I když dnes je ukládání dat na cloud rutinou, kterou si zvykli používat i běžní spotřebitelé, připomeňme, co přesně cloud computing znamená; navzdory doslovnému překladu z angličtiny (pozn. red.: cloud – oblak) nemá cloud computing nic společného s počasím. Na druhou stranu tím lze názorně vysvětlit, o co se jedná. Laicky řečeno, cloud computing spočívá v přesunu dat z počítače na internet neboli „do oblak“, kde jsou poté data přístupná odkudkoliv, a to pomocí počítače, notebooku, mobilu či jiného zařízení. Ať už z domu, z kanceláře nebo při cestování. Nemusí však jít pouze o přesun dat na veřejně přístupný server, cloud může být zajišťován i interně, například pro určitou firmu.
Služby cloud computingu zažívají rozmach až v posledních několika letech, a to především díky rozvoji mobilních zařízení připojených k internetu. Mnoho lidí dnes ukládá na internet dokumenty, hudbu, fotky atd. Tím ale možnosti cloud computingu zdaleka nekončí. Cloud computing je totiž zajímavý i pro firmy, kterým nabízí možnost pomocí internetového rozhraní využívat softwarové nástroje, emailové schránky, databáze, úložny dat a podobně. Díky cloud computingu je možné dokonce používat i cizí hardware. Právě tyto služby se stávají čím dál oblíbenější a slibují zlevnění informačních procesů.
Mrak mimo kontrolu
Umístění osobních dat v cloudu otevírá řadu nových otázek ochrany osobních údajů; teprve budoucnost přinese odpovědi, které vyváží častý protiklad striktních právních požadavků na ochranu osobních údajů s rychle se měnící realitou IT světa.
Základní otázkou je bezpečnost uložení dat v cloudu. Jistě, ani data uložená na osobním počítači nejsou nikdy v naprostém bezpečí, jelikož může dojít k jejich odcizení či fyzickému zničení. To naopak v zásadě nehrozí u cloudu, kde bývají data zálohována. Rozhodně však nelze říci, že data zaslaná na cloud jsou zcela v bezpečí. Vedle obecných hrozeb, že se k datům dostane neoprávněná osoba, hrozí na cloudu i rizika spojená s ochranou osobních údajů. Právě těm se ve svém stanovisku věnovala takzvaná Pracovní skupina článku 29, která je poradním orgánem Evropské komise pro oblast ochrany osobních údajů.
Zejména je nutné mít na paměti rizika spojená s nedostatkem kontroly nad daty, která jsou posílána na cloud. Poskytovatel údajů ztrácí nad daty výhradní kontrolu a nemůže pro ně na cloudu sám zajistit dostatečná bezpečnostní opatření. Rovněž je nutné vzít v úvahu nedostatečné informace o samotném provozovateli cloudu. Cloud může provozovat více neznámých subjektů a data mohou být bez vašeho vědomí přenášena do zahraničí, kde není zaručena dostatečná ochrana osobních údajů i dat obecně.
Zvážit a chtít písemně
Stanovisko dává několik rad, jak se možných problémů vyvarovat. Především je vhodné před poskytnutím údajů důkladně zvážit všechna výše uvedená rizika. Obzvlášť by to mělo platit v případě citlivých údajů. Uživatel (poskytovatel údajů) si musí uvědomovat, že vystupuje jako správce osobních údajů. Měl by proto vybrat takového provozovatele cloudu, který jedná v souladu se zákony.
Na uživateli je, aby si po provozovateli cloudu před předáním údajů vyžádal či jinak zajistil informace o všech třetích osobách, které s provozovatelem cloudu spolupracují a kterým by mohly být údaje zpřístupněny. Rovněž by měl požadovat, aby provozovatel cloudu zaručil alespoň základní principy pro zpracování osobních údajů (provozovatel cloudu by měl například sám informovat o veškerých aspektech zacházení s údaji). Uživatel by měl také požadovat dostatečné záruky, že údaje nebudou zpracovávány pro žádné další účely a že když je uživatel odstraní, skutečně z cloudu zmizí.
Každý, kdo osobní údaje na cloud předává (ať už je to člověk či firma), by ideálně měl uzavřít písemnou smlouvu, která vymezí způsob zabezpečení údajů, podmínky přenosu údajů do zahraničí nebo například to, kdo bude mít k údajům přístup. To samé platí i pro využívání soukromých cloudů uvnitř firem v situaci, kdy cloud pro firmu zajišťuje externí společnost. Firma by měla například zajistit, aby ustanovení o ochraně osobních údajů byla součástí rámcové smlouvy o využívání cloudu.
Ani nerovnováha ve vyjednávací síle mezi slabším poskytovatelem osobních údajů (především v případě lidí či menších firem) a „silným“ provozovatelem cloudu by neměla vést k přijetí podmínek, které právo na ochranu osobních údajů porušují.