fb
IT Systems 7-8/2018 IT právo Veřejný sektor a zdravotnictví 11. 9. 2018 12:02

Vybrané právní aspekty migrace dat

Jak předejít vendor lock-inu

PwCData se stávají stále cennějším artiklem a zvyšuje se i množství jejich ukládání a dalšího zpracovávání. Velké množství správců dat pak z různých důvodů, včetně důvodů kapacitních nebo ekonomických, nechává svá data spravovat externí subjekty, tzv. zpracovatele dat. V souvislosti s outsourcingem zpracování dat však vyvstává reálné nebezpečí závislosti správce na zpracovateli, tzv. proprietárního uzamčení (jinak též „vendor lock-inu“, nebo jednoduše „uzamčení“/„lock-inu“).

Správci se v uzamčení ocitnou, když jsou při dalším postupu „svázáni“ na základě dříve uzavřené smlouvy se zpracovatelem. PricewatehouseCoopers v roce 2015 provedla průzkum, dle kterého se v nějaké formě uzamčení ocitlo 42 % dotázaných veřejných zadavatelů napříč Evropskou unií (52 %, pokud vezmeme v potaz pouze ty, kteří znají význam výrazu vendor lock-in). Není tak překvapením, že se lock-in často vyskytuje i při migraci dat, a to nejen ve veřejné, ale i soukromé sféře. Na vině uzamčení je pak povětšinou nevhodně poptané plnění, respektive nekvalitně nastavený smluvní vztah.

Smluvní zajištění migrace dat

Není-li smluvní vztah mezi správcem a zpracovatelem dobře nastaven, může se stát, a v praxi se nezřídka stává, že zpracovávaná data nebude správce bez zpracovatele po skončení smluvního vztahu schopen využívat – přenést je do své sféry (např. cloudu), uspořádat je do databází nebo je ke zpracování předat jinému dodavateli, a to např. z důvodu speciálního kódování nebo nemožnosti přenosu dat z dané infrastruktury. Vedle právní nebo technologické nemožnosti, či neúměrné náročnosti, může být problémem i neúměrná nákladnost (tzv. „switching costs lock-in“).

Úprava migrace dat by tak měla být neodmyslitelnou součástí každé smlouvy o jejich zpracování, a to včetně migrace předčasné. Migrace dat by měla být zajištěna v požadovaném rozsahu, formátu a čase. K tomu je možné využít řadu nástrojů, vč. The Open Data Element Framework („O-DEF“), Cloud Data Management Inferference („CDMI“) DevOps nástrojů a procesů. V případě cloudových řešení je na místě zvážení i multi-cloudové strategie. Za zásadní lze pak považovat smluvení ustanovení o tom, kdo je vlastníkem dat, protože např. u cloudových služeb je vlastníkem těchto dat typicky provozovatel/poskytoval cloudu.

V oblasti veřejných zakázek může pro kvalitní nastavení smluvního vztahu a zvýšení portability již při definování samotného předmětu tenderu veřejný zadavatel využít předběžné tržní konzultace s odborníky a dodavateli dle § 33 zákona č. 134/2016 Sb., zákon o zadávání veřejných zakázek. Při sestavování zadávací dokumentace, respektive při definování kritérií hodnocení, může veřejný zadavatel v rámci zadávání veřejné zakázky přikročit k zohlednění výše nákladů na migraci dat, jakožto dílčího hodnotícího kritéria v rámci hodnocení ekonomické výhodnosti. Právě zohledněním nákladů již v počáteční fázi kontraktačního procesu může být snížena možnost výskytu switching costs lock-inu.

Bez ohledu na to, zda správce outsourcuje zpracování osobních údajů, nebo jiného druhu dat, lze doporučit do zpracovatelské smlouvy zařadit ustanovení obdobné těm, která Nařízení (EU) č. 2016/679 ze dne 27. 4. 2016 (dále jen „GDPR“) ukládá ve svém čl. 28 povinně zařadit do zpracovatelské smlouvy o zpracování osobních údajů. Vhodné je ve smlouvě upravit zejména: povinnost zpracování dat pouze na základě doložených pokynů správce, zajištění řádného zabezpečení zpracování, zohlednění povahy zpracování, povinnost v souladu s rozhodnutím správce všechny osobní údaje buď vymazat, nebo je správci vrátit a vymazat existující kopie, stejně jako správci po dobu outsousingu umožnit audity.

