1

5ο Διεθνές Συνέδριο eLife Congress 2016

Νεφοϋπολογιστική (cloud computing)

και προστασία προσωπικών δεδομένων

Cloud Computing and protection of Personal Data

Δρ. Μαρίνος Παπαδόπουλος

Δικηγόρος

&

Παντελής Ευγενίδης

Principal Software Developer

Oracle Corp., UK

| Έργο διατιθέμενο με άδεια ανοικτού περιεχομένου Creative Commons Attribution—Non-Commercial—Share-Alike 4.0 International | Βλ. όρους αδείας σε http://creativecommons.org/licenses/by-nc-sa/4.0/

2

Key-words: Cloud computing, Personal Data protection, Infrastructure-as-a-Service, IaaS,

Platform-as-a-Service, PaaS, Software-as-a-Service, SaaS, Data-as-a-Service, DaaS, Private

Cloud, Community Cloud, Public Cloud, Hubrid Cloud, location of data, Directive 95/46/EC,

Regulation 2016/679/EU, Data Protection Working Party of Article 29, OECD Guidelines on

the protection of privacy and transborder flows of personal data, Greek legal framework for

personal data protection, data protection risks in cloud computing, contractual clauses for the

provision of cloud computing services, clauses of cloud computing code of conduct for cloud

service providers, νεφοϋπολογιστική, προστασία δεδομένων προσωπικού χαρακτήρα, Υποδομή-

ως-Υπηρεσία, Πλατφόρμα-ως-Υπηρεσία, Λογισμικό-ως-Υπηρεσία, Δεδομένα-ως-Υπηρεσία,

χαρακτηριστικά υπολογιστικού νέφους, επιχειρηματικά μοντέλα νεφοϋπολογιστικής, Ιδιωτικό

Νέφος, Κοινοτικό Νέφος, Δημόσιο Νέφος, Υβριδικό Νέφος, φυσική τοποθεσία αποθήκευσης

δεδομένων, Οδηγία 95/46/ΕΚ, Κανονισμός 2016/679/ΕΕ, Ομάδα Εργασίας του Άρθρου 29,

Οδηγίες ΟΟΣΑ για την προστασία της Ιδιωτικότητας και τη διασυνοριακή ροή προσωπικών

δεδομένων, Ελληνικό νομικό πλαίσιο για την προστασία δεδομένων προσωπικού χαρακτήρα,

κίνδυνοι για προστασία προσωπικών δεδομένων σε υπολογιστικό νέφος, συμβατικοί όροι παροχής

υπηρεσιών νεφοϋπολογιστικής, όροι από κώδικα δεοντολογίας για παρόχους υπηρεσιών

νεφοϋπολογιστικής.

-------------------------------------------------------

Περίληψη: Το επιστημονικό άρθρο αναφέρεται στη νεφοϋπολογιστική ή υπολογιστικό νέφος

(cloud computing), τα χαρακτηριστικά του, τις τρεις κύριες τεχνικές εκδοχές του (IaaS, PaaS,

SaaS) με αναφορά και σ’ αυτή την DaaS, τα τέσσερα επιχειρηματικά μοντέλα νεφοϋπολογιστικής,

τις οικονομικές μελέτες για την ανάπτυξη της αγοράς υπολογιστικών νεφών σε ΗΠΑ και ΕΕ. Γίνεται

αναφορά στις κατευθυντήριες Αρχές του ΟΟΣΑ για την προστασία της ιδιωτικότητας και της

διασυνοριακής ροής των δεδομένων προσωπικού χαρακτήρα. Επίσης, αναφέρεται στη νομική

σημασία της φυσικής τοποθεσίας του συστήματος αποθήκευσης των δεδομένων, της διάκρισης

μεταξύ υπεύθυνου επεξεργασίας και εκτελούντα την επεξεργασία υπόψη του υφιστάμενου νέου

νομικού πλαισίου της ΕΕ αλλά και του ισχύοντος προ αυτού τόσο σε ΕΕ όσο και στην Ελλάδα για

την προστασία των δεδομένων προσωπικού χαρακτήρα. Περιλαμβάνεται ανάλυση περί των κατ’

ελάχιστο αναγκαίων όρων σύμβασης για παροχή υπηρεσιών νεφοϋπολογιστικής με γνώμονα την

προστασία δεδομένων προσωπικού χαρακτήρα, καθώς και αναφορά σε όρους κώδικα δεοντολογίας

παρόχων υπηρεσιών νεφοϋπολογιστικής που τελεί ήδη υπό επεξεργασία για ισχύ του

πανευρωπαϊκά.

-------------------------------------------------------

3

Το υπολογιστικό νέφος

Το υπολογιστικό νέφος—το cloud computing—είναι το περιβάλλον

λειτουργίας της πληροφορικής του μέλλοντος μας που ήδη έχει κάνει την

παρουσία του αισθητή. Οι περισσότεροι από εμάς το χρησιμοποιούμε ήδη, λίγοι,

όμως, το συνειδητοποιούν. Υπηρεσίες όπως το διαδικτυακό ηλεκτρονικό

ταχυδρομείο ή τα κοινωνικά δίκτυα βασίζονται πλέον στην τεχνολογία του

υπολογιστικού νέφους. Το υπολογιστικό νέφος περιλαμβάνει τεχνολογικές

εφαρμογές σε όλη τη γκάμα των Τεχνολογιών Πληροφορικής και Επικοινωνιών

και με τη χρήση του αναδιαμορφώνεται όχι μόνο η αγορά του hardware, software

και δικτύων ΤΠΕ, αλλά και τα επιχειρηματικά μοντέλα που αναπτύχθηκαν

αξιοποιώντας τις ΤΠΕ πριν την εισαγωγή του υπολογιστικού νέφους στη ζωή μας.

Υπολογιστικό νέφος είναι ένα μοντέλο το οποίο παρέχει τη δυνατότητα

ευχερούς βασισμένης στη ζήτηση διαδικτυακής πρόσβασης σε ένα διαμοιραζόμενο

χώρο—που μπορεί να περιλαμβάνει δίκτυα, εξυπηρετητές πρόσβασης,

υπολογιστικά συστήματα αποθήκευσης, συστήματα εφαρμογών και υπηρεσιών—

και το οποίο μπορεί να παρασχεθεί προς χρήση ή/και να πάψει η χρήση του

γρήγορα και χωρίς ιδιαίτερη διαχειριστική προσπάθεια και σύμφωνα με ορισμένη

διαδικασία που προβλέπει ο πάροχος της υπηρεσίας υπολογιστικού νέφους.1

Είναι, δηλαδή, ένα σύνολο τεχνολογιών πληροφορικής και επικοινωνιών περί το

διαδίκτυο και διαδικτυακά προσφερόμενων υπηρεσιών περί τις τεχνολογικές

εφαρμογές του διαδικτύου στο οποίο συμπεριλαμβάνεται η δυνατότητα

επεξεργασίας δεδομένων, η παροχή χώρου αποθήκευσης δεδομένων κι

εφαρμογών, η παροχή υπολογιστικής μνήμης και ισχύος κλπ.2 Στο υπολογιστικό

νέφος γίνεται εκτεταμένη χρήση εικονικού υλικού (virtual hardware), όπου ένας

φυσικός εξυπηρετητής μπορεί να διαθέτει περισσότερους του ενός εικονικούς

εξυπηρετητές (virtual servers) οι οποίοι διαμοιράζονται τους διαθέσιμους

φυσικούς πόρους. Με τον τρόπο αυτό επιτυγχάνεται εξορθολογισμένη χρήση των

φυσικών πόρων και επιτρέπεται η μεταφορά ενός εικονικού εξυπηρετητή σε άλλον

φυσικό εξυπηρετητή σε περίπτωση φυσικής βλάβης. Έτσι, λειτουργίες όπως η

δημιουργία αντιγράφων, η δημιουργία υποδομών μεγάλης διαθεσιμότητας (High

4

Availability infrastructure), η επεκτασιμότητα (scalability) καθώς και άλλες

περίπλοκες τοπολογίες, υλοποιούνται με μεγάλη ευκολία.

