Hlavní navigace

GDPR last minute: Co regulace znamená pro provozovatele a klienty cloudových aplikací?

Autor: Depositphotos
David Slížek

Ještě nejste připraveni na obecné nařízení o ochraně osobních údajů (GDPR), které vstoupí v účinnost 25. května? Nabízíme odpovědi na některé praktické otázky.

Doba čtení: 2 minuty

Každý den v květnu nabízíme odpověď na jednu praktickou otázku týkající se dopadu GDPR na online podnikání

Online podnikatelé data často neukládají na vlastních serverech, ale využívají cloudových služeb. Jak se Obecné nařízení o ochraně osobních údajů (GDPR) dotkne právě jich? Odpovídá Jana Břeská ze Sdružení pro internetový rozvoj (SPIR), které má také vlastního online průvodce GDPR.

TIP: Pokud hledáte odpovědi na skutečně specifické dotazy, můžete je také položit odborníkům v GDPR poradně na sesterském serveru Podnikatel.cz.

Co GDPR znamená pro provozovatele cloudových aplikací? Jaké povinnosti má například provozovatel cloudového CRM, ve kterém mohou mít zákazníci citlivá data o svých klientech? Za co odpovídá autor/provozovatel cloudové aplikace a za co jeho klient, který aplikaci plní citlivými údaji?

Provozovatelé cloudových služeb, kteří chtějí i nadále fungovat v kontextu nové právní úpravy a nechtějí ztratit klienty, musí své služby přiměřeným způsobem zabezpečit a k zajištění takového zabezpečení se ve smlouvách, které uzavírají se svými zákazníky, zavázat. Přirozeně nejde o proces jednostranný. Také zákazníci by měli po provozovatelích cloudových služeb požadovat smluvní záruky. Měli by se zajímat o to, kde jsou data fyzicky uchovávána. V celé EU, kde je platné GDPR, nebo v tzv. bezpečných zemích je ochrana osobních údajů srovnatelná, zcela odlišná situace však může nastat v ostatních zemích.

WT100 tip v článku Černý

Provozovatel cloudové služby je zodpovědný za technické zabezpečení prostředí, v němž má zákazník uloženy osobní údaje. Nese odpovědnost za to, že jeho systém je odolný vůči hrozbám, které lze rozumně předpokládat. Zákazník by měl naopak zvážit, zda nabízená míra zabezpečení je odpovídající s ohledem na množství a zejména citlivost údajů, které v takovémto prostředí zpracovává.

Obecně lze říci, že zákazník, který si do cloudového CRM ukládá osobní údaje, je jejich správcem, zatímco provozovatel, pokud data žádným dalším způsobem nepoužívá nebo neobohacuje, je zpracovatelem. Tento vztah je nutné upravit smluvně ve zpracovatelské smlouvě. Zákazníkovi coby správci tak plynou z GDPR také příslušné povinnosti. Zatímco technické zabezpečení dat a jiné technické aspekty, např. způsob zpřístupnění dat, prakticky přenesl na zpracovatele, sám zodpovídá za to, že údaje jsou shromažďovány z určitého právního titulu, že jejich rozsah je přiměřený stanovenému účelu zpracování, že jsou uchovávány po dobu nezbytně nutnou, že subjekty údajů jsou řádně informovány o zpracování a o svých právech atd.

Další otázky a odpovědi ke GDPR:

Našli jste v článku chybu?