Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Uporaba oblačnih storitev

+ -
Datum: 31.03.2020
Številka: 07121-1/2020/472
Kategorije: Informiranje posameznika, Posebne vrste, Zavarovanje osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede nameravane uporabe oblačnih storitev.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa izven konkretnih inšpekcijskih postopkov posameznim poslovnim subjektom svetovati, kako organizirati konkretne poslovne procese in v tem okviru obdelovati osebne podatke, niti ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo o varstvu podatkov.

Iz vašega zaprosila izhaja, da bo v konkretnem primeru najverjetneje šlo za obdelavo posebnih vrst osebnih podatkov iz prvega odstavka 9.člena Splošne uredbe o varstvu podatkov. IP pojasnjuje, da je zaradi občutljive narave posebnih vrst osebnih podatkov predpisano njihovo posebno varstvo. Tako iz 14. člena ZVOP-1 izhajajo tudi posebna pravila za način obdelave navedenih podatkov. V skladu s prvim odstavkom tega člena morajo biti pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam prepreči dostop do njih. Drugi odstavek navedenega člena zaradi specifičnosti komunikacije preko telekomunikacijskih omrežij posebej ureja prenos občutljivih osebnih podatkov preko telekomunikacijskih omrežij, kjer se šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.

Več o varnosti osebnih podatkov si lahko preberete na spletnih straneh:

https://upravljavec.si/zagotovite-varnost/ in https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov/

ter v smernicah IP o zavarovanju osebnih podatkov, ki so dostopne na povezavi:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf

IP dodaja, da več informacij o uporabi oblačnih storitev lahko najdete v smernicah IP o obdelavi osebnih podatkov v okviru storitev v oblaku:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_Varstvo_osebnih_podatkov_in_racunalnistvo_v_oblaku_2016.pdf

Glede navedenih smernic opozarjamo, da te (še) niso prenovljene v smislu določb nove Splošne uredbe o varstvu podatkov, vendar pa osnove ostajajo iste. Spremembe so se zgodile predvsem glede nekaterih dodanih obveznosti v okviru pogodbene obdelave osebnih podatkov, o kateri si lahko več preberete v prenovljenih smernicah IP o pogodbeni obdelavi:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_pogodbeni_obdelavi_web.pdf.

V pogodbi, ki jo sklenete s ponudnikom oblačne storitve, mora biti med drugimi pogodbenimi obveznostmi natančno opredeljeno, kako bo poskrbljeno za zavarovanje osebnih podatkov, zlasti kako se varujejo prostori in programska oprema, kako ponudnik preprečuje nepooblaščen dostop do podatkov, kako je zagotovljena varnost podatkov med prenosom itd. Pomembno je tudi, da je omogočeno sledenje, kaj se s podatki dogaja in kje se trenutno nahajajo. Zato vam mora ponudnik oblačne storitve vnaprej natančno pojasniti, na katerih lokacijah bo obdeloval ali hranil vaše podatke.

V vašem zaprosilu navajate tudi, da nameravate koristiti oblačno storitev podjetja iz EU. IP vam kljub temu priporoča, da preverite, ali se tudi strežniki izbranega podjetja nahajajo v EU, saj v nasprotnem primeru lahko pride do prenosa podatkov izven EU in je treba zadostiti tudi zahtevam V. poglavja Splošne uredbe o varstvu podatkov, ki ureja prenos osebnih podatkov v tretje države ali mednarodne organizacije.

IP nadalje pojasnjuje, da člena 13 in 14 Splošne uredbe o varstvu podatkov nalagata upravljavcem osebnih podatkov, da posameznikom podajo določene informacije v zvezi z obdelavo osebnih podatkov. Več o obveznosti si lahko preberete na naši spletni strani: https://upravljavec.si/obvescanje-posameznikov/. V skladu s točko (e) člena 13(1) Splošne uredbe o varstvu podatkov je upravljavec dolžan navesti tudi uporabnike ali kategorije uporabnikov osebnih podatkov (med uporabnike sodijo tudi obdelovalci osebnih podatkov).

IP upravljavcem osebnih podatkov splošno priporoča, da pred odločitvijo o uporabi oblačnih storitev izvedejo temeljite analize tveganj in da zlasti posebnih vrst osebnih podatkov in vseh ostalih osebnih podatkov z višjo stopnjo tveganja do uveljavitve trdnih varovalk ne prenašajo v oblak. Ne gre namreč pozabiti, da je upravljavec osebnih podatkov primarno tisti, ki nosi odgovornost za zlorabe osebnih podatkov, zato mora biti trdno prepričan, da tudi njegovi pogodbeni obdelovalci oziroma ponudniki storitev in rešitev, ki jih uporablja, lahko ponudijo takšna zagotovila.

S spoštovanjem.

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka