Bezpečnost & complianceSecurity & compliance

Nextcloud a GDPR na mobilu: firemní data v souladu s předpisy Nextcloud and GDPR on mobile: keeping company data compliant

Firmy si Nextcloud často pořizují právě kvůli GDPR — chtějí mít osobní údaje zákazníků a zaměstnanců pod vlastní kontrolou, ne rozeseté po cizích cloudech. Na serveru to funguje. Slabé místo přichází ve chvíli, kdy tatáž data putují do mobilů zaměstnanců. Právě tam se compliance nejčastěji tiše rozpadá. Companies often adopt Nextcloud precisely because of GDPR — they want customer and employee personal data under their own control, not scattered across third-party clouds. On the server, this works. The weak spot appears the moment that same data travels to employees' phones. That's where compliance most often quietly falls apart.

Tento článek je obecný přehled, ne právní poradenství. Pro konkrétní posouzení souladu se obraťte na svého pověřence pro ochranu osobních údajů. This article is a general overview, not legal advice. For a specific compliance assessment, consult your data protection officer.

Kdo je správce a proč na tom u self-hostingu záležíWho is the controller, and why self-hosting matters

GDPR rozlišuje správce (rozhoduje o tom, proč a jak se osobní údaje zpracovávají) a zpracovatele (zpracovává je jménem správce). U veřejného cloudu jako Microsoft 365 nebo Google Workspace je poskytovatel zpracovatelem — a vy musíte řešit zpracovatelské smlouvy, mezinárodní přenosy dat a důvěru v to, kde a jak provider vaše data drží. GDPR distinguishes the controller (who decides why and how personal data is processed) from the processor (who processes it on the controller's behalf). With a public cloud like Microsoft 365 or Google Workspace, the provider is the processor — and you have to deal with data processing agreements, international data transfers, and trusting where and how the provider holds your data.

U self-hosted Nextcloudu je to jednodušší: data leží na vašem serveru, jste správcem a nikdo mezi vámi a daty nestojí. Tuhle výhodu ale ztratíte, pokud ji na mobilu prolomíte — třeba klientem, který data odesílá na cizí analytické servery nebo je ukládá nešifrovaně. With self-hosted Nextcloud it's simpler: the data lives on your server, you are the controller, and no one sits between you and the data. But you lose that advantage if you break it on mobile — for example with a client that sends data to third-party analytics servers or stores it unencrypted.

Kde firemní data na mobilu unikajíWhere company data leaks on mobile

Mobil je z pohledu GDPR nejrizikovější koncový bod. Typická místa, kde se soulad ztrácí: From a GDPR standpoint, mobile is the riskiest endpoint. The typical places where compliance is lost:

Co musí mobilní klient splňovatWhat a mobile client must provide

Aby self-hosted výhoda vydržela až do kapsy zaměstnance, měl by mobilní klient nabídnout: For the self-hosting advantage to survive all the way into the employee's pocket, the mobile client should offer:

€20 mil.
nebo 4 % ročního celosvětového obratu — horní hranice pokuty za závažné porušení GDPR. Mobilní koncový bod je přesně to místo, kde se riziko podceňuje. or 4% of annual worldwide turnover — the upper limit of a fine for a serious GDPR breach. The mobile endpoint is exactly where the risk is underestimated.
Zdroj: Nařízení (EU) 2016/679 (GDPR), čl. 83 odst. 5. Source: Regulation (EU) 2016/679 (GDPR), Article 83(5).

Datová rezidence: kde data fyzicky ležíData residency: where the data physically sits

Velká výhoda self-hostingu je, že přesně víte, kde vaše data jsou — na serveru, který vlastníte nebo spravujete, ideálně v EU. Žádné přenosy do třetích zemí, žádné nejasnosti kolem toho, který datacentrum poskytovatele je zrovna aktivní. Mobilní klient by měl tuhle jistotu respektovat: komunikovat výhradně s vaším serverem přes zabezpečené spojení (TLS s ověřením certifikátu) a nikam jinam data neposílat. A major advantage of self-hosting is that you know exactly where your data is — on a server you own or manage, ideally in the EU. No transfers to third countries, no ambiguity about which of the provider's data centers is active right now. The mobile client should respect that certainty: communicate solely with your server over a secure connection (TLS with certificate verification) and send data nowhere else.

ZávěrThe takeaway

Self-hosted Nextcloud vám dává silnou GDPR pozici — jste správce a data máte u sebe. Tuhle pozici ale drží jen tak dobře, jak dobrý je nejslabší článek, a tím je téměř vždy mobil. Klient, který šifruje lokální data, neposílá nic ven a umí vzdálené odebrání přístupu, je rozdíl mezi souladem na papíře a souladem v praxi. Self-hosted Nextcloud gives you a strong GDPR position — you're the controller and the data is yours. But that position only holds as well as its weakest link, and that link is almost always mobile. A client that encrypts local data, sends nothing outward, and supports remote access revocation is the difference between compliance on paper and compliance in practice.

NextHub drží data na vašem serveruNextHub keeps data on your server

Šifrovaná offline cache, žádná telemetrie, Face ID zámek, podpora MDM. Vaše firemní data nikdy neopustí váš Nextcloud server. Encrypted offline cache, zero telemetry, Face ID lock, MDM support. Your company data never leaves your Nextcloud server.

Jak NextHub chrání data → How NextHub protects data →