Ο χρήστης συνδέει τον υπολογιστή του στην πλατφόρμα του υπολογιστικού

νέφους είτε μέσω ενός προγράμματος περιήγησης (Internet Explorer, Firefox,

Chrome, Safari κλπ) είτε μέσω εξειδικευμένου λογισμικού και μπορεί δι’ αυτού ν’

απολαύσει ένα ευρύ φάσμα διαδικτυακά προσφερόμενων υπηρεσιών.3 Στο

υπολογιστικό νέφος, η επεξεργαστική ισχύς εξασφαλίζεται από μεγάλα κέντρα

δεδομένων με εκατοντάδες εξυπηρετητές και συστήματα αποθήκευσης δεδομένων

που στην πράξη είναι σε θέση να χειριστούν σχεδόν οποιοδήποτε λογισμικό

υπολογιστή (από την επεξεργασία δεδομένων μέχρι τα βιντεοπαιχνίδια που

ενδέχεται να χρειαστούν οι πελάτες). Ενίοτε οι αντίστοιχες υπηρεσίες

προσφέρονται δωρεάν (π.χ. διαδικτυακό ηλεκτρονικό ταχυδρομείο, επεξεργασία

κειμένου, ατζέντα, ημερολόγιο, σύστημα αρχειοθέτησης, επιγραμμική υπηρεσία

εγγράφων, κλπ), αλλά οι περισσότεροι πελάτες έχουν τη δυνατότητα να

χρησιμοποιήσουν ένα ευέλικτο σύστημα για πληρωμές ανάλογα με τις

χρησιμοποιούμενες υπηρεσίες ή με την καταβολή μηνιαίου παγίου.

Χαρακτηριστικά του υπολογιστικού νέφους

Το υπολογιστικό νέφος χαρακτηρίζεται από:

1. Ευρυζωνική διαδικτυακή πρόσβαση (broadband network access).

2. Παρεχόμενη υπηρεσία on demand χωρίς να χρειάζεται ανθρώπινη παρέμβαση για

την παροχή της υπηρεσίας (on-demand self-service).

3. Συγκέντρωση και διαθεσιμότητα υπολογιστικών πόρων κάθε επιπέδου ανεξάρτητα

από εντοπιότητα χρήστη (location independence).

4. Χρήση υπολογιστικών πόρων ανεξάρτητα από εντοπιότητα αυτών.

5. Δυνατότητα κλωνοποίησης· σε περιπτώσεις που απαιτείται μεγαλύτερη ταχύτητα

πρόσβασης (live streaming, streamed video gaming κλπ) υπάρχει δυνατότητα οι

υπολογιστικοί πόροι να κλωνοποιούνται σε περιοχές κοντά στον τελικό χρήστη.

6. Δυνατότητα διάθεσης των υπολογιστικών πόρων σε πολλαπλούς πελάτες

ταυτόχρονα (resource pooling)

5

7. Δυναμική και άμεση διάθεση των υπολογιστικών πόρων ανάλογα με τις εκάστοτε

ανάγκες (rapid elasticity)

8. Διάθεση βελτιστοποιημένων αυτόματα υπολογιστικών πόρων ενόψει καταγραφής

της χρήσης τους (measured service)

Τεχνικές εκδοχές υπολογιστικού νέφους

Στο υπολογιστικό νέφος διακρίνονται κατά βάση τρεις βασικές τεχνικές

εκδοχές που με τη σειρά τους διαμορφώνουν αντίστοιχα επιχειρηματικά μοντέλα:

1. Η Υποδομή-ως-Υπηρεσία (Infrastructure-as-a-Service -- IaaS)

2. Η Πλατφόρμα-ως-Υπηρεσία (Platform-as-a-Service -- PaaS)

3. Το Λογισμικό-ως-Υπηρεσία (Software-as-a-Service -- SaaS)

Στην IaaS ο πάροχος εκμισθώνει στον πελάτη του μια υπολογιστική

υποδομή εικονικών εξυπηρετητών που μπορεί να περιλαμβάνει υπολογιστική

ισχύ, υπολογιστική αποθήκευση (hosting), χρήση εξυπηρετητή (server), χρήση

κέντρου δεδομένων (data center), υπολογιστικό δίκτυο (network) κλπ. που

απλοποιούν, καθιστούν αποτελεσματική και ευνοούν την υποκατάσταση των

εταιρικών συστημάτων τεχνολογιών της πληροφορίας στις εγκαταστάσεις της

επιχείρησης του πελάτη ή/και τη χρήση της μισθωμένης υποδομής παράλληλα

με τα εταιρικά του συστήματα. Σε αυτή την εκδοχή, ο παρέχων την υπηρεσία

εγγυάται συνήθως την συνεχή λειτουργία των συστημάτων, άλλες λειτουργίες

όμως, όπως για παράδειγμα, η εγκατάσταση και ρύθμιση του λογισμικού, η

συντήρηση και παρακολούθηση του και η δημιουργία αντιγράφων ασφαλείας

είναι καθαρά ευθύνη του πελάτη.

Στην PaaS ο πάροχος εκμισθώνει στον πελάτη του μια πλατφόρμα

υπολογιστικών εφαρμογών—του παρέχει τα εργαλεία—για την κατασκευή,

αποθήκευση και χρήση στο υπολογιστικό νέφος συγκεκριμένων διαδικτυακών

εφαρμογών που δημιουργεί ο πελάτης. Έτσι, ο πελάτης είναι υπεύθυνος

αποκλειστικά για το λογισμικό ενώ ο πάροχος φροντίζει για την 24ώρη

διαθεσιμότητα του υλικού, την σωστή του λειτουργία καθώς και την συντήρηση

της πλατφόρμας πάνω στην οποία εκτελείται το λογισμικό.

6

Στην SaaS ο πάροχος εκμισθώνει στον πελάτη του λογισμικό. Δηλαδή ο

χρήστης του λογισμικού, αντί να το αγοράζει και εγκαθιστά στο πληροφορικό του

σύστημα, το μισθώνει ως υπηρεσία από τον πάροχο του λογισμικού μέσω

συστήματος νεφοϋπολογιστικής.

Παράλληλα με τις ανωτέρω τρεις τεχνικές εκδοχές, αναπτύσσεται ραγδαία

και η εκδοχή Τα Δεδομένα-ως-Υπηρεσία (Data-as-a-Service -- DaaS). Η νέα αυτή

υπηρεσία είναι αρκετά όμοια με την SaaS υπηρεσία και αποσκοπεί στη

διασύνδεση δεδομένων καταναλωτών που βρίσκονται διάσπαρτα στο διαδίκτυο. Με

τη διασύνδεση δεδομένων καταναλωτών μπορεί τεχνολογικά να επιτευχθεί δια της

μίσθωσης των διασυνδεδεμένων δεδομένων η παροχή οικονομικά αποδοτικής και

ευέλικτης υπηρεσίας επικεντρωμένης στην πώληση προϊόντων ή υπηρεσιών μέσω

διαδικτύου. Δηλαδή, ο χρήστης της υπηρεσίας DaaS δεν χρειάζεται να αγοράσει

βάσεις δεδομένων καταναλωτών και να υποβληθεί το κόστος και στις εργασίες

διαχείρισής τους, αλλά μπορεί με την υπηρεσία DaaS να μισθώσει

διασυνδεδεμένα δεδομένα καταναλωτών με αγοραστικό ενδιαφέρον για προϊόντα ή

υπηρεσίες ίδια ή παρόμοια μ’ αυτά του χρήστη.

Μοντέλα υπολογιστικού νέφους

Το υπολογιστικό νέφος μπορεί να αναπτυχθεί στα εξής μοντέλα:

1. Ιδιωτικό νέφος (Private Cloud): αυτό χρησιμοποιείται αποκλειστικά από

συγκεκριμένο οργανισμό (εταιρία, μη κερδοσκοπικός φορέας, νομικό πρόσωπο

ιδιωτικού ή δημοσίου δικαίου κλπ). Μπορεί να είναι ιδιόκτητο υπολογιστικό νέφος

ή να ανήκει σε τρίτον. Μπορεί να χρησιμοποιεί υπολογιστικούς πόρους εντός ή

εκτός του οργανισμού που το χρησιμοποιεί.

