Tento obsah je určen jen pro předplatitele časopisu. Pokud už předplatitelem jste, prosíme, přihlaste se.
Řeším specifický případ vazby správce–zpracovatel. Nemocnice, jakožto správce, využívá při léčbě zdravotní přístroj, který monitoruje pacienta a generuje osobní údaje. Ty jsou pak zasílány zpracovateli k analýze, který je poté vrací nemocnici ve formě informace o úspěšnosti léčby. Nejedná o poskytovanou část léčby na základě zákona, ale na základě souhlasu pacienta s touto léčbou a s předáváním osobních údajů z monitoringu zpracovateli ke zpracování. Zpracovatel těchto údajů sídlí v EU a využívá pro uložení dat cloud Amazon, jenž je fyzicky umístěný v EU. Ovšem pokud se při zpracování dat objeví technický problém s daty, což je opakující se proces, vstupuje do jeho řešení další zpracovatel (subzpracovatel) pocházející ze třetí země z oblasti mimo EU (nejspíše z USA) a ten pro svůj servis má/musí mít plný přístup k osobním údajům. Otázkou je, jak nastavit smluvní vztah. Musí, respektive má nemocnice (správce) právo znát znění smlouvy mezi zpracovatelem a cloudem Amazon a mezi cloudem Amazon a subzpracovatelem ze třetí země? Stačí, aby měla nemocnice ve smlouvě se zpracovatelem uvedeno stručné tvrzení, že zpracovatel má s cloudem vše řádně zabezpečeno a cloud má vše řádně zabezpečeno se subzpracovatelem ze třetí země? Nebo musí mít nemocnice ve smlouvě se zpracovatelem uvedeno přesné znění garancí, které zpracovatel uzavřel s cloudem Amazon a cloud Amazon se subzpracovatelem ze třetí země? Ke které smlouvě by mělo být přiřazeno znění standardních smluvních doložek zajišťujících přístup třetí země k osobním údajům ve formě zmíněného servisu? Toto je situace, která se dříve nebo později bude v nemocnicích vyskytovat ve velkém počtu, protože růst zpracování osobních údajů z přístrojů, respektive z testů, výzkumů a podobně bude trvalý a s popularitou cloudů se stane tento model standardním.