TFL Vsebine / Revija Pravnik

11

Računalništvo v oblaku pomeni storitev namestitve podatkov v oblak prek različnih računalniških virov z namenom optimizacije stroškov in strukture. Pogodbena obdelava osebnih podatkov, zavarovanje in prenos podatkov v oblak so vidiki varstva osebnih podatkov, obravnavani v prispevku. Reforma evropskega zakonodajnega okvira za varstvo osebnih podatkov bistveno vpliva na obdelavo osebnih podatkov v računalništvu v oblaku. Pravice posameznika, obveznosti upravljavcev in obdelovalcev podatkov, nadzorni organi, pravica do pravnega sredstva in sankcije, kodeksi ravnanja in potrjevanja so bistvene predlagane spremembe, ki so (med drugim) neposredna posledica padca varnega pristana. Pomembna novost je evidenca dejavnosti obdelav osebnih podatkov, ki jo mora voditi upravljavec in obdelovalec, kot to od njega zahteva novo načelo Uredbe 2016/679 – načelo odgovornosti. Drugi del prispevka se nanaša na novi okvir varstva osebnih podatkov v primeru prenosa v ZDA – zasebnostni ščit. Sodišče EU je v zadevi Schrems leta 2015 odločbo Evropske komisije iz leta 2000 glede »ustreznosti« režima varnega pristana prek sistema samocertifikacije pri ameriškemu Ministrstvu za trgovino razglasilo za neveljavno z obrazložitvijo, da odločba ne omenja obstoja – v ZDA – pravil, ki omejujejo posege v temeljne pravice oseb, katerih podatki so bili preneseni, niti obstoja učinkovitega sodnega varstva osebnih podatkov posameznikov, ki prenašajo svoje podatke v oblak. V letu 2016 je bil zato sprejet zasebnostni ščit. Z zasebnostnim ščitom se je skušalo odpraviti glavne pomisleke, ki jih je Sodišče EU poudarilo v zadevi Schrems. Čeprav je v primerjavi z varnim pristanom prišlo do velikega napredka, pomisleki glede učinkovitosti s strani Delovne skupine za varstvo osebnih podatkov iz člena 29 (leta 2017) kljub pozitivni oceni zasebnostnega ščita, ki jo je podala Evropska komisija, ostajajo. Slednja namreč vsako leto opravi poročilo o učinkovitosti zasebnostnega ščita. Že drugo leto pozitivno ocenjuje raven varstva osebnih podatkov, vendar opozarja na imenovanje stalnega varuha pravic.

Accessing data services through cloud to optimise costs and structure came into focus of data privacy. Data protection, data security (AIC triad) and data transfer are the main topic of the article. European general data protection regulation as of 25 May 2018 has had a significant impact on data processing in cloud computing. In particular, data subject’s rights have been enhanced, both data controllers and processors are required to appoint DPOs and to establish an independent supervisory authority at national levels. Also a new mechanisms for providing and proving proper personal data processing was approved which serves as a tool to demonstrate the compliance with the new General Data Protection Regulation. The second part of the article examines a new framework for the protection of personal data in case of transfer to the USA. Up until 2015, most US companies relied on the Safe Harbour regime, which allowed the transfer of data for commercial purposes from the EU to the USA through a companies’ self-certification system at the US Department of Commerce. However, in 2015 the Court of Justice of the EU declared the EU Commissions’ 2000 decision on the “adequacy” of the Safe Harbour regime invalid, reasoning that the lack of rules in the US to limit interference with the fundamental rights of the persons whose data is transferred from the EU to the US, nor the effective judicial remedies for individuals are to be found. Hence the Privacy Shield was adopted in 2016. The article affirms that the Privacy Shield sought to address the main concerns raised by the Court of Justice of the EU in the Schrems case of 2015.

Cloud Computing and Data Privacy – The Privacy Shield