2. Κοινοτικό Νέφος (Community Cloud): αυτό χρησιμοποιείται αποκλειστικά από

χρήστες που έχουν κοινά συμφέροντα ή ενδιαφέροντα σε επίπεδο οργανισμού

(όμιλος εταιριών, κοινότητα χρηστών, περισσότερα νομικά πρόσωπα δημοσίου ή

ιδιωτικού δικαίου κλπ) Μπορεί να είναι ιδιόκτητο υπολογιστικό νέφος ενός ή

περισσότερων αυτόνομων μονάδων που ανήκουν στον ίδιο οργανισμό ή να ανήκει

σε τρίτον. Μπορεί να χρησιμοποιεί υπολογιστικούς πόρους εντός ή εκτός των

αυτόνομων μονάδων του οργανισμού που το χρησιμοποιεί.

7

3. Δημόσιο Νέφος (Public Cloud): αυτό χρησιμοποιείται από οποιονδήποτε σε

δημόσιο ή ιδιωτικό χώρο. Μπορεί να ανήκει σε φορέα της ακαδημαϊκής

κοινότητα, σε οργανισμό τοπικής αυτοδιοίκησης, σε νομικό πρόσωπο δημοσίου ή

ιδιωτικού δικαίου. Χρησιμοποιεί υπολογιστικούς πόρους που υπάρχουν στον τόπο

εγκατάστασης του παρόχου.

4. Υβριδικό Νέφος (Hybrid Cloud): είναι σύνθεση δύο ή περισσότερων διαφορετικών

υπολογιστικών νεφών, δηλαδή ιδιωτικού, δημόσιου ή κοινοτικού που παρόλο ότι

δεν αλλοιώνουν τα χαρακτηριστικά τους ως τέτοια, εντούτοις συλλειτουργούν

συνδεόμενα μεταξύ τους επιτρέποντας τη μεταφορά δεδομένων και εφαρμογών

από το ένα νέφος στο άλλο.

Υπολογιστικό νέφος και φυσική τοποθεσία συστήματος για προσωπικά δεδομένα

Στο υπολογιστικό νέφος τα πληροφοριακά δεδομένα—στα οποία

περιλαμβάνονται και τα δεδομένα προσωπικού χαρακτήρα καθώς και τα

ευαίσθητα προσωπικά δεδομένα—αποθηκεύονται σε κάποιον εξυπηρετητή ή data

center. Η φυσική τοποθεσία του συστήματος αποθήκευσης των δεδομένων

προσωπικού χαρακτήρα ή ευαίσθητων προσωπικών δεδομένων είναι καθοριστική

για την δικαιοδοσία και εφαρμογή του νομικού πλαισίου προστασίας του

υποκειμένου αυτών των δεδομένων. Με βάση το νομικό καθεστώς της Οδηγίας

95/46/ΕΚ το εφαρμοστέο δίκαιο προσδιορίζεται υπόψη του άρ. 4 της Οδηγίας

αυτής, το οποίο αναφέρεται στη νομοθεσία που διέπει τους εγκατεστημένους σε

ένα ή περισσότερα σημεία εντός του ΕΟΧ υπεύθυνους της επεξεργασίας, καθώς

επίσης και στη νομοθεσία που διέπει τους εγκατεστημένους εκτός του ΕΟΧ

υπεύθυνους της επεξεργασίας οι οποίοι όμως χρησιμοποιούν για την επεξεργασία

των δεδομένων προσωπικού χαρακτήρα μέσα εγκατεστημένα εντός του ΕΟΧ. Η

Ομάδα Εργασίας του Άρθρου 29 έχει εξετάσει το ζήτημα αυτό στη Γνώμη 8/2010

που έχει εκδώσει για το εφαρμοστέο δίκαιο.4 Σύμφωνα με το άρ.3 του Κανονισμού

2016/679/ΕΕ που ψηφίστηκε την 27η Απριλίου 2016 και αφορά στον Γενικό

Κανονισμό Προστασίας Δεδομένων (εφεξής, ΓΚΠΔ) ο κανονισμός εφαρμόζεται στην

επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων

μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία

8

στην Ένωση, ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός

της Ένωσης. Επίσης, ο ΓΚΠΔ εφαρμόζεται στην επεξεργασία δεδομένων

προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση

από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην

Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με: α) την προσφορά

αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση,

ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή β) την

παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή

λαμβάνει χώρα εντός της Ένωσης. Και, επιπλέον, ο ΓΚΠΔ εφαρμόζεται για την

επεξεργασία δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας μη

εγκατεστημένο στην Ένωση, αλλά σε τόπο όπου εφαρμόζεται το δίκαιο κράτους

μέλους δυνάμει του δημόσιου διεθνούς δικαίου.

Γι’ αυτό και είναι σημαντικό σε κάθε περίπτωση χρήσης υπηρεσιών

υπολογιστικού νέφους οι χρήστες να γνωρίζουν από τον πάροχο αυτού που

βρίσκεται το υπολογιστικό σύστημα στο οποίο αποθηκεύονται τα δεδομένα τους. Η

γνώση αυτή θα πρέπει να προκύπτει σίγουρα από τις συμβάσεις παροχής

υπηρεσιών υπολογιστικού νέφους των χρηστών με τον πάροχο αυτού ή/και των

χρηστών που συμβάλλονται με εταιρίες παροχής υπηρεσιών υπολογιστικού

νέφους που—με τη σειρά τους—συμβάλλονται αυτές με τον πάροχο

νεφοϋπολογιστικής.

Εκτιμώμενα οικονομικά οφέλη υπολογιστικού νέφους

Τα εκτιμώμενα οικονομικά οφέλη από τη χρήση υπολογιστικού νέφους

είναι εντυπωσιακά και επαρκή για να πείσουν περί την αναγκαιότητά του. Οι

υπηρεσίες υπολογιστικού νέφους μπορούν να επιτύχουν σημαντικές οικονομίες

κλίμακας και κυρίως να ωφελήσουν τις μικρομεσαίες επιχειρήσεις αφού γι’ αυτές

το περιβάλλον της νεφοϋπολογιστικής μπορεί να εξασφαλίσει με μικρό κόστος

πρόσβαση σε διαμορφούμενους και επεκτάσιμους τεχνολογικούς πόρους στο

διαδίκτυο τελευταίας γενιάς που άλλως δεν θα είχαν πιθανόν τη δυνατότητα ν’

