Услуге рачунарства у облаку: одредбе о заштити података о личности

Услуге рачунарства у облаку: одредбе о заштити података о личности

Стандардне одредбе о заштити података

Европска Комисија је, на основу члана 26. става 4. Директиве 95/46/ЕЗ Европског парламента и Савјета од 24. октобра 1995. о заштити појединаца у погледу обраде података о личности и о слободном кретању таквих података у више наврата доносила одлуке које имају за циљ заштиту корисникове приватности и података у складу са стандардима и прописима Европске Уније. Познат под именом „Стандардне одредбе о заштити података“ (енг. EU Model Clauses), овај сет уговорних клаузула су постале незаобилазан чинилац сваког уговора о пружању услуга рачунарства у облаку када је корисник уговорна страна са сједиштем у држави-чланици Европске Уније. У односу на то о каквом се пословном односу ради, тј. да ли се ради о контролеру или процесору података , Европска Комисија је израдила три сета Стандардних одредби о заштити података.

Обрада података при пружању услуга рачунарства у облаку

Компанија Мајкрософт их нуди као опциони елемент у Условима о услугама на мрежи у оквиру поглавља који дефинише начине обраде података, док их Амазон нуди као анекс Уговора о обради података . У случају Услова о услугама на мрежи, увозник података, односно процесор који пристаје да прими личне податке извозника а које су намијењене за обраду у његово име након преноса у складу са упутствима и условима наведеним у Стандардним одредбама је компанија Мајкрософт, док је извозник података, односно контролер који преноси личне податке друга уговорна страна (корисник). Као подобрађивач се појављује пословни субјект којег ангажује увозник података или било који други подобрађивач увозника који пристане да од истог прима личне податке намијењене за обраду у име увозника података након преноса у складу са његовим упутствима, условима из Стандардних одредби и условима писаног предуговора. Под „техничким и организационим безбједносним мјерама“ означавају се мјере које су усмјерене на заштиту личних података од случајних или незаконитих уништавања или случајног губитка, измјене, неовлашћеног откривања или приступа, посебно када обрађивање укључује пренос података преко мреже, као и код свих других незаконитих облика обрађивања.

Обавезе у циљу заштите и информисаности лица чији се подаци обрађују

Стандардне одредбе о заштити података извознику података намећу одређене обавезе у циљу заштите и информисаности лица чији се подаци обрађују, што је и њихов крајњи циљ. У Клаузули 4. извозник је обавезан на придржавање локалног закона који регулише материју заштите података о личности, те да, уколико то закон налаже, орган који надзире примјену закона буде обавијештен о преносу података. Такође, увознику података се налаже да за вријеме трајања услуга обраде личних података обрађује само податке о личности који се преносе у име извозника података и у складу са важећим законом, као и да безбједносне мјере за заштиту података од случајног или незаконитог уништења или губитка морају бити адекватне. Уколико пренос обухвата специјалне категорије података, лице на које се подаци односе, а који се преносе у трећу државу која не обезбјеђује одговарајућу заштиту прописану Директивом 95/46/ЕЗ мора бити информисано унапријед или одмах након извршеног преноса. Обавеза извозника је и да лицима на које се подаци односе стави на располагање примјерак Стандардних одредби и резимирани опис безбједносних мјера, као и примјерак било којег уговора за услуге подобраде, изузев оних који садрже информације о финансијским детаљима из уговорног односа.

Како је мотив Европске Комисије и Директиве 95/46/ЕЗ приликом доношења Стандардних одредби о заштити података везан за заштиту лица чији се подаци обрађују, посебно су занимљиве одредбе које се односе на обавезе увозника података. Тако се увозник у Клаузули 5. обавезује да ће обрађивати податке о личности само у име увозника и у складу са његовим упутствима, а уколико из било којег разлога не може обезбједити такву усклађеност, мора без одлагања информисати увозника о новонасталим околностима при чему извозник има право да обустави пренос и раскине уговор. Уколико се у држави у којој увозник има сједиште измјене релевантне одредбе прописа које регулишу заштиту података о личности на начин да у значајној мјери одступају од клаузула садржаних у Стандардним одредбама, исти је дужан о томе обавијестити извозника који, као и у претходном случају, задржава право обуставе преноса и раскида уговора.