Zpracovatelská smlouva, kterou GDPR ukládá správcům osobních údajů se zpracovateli uzavřít, má obsahovat i ustanovení, že zpracovatel osobních údajů v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie. Byť neuzavření dané smlouvy podléhá dle GDPR správním sankcím, GDPR neumožňuje správci přistoupit k mandatorní migraci osobních údajů „ze zákona“, aniž by si správce toto ve smlouvě vyhradil. Na tento potenciální problém uzamčení tak v současné době nereaguje ani GDPR, ani nynější návrh (adaptačního) zákona o zpracování osobních údajů.

Mandatorní migrace

Osobní údaje jsou jen úzkou výsečí z širokého spektra dat, které mohou správci zpracovávat. U takto „obecně“ určených data může být v určitých situacích přistoupeno k využití zákonných ustanovení umožňujících mandatorní migraci. V současné době umožňuje mandatorní migraci dat (bez ohledu na nedostatečně upravené smluvní podmínky) zákon č. 181/2014 Sb., o kybernetické bezpečnosti, a to díky své novelizaci zákonem č. 104/2017 Sb., účinným od 1. července 2017. Zákon o kybernetické bezpečnosti nově opravňuje správci informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému pověřit provozem tohoto systému jiný orgán nebo osobu – provozovatele, pokud to jiný zákon nevylučuje.

Správce takovéhoto systému může od provozovatele při migraci požadovat součinnost; konkrétně aby mu provozovatel předal data, vč. provozních údajů a informací, které má v souvislosti s provozováním tohoto systému k dispozici a které jsou nezbytné pro případný další provoz tohoto systému nebo jeho jiné využití. Provozovatel má ve spojitosti s touto součinností nárok na úhradu účelně vynaložených nákladů. Vedle výše uvedeného má provozovatel také povinnost bezpečně zlikvidovat veškeré kopie těchto dat ve svém digitálním prostředí. V případě hrozby kybernetického bezpečnostního incidentu může být povinnost k migraci dat uložena rozhodnutím Národního bezpečnostního úřadu, a to na návrh správce.

Dle důvodové zprávy byla tato novela přijata pro prevenci stavů, kdy správce nemá přístup k datům nutným pro výkon své pravomoci.

Stejná novela zároveň novelizuje i zákon č. 365/2000 Sb., zákon o informačních systémech veřejné správy. Novelizovaný zákon pak ve svém § 9e ukládá provozovateli informačního systému bez zbytečného odkladu na vyžádání správce informačního systému předat tomuto správci data a provozní údaje, které se tohoto systémů veřejné správy týkají. Obdobně je provozovatel povinen tato data správci předat i po ukončení provozování daného systému. Kopie těchto provozních údajů pak musí provozovatel zlikvidovat. I v tomto případě má provozovatel informačního systému nárok na úhradu účelně vynaložených nákladů.

Závěr

Základní prevencí proti uzamčení v oblasti migrace dat je tedy vždy kvalitně nastavený a vyvážený smluvní vztah. Již přes rok však máme možnost za určitých okolností využít i zákonné instituty pro mandatorní migraci. Jak zákon o kybernetické bezpečnosti, tak zákon o informačních systémech veřejné správy z logických důvodů omezují svou působnost jen na některé systémy. Přestože tyto zákony představují užitečný nástroj, zvláště pak pro veřejné zadavatele, a tedy určitě pozitivní zásah do právního prostředí, nejedná se o komplexní řešení vendorlock-inu při migraci dat.

Za promarněnou příležitost pak lze považovat neinspirování se výše zmíněnou novelou u návrhu (adaptačního) zákona o zpracování osobních údajů, který má být přijat v souvislosti s použitelností GDPR. V tom mohla být komplexně vyřešena migrace dat v současnosti tolik sledované a rozhlehlé oblasti, kterou zpracování osobních údajů bezpochyby je.