αποκτήσουν λόγω κόστους.5 Τα λειτουργικά κόστη των επιχειρήσεων, δημόσιων

και ιδιωτικών φορέων περί τη χρήση πληροφορικών συστημάτων και υποδομών

9

από τη χρήση του υπολογιστικού νέφους μειώνονται αφού στην ουσία το

υπολογιστικό νέφος παρέχει τη δυνατότητα διαμόρφωσης των πληροφορικών

πόρων βάσει των εκάστοτε αναγκών και την πληρωμή για τη χρήση τους βάσει της

κατανάλωσής τους.6 Στην ενιαία Ευρωπαϊκή αγορά η εκτιμήσεις είναι ότι το

οικονομικό όφελος που προκύπτει από την ευρεία χρήση νεφοϋπολιστικής

ανέρχεται σε 160 δισεκατομμύρια ευρώ ετησίως, ήτοι περίπου σε 300 ευρώ κατά

κεφαλή ετησίως σε περίπτωση ανάληψης πανευρωπαϊκής δράσης. Στις ΗΠΑ έχει

υπολογιστεί ότι η αγορά της νεφοϋπολογιστικής θα αναπτυχθεί από τα 111

δισεκατομμύρια δολάρια στα 244 δισεκατομμύρια δολάρια από το 2011 μέχρι το

2017.7 Οφέλη μπορούν να προκύψουν στις επιχειρήσεις από τη μείωση της

κατανάλωσης ενέργειας συνεπεία της χρήσης υπολογιστικού νέφους.8 Επίσης, από

την ευέλικτη ανακατανομή των πόρων ανθρώπινου δυναμικού συνεπεία της

χρήσης υπολογιστικού νέφους.9 Η υιοθέτηση του υπολογιστικού νέφους μπορεί να

έχει ως αποτέλεσμα μείωση του κόστους της τάξης 10-20% για το 80% των

επιχειρήσεων που το χρησιμοποιούν, και ταυτόχρονα αύξηση της τηλεργασίας

κατά 46%, της παραγωγικότητας κατά 41%, της τυποποίησης κατά 35%, της

δημιουργίας νεών επιχειρηματικών ευκαιριών κατά 33% και το άνοιγμα των

επιχειρήσεων σε νέες αγορές κατά 32%.10

Ενόψει αυτών των οικονομικών ωφελημάτων από τη χρήση του

υπολογιστικού νέφους, έχουν ήδη αναληφθεί πρωτοβουλίες σε κράτη-μέλη της ΕΕ

για την ανάπτυξή του όπως η πρωτοβουλία Andromède στη Γαλλία,11 το G-Cloud

στο Ηνωμένο Βασίλειο12 και το Trusted Cloud στη Γερμανία,13 οι οποίες, όμως,

δεν επαρκούν από μόνες τους για την επίτευξη του εκτιμώμενου οικονομικού

οφέλους πανευρωπαϊκά ούτε μπορούν να καταστούν—αν δεν αναληφθούν

αντίστοιχες πρωτοβουλίες σε όλες τις Ευρωπαϊκές χώρες κράτη-μέλη—ο

αποτελεσματικότερος τρόπος για να αυξηθεί το μέγεθος της αγοράς επωφελώς για

όλους.14

Κατευθυντήριες Αρχές ΟΟΣΑ για προστασία ιδιωτικότητας και προσωπικών δεδομένων

Από το 1973 μέχρι σήμερα η προστασία των δεδομένων προσωπικού

χαρακτήρα και της ιδιωτικότητας έχει αποτελέσει αντικείμενο νομοθετικού

10

ενδιαφέροντος σε περισσότερες από 100 εθνικές δικαιοδοσίες.15 Οι περισσότερες

από αυτές τις δικαιοδοσίες έχουν νομικό πλαίσιο που υιοθετεί τις κατευθυντήριες

αρχές του Οργανισμού Οικονομικής Συνεργασίας και Ανάπτυξης (ΟΟΣΑ) όπως

αυτές διατυπώθηκαν το 198016 και αναθεωρήθηκαν το 2013.17 Οι βασικές εννέα

αρχές του ΟΟΣΑ για την προστασία των δεδομένων προσωπικού χαρακτήρα που

έχουν σχέση με τη συλλογή και επεξεργασία αυτών στο περιβάλλον της

νεφοϋπολογιστικής είναι οι εξής:

1. Collection Limitation Principle—Η αρχή του σκοπού στη συλλογή των

προσωπικών δεδομένων η οποία πρέπει να είναι νόμιμη και κατάλληλη και τα

υποκείμενα των δεδομένων πρέπει να ενημερώνονται για το σκοπό της

συλλογής των δεδομένων τους και να παρέχουν τη συναίνεσή τους γι’ αυτό.

2. Purpose Specification Principle—Ο προσδιορισμός του σκοπού της συλλογής

των προσωπικών δεδομένων πρέπει να γίνεται σε χρόνο όχι μεταγενέστερο της

συλλογής αυτών.

3. Use Limitation Principle—Τα δεδομένα προσωπικού χαρακτήρα δεν πρέπει

να χρησιμοποιούνται για άλλο σκοπό εκτός από αυτόν που προσδιορίστηκε στο

υποκείμενο των δεδομένων κατά το χρόνο της συλλογής τους.

4. Data Quality Principle—Τα δεδομένα προσωπικού χαρακτήρα που

συλλέχθηκαν πρέπει να είναι κατάλληλα, αληθή, πλήρη και επικαιροποιημένα

για το σκοπό της συλλογής τους.

5. Security Safeguards Principle—Τα δεδομένα προσωπικού χαρακτήρα πρέπει

να προστατεύονται με κατάλληλα μέτρα ασφάλειας έναντι κινδύνων απώλειας,

μη εξουσιοδοτημένης πρόσβασης ή χρήσης, καταστροφής, τροποποίησης ή

γνωστοποίησης σε τρίτους.

6. Openness Principle—Πρέπει να υπάρχει πολιτική διαφάνειας σχετικά με τις

πρακτικές και πολιτικές διαχείρισης των δεδομένων προσωπικού χαρακτήρα.

7. Individual Participation Principle—Το υποκείμενο των προσωπικών δεδομένων

πρέπει να έχει πρόσβαση στα δεδομένα του και να μπορεί ν’ ασκεί τα

δικαιώματά του επ’ αυτών.

8. Accountability Principle—Οι υπεύθυνοι επεξεργασίας των δεδομένων

προσωπικού χαρακτήρα πρέπει να λογοδοτούν για τη συμμόρφωσή τους με τις

11

νομικές αρχές και τεχνικές προδιαγραφές για τη συλλογή και επεξεργασία των

προσωπικών δεδομένων.

9. Principle of Free Flow and Legitimate Restrictions—Μια δικαιοδοσία μπορεί

αν περιορίζει τη μεταφορά δεδομένων προσωπικού χαρακτήρα σε άλλη

δικαιοδοσία εφόσον η δεύτερη δεν υιοθετεί νομικό πλαίσιο εφάμιλλης

προστασίας αυτών.

Νομικό πλαίσιο στην ΕΕ και Ελλάδα για προστασία προσωπικών δεδομένων

Σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα στην

Ευρωπαϊκή Ένωση το νέο νομικό πλαίσιο που ψηφίστηκε την 27η Απριλίου 2016

προσδιορίζεται από τον Κανονισμό 2016/679/ΕΕ18 που καταργεί την Οδηγία

95/46/ΕΚ, την Οδηγία 2016/680/ΕΕ19 που δημιουργεί σε Αρχές των Κρατών-

Μελών που είναι αρμόδιες για πρόληψη, διερεύνηση, ανίχνευση ή δίωξη ποινικών

αδικημάτων ή εκτέλεση ποινικών κυρώσεων, την υποχρέωση προστασίας των

προσωπικών δεδομένων φυσικών προσώπων έναντι της επεξεργασίας των

προσωπικών τους δεδομένων· και την Οδηγία 2016/681/ΕΕ20 που ρυθμίζει τη

χρήση δεδομένων που περιέχονται σε καταστάσεις ονομάτων επιβατών (PNR)

αερομεταφορών, από αρμόδιες Αρχές των Κρατών Μελών, για σκοπούς πρόληψης,

ανίχνευσης, διερεύνησης και δίωξης τρομοκρατικών και σοβαρών εγκλημάτων.

Το μέχρι πρότινος ισχύον νομικό πλαίσιο στην Ευρωπαϊκή αγορά είχε

διαμορφωθεί υπόψη της Οδηγίας 95/46/ΕΚ21 όπως αυτή τροποποιήθηκε με τις

Οδηγίες 2002/58/ΕΚ,22 2006/24/ΕΚ23 και 2009/136/ΕΚ.24 Το ισχύον στη

χώρα μας νομικό πλαίσιο αναφέρεται στα προβλεπόμενα από την Οδηγία

95/46/ΕΚ όπως αυτή έχει τροποποιηθεί. Έτσι, υπό το ισχύον νομικό πλαίσιο

στην Ελληνική έννομη τάξη που κατέστησε τις εν λόγω Οδηγίες εσωτερικό δίκαιο

με τους Ν.2472/199725 όπως αυτός έχει τροποποιηθεί από τον Ν.4139/2013,26

Ν.4070/2012,27 Ν.3917/2011,28 Ν.3783/200929 και Ν.3471/200630 ενδιαφέρον

έχουν τα εξής ζητήματα:

