OVH ir asmens duomenų apsauga

Įvadas

Thumbnail

Bendrasis duomenų apsaugos reglamentas (BDAR) - tai teisinis asmens duomenų tvarkymo pagrindas Europoje nuo 2018 m. gegužės 25 d. Priešingai nei Direktyva 95/46/EB, iki šiol reglamentavusi asmens duomenų tvarkymą, Bendrasis duomenų apsaugos reglamentas skirtas tiesioginiam taikymui Europos Sąjungoje ir nereikalauja perkėlimo į valstybės teisę. Tokiu būdu BDAR leis suderinti asmens duomenų apsaugos teisines sistemas Europoje. Dar geriau, BDAR numatytas eksteritorialumas, kai kuriais atvejais leidžiantis išplėsti taikymo perimetrą už Europos Sąjungos ribų.

Jei esate įmonė, tvarkanti asmens duomenis, jums greičiausiai bus taikomi BDAR reikalavimai. Jums, kaip ir OVH, reikės laikytis įsipareigojimų, priklausomai nuo situacijos: kaip duomenų tvarkytojui ar duomenų valdytojui.

Apibrėžimai

Suprasti realią ir tikslią Europos reglamento svarbą nelengva, atsižvelgiant į tai, jog jame yra 99 straipsniai, 173 dalys ir daugybė eilučių, skirtų interprepacijai patikslinti. Tačiau tai būtina siekiant išvengti rizikos, galinčios atsirasti dėl pernelyg plataus ar netikslaus įsipareigojimų, tenkančių jūsų įmonei, interpretavimo. Taigi būtina tinkamai suprasti žemiau apibrėžtas sąvokas:

  • Asmens duomenys: bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti. Fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti.
  • Duomenų tvarkymas: bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka (rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, sugretinimas ar sujungimas su kitais duomenimis ir t.t.).
  • Duomenų valdytojas: fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones.
  • Duomenų tvarkytojas: fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.

OVH kaip duomenų tvarkytojas

Thumbnail

Šiuo atveju, jūsų lūkesčiai OVH yra svarbiausi. OVH veikia kaip duomenų tvarkytojas, kai asmens duomenys tvarkomi duomenų valdytojo vardu. Tai tipinis atvejis, kai naudojatės OVH paslaugomis ir saugote asmens duomenis OVH infrastruktūroje. Atsižvelgdama į techninius apribojimus, OVH galės tvarkyti jūsų duomenis tik pagal jūsų instrukcijas, ir jūsų vardu.

OVH kaip duomenų tvarkytojo įsipareigojimai

OVH kaip duomenų tvarkytojas įsipareigoja:

  • Tvarkyti asmens duomenis tik paslaugų teikimo sutarčių vykdymo tikslais: OVH niekuomet netvarkys jūsų duomenų kitais tikslais (rinkodaros ir t.t.).
  • Neperduoti kliento duomenų už Europos Sąjungos ribų ar valstybėms, Europos Komisijos sprendimu neužtikrinančioms pakankamo apsaugos lygio: su sąlyga, jei nepasirinksite duomenų centro už Europos Sąjungos ribų.
  • Informuoti klientą apie duomenų tvarkytojus, kurie galėtų tvarkyti kliento asmens duomenis: šiai dienai paslaugos, numatančios prieigą prie kliento talpinamų duomenų OVH paslaugų teikimo kontekste, neperduodamos tvarkytojams už OVH grupės ribų.
  • Įgyvendinti aukšto lygio saugumo standartus siekiant suteikti aukšto lygio apsaugą mūsų paslaugoms.
  • Per kuo trumpesnį laikotarpį informuoti klientą apie duomenų pažeidimus.
  • Suteikti pagalbą klientui laikantis teisinių įsipareigojimų ir pateikti adekvačią paslaugų dokumentaciją.

Šie įsipareigojimai numatyti pagrindinėse OVH paslaugų teikimo sutarčių sąlygose. Todėl, jei specialiosios sąlygos nenumato kitaip, jos taikomas bet kokiam OVH kaip duomenų tvarkytojo klientui.

OVH iniciatyvos Europoje

Siekdama sustiprinti įsipareigojimus OVH prisijungė prie CISPE (Cloud Infrastructure Services Providers in Europe) asociacijos kūrimo iniciatyvos. CISPE parengė elgesio kodekso projektą, kuriuo siekiama teikti pirmenybę BDAR taikymui Infrastructure as a Service (IaaS) paslaugų teikėjams. Aktyviai dalyvaudama šioje iniciatyvoje, OVH demonstruoja pasiryžimą atitikti aukštus reikalavimus asmens apsaugai Europoje.

Thumbnail

OVH Private Cloud (IaaS) - tai pirma OVH paslauga, pripažinta atitinkanti CISPE elgesio kodeksą.

