OVH A OCHRANA OSOBNÍCH ÚDAJŮ
Společnost OVH byla založena v roce 1999 a v současné době představuje se svými body přítomnosti v 18 zemích světa jednoho z největších hráčů na poli cloudových služeb. Spokojenost každého z více než jednoho milionu našich zákazníků a vysoká úroveň zabezpečení jejich osobních údajů jsou pro nás zcela zásadní motivací. V okamžiku, kdy se rozhodnete hostovat svá data u společnosti OVH, svěřujete nám tím do rukou část svých informačních prostředků. Jsme si dobře vědomi problémů, které taková externalizace může pro Vaši společnost představovat, zejména pokud jde o soulad s Nařízením Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen GDPR ) a jeho dodržování. Z toho důvodu Vám nabízíme co možná nejpodrobnější informace týkající se problematiky spojené s tématem ochrany osobních údajů. 1 DŮLEŽITOST VÝBĚRU POSKYTOVATELE CLOUDOVÝCH SLUŽEB 3 2 ZÁVAZKY SPOLEČNOSTI OVH V POZICI ZPRACOVATELE OSOBNÍCH ÚDAJŮ 4 3 BEZPEČNOSTNÍ ZÁVAZKY A GARANCE SPOLEČNOSTI OVH 7 WWW.OVH.COM
1 DŮLEŽITOST VÝBĚRU POSKYTOVATELE CLOUDOVÝCH SLUŽEB 1.1. Jak je důležité býti ve shodě Volba správného poskytovatele cloudových služeb by se dnes již neměla zakládat pouze na technických kritériích. S příchodem stále přísnějších regulativních nařízení (mezi něž se řadí i GDPR) a neustále se zvyšujícím obecným povědomím ohledně etických a ekonomických výzev vážících se k fyzickému umístění osobních údajů, je čím dál více velkých hráčů nuceno hledět nad rámec technologických kapacit. Společnost OVH se proto kromě poskytování vysoce výkonných a zabezpečených služeb zavazuje také ke zprostředkování plně transparentních řešení, uvedených do shody se všemi platnými nařízeními o ochraně osobních údajů. Tento závazek představuje pro společnosti hledající externího partnera pro hostování svých dat zcela zásadní aspekt jejich vlastní shoda s nařízením je totiž podmíněna shodou zpracovatele. Díky závazkům ze strany společnosti OVH má zákazník 100% jistotu, že plní všechny své povinnosti ve shodě s GDPR. Tento požadavek je upraven zejména ve článku 28 GDPR, který říká, že pokud má být zpracování provedeno pro správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů. 1 Francouzská Národní komise pro informatiku a svobody (CNIL), autorita zajišťující shodu se zákony týkajícími se ochrany osobních údajů, zároveň doporučuje, aby jakákoli společnost plánující využívat cloudové služby provedla analýzu rizik a byla při výběru poskytovatele služby, tj. zpracovatele osobních údajů ve smyslu GDPR, co možná nejobezřetnější. Je nutné, aby takováto společnost věnovala zvláštní pozornost zejména garancím na poli ochrany osobních údajů, které daný poskytovatel nabízí, a ujistila se, že poskytovatel v tomto ohledu splňuje veškeré povinnosti, které mu ukládá zákon. 2 1.2. Kritérium ekonomické gramotnosti Společnost OVH je tzv. čistým hráčem, který působí ve zcela unikátní obchodní oblasti: poskytování IT infrastruktur založených na cloudových technologiích. Naše obchodní aktivity nekonkurují (ať již přímo či nepřímo, tzn. prostřednictvím dalších subjektů nebo poboček) obchodním aktivitám našich zákazníků. To platí nejen pro online prodej, ale také pro vývoj softwaru. Za škodlivé obecně považujeme všechny případy, kdy společnosti neúmyslně financují své konkurenty skrze své cloudové poskytovatele, kteří toto chování ospravedlňují na základě diverzifikace svého předmětu podnikání. 1 Článek 28 Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a jeho dodržování: http://eur-lex.europa.eu/legalcontent/cs/txt/?uri=celex:32016r0679 2 CNIL, Recommendations for companies planning to use Cloud computing services: https://www.cnil.fr/sites/default/files/ typo/document/recommendations_for_companies_planning_to_ use_cloud_computing_services.pdf 3
