Úvod

Služby cloud computingu (cloudové služby) jsou dnes hojně využívanými nástroji z důvodu jejich nízkých pořizovacích nákladů, rychlosti možného nasazení, cross-platform kompatibility či vysoké míře škálovatelnosti a elasticity. Pro poskytovatele i příjemce těchto služeb však vyplývají z právních předpisů práva a povinnosti, kterých si nejsou vždy vědomi. Tento článek slouží k vysvětlení základních pojmů cloud computing a Software as a Service, představuje stěžejní právní rámec a upozorňuje na problémy, které mohou poskytovatelům nebo příjemcům cloud computingových služeb nastat.

Definice pojmu

V zákoně o kybernetické bezpečnosti je relativně nově (novelou účinnou ke dni 1. 8. 2017) v § 2 písm. l) vymezena zákonná definice pojmu cloud computing. Dle citovaného ustanovení je cloud computing „digitální službou, která umožňuje přístup k rozšířitelnému a přizpůsobitelnému úložišti nebo výpočetním zdrojům, které je možné sdílet“.

Známou a dodnes hojně užívanou definicí cloud computingových služeb je také definice National Institute of Standards and Technology: „Cloud computing je model umožňující se na vyžádání odkudkoli připojit k souboru výpočetních zdrojů (např. sítě, servery, úložiště, aplikace a služby), které mohou být velmi rychle poskytnuty a uvolněny s minimální součinností a úsilím ze strany poskytovatele.“

Příkladem cloudové služby může být například G-mail, sociální síť Facebook nebo Apple iCloud.

Rozlišujeme několik typů cloudu dle přístupnosti koncového uživatele a odpovědnosti za infrastrukturu a provozní prostředí:

• veřejný,
• privátní,
• hybridní,
• komunitní.

Software as a Service

Důležitým termínem úzce souvisejícím s cloud computingem je tzv. Software as a Service, zkráceně SaaS. Jedná se o úplné softwarové řešení, obvykle dostupné skrze webový prohlížeč, jež umožňuje uživatelům připojit se k aplikacím běžícím v cloudu a používat je prostřednictvím sítě internet. Veškerou infrastrukturu, middleware a software zajišťuje poskytovatel služby, přičemž uživatel se k aplikacím připojuje vzdáleně, zpravidla prostřednictvím sítě internet.

V závislosti na druhu poskytovaných služeb dále rozlišujeme Platform as a Service (PaaS), Infrastructure as a Service (IaaS) a jiné, viz obrázek níže.

Zdroje právní úpravy

Česká právní úprava

Výše citovaný zákon o kybernetické bezpečnosti v ustanovení § 3 písm. h) ukládá osobám poskytujícím digitální služby povinnosti v oblasti kybernetické bezpečnosti. Poskytování cloudových služeb, včetně SaaS, je digitální službou ve smyslu uvedeného zákona a povinnosti tak dopadají i na poskytovatele těchto služeb.

Mezi ukládané povinnosti patří dle zákona o kybernetické bezpečnosti zejména povinnost zajistit:

• systém řízení bezpečnosti informací,
• řízení aktiv a rizik,
• organizační bezpečnost,
• audit kybernetické bezpečnosti,
• technická opatření nebo
• bezpečnostní politiku a dokumentaci.

Pro orgány veřejné moci existují ještě specifické povinnosti podle § 4 odst. 5 téhož zákona, a to i v případě, kdy jsou na straně příjemce cloudové služby od třetí osoby. Kromě jiného mají povinnost zajistit, že budou poskytovatelem služeb dodržována bezpečnostní pravidla stanovená Národním úřadem pro kybernetickou bezpečnost nebo že budou mít přístup k uchovávaným informacím a datům. Navíc musí pohlídat už v zadávací dokumentaci, že smlouva s dodavatelem bude obsahovat zákonem o kybernetické bezpečnosti požadované minimální náležitosti.

Povinnosti dále podrobně specifikuje vyhláška č. 82/2018 Sb., a další vyhlášky k zákonu o kybernetické bezpečnosti.

Unijní právní úprava

Také Evropská unie vydala několik závazných nařízení a směrnic souvisejících s touto problematikou. Jedním z nařízení je známé Obecné nařízení o ochraně osobních údajů („GDPR“). Poskytovatel cloudových služeb je zpravidla zpracovatelem osobních údajů ve smyslu čl. 4 GDPR s tím, že při poskytování těchto služeb musí smlouva s příjemcem služeb naplnit požadavky čl. 28 GDPR.

Mezi další důležité předpisy lze uvést i Nařízení o neosobních údajích, Nařízení o Agentuře Evropské unie pro kybernetickou bezpečnost nebo Směrnici o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů.

Závěr

Pokud jste poskytovatelem cloudových služeb nebo orgánem veřejné moci, který je příjemcem cloudových služeb, doporučujeme Vám seznámit se s výše uvedenou právní úpravou. Následně je nutné zkontrolovat a případně zajistit soulad mezi poskytováním a přijímáním cloudových služeb a právními předpisy.

Doporučujeme zejména prověřit, v jaké míře na Vás zmiňované právní předpisy dopadají, jak máte nastavenou odpovědnost za osobní a neosobní údaje v cloudu nebo zda dochází k předávání osobních údajů do 3. zemí mimo EU. V této souvislosti je vhodné zabývat se také Vaší případnou závislostí na poskytovateli cloudových služeb, možnosti individuálního nastavení služby a s tím potenciálně možný vendor-lock během tranzice dat k jinému poskytovateli cloudových služeb.

(Úvodní obrázek: CC BY 2.0 vytvořen Stormotion.io)

‍