Tu je treba poudariti, da gre tudi v situacijah, ko pogodbeni obdelovalec sploh ne ve, na koga se podatki nanašajo (npr. nudi zgolj storitev gostovanja prostora za hrambo podatkov), za obdelavo osebnih podatkov. Še več – tudi če upravljavec osebnih podatkov svoje podatke hrani pri zunanjemu ponudniku hrambe in na njegovih diskovnih zmogljivostih hrani svoje podatke v kriptirani, zunanjemu ponudniku hrambe neberljivi obliki, tudi takrat gre za hrambo osebnih podatkov, s tem pa za obdelavo osebnih podatkov in zakonske dolžnosti tako naročnika kot ponudnika storitve. Navedeno velja poudariti zato, ker je pogosto zmotno navedeno, da je za varstvo osebnih podatkov poskrbljeno (že zgolj) s šifriranjem podatkov. Šifriranje podatkov je le eden od mehanizmov zaščite osebnih podatkov – v izrazoslovju ZVOP-1 gre za zavarovanje osebnih podatkov (angl. data security), skratka, za enega od ukrepov, s katerim ščitimo celovitost, zaupnost in razpoložljivost podatkov, varstvo osebnih podatkov (angl. data protection) pa je precej širši pojem. Drugače povedano, podatke imamo lahko odlično »zaklenjene« oziroma šifrirane, pa lahko vseeno pride do kršitve varstva osebnih podatkov – morda nimamo pravne podlage za obdelavo osebnih podatkov, morda jih uporabljamo za nezakonite namene, morda jih predolgo hranimo in zgolj s šifriranjem podatkov tega ne moremo preprečiti. Pri računalništvu v oblaku nam zanašanje zgolj na tehnične metode lahko izboljša varnost podatkov, ne moremo pa se s tem izogniti zakonodaji na področju varstva osebnih podatkov.
| Če se vrnemo na pogodbeno obdelavo podatkov, gre torej za dopustno prakso, pod pogojem, da so vzpostavljene določene varovalke, med njimi pa je bistveno to, da upravljavec osebnih podatkov lahko računa na določen nivo zavarovanja osebnih podatkov. ZVOP-1 tako v 11. členu določa, da sme zunanji izvajalec opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru naročnikovih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen (npr. za lastne namene). Medsebojne pravice in obveznosti morata urediti s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih, s katerimi bodo podatki zavarovani pred slučajnim ali namernim nepooblaščeno uničevanjem podatkov, njihovo spremembo ali izgubo ter nepooblaščeno obdelavo teh podatkov (24. člen. ZVOP-1). |
Na tej točki pa pridemo tudi do glavnega pomisleka varuhov zasebnosti – ali in kdaj lahko zaupamo (zunanjemu) ponudniku računalništva v oblaku? Treba se je namreč zavedati, da računalništvo v oblaku ne ustreza ravno uveljavljenemu konceptu dveh bistvenih entitet v zakonodajnem varstvu osebnih podatkov – upravljavcu in pogodbenemu obdelovalcu. V tradicionalnem modelu je namreč upravljavec osebnih podatkov tisti, ki naj bi določal »pravila igre«, torej namene in sredstva obdelave osebnih podatkov, za določena opravila pa se lahko odloči, da bi jih prenesel na pogodbenega obdelovalca, ki deluje v njegovem imenu, za njegov račun in v okviru danih pooblastil. Kot tak naj bi imel seveda upravljavec večjo pogajalsko moč glede pogojev, pod katerimi se bodo obdelovali osebni podatki. Pri računalništvu v oblaku pa se to razmerje poruši in iluzorno je pričakovati, da bi ga lahko na silo vzpostavili nazaj. Veliki ponudniki računalništva v oblaku se namreč niso pripravljeni kaj dosti pogajati glede pogojev, pod katerimi nudijo svoje storitve, in upravljavci osebnih podatkov, zlasti mali, se lahko odločijo le to, ali bodo pogoje sprejeli v celoti ali ne. Prilagajanje posameznim potrebam namreč ponudnikom onemogoča doseganja ekonomije obsega in povečuje stroške.
| Dogovarjanje o nivoju zavarovanja, ki naj bi ga zahtevali upravljavci, večinoma ni mogoče, saj se ponudniki niso pripravljeni prilagajati posamičnim zahtevam svojih naročnikov in kvečjemu za večje naročnike omogočajo nekoliko več prilagodljivosti. Neravnotežje moči se kaže tudi v informiranosti in sposobnosti preverjanja dogovorjene ravni zavarovanja podatkov – najbrž si težko predstavljamo, da bi mali upravljavci, kot je recimo ena šola ali občina, hodili na oglede podatkovnih centrov velikih ponudnikov, kot so Google, Amazon ali Microsoft. Trenutno je prav tako očitno pomanjkanje transparentnosti na strani ponudnikov, ki svojim strankam ne želijo ali nočejo natančneje povedati, kje bodo obdelani njihovi podatki, kako in ali oziroma kdaj bodo dejansko izbrisani. Navedeno seveda vzbuja resne pomisleke, ko govorimo o varstvu osebnih podatkov. Kako naj osebne podatke varujemo, če jih bomo zaupali nekomu, ki nam ne pove niti, kje se bodo ti podatki nahajali in kako bodo v času dodelave varovani. Kaj se bo zgodilo po prekinitvi pogodbe? Bomo dobili naše osebne podatke nazaj in če da, v kakšnem formatu? Katere podizvajalce uporablja ponudnik in v katerih državah se ti nahajajo? Potencialni uporabniki se soočajo s temi in številnimi drugimi odprtimi vprašanji. |
Več o tej temi preberite v priročniku Zasebnost in varovanje osebnih podatkov