA) je nejistý a bude záležet, jak se k této záležitosti postaví národní dozorové úřady, Evropský sbor pro ochranu osobních údajů a Evropská komise.
Shrnutí
Vymezení postavení zákazníka a poskytovatele cloudové služby při zpracovávání osobních údajů v cloudu z hlediska rolí definovaných GDPR (správce, společný správce, zpracovatel či další zpracovatel) vyžaduje pochopení toho, jak funguje konkrétní služba, k jakým tokům dat a zpracovatelským operacím při ní dochází, kdo má nad nimi skutečnou kontrolu (tj. zejména jakou míru autonomie má při nakládání s daty poskytovatel služby), k jakým konkrétním účelům budou údaje využity a kdo tyto účely vymezuje. Teprve na základě této analýzy lze správně nadefinovat postavení stran a tomu odpovídající závazky a odpovědnosti. Jasné vymezení rolí je přitom obvykle v zájmu zákazníka i poskytovatele. Status obou stran uvedený ve smluvní dokumentaci by měl odpovídat skutečnému stavu, nicméně v praxi bývá často nastaven formálně tak, aby vyhovoval obchodním a jiným pragmatickým potřebám dané (smluvně silnější) strany. Pod tlakem jednotlivých uživatelů a spotřebitelů (jako je zmíněný aktivista Schrems), cloudových zákazníků, kteří se čím dál lépe orientují v právní i technické problematice cloudového zpracování dat, a v neposlední řadě i pod tlakem dozorových orgánů jsou poskytovatelé služeb často nuceni přehodnotit svůj smluvní model a nastavení standardu ochrany dat obecně. Tento trend se projevuje mimo jiné v odklonu od automatického vnímání vztahu mezi zákazníkem a poskytovatele služby pouze v rovině správce – zpracovatel a naopak příklonu k přiznání správcovské role poskytovatelům služeb tam, kde takovéto postavení odpovídá skutečnému uspořádání věcí. Zároveň se však ukazuje, že existující právní nástroje pro přeshraniční transfer dat, na nichž je postavena zákonnost zpracování „evropských“ osobních údajů „mimoevropskými“ poskytovateli cloudových služeb, zejména zmíněné standardní smluvní doložky, neodráží vždy realitu zpracování dat prostřednictvím cloudu. Přelomové rozhodnutí v kauze Schrems II navíc nad dalším osudem standardních smluvních doložek vytváří otazníky, což může mít dalekosáhlé důsledky nejen pro využívání cloudových služeb poskytovaných americkými společnostmi, ale i pro transatlantické obchodní vztahy obecně.
Poznámky pod čarou:
- Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (v tomto článku označované dále jen jako „GDPR“ nebo „obecné nařízení“).
- Stanovisko dostupné zde: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=3002
- Pojmy správce a zpracovatel definuje čl. 4 odst. 7 a 8 GDPR.
- Srov. https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=3002
- Zpracování zahrnuje jakoukoli operaci nebo soubor operací s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, viz definice v čl. 4 odst. 1 GDPR.
- Osobními údaji se rozumí veškeré informace o identifikované nebo identifikovatelné osobě (tzv. subjektu údajů). Stačí, že osobu lze identifikovat prostřednictvím určitých údajů i nepřímo.
- Výjimečně poskytovatel cloudu ve svých podmínkách výslovně rozlišuje, kdy je prvním zpracovatelem a kdy dalším zpracovatelem, např. AWS (v obecné rovině) či Microsoft (ve vztahu ke službě Azure Stack Hub).
- Srov. https://www.microsoft.com/en-us/licensing/product-licensing/products
- Srov. https://news.microsoft.com/europe/2019/11/18/introducing-more-privacy-transparency-for-our-commercial-cloud-customers/ a https://www.microsoft. com/en-us/microsoft-365/blog/2020/01/08/updated-microsoft-online-services-terms-available-around-world/
- Ibid. Změně smluvních a technických podmínek zabezpečení předcházela jednání na úrovni evropského inspektora ochrany osobních údajů a zmíněného nizozemského ministerstva spravedlnosti.