Правно обавезујући захтјеви за откривањем личних података које добија контролер, односно процесор су изнимно важна питања за самог контролера јер директно утичу на његову тржишну репутацију. Стандардне одредбе налажу да извозник буде благовремено обавијештен о таквим захтјевима, изузев у случајевима у којима је таква радња законски забрањена (нпр. кривичним законом гдје би такав поступак могао угрозити ток истраге). Извозник се обавјештава и у случају да је дошло до неовлашћеног приступа подацима или уколико постоји захтјев од стране лица на које се подаци односе, при чему на такав захтјев контролер неће директно одговарати уколико не располаже таквим овлашћењима.

Све уговорне стране (контролер, процесор, подобрађивач) се слажу да лице на које се односе подаци, а које је претрпило штету по основу кршења обавеза између уговорних страна, има право на правичну накнаду од извозника података. Увозник података преузима обавезу да одговара за штету нанијету лицу чији се подаци обрађују у случају да извозник изгуби статус правног лица или постане несолвентан, осим у случају када неко треће лице преузме све обавезе увозника путем уговора или административне мјере, приликом чега то лице постаје одговорно према лицу које је поднијело тужбу за накнаду штете. Уколико је штета настала активношћу подобрађивача, одговара увозник података, међутим одговорност подобрађивача се тиме не избјегава, јер је исти дужан надокнадити штету уколико су увозник и извозник података постали несолвентни или су изгубили статус правног лица. Накнада штете мора бити сразмјерна удјелу подобрађивача у смислу његових уговорних обавеза.

Стандардне одредбе о заштити података одређује стварно надлежни суд у држави у којој се налази сједиште извозника података као суд надлежан за рјешавање спорова проистаклих из уговора. Уколико законом није одређено друго, орган који је надлежан за надзор над спровођењем закона који регулише заштиту података о личности има право да спроведе контролу увозника података, као и подобрађивача под истим условима који се односе на извозника. Извозник података прихвата обавезу достављања примјерка уговора надзорном органу уколико је то његов изричити захтјев. Мјеродавно право је оно које се примјењује у држави у којој извозник података има сједиште.

По обустављању пружања услуга обраде података, увозник и подобрађивач се обавезују да извознику врате све пренијете податке о личности, униште преостале копије у свом посједу, те да о томе обавијесте извозника. Уколико закон који обавезује увозника или подобрађивача то онемогућавају, исти се обавезују да ће чувати повјерљивост пренијетих података, као и да ће обуставити све даље радње на обради.

Закључак

Како се види из претходно наведеног, Стандардне одредбе о заштити података представљају солидан механизам правне заштите лица чији се подаци обрађују. Поред тога, оне су суштинска мјера нивелирања дисбаланса проузрокованог адхезионим уговорима који се нуде од стране понуђача услуге рачунарства у облаку, те су као такве пожељни елементи за сваку уговорну страну са сједиштем или пребивалиштем у државама-чланицама Европске Уније, али и у трећим државама. Препознавши потребу за већим степеном правне сигурности уговорних страна, а више под притиском Европске Комисије, већина глобалних понуђача услуга рачунарства у облаку у оквиру својих уговора пружају могућност примјене ових одредби.

Срђан Рајчевић

Директор Агенције за информационо друштво Републике Српске, дипл. правник, дипл. инж. рачунарства, магистар пословно-правних наука. Заинтересован за правне аспекте ИКТ-а. Идејни творац више закона из области развоја информационог друштва у РС.

  • facebook
  • linkedin
  • skype
  • twitter