V říjnu 2020 Evropský sbor pro ochranu údajů (EDPB) zřídil koordinované vymáhání práva (CEF) s cílem zefektivnit vymáhání a spolupráci mezi dohledovými orgány (SA). V roce 2021 se pak zaměřil na cloudové poskytovatele a jejich využívání ve veřejném sektoru. V letošním roce, konkrétně 17. ledna, vydal Evropský sbor pro ochranu údajů zprávu z výsledků šetření. Co se v ní uvádí?
Zpráva obsahuje zjištění ze šetření z roku 2021 až 2023, různá doporučení a připomíná práva a povinnosti zpracovatele v souvislosti s využíváním cloudových služeb. Dále také seznam rozhodnutí nebo jiných typů opatření, která již na vnitrostátní úrovni v oblasti cloud computingu přijalo několik dohledových orgánů. Nakonec se v ní diskutuje o zpracování telemetrických dat a auditování.
Informuje o častém výskytu problémů v předsmluvní fázi týkající se provádění posouzení dopadu na ochranu údajů (a/nebo posouzení rizik) a role stran. Pokud jde o smlouvy s poskytovatelem cloudových služeb (CSP), byly identifikovány problémy s absencí smluv a obtížností vyjednat zakázku šitou na míru, stejně jako znalost nebo kontrola dalších zpracovatelů ze strany veřejných orgánů. Kromě toho se objevují problémy související s mezinárodními převody a přístupem zahraničních veřejných orgánů.
Závěr zprávy je takový, že s ohledem na možnou citlivou povahu a velké množství údajů zpracovávaných veřejnými orgány je nezbytné, aby základní právo na ochranu osobních údajů bylo zaručeno všemi orgány veřejné správy. Evropský výbor pro ochranu údajů (EDPB) proto zdůrazňuje, že je třeba, aby veřejné orgány při používání cloudových produktů nebo služeb jednaly v plném souladu s GDPR. V tomto ohledu zpráva také poskytuje seznam bodů, kterým by zúčastněné strany měly věnovat pozornost a vzít je v úvahu při uzavírání dohod s poskytovatelem cloudových služeb (CSP). Tyto body pak dále ve své zprávě rozvádí:
• Provedení DPIA;
• Zajistit, aby role zúčastněných stran byly jasně a jednoznačně určeny;
• Zajistit, aby CSP jednal pouze jménem a podle zdokumentovaných pokynů veřejného
Orgánu, a identifikovat jakékoli možné zpracování CSP jako správce;
• Zajistit, aby byl možný smysluplný způsob, jak vznést námitky proti novým dalším zpracovatelům;
• Zajistit, aby osobní údaje byly určeny ve vztahu k účelům, pro které jsou
zpracovávány;
• Podporovat zapojení pověřence;
• Spolupracovat, domlouvat se s ostatními veřejnými orgány při vyjednávání s CSP;
• Provést přezkum, aby se posoudilo, zda je zpracování prováděno v souladu s DPIA;
• Zajistit, aby zadávací řízení již počítalo se všemi nezbytnými požadavky k dosažení souladu s GDPR;
• Zjistit, které přenosy mohou probíhat v rámci běžného poskytování služeb, a v případě zpracování osobních údajů pro vlastní obchodní účely CSP zajistit, aby byla dodržena ustanovení kapitoly V GDPR, a to také tím, že v případě potřeby určí a přijme doplňující opatření;
• Analyzovat, zda by se na CSP vztahovaly právní předpisy třetí země a vedly by k možnosti řešit žádosti o přístup k údajům uloženým CSP v EU;
• Pečlivě prozkoumat a v případě potřeby znovu projednat smlouvu;
• Ověřit podmínky, za kterých je veřejný subjekt oprávněn provádět audity a může k nim přispívat, a zajistit, aby byly zavedeny.
Daniel Stuchlík
Pověřenec pro ochranu osobních údajů.