Usluge računarstva u oblaku: odredbe o zaštiti podataka o ličnosti

Usluge računarstva u oblaku: odredbe o zaštiti podataka o ličnosti

Standardne odredbe o zaštiti podataka

Evropska Komisija je, na osnovu člana 26. stava 4. Direktive 95/46/EZ Evropskog parlamenta i Savjeta od 24. oktobra 1995. o zaštiti pojedinaca u pogledu obrade podataka o ličnosti i o slobodnom kretanju takvih podataka u više navrata donosila odluke koje imaju za cilj zaštitu korisnikove privatnosti i podataka u skladu sa standardima i propisima Evropske Unije. Poznat pod imenom „Standardne odredbe o zaštiti podataka“ (eng. EU Model Clauses), ovaj set ugovornih klauzula su postale nezaobilazan činilac svakog ugovora o pružanju usluga računarstva u oblaku kada je korisnik ugovorna strana sa sjedištem u državi-članici Evropske Unije. U odnosu na to o kakvom se poslovnom odnosu radi, tj. da li se radi o kontroleru ili procesoru podataka , Evropska Komisija je izradila tri seta Standardnih odredbi o zaštiti podataka.

Obrada podataka pri pružanju usluga računarstva u oblaku

Kompanija Majkrosoft ih nudi kao opcioni element u Uslovima o uslugama na mreži u okviru poglavlja koji definiše načine obrade podataka, dok ih Amazon nudi kao aneks Ugovora o obradi podataka . U slučaju Uslova o uslugama na mreži, uvoznik podataka, odnosno procesor koji pristaje da primi lične podatke izvoznika a koje su namijenjene za obradu u njegovo ime nakon prenosa u skladu sa uputstvima i uslovima navedenim u Standardnim odredbama je kompanija Majkrosoft, dok je izvoznik podataka, odnosno kontroler koji prenosi lične podatke druga ugovorna strana (korisnik). Kao podobrađivač se pojavljuje poslovni subjekt kojeg angažuje uvoznik podataka ili bilo koji drugi podobrađivač uvoznika koji pristane da od istog prima lične podatke namijenjene za obradu u ime uvoznika podataka nakon prenosa u skladu sa njegovim uputstvima, uslovima iz Standardnih odredbi i uslovima pisanog predugovora. Pod „tehničkim i organizacionim bezbjednosnim mjerama“ označavaju se mjere koje su usmjerene na zaštitu ličnih podataka od slučajnih ili nezakonitih uništavanja ili slučajnog gubitka, izmjene, neovlašćenog otkrivanja ili pristupa, posebno kada obrađivanje uključuje prenos podataka preko mreže, kao i kod svih drugih nezakonitih oblika obrađivanja.

Obaveze u cilju zaštite i informisanosti lica čiji se podaci obrađuju

Standardne odredbe o zaštiti podataka izvozniku podataka nameću određene obaveze u cilju zaštite i informisanosti lica čiji se podaci obrađuju, što je i njihov krajnji cilj. U Klauzuli 4. izvoznik je obavezan na pridržavanje lokalnog zakona koji reguliše materiju zaštite podataka o ličnosti, te da, ukoliko to zakon nalaže, organ koji nadzire primjenu zakona bude obaviješten o prenosu podataka. Takođe, uvozniku podataka se nalaže da za vrijeme trajanja usluga obrade ličnih podataka obrađuje samo podatke o ličnosti koji se prenose u ime izvoznika podataka i u skladu sa važećim zakonom, kao i da bezbjednosne mjere za zaštitu podataka od slučajnog ili nezakonitog uništenja ili gubitka moraju biti adekvatne. Ukoliko prenos obuhvata specijalne kategorije podataka, lice na koje se podaci odnose, a koji se prenose u treću državu koja ne obezbjeđuje odgovarajuću zaštitu propisanu Direktivom 95/46/EZ mora biti informisano unaprijed ili odmah nakon izvršenog prenosa. Obaveza izvoznika je i da licima na koje se podaci odnose stavi na raspolaganje primjerak Standardnih odredbi i rezimirani opis bezbjednosnih mjera, kao i primjerak bilo kojeg ugovora za usluge podobrade, izuzev onih koji sadrže informacije o finansijskim detaljima iz ugovornog odnosa.

Kako je motiv Evropske Komisije i Direktive 95/46/EZ prilikom donošenja Standardnih odredbi o zaštiti podataka vezan za zaštitu lica čiji se podaci obrađuju, posebno su zanimljive odredbe koje se odnose na obaveze uvoznika podataka. Tako se uvoznik u Klauzuli 5. obavezuje da će obrađivati podatke o ličnosti samo u ime uvoznika i u skladu sa njegovim uputstvima, a ukoliko iz bilo kojeg razloga ne može obezbjediti takvu usklađenost, mora bez odlaganja informisati uvoznika o novonastalim okolnostima pri čemu izvoznik ima pravo da obustavi prenos i raskine ugovor. Ukoliko se u državi u kojoj uvoznik ima sjedište izmjene relevantne odredbe propisa koje regulišu zaštitu podataka o ličnosti na način da u značajnoj mjeri odstupaju od klauzula sadržanih u Standardnim odredbama, isti je dužan o tome obavijestiti izvoznika koji, kao i u prethodnom slučaju, zadržava pravo obustave prenosa i raskida ugovora.

