OVH a ochrana osobních údajů

Úvod

Thumbnail

Obecné nařízení o ochraně osobních údajů (GDPR) představuje právní rámec ochrany osobních údajů v evropském prostoru, který vstupuje v platnost dne 25. května 2018. Na rozdíl od současné právní úpravy ochrany osobních údajů v podobě směrnice 95/46/ES je GDPR plošným nařízením EU, nepodléhajícím transpozicím jednotlivých členských států. Jako takové má za úkol podpořit harmonizaci právních režimů jednotlivých členských států, co se ochrany osobních údajů týče. GDPR navíc zahrnuje princip extrateritoriality, což znamená, že se za určitých okolností může vztahovat i na subjekty mimo území EU.

Pokud Vy nebo Vaše společnost zpracováváte osobní údaje svých zákazníků, je více než pravděpodobné, že se Vás GDPR dotýká. V tomto ohledu podléháte jistým povinnostem, jimž je zapotřebí se přizpůsobit. To samé platí i pro společnost OVH, která - v závislosti na své roli - bude mít odlišné povinnosti: jakožto zpracovatel nebo jakožto správce osobních údajů.

Definice

Detailní a precizní porozumění nařízení EU není vždy snadným úkolem, zvláště když obsahuje 99 článků, 173 bodů odůvodnění a velké množství interpretačních vodítek. Takové porozumění je však nezbytné pro vyhnutí se jakémukoli riziku vyplývajícímu z příliš široké či nepřesné interpretace povinností, týkajících se Vaší organizace. Zvláště důležité je pak porozumění následujícím termínům:

  • Osobní údaje: veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat.
  • Zpracování osobních údajů: každý úkon nebo soubor úkonů, které jsou s osobními údaji prováděny systematicky, pomocí automatizovaných procesů. Zpracováním se rozumí zejména shromažďování, zaznamenání, předávání, ukládání, používání, šíření, zveřejňování, apod.
  • Správce osobních údajů: fyzická nebo právnická osoba, orgán veřejné moci, služba nebo jiný subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí za jím stanoveným účelem jejich shromažďování, zpracování a uchování.
  • Zpracovatel: fyzická nebo právnická osoba, orgán veřejné moci, služba nebo jiný subjekt, který zpracovává osobní údaje jménem správce osobních údajů.

Společnost OVH jakožto zpracovatel

Thumbnail

Právě tento aspekt je zajisté pro Vaše očekávání směrem ke společnosti OVH nejdůležitější. Společnost OVH je kvalifikována jako zpracovatel tehdy, když zpracovává osobní data jménem jejich správce. Jedná se o typický příklad, kdy v rámci používání služeb společnosti OVH ukládáte osobní data svých zákazníků na našich infrastrukturách. Společnost OVH tak v určitém technickém rámci může takto uložená data zpracovávat, avšak pouze v závislosti na Vašich instrukcích a Vaším jménem.

Závazky společnosti OVH jakožto zpracovatele

Jakožto zpracovatel se společnost OVH zavazuje zejména k následujícím opatřením:

  • Zpracovávat osobní údaje pouze za účelem správného fungování služeb: OVH tyto informace nikdy nezpracovává za jinými účely (např. marketing apod.).
  • Nepředávat data mimo území Evropské unie nebo mimo země, které jsou Evropskou komisí uznávány jakožto mající dostatečnou úroveň zabezpečení dat: jedinou výjimkou jsou případy, kdy si zákazník sám zvolí datacentrum mimo EU.
  • Informovat zákazníky o jakémkoli kontaktu s dalšími zpracovateli, kteří by mohli zpracovávat jejich data: v současné době nejsou žádné služby, které by zahrnovaly přístup k Vámi uloženému obsahu, outsourcovány mimo skupinu OVH.
  • Implementovat pokročilé bezpečnostní standardy za účelem poskytnutí vysoké úrovně zabezpečení našich služeb.
  • V případě úniku dat zákazníky upozornit v co nejkratším čase.
  • Poskytovat zákazníkům dostatečnou asistenci při plnění povinností spojených s právními předpisy o ochraně osobních údajů, a to zejména ve formě adekvátních podkladů a dokumentace.

Tyto závazky jsou konkrétně popsány v našich Všeobecných obchodních podmínkách. Jako takové jsou za předem určených podmínek na společnosti OVH, jakožto zpracovateli osobních údajů, vymahatelné.