DUK OVH kaip duomenų tvarkytojas

Kas yra asmens duomenų, kuriuos klientas naudoja bei saugo paslaugų teikimo kontekste, savininkas?

Kliento talpinami duomenys OVH paslaugų teikimo kontekste lieka kliento nuosavybė.

OVH turi prieigos prie duomenų teisę ir gali juos naudoti tik paslaugų teikimo sutarčių vykdymo tikslais, laikantis nustatytų techninių apribojimų.

OVH įsipareigoja neperparduoti šių duomenų ir jų nenaudoti asmeniniais tikslais, pavyzdžiui, duomenų rinkimui, profiliavimui ar tiesioginei rinkodarai.

Kada OVH gali būti įpareigota naudotis prieigos prie kliento saugomų ir naudojamų duomenų teise paslaugų teikimo kontekste?

OVH gali naudotis prieigos prie duomenų teise tik šiais atvejais:

  • paslaugų teikimo sutarčių vykdymo tikslais, ypač jei siekiama patobulinti klientams teikiamas paslaugas, kai klientai kreipiasi į OVH pagalbos specialistus. Šiuo atveju, prieiga prie klientų duomenų kontroliuojama atsižvelgiant į specialius įgaliojimus ir taikomas kontrolės bei saugumo priemones;
  • vykdant teisinius įsipareigojimus, jei gaunamas atitinkamas prašymas iš teismo ir (ar) valdžios įstaigų. Šie prašymai yra griežtai apibrėžtos formos.

Prieiga pagalbos teikimo kontekste:
Klientui kreipiantis į OVH pagalbos specialistus, priklausomai nuo užklausos pobūdžio, prieiga gali būti suteikta prie dviejų kategorijų duomenų. Viena vertus, siekiant profesionaliai atsakyti į kliento užklausą, pagalbos specialistai turi susipažinti su duomenimis, kliento pateiktais OVH paskyros kūrimo metu (vardas, pavardė, telefono numeris, el. pašto adresas ir t.t.).
Kita vertus, ir tik gavus aiškią kliento užklausą, atsižvelgiant į paslaugos techninius apribojimus, pagalbos specialistams gali būti suteikta prieiga prie duomenų, kliento talpinamų OVH paslaugose, siekiant identifikuoti kliento patiriamos problemos priežastį ir ją išspręsti.

Prieiga prašymo iš teismo ir (ar) valdžios įstaigos gavimo kontekste:
Siekdama vykdyti veiklą laikantis galiojančių teisės aktų, OVH įsipareigoja atsakyti į teismo ir (ar) valdžios įstaigų prašymus. Prieigos užklausoms taikomi griežti teisės reikalavimai, todėl OVH gali autorizuoti prieigą tik įsitikinus gautos užklausos galiojimu bei pagrįstumu. Be to, jei to nedraudžia užklausa ar įstatymas, OVH įsipareigoja įspėti klientą apie gautą užklausą per kuo trumpesnį laikotarpį. Iš trečiųjų valstybių gautos užklausos nagrinėjamos su sąlyga, jei jos paremtos tarptautiniu susitarimu, tokiu kaip susitarimas dėl teismų tarpusavio pagalbos, galiojančiu tarp prašančiosios trečiosios valstybės ir Europos Sąjungos ar valstybės narės.

Ar OVH klientų iš Europos Sąjungos valstybių duomenys perkeliami už Europos Sąjungos ribų?

Svarbu atskirti dvi situacijas. Tai visų pirma gali priklausyti nuo kliento pasirinkimo, atsižvelgiant į duomenų centrų, kuriuose bus saugomi kliento duomenys, lokaciją:

Jei klientas renkasi paslaugą, kuriai naudojamas vienas ar keli duomenų centrai Europos Sąjungoje:
Šiuo atveju, kliento duomenys niekuomet nebus perkelti:

  • už Europos Sąjungos valstybės narės ribų;
  • už valstybės, Europos Komisijos pripažintos kaip užtikrinančios pakankamą asmens duomenų apsaugos lygį kalbant apie asmens privatumo, laisvių ir pagrindinių teisių apsaugą, ribų. Šių valstybių sąrašas prieinamas Europos Komisijos interneto svetainėje.

Po Safe Harbor principų pripažinimo negaliojančiais, ir nors Europos Komisija mano, kad Amerikos organizacijos, kurios yra Privacy Shield nariai, užtikrina pakankamą apsaugos lygį, OVH niekuoment neperduoda klientų, kurių pasirinkta geografinė zona yra ES, duomenų į Jungtines Amerikos Valstijas.

