GDPR last minute: Co regulace znamená pro provozovatele a klienty cloudových aplikací?

17. 5. 2018
Doba čtení: 2 minuty

Sdílet

 Autor: Depositphotos
Ještě nejste připraveni na obecné nařízení o ochraně osobních údajů (GDPR), které vstoupí v účinnost 25. května? Nabízíme odpovědi na některé praktické otázky.

Každý den v květnu nabízíme odpověď na jednu praktickou otázku týkající se dopadu GDPR na online podnikání

Online podnikatelé data často neukládají na vlastních serverech, ale využívají cloudových služeb. Jak se Obecné nařízení o ochraně osobních údajů (GDPR) dotkne právě jich? Odpovídá Jana Břeská ze Sdružení pro internetový rozvoj (SPIR), které má také vlastního online průvodce GDPR.

TIP: Pokud hledáte odpovědi na skutečně specifické dotazy, můžete je také položit odborníkům v GDPR poradně na sesterském serveru Podnikatel.cz.

Co GDPR znamená pro provozovatele cloudových aplikací? Jaké povinnosti má například provozovatel cloudového CRM, ve kterém mohou mít zákazníci citlivá data o svých klientech? Za co odpovídá autor/provozovatel cloudové aplikace a za co jeho klient, který aplikaci plní citlivými údaji?

Provozovatelé cloudových služeb, kteří chtějí i nadále fungovat v kontextu nové právní úpravy a nechtějí ztratit klienty, musí své služby přiměřeným způsobem zabezpečit a k zajištění takového zabezpečení se ve smlouvách, které uzavírají se svými zákazníky, zavázat. Přirozeně nejde o proces jednostranný. Také zákazníci by měli po provozovatelích cloudových služeb požadovat smluvní záruky. Měli by se zajímat o to, kde jsou data fyzicky uchovávána. V celé EU, kde je platné GDPR, nebo v tzv. bezpečných zemích je ochrana osobních údajů srovnatelná, zcela odlišná situace však může nastat v ostatních zemích.

Provozovatel cloudové služby je zodpovědný za technické zabezpečení prostředí, v němž má zákazník uloženy osobní údaje. Nese odpovědnost za to, že jeho systém je odolný vůči hrozbám, které lze rozumně předpokládat. Zákazník by měl naopak zvážit, zda nabízená míra zabezpečení je odpovídající s ohledem na množství a zejména citlivost údajů, které v takovémto prostředí zpracovává.

Obecně lze říci, že zákazník, který si do cloudového CRM ukládá osobní údaje, je jejich správcem, zatímco provozovatel, pokud data žádným dalším způsobem nepoužívá nebo neobohacuje, je zpracovatelem. Tento vztah je nutné upravit smluvně ve zpracovatelské smlouvě. Zákazníkovi coby správci tak plynou z GDPR také příslušné povinnosti. Zatímco technické zabezpečení dat a jiné technické aspekty, např. způsob zpřístupnění dat, prakticky přenesl na zpracovatele, sám zodpovídá za to, že údaje jsou shromažďovány z určitého právního titulu, že jejich rozsah je přiměřený stanovenému účelu zpracování, že jsou uchovávány po dobu nezbytně nutnou, že subjekty údajů jsou řádně informovány o zpracování a o svých právech atd.

Další otázky a odpovědi ke GDPR:

Autor článku

Šéfredaktor Lupa.cz a externí spolupracovník Českého rozhlasu Plus. Dříve editor IHNED.cz, předtím Aktuálně.cz a Českého rozhlasu. Najdete mě na Twitteru nebo na LinkedIn

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).