GDPR z pohledu hostingu: nejčastější otázky našich klientů

    Autor Damir Špoljarič
    Jak na obecné nařízení na ochranu osobních údajů neboli GDPR

    Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) je soubor pravidel na ochranu dat, který začne platit od 25. května 2018. GDPR se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu (zdroj). GDPR se tedy týká i hostingových firem a jejich klientů.

    Co je to zpracování osobních údajů?

    Zpracování osobních údajů je jakýkoli úkon nebo soubor úkonů, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky.

    Zpracováním se rozumí zejména shromažďování, zaznamenání, uspořádání, strukturování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, nahlédnutí, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace (zdroj).

    Jednoduše řečeno, jde například o činnost e-shopu, která v databázi ukládá a jinak pracuje s údaji spotřebitelů a objednatelů.

    Co je považováno za osobní údaj ve vztahu k GDPR?

    Osobní údaje jsou veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě.

    Mezi obecné osobní údaje se řadí jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresa a fotografický záznam. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadí se mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem. Bližší informace o osobních údajích najdete tady: zdroj.

    Musíme mít s hostingovou firmou podepsané nějaké nové smlouvy?

    V případě, že provozujete službu, u které dochází ke zpracování osobních údajů hostingovou společností, je nutné mít uzavřenu smlouvu o zpracování osobních údajů. U některých služeb jako například Server Hosting, Dedikované Servery či CDN ke zpracování osobních údajů ze strany hostingové firmy nedochází a žádná speciální smlouva u těchto služeb není nutná.

    Zpracovává-li hostingová firma osobní údaje (typicky managed služby), připraví vám koncept smlouvy. V případě našich klientů stačí napsat na konzultace@vshosting.cz nebo vyčkat než vás kontaktujeme.

    Je vshosting~ technicky připraven na GDPR?

    Ano, všechny poskytované služby jsou kompatibilní s NAŘÍZENÍM EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679, tedy GDPR.

    Jaká je role klientů hostingové firmy? Jsou správci nebo zpracovatelé?

    Role klientů hostingové firmy závisí na tom, zda jsou jejich klienty přímo subjekty osobních údajů – v tomto případě jsou v roli správce, anebo zajišťují přeprodej aplikace/platformy včetně hostingu jinému subjektu, který má za klienty subjekty osobních údajů, v takovém případě jsou zpracovatelem osobních údajů.

    Správcem mohou být tedy například v případě, že provozují e-shop či internetový portál a ve vztahu k osobním údajům svých zaměstnanců. Zpracovatelem mohou být například webové agentury. Role vshosting~ je zpracovatel (pokud jsou jeho klienti v roli správce) či další zpracovatel (pokud jsou jeho klienti v roli zpracovatele).

    Jak zajistíme právo na zapomenutí, když zálohujeme data?

    Záloha zajišťuje věrný obraz dat k danému dni a není technicky vhodné ji modifikovat. Vzhledem k tomu, že se zálohy rotují po 30 dnech, je nařízení GDPR učiněno za dost, jelikož není nutné subjektu osobních údajů v požadavku na odstranění osobních údajů vyhovět okamžitě. Právo na výmaz (právo na zapomenutí) má subjekt údajů pouze v určitých případech vymezených v nařízení GDPR.

    Jak zajistit soulad logování na serveru s GDPR?

    Logování, které probíhá na straně serveru u serverových aplikací, v sobě zpravidla neobsahuje žádné osobní údaje. Typicky jde o logování webserveru apod. Teoreticky problematické může být logování pomalých SQL dotazů, které v sobě osobní údaje mohou obsahovat, nicméně zpracování se zde neliší od zpracovávání ostatních osobních údajů na serveru, přičemž i log pomalých dotazů prochází rotací a tedy mazáním starších údajů. Autoři klientské aplikace (zpracovatel či správce) musí zajistit soulad logování a rotace logů na své straně ve své aplikaci.

    Je nutné šifrovat data na disku?

    Šifrování dat není nařízením GDPR uloženo jako povinnost, nicméně může se jednat o jedno z technických opatření pro zabezpečení osobních údajů. Osobní údaje je nutné zabezpečit v rozsahu odpovídajícímu danému riziku, včetně toho, aby bylo zabráněno úniku osobních údajů. Šifrování filesystému zajistí pouze ochranu proti fyzickému odnosu serverů, čemuž je zabráněno jinými cestami a fyzickým zabezpečením.

    Jak je zabezpečeno, aby někdo neoprávněný neodnesl server i s daty?

    Data klientů vshosting~ jsou v našem datovém centru ServerPark. ServerPark disponuje nadstandardním zabezpečením, mezi které patří tlusté železobetonové zdi, pancéřové dveře, kamerový dohled a anonymizace označení serverů a zejména selektivní a elektronicky zabezpečený přístup do datového centra.

    Po uzavření smlouvy o zpracování osobních údajů budu plně na GDPR připraven?

    Z pohledu vztahu s hostingovou společností ano, z pohledu všeobecného pojetí GDPR nikoliv. Každý subjekt, na který se nařízení GDPR vztahuje (nejen provozovatelé e-shopů, ale i lékaři, právníci a de facto všechny obory pracující s osobními údaji), musí mít vyřešeny všechny povinnosti, nikoliv jen hosting.

    Jedná se zejména o splnění informační povinnosti vůči subjektům údajů, uzavření smlouvy o zpracování osobních údajů se všemi zpracovateli osobních údajů, vyhotovení interní dokumentace (záznamy o činnostech zpracování) a nastavení vnitřních procesů apod.

    Je nutné server pravidelně aktualizovat, aby byl provozován v souladu s GDPR?

    Pro to, aby bylo vynaloženo veškeré úsilí na zabránění zneužití osobních údajů, je vhodné server aktualizovat a předejít tak možnosti útočníka zneužít některou ze starších softwarových komponent, která již například není autorem či výrobcem podporována. Z principu tlačíme do aktualizací klienty vždy, i před účinností GDPR, často se zde ale naráží na problém kompatibility nových verzí s klientskými aplikacemi. V takovém případě se další zpracovatel či správce vystavuje riziku a doporučujeme udržovat webové aplikace aktualizované a kompatibilní s novými serverovými komponentami jako jsou různé databáze, PHP, Java apod. 

    Je nutné nějaké nové technické opatření mezi vshosting~ a námi u poskytovaných služeb, aby byly provozovány v souladu s GDPR?

    Není nutné přijímat žádná další technicky invazivní řešení. Na naší straně pracujeme na několika prvcích, které je dobré mít, ale není to nutností. Jde například o možnost nastavení PGP klíče v klientské zóně. Po takovém nastavení bude ticketovací systém posílat emaily danému příjemci výhradně šifrovaně apod.

    Další často kladené dotazy vydal také Úřad pro ochranu osobních údajů, což naleznete tady.