Η διάκριση μεταξύ υπεύθυνου επεξεργασίας και εκτελούντος την

επεξεργασία δεδομένων προσωπικού χαρακτήρα σε περιβάλλον υπολογιστικού

νέφους είναι σημαντική για τον καταλογισμό υποχρεώσεων και ευθυνών κατά το

12

νόμο, αλλά και πολλές φορές προβληματική ως δυσδιάκριτη. Υπόψη των

διασαφήσεων που παρείχε η Ομάδα Εργασίας του Άρθρου 29 (Ο.Ε.Αρ.29) στη

Γνωμοδότηση 1/201031 σχετικά με τις έννοιες του υπεύθυνου επεξεργασίας και

του εκτελούντος την επεξεργασία, αλλά και υπόψη της Γνώμης 05/2012 της

Ο.Ε.Αρ.29 περί νεφοϋπολογιστικής32 στις περισσότερες των περιπτώσεων της

νεφοϋπολογιστικής και δη στην τεχνική εκδοχή IaaS ή σ’ αυτήν της PaaS ο

πάροχος υπηρεσιών υπολογιστικού νέφους δεν γνωρίζει τη λειτουργία των

προγραμμάτων και εφαρμογών που «τρέχουν» στο πλαίσιο της παρεχόμενης

υπηρεσίας ούτε βέβαια γνωρίζει το περιεχόμενο των δεδομένων των οποίων γίνεται

επεξεργασία στο πλαίσιο των προγραμμάτων και εφαρμογών.33 Συνεπώς, ακόμη κι

αν ο πάροχος υπολογιστικού νέφους γνωρίζει ποιος είναι υπεύθυνος επεξεργασίας

δεδομένων δεν καθορίζει αυτός τον υπεύθυνο επεξεργασίας που φέρει τη νομική

ευθύνη της υποχρέωσης για τη συμμόρφωση προς του κανόνες προστασίας των

δεδομένων.34 Ούτε βέβαια είναι ο πάροχος υπολογιστικού νέφους αυτός που

κατανέμει αρμοδιότητες για την επεξεργασία των δεδομένων εντός αυτού.35 Σ’

αυτές τις περιπτώσεις ο πάροχος υπηρεσιών υπολογιστικού νέφους δεν μπορεί να

είναι υπεύθυνος επεξεργασίας αφού δεν είναι αυτός που καθορίζει τους στόχους

και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.36 Θα

μπορούσε, όμως, ο πάροχος νεφοϋπολογιστικής να είναι σ’ αυτές τις περιπτώσεις

ο εκτελών την επεξεργασία εφόσον είναι χωριστή νομική οντότητα από τον

υπεύθυνο επεξεργασίας και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για

λογαριασμό του υπεύθυνου επεξεργασίας.37 Σε πολλές περιπτώσεις, όπως σ’ αυτήν

της τεχνικής εκδοχής SaaS, ο πελάτης του παρόχου νεφοϋπολογιστικής—που

είναι αυτός, δηλαδή ο πελάτης, υπεύθυνος επεξεργασίας δεδομένων—αναθέτει

στον πάροχο υπολογιστικού νέφους να επιλέγει αυτός—δηλαδή ο πάροχος—τις

μεθόδους και τα τεχνικά και οργανωτικά μέσα που θα χρησιμοποιήσει ο πελάτης

για να επιτύχει τους στόχους του υπεύθυνου επεξεργασίας δεδομένων. Όσο ο

πάροχος υπολογιστικού νέφους παρέχει τα μέσα και την πλατφόρμα στον πελάτη

για την υλοποίηση εξ ονόματος του πελάτη τεχνολογικών εφαρμογών σε

περιβάλλον νεφοϋπολογιστικής, τότε ο πάροχος είναι φορέας που εκτελεί

επεξεργασία, αλλά όχι υπεύθυνος επεξεργασίας.38 Αν, όμως, ο πάροχος

13

υπηρεσιών νεφοϋπολογιστικής είναι και υπεύθυνος επεξεργασίας—τέτοια είναι η

περίπτωση όπου ο πάροχος νεφοϋπολογιστικής προβαίνει σε επεξεργασία

δεδομένων για δικούς του σκοπούς ή η περίπτωση όπου ο πάροχος είναι από

κοινού υπεύθυνος επεξεργασίας μαζί με άλλους39—τότε βαρύνεται με πρόσθετες

υποχρεώσεις40 για τις οποίες ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων

στην Ευρώπη κάνει σαφή αναφορά.

Σύμφωνα με νέο ΓΚΠΔ41 εφαρμοστέο είναι το δίκαιο του κράτους-μέλους

της ΕΕ στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας (αρ.6 παρ.3) ή το δίκαιο

της Ένωσης. Τον υπεύθυνο επεξεργασία βαρύνει η υποχρέωση ν’ αποδείξει τη

συγκατάθεση του υποκειμένου για την επεξεργασία των δεδομένων προσωπικού

χαρακτήρα του (αρ.7 παρ.1). Τον υπεύθυνο επεξεργασίας βαρύνουν υποχρεώσεις

σε περίπτωση συγκατάθεσης γονέα ανηλίκου κάτω των 16 ετών (αρ.8 παρ.2). Ο

υπεύθυνος επεξεργασίας έχει υποχρέωση λήψης κατάλληλων μέτρων

πληροφόρησης του υποκειμένου των προσωπικών δεδομένων για τα δικαιώματά

του (άρ.12 παρ.1,2) όπως αυτά προβλέπονται στα άρ.15 έως 22 του ΓΚΠΔ42 καθώς

και ενημέρωσης του υποκειμένου των προσωπικών δεδομένων για τις πληροφορίες

που προβλέπονται στα άρ.1343 και 1444 του ΓΚΠΔ. Επιπλέον, τον υπεύθυνο

επεξεργασία βαρύνει η υποχρέωση εφαρμογής των κατάλληλων τεχνικών και

οργανωτικών μέτρων προκειμένου να διασφαλιστεί και να μπορεί ν’ αποδειχθεί ότι

η επεξεργασία προσωπικών δεδομένων είναι σύμφωνη με τον ΓΚΠΔ (άρ.24 παρ.1,

άρ.25). Στην περίπτωση περισσότερων υπεύθυνων επεξεργασίας οι υποχρεώσεις

του ΓΚΠΔ βαρύνουν αυτούς από κοινού (άρ.26). To τελικό σχέδιο του Νέου

Κανονισμού Προστασίας Δεδομένων ψηφίστηκε, όπως ελέχθη, ως Κανονισμός

2016/679/ΕΕ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας

των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των

δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός

για την Προστασία Δεδομένων). Ταυτόχρονα, το Ευρωπαϊκό Κοινοβούλιο και

Συμβούλιο της Ευρωπαϊκής Ένωσης εξέδωσε την Οδηγία 2016/680/ΕΕ της 27ης

Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας

δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της

πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της

14

εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων

αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του

Συμβουλίου. Αλλά και την Οδηγία 2016/681/ΕΕ της 27ης Απριλίου 2016

σχετικά με τη χρήση των δεδομένων που περιέχονται στις καταστάσεις ονομάτων

επιβατών (PNR) για την πρόληψη, ανίχνευση, διερεύνηση και δίωξη

τρομοκρατικών και σοβαρών εγκλημάτων.

Στην περίπτωση, λοιπόν, που ο πάροχος υπηρεσιών υπολογιστικού νέφους

ενεργεί ως εκτελών την επεξεργασία, τότε αυτός υποχρεούται να παρέχει στον

υπεύθυνο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα επαρκείς

διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων,

κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του ΓΚΠΔ και να

διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων

(άρ.28 παρ.1). Επίσης, του απαγορεύεται να προσλάβει άλλον εκτελούντα την

επεξεργασία χωρίς την προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου

επεξεργασίας που να πληροί τις προϋποθέσεις του άρ.28 παρ.1 (άρ.28 παρ.2). Η

επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη

νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους όπου

εδρεύει ο υπεύθυνος επεξεργασίας. Η εν λόγω σύμβαση δεσμεύει τον εκτελούντα

την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το

αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της

επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες

των υποκειμένων των δεδομένων καθώς και τις υποχρεώσεις και τα δικαιώματα

του υπευθύνου επεξεργασίας (άρ.28 παρ.3). Επιπλέον, προβλέπει η σύμβαση

αυτή όλα όσα περιγράφονται στην παρ.3 του άρ.28 του ΓΚΠΔ.