2 ZÁVAZKY SPOLEČNOSTI OVH V POZICI ZPRACOVATELE OSOBNÍCH ÚDAJŮ Společnost OVH je kvalifikována jako zpracovatel v případě, kdy zpracovává osobní údaje jménem jejich správce. Typicky se jedná o situaci, kdy v rámci používání služeb společnosti OVH ukládáte osobní údaje svých zákazníků na našich infrastrukturách. Závazek č. 1: k údajům hostovaným na našich službách nepřistupujeme Společnost OVH zpracovává osobní údaje svých zákazníků pouze za účelem zřízení a správného fungování služeb, a to pouze v jimi stanoveném rozsahu. Data hostovaná v rámci našich služeb zůstávají výhradním majetkem zákazníka. Jakýkoli prodej výše zmíněných údajů, stejně tak jako jejich využití pro komerční účely (jako např. profilování či přímý marketing), jsou striktně zakázány. Závazek č. 2: reverzibilita dat Vaše data, Vaše pravidla Informační reverzibilita neboli možnost přenést či obnovit svá data ve standardním formátu není na trhu s cloudovými službami samozřejmostí. Tato možnost může být u některých poskytovatelů cloudových služeb přinejmenším velmi zkomplikována z důvodu tzv. proprietárního uzamčení. Cloud se v posledních letech stal strategickým tématem. Příliš strategickým na to, aby se vyplatilo riskovat či se zavazovat k doživotním kontraktům s jedním poskytovatelem. Jakožto nezlomní zastánci konceptu otevřeného cloudu jsme schopni zabránit tomu, aby několik dominantních hráčů určovalo pravidla jen proto, že ovládají část relevantního tržního sektoru. Všechna cloudová řešení společnosti OVH jsou založena na otevřených standardech včetně velkého množství open-source technologií. S tím samozřejmě souvisí i vysoká míra reverzibility a interoperability, která otevírá cestu ke snadné a transparentní obnovitelnosti Vašich dat. 4
Závazek č. 3: zákazník vždy přesně ví, kde jsou jeho data hostována a zpracovávána Při výběru služby umožňující ukládání dat a osobních údajů jsou na našich webových stránkách uvedeny detailní informace o geografickém umístění jednotlivých datacenter. Pokud je daná služba v okamžiku objednávky dostupná ve více než jednom datacentru, může si zákazník její umístění zvolit sám, v závislosti na svých osobních preferencích. Ukládání údajů však není synonymem pro zpracování údajů. GDPR upravuje pravidla pro zpracování, nikoli pouze pro ukládání. Z toho důvodu je třeba těmto termínům věnovat zvláštní pozornost. Pokud pro ukládání svých dat zvolíte oblast v rámci Evropské unie, společnost OVH garantuje, že nebude Vaše data zpracovávat mimo hranice Evropské unie nebo států označených Evropskou komisí za disponující dostatečným stupněm ochrany osobních údajů s ohledem na ochranu osobního života a základních lidských práv a svobod. Společnost OVH zároveň garantuje, že nebude Vaše data zpracovávat na území Spojených států amerických. Závazek č. 4: 100% transparentnost v oblasti přenosu údajů ke zpracovatelům Společnost OVH ovládá celý dodavatelský řetězec, od kompletace serverů po správu datacenter. S výjimkou poboček a pokud není ve Zvláštních smluvních podmínkách dané služby stanoveno jinak nemá k údajům zákazníků přístup žádná jiná společnost či třetí strana. Kompletní seznam poboček je k dispozici na našich webových stránkách nebo na telefonní lince zákaznické podpory. Naše pobočky představují pouze jakési mezinárodní kanceláře společnosti OVH: OVH Německo, OVH Španělsko atd. Za účelem zajištění optimálního zabezpečení dat zákazníků nemá entita OVH USA statut pobočky a je striktně oddělena od všech evropských kanceláří společnosti OVH. V případě přenosu dat mezi pobočkami OVH jsou o této skutečnosti zákazníci vždy vyrozuměni s předstihem nejméně 30 dnů. A konečně, pokud by společnost OVH potřebovala pověřit činností zahrnující přístup k datům zákazníka (zpracováním dat) třetí stranu, je k danému jednání společnosti OVH nutný výslovný individuální souhlas zákazníka. 5