Iniciativy společnosti OVH v Evropě

Za účelem posílení svých závazků se společnost OVH stala jedním ze zakládajících subjektů asociace CISPE (Cloud Infrastructure Services Providers in Europe). Tato asociace propaguje kodex, jehož cílem je podpora správné aplikace GDPR poskytovateli IaaS (Infrastructure as a Service). Prostřednictvím své aktivní účasti společnost OVH demonstruje svou vůli k harmonizaci pravidel pro ochranu osobních údajů napříč Evropou.

Thumbnail

Nabídka Private Cloud (IaaS) OVH se stala první službou OVH splňující podmínky kodexu CISPE.

FAQ Společnost OVH jakožto zpracovatel

Kdo je vlastníkem osobních údajů, které zákazník v rámci využívání služby používá a ukládá?

Data ukládaná v rámci služeb poskytovaných společností OVH zůstávají výhradním majetkem zákazníka.

Společnost OVH nebude data zpracovávat, s výjimkou případů, kdy to vyžaduje samotný provoz služby (v rámci technických omezení).

Společnost OVH se zavazuje data neprodávat třetím stranám a nezpracovávat je za účelem jakéhokoliv prospěchu (např. data mining, profilováni či přímý marketing).

Za jakých okolností může společnost OVH zpracovávat data, která zákazníci v rámci svých služeb používají a ukládají?

Existují pouze dvě skutečnosti, za nichž může společnost OVH tato data zpracovávat:

  • Pokud to vyžaduje samotný provoz služby, zejména pak za účelem poskytnutí technické podpory, které se zákazníkovi dostává při kontaktování společnosti OVH. V těchto situacích je zpracování dat omezeno, a to zejména prostřednictvím autorizačních, kontrolních a bezpečnostních mechanismů.
  • Za účelem naplnění povinností vyplývajících pro společnost OVH ze závazných právních předpisů, tzn. splnění zákonné povinnosti uložené společnosti OVH.

Zpracování údajů v případě kontaktování zákaznické podpory:
V rámci navázání kontaktu se zákaznickou podporou a v závislosti na řešeném problému existují dvě kategorie dat, jež může společnost OVH zpracovávat. Pracovník zákaznické podpory získá za účelem poskytnutí kvalitní podpory přístup k údajům, které zákazník poskytl v rámci vytváření svého zákaznického účtu (jméno, příjmení, telefonní číslo, e-mailová adresa apod.).
Na explicitní žádost zákazníka a v závislosti na technických omezeních jednotlivých oddělení může pracovník zákaznické podpory získat přístup k datům, která zákazník v rámci svých služeb OVH ukládá, a to pouze za účelem určení původu a potenciálního odstranění vzniklého problému.

Přístup k údajům v rámci požadavku vzneseného ze strany právních a/nebo administrativních autorit:
Za účelem jednání ve shodě s platnou legislativou a příslušnými právními předpisy je společnost OVH povinna odpovídat na žádosti právních a/nebo administrativních autorit. Jelikož požadavky tohoto typu podléhají právnímu rámci, společnost OVH je neschválí, pokud nebude prokázána jejich platnost a doložen důvod. Pokud navíc není přímo upraveno danou žádostí či národní legislativou, společnost OVH v podobných případech o požadavku okamžitě informuje zákazníka, jehož se vznesený požadavek týká. Požadavky pocházející ze států mimo Evropskou unii (dále jen "třetí země") nebudou brány v potaz, pokud nebude žádost vznesena na zákonném základě, tj. například Úmluva o mezinárodní právní spolupráci mezi zainteresovanou třetí zemí a Evropskou unií, nebo jejím členským státem.

Jsou data evropských zákazníků společnosti OVH předávána mimo Evropskou unii?

V závislosti na rozhodnutích, která zákazník při výběru datacentra pro hosting svých dat učiní, existují dva postupy:

Zákazník si zvolí službu zahrnující jedno či více datacenter v EU:
V takovém případě nikdy nedojde k předání dat za hranice:

  • členských států Evropské unie
  • států označených Evropskou komisí za disponující dostatečným stupněm ochrany osobních údajů s ohledem na ochranu osobního života a základních lidských práv a svobod. Seznam těchto států je dostupný na: oficiální stránky Evropské komise.

V návaznosti na zrušení rozhodnutí Evropské komise "Safe Harbor" a přestože Evropská komise označuje americké subjekty, které jsou členy programu Privacy Shield, za nabízející dostatečnou úroveň ochrany, se společnost OVH zavazuje, že data zákazníků, kteří pro hostování svých dat zvolili oblast v rámci Evropské unie, nebudou předávána na území USA.

