GDPR i Cloud Computing

Cloud Computing

Cloud computing je zbirni naziv za usluge koje se sastoje od sastoji se od skupa tehnologija i različitih poslovnih modela koji se fokusiraju na upotrebu interneta, kako za uslužno korišćenje IT aplikacija, online obradu podataka, tako i dobrim delom za skladištenje podataka na Internetu.

Postoji veliki broj usluga „u oblaku“ koji podrazumevaju sve od virtuelnih procesnih sistema (fizički udaljene IT infrastrukture) pa sve do web-baziranih softverskih rešenja, kao što su kalendari, e-mail ili softver za obradu teksta.

Cloud computing nudi kompanijama, kako tehničke, tako i ekonomske prednosti jer im omogućava korišćenje visokokvalitetnih IT komponenti srazmerno njihovim stvarnim potrebama, a koje komponente bi inače bile van okvira njihovih budžeta, ili bi bili nerentabilne za nabavku.

Cloud usluge po svojoj funkciji se često koriste za obradu ličnih podataka, kao što su npr. podaci o ljudskim resursima, pa zbog toga potpadaju u područje primene GDPR-a.

Podela odgovornosti

Obradom ličnih podataka kroz sisteme kojima upravljaju cloud provajderi, kompanije određuju svrhu i sredstva obrade, ali operacije obrade podataka obavljaju pružaoci cloud usluga. Stoga, kao opšte pravilo, klijenti cloud usluga se kvalifikuju kao kontrolori a provajderi cloud usluga kao procesori u okviru GDPR-a.

Međutim, mora se izbeći generalizovana klasifikacija uloga, a raspodela odgovornosti između različitih subjekata mora biti utvrđena za svaki slučaj ponaosob. Što više uticaja cloud provajder ima na način i svrhu obrade, to je verovatnije da će se kvalifikovati kao kontrolor u smislu odredbi GDPR-a.

Na primer, kada cloud provajder obrađuje lične podatke u svoje svrhe, on će se kvalifikovati kao kontrolor. Na osnovu koncepta zajedničkog upravljanja u čl. 26 GDPR, ako se i cloud provajder i cloud klijent kvalifikuju kao kontrolori i zajednički utvrđuju ciljeve i sredstva obrade ličnih podataka, u tom slučaju će se morati jasno utvrditi pojedinačna odgovornost za obradu podataka svakoga od njih.

U tom smislu, treba imati u vidu da, iako klijenti cloud computing usluga uglavnom moraju da prihvate standardne ugovorne uslove cloud provajdera, te nemaju mnogo prostora za pregovaranje o sadržaju ugovora, imaju mogućnost da biraju između različitih cloud provajdera, i da se na taj način odluče o raspodeli odgovornosti kod obrade podataka za određene cloud usluge.

Izbor odgovarajućeg Cloud provajdera

U slučaju da se klijent cloud usluga kvalifikuje kao kontrolor, biće u obavezi da odabere odgovarajućeg procesora u smislu GDPR-a.

U slučajevima kada sam kontrolor ne vrši obradu podataka, već istu poverava cloud provajderu u funkciji procesora, on više ne može biti u isključivoj kontroli obrade ličnih podataka i ne može primeniti tehničke i organizacione mere neophodne kako bi se osigurala dostupnost, integritet, poverljivost, transparentnost, izolacija i prenosivost podataka.

Prema tome, odabrani cloud provajder mora primeniti odgovarajuće zaštitne mere za obradu podataka. Iako sam procesor ima obavezu da sprovede određene mere prema GDPR-u, najvećim delom je kontrolor taj koji odgovara za zakonitost obrade podataka.

Iz tog razloga, prilikom odlučivanja između različitih cloud provajdera, treba voditi računa o tome da se  uporede njihove reference i standardi zaštite podataka koji se mogu dokumentovati određenim sertifikatima kao i pravilima postupanja. Obaveza zaštite podataka najčešće se uređuje ugovorom između klijenta i cloud provajdera.

Cloud computing usluge često uključuju sub-procesore. U tom slučaju, sve relevantne obaveze za zaštitu podataka koje koristi cloud provajder, moraju primjenjivati i sub-procesori kroz zaključivanje ugovora između cloud provajdera i „podizvođača“ koji se odnose na odredbe ugovora između cloud klijenta i cloud provajdera.

Cloud provajderi iz trećih zemalja

Cloud computing će neminovno u određenim slučajevima dovesti do prenosa ličnih podataka do cloud provajdera koji se nalazi u trećim zemljama, koje su bliže označene u odredbama GDPR-a.

Prema GDPR-u, učešće procesora koji nisu iz EU, u obradi ličnih podataka ne zahteva posebnu zakonsku osnovu od one koja omogućava kontroloru da obrađuje podatke.

Međutim, prenošenje podataka ka trećim državama podložno dodatnim zaštitnim merama.

Ove zaštitne mere sastoje se, između ostalog, od upotrebe Standardnih ugovornih klauzula ili obavezujućih korporativnih pravila, pridržavanja EU-U.S. Privacy Shield-a i slično.

Takve mere će osigurati da procesor iz treće zemlje obezbedi nivo zaštite podataka identičan onom u EU.