Jan Svoboda Jan Svoboda
Autor působí v mezinárodní advokátní kanceláři PricewaterhouseCoopers Legal s.r.o.

Zdroje:

  1. BENTO, Alberto, AGGARWAL, Anil. CloudComputingService and DeploymentModels. Hershey: Business Science Reference, 2013, 368 s. ISBN 978-1-4666-2188-6.
  2. BRÁZDIL, Martin. Rizika smluv o cloudových službách. PRÁVNÍ PROSTOR.CZ [online]. ATLAS consulting spol. s r.o., publikováno 28. 3. 2016 [cit. 18. 6. 2018]. ISSN 2336-4114. Dostupné z: https://www.pravniprostor.cz/clanky/ostatni-pravo/rizika-smluv-o-cloudovych-sluzbach
  3. Cloud Data Management Interface (CDMI) [online]. SIA [cit. 18. 6. 2018]. Dostupné z: https://www.snia.org/cdmi
  4. Důvodová zpráva k zákonu č. 104/2017 Sb. In: Beck-online [online právní informační systém]. Nakladatelství C. H. Beck [cit. 18. 6. 2018]. Dostupné z: https://www.beck-online.cz/bo/chapterview-document.seam?documentId=oz5f6mrqge3v6mjqgrpwi6q
  5. CHAN, Mike. 6 things you can do to avoid cloud vendor lock-in. ThornTech.com [online]. Thorn Technologies LLC, publikováno 18. 9. 2017 [cit. 18. 6. 2018]. Dostupné z: https://www.thorntech.com/2017/09/avoidingcloudvendorlockin/
  6. O-DEF [online]. The Open Group [cit. 18. 6. 2018]. Dostupné z: http://www.opengroup.org/subjectareas/platform3.0/o-def
  7. POLČÁK, Radim. Informace a data v právu. Revue pro právo a technologie [Online]. 2016, č. 13, s. 67-91. [cit. 18. 6. 2018]. ISSN 1805-2797. Dostupné z: https://journals.muni.cz/revue/article/view/4946
  8. SHAH, Rajiv; KESAN, Jay; KENNIS, Andrew. Lessonsfor Open Standard Policies: A Case Study of the Massachusetts Experience. International Conference on Theory and Practice of Electronic Governance, Illinois Public Law Research Paper No. 07-13. [online] University of Illinois, 2007, 12 s. [cit. 18. 6. 2018]. Dostupné z: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=1028133
  9. SOCHOR, Miloš. Právní aspekty ochrany osobních údajů v rámci cloudových služeb. PRÁVNÍ PROSTOR.CZ [online]. ATLAS consulting spol. s r.o., publikováno 27. 2. 2017 [cit. 18. 6. 2018]. ISSN 2336-4114. Dostupné z: https://www.pravniprostor.cz/clanky/obcanske-pravo/pravni-aspekty-ochranyosobnich-udaju-v-ramci-cloudovych-sluzeb
  10. Study on best practices for ICT procurement based on standards in order to promote efficiency and reduce lock-in [online]. 2015, 22 s. [cit. 18. 6. 2018]. Dostupné z: https://joinup.ec.europa.eu/sites/default/files/inline-files/Task_4_Survey_results’_analysis.pdf
  11. SVOBODA, Jan. Veřejné zakázky v oblasti ICT a problém závislosti zadavatele na dodavateli. Brno, 2018, 64 s. Diplomová práce. Masarykova univerzita, Právnická fakulta.
  12. VÉVODA, Petr. Data obsažená v IT systémech, jejich vlastnictví a zakázkové právo. Zakázkové právo v oblasti ICT a další aktuální témata - Informační list [online]. 2017, č. 1, s. 15 - 18 [cit. 18. 6. 2018]. Dostupné z: http://www.uohs.cz/download/Informacni_listy/2017/2017_1_Zakazkove-pravoa-oblasti-ICT.PDF

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 1-2 IT Systems 12 IT Systems 11 IT Systems 10
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1