- Srov. https://aws.amazon.com/compliance/gdpr-center/
- Zatímco u služeb typu IaaS poskytovatel takové služby nebude nutně zasahovat do zpracovatelských operací, jež budou plně pod kontrolou zákazníka této služby, který např. využívá infrastrukturu poskytovatele pro hostování vlastní aplikace.
- Tj. fyzická osoba, jejíž osobní údaje jsou zpracovávány.
- Čl. 26 obecného nařízení
- Čl. 82 obecného nařízení
- Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW eV, C-40/
- Shrnutí dostupné zde: https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-07/cp190099en.pdf 17 Je třeba pokrýt všechny operace s daty a účely zpracování tak, aby nedošlo k „negativnímu konfliktu kompetencí“, kdy za určité činnosti nebude odpovědna ani jedna ze stran.
- Rozhodnutí Evropské komise o zemích zajišťujících odpovídající úroveň ochrany. Dostupné zde: https://ec.europa.eu/info/law/law-topic/data-protection/international- dimension-data-protection/adequacy-decisions_en
- Využití BCR pro cloudové zpracování osobních údajů je možné, pokud by se jednalo o cloudovou službu, jejímž poskytovatelem je jedna ze společností v rámci skupiny, např. nadnárodní společnost provozuje vlastní datová centra, která slouží ostatním společnostem ze skupiny.
- Jedná se o výjimky uvedené v čl. 49 obecného nařízení, které míří především na předávání osobních údajů v případech důležitého veřejného zájmu nebo tam, kde je to nezbytné k ochraně životně důležitých zájmů osob, či např. předávání postavené na výslovném souhlasu subjektu údajů.
- Standardní smluvní doložky představují předávání založené na vhodných zárukách (ve smyslu čl. 46 obecného nařízení), jsou dostupné zde: https://ec.europa.eu/ info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
- Privacy Shield patřil mezi výše zmíněná rozhodnutí o odpovídající ochraně, tzv. adequacy decisions, přijatá Komisí ještě v režimu směrnice 95/46/ES (Rozhodnutí Komise 2016/1250 ze dne 12. července 2016), která měla zůstat platná i v režimu obecného nařízení. Privacy Shield však byl dne 16. července 2020 zneplatněn rozhodnutím Soudního dvora Evropské unie (C-311/18).
- Jedná se o rozhodnutí Komise z let 2001 a 2004 (v případě doložek pro předávání mezi správci) a z roku 2010 (doložky pro předávání mezi evropským správcem a zpracovatelem ve třetí zemi).
- C-311/18. Známý rakouský aktivista Maximilian Schrems po vítězství v soudním sporu se společností Facebook v roce 2015, jež vedlo ke zrušení tehdy platného mechanismu pro předávání osobních údajů z EHP do USA známého jako „Safe Harbor“ neboli bezpečný přístav (kauza Schrems I, případ C-362/14), vede další soudní spor se společností Facebook Ireland, v rámci něhož namítá mj. neplatnost standardních smluvních doložek i mechanismu Privacy Shield.
- Více informací k (nyní již zneplatněnému) „štítu ochrany soukromí“ je dostupných zde: https://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=30375.
- Na konci loňského roku FTC uzavřela narovnání se čtyřmi společnostmi, které nepravdivě deklarovaly účast v EU-US Privacy Shield a Swiss-US Privacy Shield. Zdroj: https://www.privacyshield.gov/NewsEvents; https://www.ftc.gov/news-events/press-releases/2020/01/ftc-finalizes-settlements-four-companies-related-privacy-shield.
- Rozsudek Soudního dvora Evropské Unie ze dne 16.července 2020 ve věci C-311/18 Data Protection Commissioner v. Facebook Ireland a Schrems, úplné znění dostupné zde: http://curia.europa.eu/juris/documents.jsf?num=C-311/18.