Ο εκτελών την επεξεργασία ενεργεί υπό την εποπτεία του υπεύθυνου

επεξεργασίας και μόνον κατ’ εντολή αυτού εκτός εάν υποχρεούται από το νόμο να

ενεργήσει και χωρίς αυτήν (άρ.29). Γι’ αυτό και στην περίπτωση που ο πάροχος

υπηρεσιών υπολογιστικού νέφους προσλαμβάνει πρόσθετους υπό-εκτελούντες

επεξεργασία δεδομένων, δηλαδή αναθέτει σε τρίτους με υπεργολαβία εργασίες

περί την επεξεργασία δεδομένων, τότε υποχρεούται να κοινοποιεί τις συναφείς

πληροφορίες στον πελάτη, αναφέροντας αναλυτικά το είδος των υπηρεσιών που

15

έχουν ανατεθεί με υπεργολαβία, τα χαρακτηριστικά των τρεχόντων ή δυνητικών

υπεργολάβων και τις εγγυήσεις συμμόρφωσης προς την Οδηγία 95/46/ΕΚ—

μέχρις ότου αυτή τροποποιηθεί από τον νέο ΓΚΠΔ—που παρέχουν οι τελευταίοι

στον πάροχο υπηρεσιών νεφοϋπολογιστικής.45 Σ’ αυτές τις περιπτώσεις

περισσότερων που ενεργούν ως εκτελούντες την επεξεργασία, ο συμβατικός

καθορισμός με σαφήνεια των υποχρεώσεων και αρμοδιοτήτων τους είναι

σημαντικός για την ευχερή εφαρμογή του νόμου.46 Σ’ αυτόν τον συμβατικό

καθορισμό των υποχρεώσεων των εκτελούντων την επεξεργασία θα πρέπει να

προβλέπεται ότι η εκτέλεση ή η υπό-εκτέλεση της επεξεργασίας επιτρέπεται μόνο

με την προηγούμενη γραπτή συγκατάθεση του υπευθύνου της επεξεργασίας και

δυνάμει γραπτής συμφωνίας η οποία επιβάλλει στον εκτελούντα ή υπό-εκτελούντα

την επεξεργασία τις ίδιες ακριβώς υποχρεώσεις που βαρύνουν τον αρχικώς

εκτελούντα την επεξεργασία. Σε περίπτωση που δευτερογενώς εκτελών επεξεργασία

ή ο υπό-εκτελών την επεξεργασία αδυνατεί να ανταποκριθεί στις συναφείς με την

προστασία των δεδομένων υποχρεώσεις του που απορρέουν από τη γραπτή

συμφωνία, ο αρχικώς εκτελών την επεξεργασία διατηρεί την πλήρη και

απεριόριστη ευθύνη έναντι του υπευθύνου της επεξεργασίας για την εκπλήρωση

των υποχρεώσεων του δευτερογενώς εκτελούντος ή υπό-εκτελούντος την

επεξεργασία που απορρέουν από τη συμφωνία. Μια τέτοια διάταξη θα μπορούσε

να χρησιμοποιείται σε όλες τις συμβατικές ρήτρες μεταξύ του υπεύθυνου της

επεξεργασίας και του παρόχου υπηρεσιών νεφοϋπολογιστικής, όταν ο τελευταίος

σκοπεύει να παρέχει υπηρεσίες μέσω συμβάσεων υπεργολαβίας, έτσι ώστε να

διασφαλίζονται οι απαιτούμενες εγγυήσεις για την υπό-εκτέλεση της

επεξεργασίας.47 Σε όλες τις περιπτώσεις περισσότερων υπεύθυνων επεξεργασίας ο

νέος ΓΚΠΔ προβλέπει ότι οι περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν

από κοινού τους σκοπούς και τα μέσα της επεξεργασίας και αποτελούν από

κοινού υπευθύνους επεξεργασίας (άρ.26 παρ.1). Επιπλέον, προβλέπεται η

διαφάνεια και ο έγγραφος τύπος των συμφωνιών περί την εργολαβία του/των

υπεύθυνου/-ων επεξεργασίας (άρ.26 παρ.1, 2).48

Με τον νέο ΓΚΠΔ στην Ευρωπαϊκή Ένωση αποσκοπείται η ενίσχυση της

διαφάνειας και του ελέγχου στη διαχείριση των δεδομένων προσωπικού

16

χαρακτήρα σε περιβάλλον υπολογιστικού νέφους. Δηλαδή, ο νέος ΓΚΠΔ τελεί στην

κατεύθυνση όχι μόνο της βέλτιστης νομοθετικής ρύθμισης περί την ασφάλεια των

προσωπικών δεδομένων τροποποιώντας το υφιστάμενο νομικό πλαίσιο, αλλά και

της επαρκούς ρύθμισης από αυτόν της προστασίας των δεδομένων προσωπικού

χαρακτήρα σε νέο τεχνολογικό περιβάλλον—σήμερα αυτό είναι το περιβάλλον της

νεφοϋπολογιστικής, αύριο ίσως είναι κάποιο άλλο—κατά τρόπο που θα

επιτυγχάνονται οι βασικοί στόχοι της ασφάλειας των δεδομένων προσωπικού

χαρακτήρα, δηλαδή η διαθεσιμότητα,49 η ακεραιότητα50 και το απόρρητο των

δεδομένων,51 και συνάμα θα επιτυγχάνονται οι στόχοι της διαφάνειας,52 της

απομόνωσης, της δυνατότητας παρέμβασης53 και της φορητότητας των

δεδομένων.54 Επιπλέον, πρέπει να τηρείται η αρχή του προσδιορισμού και του

περιορισμού του σκοπού της επεξεργασίας των δεδομένων προσωπικού

χαρακτήρα,55 να διασφαλίζεται η δυνατότητα διαγραφής τους μόλις πάψει να είναι

απαραίτητη η διατήρησή τους,56 και να εφαρμόζονται τα κατάλληλα οργανωτικά

και τεχνικά μέτρα προστασίας τους καθ’ όλη τη διάρκεια της επεξεργασίας και

διατήρησής τους.57

Κίνδυνοι για προσωπικά δεδομένα σε περιβάλλον υπολογιστικού νέφους

Η νεφοϋπολογιστική ως τεχνολογική καινοτομία επιτείνει ως επί το πλείστον

και λόγω της πολυπλοκότητας των λειτουργιών στο υπολογιστικό νέφος τους

υφιστάμενους και γνωστούς κινδύνους περί τη μη σύννομη χρήση δεδομένων

προσωπικού χαρακτήρα. Οι κίνδυνοι αυτοί άπτονται κατά βάση της έλλειψης

ελέγχου και της έλλειψης κατάλληλης πληροφόρησης περί τα προσωπικά

δεδομένα των υποκείμενων αυτών στο νέο τεχνολογικό νεφελώδες περιβάλλον.

Ειδικότερα, στο τεχνολογικό cloud περί την έλλειψη ελέγχου ελλοχεύουν οι εξής

κίνδυνοι:58

Έλλειψη διαθεσιμότητας λόγω έλλειψης διαλειτουργικότητας. Εάν ο

πάροχος υπηρεσιών νεφοϋπολογιστικής χρησιμοποιεί ιδιόκτητη τεχνολογία, ο

πελάτης υπηρεσιών νεφοϋπολογιστικής ενδέχεται να δυσκολευτεί να μεταφέρει τα

δεδομένα και τα έγγραφά του από ένα σύστημα που έχει ως βάση τη

νεφοϋπολογιστική σε άλλο (φορητότητα δεδομένων) ή να ανταλλάξει πληροφορίες

17

με οντότητες που χρησιμοποιούν υπηρεσίες νεφοϋπολογιστικής οι οποίες τελούν

υπό τη διαχείριση διαφορετικών παρόχων (διαλειτουργικότητα).

Έλλειψη ακεραιότητας λόγω επιμερισμού των πόρων. Κάθε νέφος

αποτελείται από επιμερισμένα συστήματα και υποδομές. Οι πάροχοι υπηρεσιών

νεφοϋπολογιστικής επεξεργάζονται δεδομένα προσωπικού χαρακτήρα τα οποία

προέρχονται από ευρύ φάσμα πηγών, τόσο από πρόσωπα στα οποία αναφέρονται

τα δεδομένα όσο και από οργανισμούς, με επακόλουθο την πιθανότητα ύπαρξης

αντικρουόμενων συμφερόντων ή/και διαφορετικών στόχων.