Duomenys gali būti perduodami į valstybes, Europos Komisijos pripažintas kaip turinčias pakankamą apsaugos lygį, tik tais atvejais, jei būtina OVH pagalbos specialistų intervencija. Jei OVH duomenų centrai yra Europos Sąjungoje, pagalbą gali teikti OVH specialistai, esantys tiek Europos Sąjungoje, tiek Kanadoje, patikslinant, jog Kanada yra pripažinta Europos Komisijos kaip valstybė, užtikrinanti adekvatų asmens duomenų apsaugos lygį. OVH taip pat pasilieka teisę patikėti pagalbos teikimą, numatantį ir nuotolinės prieigos prie kliento saugomų duomenų suteikimą, OVH paslaugų teikimo kontekste, kitiems OVH grupės vienetams, esantiems kitose valstybėse, Europos Komisijos sprendimu užtikrinančiose pakankamą apsaugos lygį (išskyrus JAV).

OVH suteikiant būtinas duomenų perdavimo apsaugos garantijas, klientas gali laikytis savo teisinių įsipareigojimų. BDAR 45 straipsnyje, apibrėžiančiame perdavimo remiantis sprendimu dėl tinkamumo atvejus, iš tiesų numatyta, jog asmens duomenys gali būti perduodami trečiajai valstybei ar tarptautinei organizacijai, jei Europos Komisija priėmė sprendimą, jog trečioji valstybė, trečiosios valstybės teritorija ir (ar) apibrėžtas(-i) sektorius(-iai) ar tarptautinė organizacija užtikrina adekvatų apsaugos lygį. Tokiam perdavimui nebūtinas specialus leidimas.

Jei klientas renkasi paslaugą, kuriai naudojamas duomenų centras, esantis ne Europos Sąjungoje:
Šiuo atveju, akivaizdu, jog duomenys būtų tvarkomi ne Europos Sąjungoje. Duomenų centro(-ų) lokacija ar geografinė zona, naudojama paslaugos teikimui, nurodoma OVH interneto svetainėje. Jei prieinamos kelios lokacijos, klientas gali rinktis pageidaujamą lokaciją paslaugos užsakymo metu. OVH įsipareigoja be išankstinio kliento sutikimo nekeisti lokacijos ar geografinės zonos, kliento pasirinktos užsakymo metu, jei tai numatyta specialiosiose paslaugos sąlygose.

Jei įmonės pageidauja, kad asmens duomenys būtų tvarkomi naudojant duomenų centrus, esančius ne Europos Sąjungoje, bet valstybėje, neužtikrinančioje adekvataus asmens duomenų apsaugos lygio, OVH, gavusi atitinkamą prašymą, gali svarstyti galimybę suteikti atitinkamas garantijas, kaip numatyta BDAR 46 straipsnyje „Duomenų perdavimas taikant tinkamas apsaugos priemones“.

OVH kaip duomenų valdytojas

Thumbnail

OVH veikia kaip duomenų valdytojas, kai OVH nustato asmens duomenų tvarkymo tikslus bei priemones.

Tai tipinis atvejis, kai OVH renka duomenis sąskaitų išrašymo, mokėjimų administravimo, paslaugų kokybės ir našumo tobulinimo, komercinio valdymo ir kitais tikslais.

Šis atvejis neapima jūsų duomenų, kuriuos jūs saugote OVH paslaugose, tačiau gali apimti kai kuriuos duomenis, susijusius su jumis ar jūsų darbuotojais (pavyzdžiui, OVH kliento identifikaciniai ir kontaktiniai duomenys, jei kreipiatės į OVH techninę pagalbą). Todėl OVH siekia paaiškinti, kokios įgyvendintos priemonės užtikrins tokių asmens duomenų apsaugą.

  • Renkami tik naudingi duomenys: užsakymo metu jūs įvedate tik būtinus duomenis, reikalingus sąskaitų pateikimui, pagalbos suteikimui ar jūsų pačių duomenų saugojimo įsipareigojimų vykdymui.
  • Nenaudoti surinktų duomenų kitais tikslais nei tie, kuriais jie buvo renkami.
  • Saugoti asmens duomenis ribotą ir proporcingai teisingą terminą. Pavyzdžiui, duomenys (vardas, pavardė, pašto adresas, el. paštas ir t.t.), tvarkomi OVH ir kliento santykių valdymo tikslais, yra saugomi įmonėje visą sutarties galiojimo laikotarpį ir dar trisdešimt šešis (36) mėnesius po sutarties galiojimo pabaigos. Pasibaigus šiam terminui, duomenys ištrinami visose laikmenose ir saugyklose.
  • Neperduoti šių duomenų tretiesiems asmenis, išskyrus OVH subtiekėjus, kurie teikia paslaugas sutarčių vykdymo tikslais. Perduodant duomenis tarp OVH grupės įmonių, kai kurie duomenys gali būti perduodami už Europos Sąjungos ribų laikantis OVH grupės duomenų perdavimo taisyklių.
  • Įgyvendinti tinkamas technines ir organizacines priemones siekiant užtikrinti aukštą saugumo lygį.