Pravno obavezujući zahtjevi za otkrivanjem ličnih podataka koje dobija kontroler, odnosno procesor su iznimno važna pitanja za samog kontrolera jer direktno utiču na njegovu tržišnu reputaciju. Standardne odredbe nalažu da izvoznik bude blagovremeno obaviješten o takvim zahtjevima, izuzev u slučajevima u kojima je takva radnja zakonski zabranjena (npr. krivičnim zakonom gdje bi takav postupak mogao ugroziti tok istrage). Izvoznik se obavještava i u slučaju da je došlo do neovlašćenog pristupa podacima ili ukoliko postoji zahtjev od strane lica na koje se podaci odnose, pri čemu na takav zahtjev kontroler neće direktno odgovarati ukoliko ne raspolaže takvim ovlašćenjima.

Sve ugovorne strane (kontroler, procesor, podobrađivač) se slažu da lice na koje se odnose podaci, a koje je pretrpilo štetu po osnovu kršenja obaveza između ugovornih strana, ima pravo na pravičnu naknadu od izvoznika podataka. Uvoznik podataka preuzima obavezu da odgovara za štetu nanijetu licu čiji se podaci obrađuju u slučaju da izvoznik izgubi status pravnog lica ili postane nesolventan, osim u slučaju kada neko treće lice preuzme sve obaveze uvoznika putem ugovora ili administrativne mjere, prilikom čega to lice postaje odgovorno prema licu koje je podnijelo tužbu za naknadu štete. Ukoliko je šteta nastala aktivnošću podobrađivača, odgovara uvoznik podataka, međutim odgovornost podobrađivača se time ne izbjegava, jer je isti dužan nadoknaditi štetu ukoliko su uvoznik i izvoznik podataka postali nesolventni ili su izgubili status pravnog lica. Naknada štete mora biti srazmjerna udjelu podobrađivača u smislu njegovih ugovornih obaveza.

Standardne odredbe o zaštiti podataka određuje stvarno nadležni sud u državi u kojoj se nalazi sjedište izvoznika podataka kao sud nadležan za rješavanje sporova proistaklih iz ugovora. Ukoliko zakonom nije određeno drugo, organ koji je nadležan za nadzor nad sprovođenjem zakona koji reguliše zaštitu podataka o ličnosti ima pravo da sprovede kontrolu uvoznika podataka, kao i podobrađivača pod istim uslovima koji se odnose na izvoznika. Izvoznik podataka prihvata obavezu dostavljanja primjerka ugovora nadzornom organu ukoliko je to njegov izričiti zahtjev. Mjerodavno pravo je ono koje se primjenjuje u državi u kojoj izvoznik podataka ima sjedište.

Po obustavljanju pružanja usluga obrade podataka, uvoznik i podobrađivač se obavezuju da izvozniku vrate sve prenijete podatke o ličnosti, unište preostale kopije u svom posjedu, te da o tome obavijeste izvoznika. Ukoliko zakon koji obavezuje uvoznika ili podobrađivača to onemogućavaju, isti se obavezuju da će čuvati povjerljivost prenijetih podataka, kao i da će obustaviti sve dalje radnje na obradi.

Zaključak

Kako se vidi iz prethodno navedenog, Standardne odredbe o zaštiti podataka predstavljaju solidan mehanizam pravne zaštite lica čiji se podaci obrađuju. Pored toga, one su suštinska mjera niveliranja disbalansa prouzrokovanog adhezionim ugovorima koji se nude od strane ponuđača usluge računarstva u oblaku, te su kao takve poželjni elementi za svaku ugovornu stranu sa sjedištem ili prebivalištem u državama-članicama Evropske Unije, ali i u trećim državama. Prepoznavši potrebu za većim stepenom pravne sigurnosti ugovornih strana, a više pod pritiskom Evropske Komisije, većina globalnih ponuđača usluga računarstva u oblaku u okviru svojih ugovora pružaju mogućnost primjene ovih odredbi.

Srđan Rajčević

Direktor Agencije za informaciono društvo Republike Srpske, dipl. pravnik, dipl. inž. računarstva, magistar poslovno-pravnih nauka. Zainteresovan za pravne aspekte IKT-a. Idejni tvorac više zakona iz oblasti razvoja informacionog društva u RS.

  • facebook
  • linkedin
  • skype
  • twitter