Μη τήρηση του απορρήτου σε περίπτωση υποβολής αιτημάτων για σκοπούς

επιβολής του νόμου απευθείας σε παρόχους υπηρεσιών νεφοϋπολογιστικής. Οι

αρχές επιβολής του νόμου των κρατών μελών της ΕΕ και τρίτων χωρών δύνανται

να υποβάλλουν αιτήματα επιβολής του νόμου ζητώντας την κοινοποίηση

δεδομένων προσωπικού χαρακτήρα που υφίστανται επεξεργασία εντός του

υπολογιστικού νέφους. Ελλοχεύει έτσι ο κίνδυνος κοινοποίησης δεδομένων

προσωπικού χαρακτήρα σε (ξένες) αρχές επιβολής του νόμου χωρίς έγκυρη

Ενωσιακή νομική βάση, με αποτέλεσμα να παραβιάζεται η νομοθεσία της ΕΕ περί

προστασίας των δεδομένων.

Αδυναμία παρέμβασης λόγω της πολυπλοκότητας και της δυναμικής της

αλυσίδας εξωτερικής ανάθεσης. Κάθε υπηρεσία νεφοϋπολογιστικής που παρέχεται

από έναν πάροχο μπορεί να είναι αποτέλεσμα συνδυασμού υπηρεσιών οι οποίες

παρέχονται από διάφορους άλλους παρόχους, ο αριθμός των οποίων μπορεί να

αυξομειώνεται δυναμικά κατά τη διάρκεια ισχύος της σύμβασης του πελάτη.

Αδυναμία παρέμβασης για την άσκηση δικαιωμάτων των υποκειμένων των

δεδομένων (δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα). Οι

πάροχοι υπηρεσιών νεφοϋπολογιστικής είναι πιθανό να μην παρέχουν στον

υπεύθυνο της επεξεργασίας τα μέτρα και τα εργαλεία που χρειάζεται για να

διαχειρίζεται ευκολότερα τα δεδομένα.

Έλλειψη απομόνωσης των δεδομένων. Οι πάροχοι υπηρεσιών

νεφοϋπολογιστικής είναι πιθανό να εκμεταλλεύονται τον φυσικό έλεγχο που

ασκούν επί δεδομένων που προέρχονται από διαφορετικούς πελάτες με σκοπό τη

σύνδεση των δεδομένων προσωπικού χαρακτήρα μεταξύ τους.

18

Έλλειψη κατάλληλης τεχνολογική υποδομής για διαχείριση ταυτότητας

(identity management) και αυθεντικοποίησης (authentication) των υποκειμένων

των δεδομένων.

Έλλειψη κατάλληλου μηχανισμού διαγραφής των δεδομένων. Θα πρέπει να

υπάρχει κατάλληλη τεχνολογική εφαρμογή παρεχόμενη από τον πάροχο

νεφοϋπολογιστικής στη διάθεση του υπεύθυνου επεξεργασίας αλλά και των

υποκειμένων των δεδομένων με την οποία θα εξασφαλίζεται η άσκηση του

δικαιώματος στη λήθη του υποκειμένου των δεδομένων.

Επίσης, στο τεχνολογικό cloud περί την έλλειψη κατάλληλης

πληροφόρησης ελλοχεύουν οι εξής κίνδυνοι:59

Έλλειψη κατάλληλης πληροφόρησης σε περίπτωση πολλαπλών υπευθύνων

ή εκτελούντων επεξεργασία όταν τα δεδομένα υφίστανται αλυσιδωτή επεξεργασία

στην οποία συμμετέχουν πολυάριθμοι υπεύθυνοι ή εκτελούντες την επεξεργασία

και υπεργολάβοι.

Ανεπαρκής πληροφόρηση όταν τα δεδομένα προσωπικού χαρακτήρα

υφίστανται επεξεργασία σε διαφορετικές γεωγραφικές τοποθεσίες εντός του ΕΟΧ,

γεγονός που έχει άμεσο αντίκτυπο στη νομοθεσία η οποία διέπει τις διαφορές που

ενδέχεται να προκύψουν μεταξύ χρήστη και παρόχου όσον αφορά την προστασία

των δεδομένων.

Ανεπαρκής πληροφόρηση όταν τα δεδομένα προσωπικού χαρακτήρα

διαβιβάζονται σε τρίτες χώρες εκτός του ΕΟΧ. Είναι πιθανόν οι τρίτες χώρες να

μην εξασφαλίζουν επαρκές επίπεδο προστασίας των δεδομένων και η διαβίβαση

των τελευταίων να μην προστατεύεται από κατάλληλα μέτρα.

Έλλειψη μηχανισμού άμεσης πληροφόρησης του υπεύθυνου επεξεργασίας

ή/και των υποκειμένων των δεδομένων για περιστατικά προσβολής-διάρρηξης των

προσωπικών τους δεδομένων εντός του συστήματος νεφοϋπολογιστικής.

Minimum συμβατικών όρων για παροχή υπηρεσιών υπολογιστικού νέφους

Για την βέλτιστη ανάπτυξη νεφοϋπολογιστικής πέραν από τις προτεινόμενες

τεχνολογικές προδιαγραφές που πρέπει να έχει ένα σύστημα υπολογιστικού

νέφους, είναι σημαντικό να δημιουργείται σχέση εμπιστοσύνης μεταξύ παρόχου

19

υπηρεσιών νεφοϋπολογιστικής και πελάτη του. Η παροχή των υπηρεσιών σε

περιβάλλον υπολογιστικού νέφους προϋποθέτει «αλυσίδα μέτρων οικοδόμησης

εμπιστοσύνης» που μπορούν να ικανοποιήσουν όχι μόνο την ανάγκη επαρκούς

πληροφόρησης του πελάτη για το νομικό καθεστώς που διέπει τη σχέση του με τον

πάροχο νεφοϋπολογιστικής ή την ανάγκη ελέγχου του υποκειμένου των

προσωπικών δεδομένων για τα δεδομένα του στο περιβάλλον του υπολογιστικού

νέφους, αλλά και την ανάγκη για σαφήνεια και ασφάλεια περί τους νομικά και

συμβατικά προβλεπόμενους κανόνες αλλά και κανόνες δεοντολογίας που διέπουν

τη συμβατική σχέση πελάτη και παρόχου νεφοϋπολογιστικής, την κατανομή των

ρόλων και αρμοδιοτήτων μεταξύ των διαφόρων προσώπων (υπεύθυνος

επεξεργασίας, εκτελών την επεξεργασία, κλπ), τις τεχνολογικές επιλογές των

μέτρων ασφάλειας των δεδομένων, το καθεστώς των διασυνοριακών διαβιβάσεων

δεδομένων κλπ.60

Η οικοδόμηση της εν λόγω σχέσης εμπιστοσύνης δεν μπορεί να προέλθει

μόνο από συμβατικούς όρους μεταξύ πελάτη και παρόχου νεφοϋπολογιστικής,

αλλά μάλλον προϋποθέτει τη διαμόρφωση ενός νομικού πλαισίου ως αποτέλεσμα

της ισχύος νομοθετημένων πανευρωπαϊκών κανόνων, συμβατικά αποδεκτών όρων,

προσδιορισμένων νομοθετικά ελάχιστων αναγκαίων τεχνολογικών προϋποθέσεων

και δεσμευτικών κανόνων δεοντολογίας στο πεδίο δράσης των παρόχων υπηρεσιών

υπολογιστικού νέφους.61 Στην παρούσα ανάλυση δεν αποσκοπούμε να

παραθέσουμε εξαντλητική αναφορά των συμβατικών όρων που θα μπορούσαν να

περιλαμβάνονται σε σύμβαση μεταξύ πελάτη και παρόχου υπηρεσιών

νεφοϋπολογιστικής, αλλά μάλλον να αναφέρουμε επιγραμματικά τι θα μπορούσε

να περιλαμβάνει κατ’ ελάχιστο μια τέτοια σύμβαση για την οικοδόμηση της

αναγκαίας σχέσης εμπιστοσύνης μεταξύ των συμβαλλόμενων μερών. Το κατ’

ελάχιστο αναγκαίο περιεχόμενο της συμβατικής σχέσης του παρόχου

νεφοϋπολογιστικής με τον πελάτη του που αναφέρεται στην παρούσα ανάλυση

λαμβάνει υπόψη του τις κατευθυντήριες γραμμές που έχει δημοσιοποιήσει η

ομάδα εργασίας στη θεματική του Service Level Agreement (SLA) που υπάγεται

στο Cloud Select Industry Group (C-SIG) της Διεύθυνσης DG Connect της

Ευρωπαϊκής Επιτροπής.62

20

Έτσι, σε συμβατικό επίπεδο προτείνεται ο πάροχος υπηρεσιών

υπολογιστικού νέφους να προβλέπει στο περιεχόμενο της σύμβασης με τον

πελάτη του κατ’ ελάχιστο τα εξής:

1. Ορισμούς των βασικών όρων που χρησιμοποιούνται στη σύμβαση.63

2. Πληροφόρηση σχετικά με την ελαστικότητα (flexibility), επεκτασιμότητα

(extensibility) και τεχνολογική ουδετερότητα (technology neutrality) των

πληροφορικών υποδομών που υπάγονται στο σύστημα νεφοϋπολογιστικής του

παρόχου ή τρίτων ενταγμένων σ’ αυτό.