Závazek č. 5: v případě narušení soukromí dat Vás budeme neprodleně informovat Společnost OVH dodržuje přísná bezpečnostní opatření. Zároveň předvídáme veškeré možné scénáře narušení bezpečnosti, včetně těch zahrnujících úniky informací. Pokud by však i přes veškerá přijatá opatření došlo k úniku informací, dotčené zákazníky se zavazujeme neprodleně informovat. V takovém případě zákazník obdrží upozornění obsahující informace o povaze incidentu a jeho možných dopadech, stejně jako výčet přijatých protiopatření. Závazek č. 6: poskytnutí srozumitelné dokumentace k našim službám Je zcela zásadní, aby Vám poskytovatel cloudových služeb zprostředkoval odpovídající záruky vzhledem k míře kritičnosti zpracování Vašich údajů. Jedná se o jeden z klíčových aspektů, které Vám pomohou zajistit uvedení své činnosti do shody s příslušnými nařízeními v oblasti ochrany osobních údajů. Abyste byli schopni přijmout příslušná rozhodnutí a odůvodnit je před kontrolními orgány, musíte mít k dispozici kompletní dokumentaci týkající se služeb nabízených Vašimi zpracovateli. Z toho důvodu se společnost OVH zavazuje poskytnout potřebnou dokumentaci, a to včetně popisu bezpečnostních opatření implementovaných na Vámi využívaných službách, atestace příslušného datacentra apod. Závazek č. 7: poskytnutí smluvních záruk našich závazků Závazky společnosti OVH nejsou jen planými sliby, nýbrž jsou jasně vymezeny ve Smlouvě o zpracování osobních údajů (Data Processing Agreement neboli DPA). Tento dokument je přílohou smluvních ujednání a je dostupný na vyžádání. 6
3 BEZPEČNOSTNÍ ZÁVAZKY A GARANCE SPOLEČNOSTI OVH Společnost OVH přijala veškerá opatření nezbytná pro zajištění vysoké úrovně bezpečnosti a soukromí zpracovávaných osobních údajů. Tato opatření se týkají zejména ochrany dat před zkreslením, poškozením a zneužitím neautorizovanými třetími stranami. 3.1. Distribuce bezpečnostních opatření Je nezbytné rozlišovat mezi zabezpečením dat hostovaných zákazníkem a zabezpečením infrastruktur, na nichž jsou informace hostovány. Zabezpečení dat hostovaných zákazníkem: zákazník nese plnou zodpovědnost za zabezpečení svých zdrojů a aplikačních systémů, které v rámci používání služby provozuje. Společnost OVH nabízí svým zákazníkům doprovodné nástroje pro zabezpečení jejich dat. Zabezpečení infrastruktur: společnost OVH se zavazuje poskytovat infrastruktury s optimálním zabezpečením, zejména co se shody s bezpečnostní politikou informačních systémů a normativních certifikací týče (PCI DSS, ISO/IEC 27001, atestace SOC 1 typ II, SOC 2 typ II apod.). OVH zároveň v rámci nabídky Healthcare disponuje certifikací pro hosting citlivých zdravotních dat (HDS). 3.2. Bezpečnostní opatření společnosti OVH Poskytované bezpečnostní záruky závisí na typu služeb, které využíváte. Ke každé službě poskytujeme kompletní dokumentaci. To našim zákazníkům pomáhá s rozhodnutím, zda dané řešení odpovídá druhu aktivity a typu zpracování osobních údajů, jež si přejí implementovat. Ke všem službám společnosti OVH se váží následující bezpečnostní záruky a opatření: Fyzické zabezpečení infrastruktur zabraňující vniknutí neautorizovaných osob. Bezpečnostní personál, zajišťující nepřetržitý monitoring fyzických infrastruktur. Systém pro správu přístupů, umožňující omezit přístup zainteresovaným osobám jen do takových oblastí a k takovým informacím, které pro svou práci nutně vyžadují. Systém pro fyzickou a logickou (v závislosti na druhu služby) izolaci zákazníků. Silné ověřovací mechanismy pro uživatele i administrátory, založené na striktní politice správy hesel a implementaci dvojité autentizace (používání YubiKey). Procesy a zařízení umožňující sledování všech akcí prováděných na jednotlivých informačních systémech a dovolující jejich ohlášení v případě incidentu majícího vliv na data našich zákazníků (v závislosti na aktuálně platné legislativě). 7
WWW.OVH.COM