DOKUMENT: Stanovisko CCBE k důvěryhodnému evropskému cloudu
16.12.2014, ceska-justice.cz, Robert Malecký
Rada evropských advokátních komor (dále jen „CCBE“) se vyjádřila k problematice cloud computingu, resp. ke zprávě Evropské komise s názvem „Establishing a Trusted Cloud Europe“ (dále jen „Zpráva EK“). Zpráva EK byla zpracována pro evropské veřejné i soukromé organizace jako doporučení, jak kupovat a prodávat cloudové služby v bezpečném a důvěryhodném prostředí.
V užívání cloudových služeb vidí advokáti mnoho výhod, nicméně prostředí, ve kterém advokáti pracují, jim určitým způsobem brání plně využít cloudu pro své profesní účely.
Prvním takovýmto důvodem jsou požadavky tzv. směrnice na ochranu osobních údajů, zejména obtíže způsobené při předávání údajů mimo EHP se zřetelem na nižší standardy ochrany údajů, které se často v jurisdikcích mimo EHP uplatňují. Zvláštním problémem je postup, kdy si poskytovatelé cloudových služeb vyhrazují právo ukládat data klientů kdekoliv na světě společně s hlavními poskytovateli cloudu, na něž dopadají právní řády USA či jiných jurisdikcí (tj. mimo EHP). Druhý důvod bránící plně využívat cloudových služeb spočívá v profesních a etických pravidlech advokátů, které kladou přísné povinnosti v zachovávání služebního tajemství a/nebo důvěry ve vztahu advokáta a klienta.
Advokáti nejsou výjimkou mezi uživateli cloudu v tom smyslu, že i oni by chtěli mít přístup k nákladově efektivním, důvěryhodným a spolehlivým službám, které jim umožní držet krok s nejnovějšími technologickými trendy v IT průmyslu. Není to pouze otázka nákladů a zlepšení podnikání, ale je to především otázka lepšího poskytování služeb klientům. Klienti stále více spoléhají na využívání cloudových služeb a na nejnovější technické aplikace podporované těmito službami. Z tohoto důvodu advokáti nemohou tento trend ignorovat. Pokud si klient má vybrat mezi nejlépe zabezpečenou komunikací mezi sebou a advokátem či nepřetržitým přístupem k témuž, ve většině případů si zvolí bezpečnost. V každém případě toto není problematika, která se řídí zcela preferencemi klienta, protože samotní advokáti a příslušné profesní organizace mají sami zákonné a profesní povinnosti zajistit nejvyšší úroveň ochrany klientských dat a důvěrných informací o klientech.
Konkrétní připomínky CCBE ke zprávě EK
Problematika cloud computingu má v právním sektoru velký dopad. Advokáti nebo jejich profesní organizace jsou relativně bezmocní v síle vlivu na trend cloudových služeb. Advokáti nemají příliš mnoho vyjednávacího prostoru pro změnu jakýchkoliv standardních podmínek nabízených většinou poskytovatelů cloudových služeb a tam, kde podmínky zahrnují právo ukládat data mimo EHP, může tato skutečnost účinně zabránit v používání cloudu. Pouze největší advokátní kanceláře si mohou dovolit vlastnit své cloudy, na rozdíl od samostatných advokátů či menších advokátních kanceláří, kteří velmi pravděpodobně nemají dostatečnou kupní sílu k tomu, aby si udrželi speciální statut „advokátní cloudové služby“ (lawyer compliant cloud service).
Navíc, vzhledem k tomu, že advokáti jsou vázáni přísnými povinnostmi týkajícími se zachování povinnosti mlčenlivosti, resp. důvěrnosti ve vztahu advokát – klient, a to i v případě, že poskytovatelé cloudových služeb omezí svoji odpovědnost např. za porušení povinnosti mlčenlivosti, většina advokátů není schopna udělat to samé vůči svým klientům.
Jak vyplynulo ze studie CCBE s názvem „CCBE´s study on Governmental Surveillance of Lawyers´ Data in the Cloud“, ochrana komunikace mezi klientem a advokátem proti přístupu vlády k těmto informacím není tak silná v prostředí cloudu, jako přímo v prostorách kanceláře advokáta. Pokud tedy advokát chce využívat cloudové služby, měl by k tomu předem získat výslovný souhlas klienta (pokud je klient v takové pozici, aby mohl takové schválení vůbec poskytnout).
Profesní organizace nejsou v pozici, aby udělili výjimku pro advokáty (za předpokladu, že by to bylo možné), protože problematika výběru poskytovatele cloudu není pouze technickou otázkou, ale také právní otázkou jurisdikce. Jak již bylo uvedeno výše, pokud bude poskytovatel cloudových služeb spadat pod jurisdikci, ve které je povinen umožnit přístup k datům nebo k důvěrným informacím, advokáti se mohou ocitnout v pozici, kdy nebudou chráněni žádným smluvním ujednáním s poskytovatelem cloudu, a to i přesto, že by umožnění takového přístupu k datům bylo v rozporu s povinnostmi advokáta k jeho klientovi.
Je zřejmé, že regulační orgány nebudou schopny harmonizovat roztříštěnost vnitrostátní právní úpravy a postupů (zejména ve státech mimo EHP), které vytváří takovéto anomálie.
Stručně řečeno, není reálné očekávat, že profesní orgány, kterým je i CCBE, by mohly být schopny zajistit, aby jejich instrukce, pokyny či pravidla byly alespoň k problematice cloudu neutrální (tj. umožnit cloudové služby). Samotní advokáti podléhají právním úpravám jednotlivých členských států a povinnostem příslušných profesních organizací (které podléhají vnitrostátnímu právu) a dokud není vnitrostátní právo neutrální k problematice cloudových služeb, neexistuje téměř nic, co by mohly v této záležitosti profesní organizace učinit.
Doporučené kroky k podpoře vývoje a přijetí cloudových služeb v Evropě jsou dle názoru CCBE příliš vágní na to, aby byly v praxi efektivní. Překážky, které brání k používání cloudových služeb, vyplývají z evropského práva a z právní úpravy jednotlivých členských států. CCBE se domnívá, že není přínosné „sbírat zkušenosti“ a navrhovat „flexibilní společné rámce“ a snažit se o „systematický konsensus“ v oblastech, kde jsou cloudové služby znemožněny právem/zákony.
CCBE doporučuje, aby budování konsensu, který se zaměřuje na členské státy, profesní organizace a uživatele cloudu, začal ihned, neboť je nutné zajistit např. bezpečné a spravedlivé smluvní podmínky. Je nutné zajistit ochranu, resp. důvěrnost komunikace mezi advokátem a klientem i v cloudovém prostředí, přísnými podmínkami tak, jak je tento vztah chráněn v „reálném“ světě nezávisle na členském státě, v němž advokát působí.