K předání dat do zemí označených Evropskou komisí za disponující dostatečným stupněm ochrany může docházet v rámci intervence ze strany zákaznické podpory společnosti OVH. Týmy technické podpory, zajišťující intervence na službách instalovaných v evropských datacentrech OVH, jsou umístěny v Evropské unii i v Kanadě (Kanada je zemí, kterou Evropská komise považuje za disponující dostatečným stupněm ochrany osobních údajů). Společnost OVH si rovněž vyhrazuje právo svěřit služby spojené se zákaznickou podporou, které mohou zahrnovat vzdálený přístup k datům zákazníků, jakožto součást našich služeb, ostatním orgánům skupiny OVH, majícím své sídlo ve státech označených Evropskou komisí za disponující dostatečným stupněm ochrany (s výjimkou USA).

Vzhledem ke garancím poskytovaným společností OVH na předávání dat, mohou naši zákazníci splnit své povinnosti vyplývající ze článku č. 45 Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“). "Předání založené na rozhodnutí o odpovídající ochraně" stanovuje, že předávání osobních údajů do třetí země nebo mezinárodní organizace může být realizováno, pokud Evropská komise označila tuto zemi, území, část země nebo mezinárodní organizaci za mající dostatečný stupeň ochrany. Takováto předání nevyžadují specifickou autorizaci

Zákazník si zvolí službu zahrnující datacentrum mimo EU:
V takovémto případě je zřejmé, že data budou předávána mimo území Evropské unie. Umístění či geografická oblast zvoleného datacentra jsou k dispozici na webových stránkách společnosti OVH. Zákazníci mohou při vytváření objednávky zvolit libovolné datacentrum. V souladu se smluvními podmínkami služby společnost OVH bez výslovného souhlasu zákazníka nezmění její umístění.

Za účelem podpoření subjektů, které si přejí zpracovávat osobní data s přesahem do datacenter umístěných mimo Evropskou unii, v zemi, která nenabízí dostatečnou úroveň zabezpečení osobních dat, může společnost OVH na základě výslovné žádosti zvážit implementaci záruk, které by takové předávání umožnily (jak je definováno v článku č. 46 GDPR "Předávání založené na vhodných zárukách").

Společnost OVH jakožto správce osobních údajů

Thumbnail

OVH působí jako "správce osobních údajů" v okamžiku, kdy určuje účel a prostředky zpracování osobních údajů.

Především se jedná o případ, kdy společnost OVH shromažďuje data za účelem fakturace, správy plateb, zlepšování kvality služeb a jejich výkonu, komerčních aktivit apod. Tuto roli přebíráme i tehdy, když zpracováváme osobní údaje našich vlastních zaměstnanců.

Tento scénář nezahrnuje data, která ukládáte na infrastrukturách společnosti OVH v rámci svých služeb. Na druhou stranu, některé informace týkající se Vás nebo Vašich zaměstnanců (např. identita a údaje kontaktní osoby v rámci požadavku na technickou asistenci) do této kategorie spadají. Z toho důvodu bychom Vám rádi představili záruky, které jsme za účelem zabezpečení Vašich osobních údajů implementovali.

  • Omezit se při shromažďování osobních údajů pouze na ty, jež jsou pro zprostředkování služeb zcela nezbytným předpokladem: výsledkem je, že v rámci objednávkového formuláře postačuje uvést pouze základní informace, které naší společnosti umožní zajistit fakturaci, technickou podporu a splnění našich vlastních směrnic pro ochranu osobních údajů.
  • Nepoužívat nashromážděná data pro jiné účely než pro ty, pro něž byla původně nashromážděna.
  • Uchovávat osobní údaje pouze po omezenou dobu. Osobní údaje nashromážděné za účelem správy komunikace mezi zákazníkem a společností OVH (jméno, příjmení, adresa, e-mail apod.) jsou tak například uchovávány pouze po dobu platnosti obchodního vztahu a následujících 36 měsíců po jeho ukončení. Po uplynutí této lhůty dochází k jejich kompletnímu vymazání.
  • Nezprostředkovávat nashromážděné osobní údaje třetím stranám, které nejsou se společností OVH pevně spjaty a které nemají nic společného s plněním předmětu smlouvy. V rámci interních operací s osobními údaji ve společnosti OVH může docházet k jejich přenosu mimo Evropskou unii. V takových případech se přenos dat řídí přísnými pravidly, zavedenými v rámci celé skupiny OVH.
  • Implementovat odpovídající technická a organizační opatření k zajištění vysoké úrovně bezpečnosti.