3. Πληροφόρηση σχετικά με τα βασικά ποιοτικά χαρακτηριστικά του συστήματος

νεφοϋπολογιστικής, δηλαδή σχετικά με broad network access, measured service,

multi-tenancy, on-demand self-service, rapid elasticity and scalability, resource

pooling.

4. Πληροφόρηση σχετικά με το επιχειρηματικό μοντέλο—τον τύπο της υπηρεσίας

που προσφέρεται μέσα από το συγκεκριμένο σύστημα νεφοϋπολογιστικής, δηλαδή

πληροφόρηση για το αν πρόκειται για υπηρεσία IaaS, PaaS, ή SaaS.

5. Πληροφόρηση σχετικά με το συγκεκριμένο παρεχόμενο σύστημα είναι Ιδιωτικό,

Δημόσιο, Κοινοτικό ή Υβριδικό σύστημα νεφοϋπολογιστικής.

6. Αναλυτικές πληροφορίες (έκταση και λεπτομέρειες) για τις οδηγίες που πρόκειται

να δίνει ο πελάτης στον πάροχο, με ιδιαίτερη έμφαση στις ισχύουσες συμφωνίες

επιπέδου εξυπηρέτησης (Service Level Agreement) οι οποίες πρέπει να είναι

αντικειμενικές και μετρήσιμες.

7. Πληροφορίες συναφείς κυρώσεις (οικονομικές ή άλλες, συμπεριλαμβανομένης της

δυνατότητας προσφυγής στη δικαιοσύνη εναντίον του παρόχου σε περίπτωση μη

συμμόρφωσης).

8. Προσδιορισμό των μέτρων ασφαλείας προς τα οποία πρέπει να συμμορφώνεται ο

πάροχος υπηρεσιών νεφοϋπολογιστικής, αναλόγως κάθε φορά των κινδύνων που

ενέχει η επεξεργασία και της φύσης των δεδομένων που χρήζουν προστασίας.

9. Καθορισμό συγκεκριμένων τεχνικών και οργανωτικών μέτρων ασφάλειας.

10. Πληροφόρηση σχετικά με την αξιοπιστία του συστήματος παροχής υπηρεσιών

νεφοϋπολογιστικής.

21

11. Πληροφόρηση σχετικά με τις διαδικασίες αυθεντικοποίησης της ταυτότητας των

χρηστών και εξουσιοδοτημένης πρόσβασης αυτών στο σύστημα.

12. Πληροφόρηση σχετική με τον τρόπο διαχείρισης περιστατικών προσβολής της

ασφάλειας του συστήματος νεφοϋπολογιστικής.

13. Πληροφόρηση σχετική με τη διατήρηση log files και την καταγραφή δεδομένων

περί τη χρήση του συστήματος νεφοϋπολογιστικής.

14. Πληροφόρηση σχετική με τις διαδικασίες ελέγχου και πιστοποίησης του

επιπέδου ασφάλειας του συστήματος νεφοϋπολογιστικής.

15. Πληροφόρηση σχετική με τις διαδικασίες διαχείρισης της τρωτότητας στοιχείων

της ασφάλειας του συστήματος νεφοϋπολογιστικής.

16. Πληροφόρηση σχετική με τις διαδικασίες mirroring (αντικατοπτρισμού), backup

(δημιουργίας ασφαλούς αντιγράφου) και restore (ανάκτησης) δεδομένων εντός του

συστήματος νεφοϋπολογιστικής.

17. Πληροφόρηση σχετικά με τη φορητότητα δεδομένων (data portability).

18. Πληροφόρηση για το αντικείμενο και το χρονοδιάγραμμα της υπηρεσίας

νεφοϋπολογιστικής που πρόκειται να προσφέρει ο πάροχος υπηρεσιών

νεφοϋπολογιστικής, την έκταση, τον τρόπο και τον σκοπό της επεξεργασίας

δεδομένων προσωπικού χαρακτήρα από τον πάροχο υπηρεσιών

νεφοϋπολογιστικής, καθώς και τις κατηγορίες των δεδομένων προσωπικού

χαρακτήρα που θα υφίστανται επεξεργασία υπόψη της παροχής των εν λόγω

υπηρεσιών.

19. Προσδιορισμό των προϋποθέσεων επιστροφής των δεδομένων (προσωπικού

χαρακτήρα) ή καταστροφής τους μόλις ολοκληρωθεί η παροχή της υπηρεσίας.

20. Προσδιορισμό του τρόπου για την ασφαλή διαγραφή των δεδομένων προσωπικού

χαρακτήρα κατόπιν αιτήματος του πελάτη υπηρεσιών νεφοϋπολογιστικής.

21. Ρήτρας εμπιστευτικότητας που θα είναι δεσμευτική για τον πάροχο υπηρεσιών

νεφοϋπολογιστικής και για όσους υπαλλήλους του έχουν ενδεχομένως πρόσβαση

στα δεδομένα. Υπόψη της ρήτρας αυτής, πρέπει να προβλέπεται ότι η πρόσβαση

στα προσωπικά δεδομένα πρέπει να επιτρέπεται μόνο σε όσους έχουν σχετική

άδεια.

22

22. Υποχρέωση του παρόχου να παρέχει στήριξη στον πελάτη όσον αφορά τη

διευκόλυνση της άσκησης των δικαιωμάτων που έχουν τα πρόσωπα στα οποία

αναφέρονται τα δεδομένα, και συγκεκριμένα των δικαιωμάτων της πρόσβασης στα

δεδομένα και της διόρθωσης ή της διαγραφής τους.

23. Όρο ότι ο πάροχος υπηρεσιών νεφοϋπολογιστικής δεν δύναται να κοινοποιεί τα

δεδομένα σε τρίτους, ακόμη και για σκοπούς διατήρησης, εκτός και αν

προβλέπεται στη σύμβαση η ύπαρξη υπεργολάβων.

24. Όρο ότι η πρόσληψη υπό-εκτελούντων την επεξεργασία είναι δυνατή μόνο βάσει

συγκατάθεσης η οποία μπορεί γενικώς να δίδεται από τον υπεύθυνο της

επεξεργασίας σε συνδυασμό με τη σαφή υποχρέωση του εκτελούντος την

επεξεργασία να ενημερώνει τον υπεύθυνο της επεξεργασίας για τυχόν

σκοπούμενες συναφείς αλλαγές, αλλά και ότι ο υπεύθυνος της επεξεργασίας

διατηρεί πάντοτε τη δυνατότητα να αντιταχθεί στις αλλαγές αυτές ή να τερματίσει

τη σύμβαση.

25. Όρο ότι οι συμβάσεις μεταξύ παρόχου υπηρεσιών νεφοϋπολογιστικής και

υπεργολάβου θα πρέπει να είναι σύμφωνες και να αντικατοπτρίζουν τις διατάξεις

της σύμβασης ανάμεσα στον πελάτη και στον πάροχο υπηρεσιών

νεφοϋπολογιστικής (δηλαδή οι υπό-εκτελούντες την επεξεργασία θα πρέπει να

βαρύνονται με τις ίδιες ακριβώς συμβατικές υποχρεώσεις που βαρύνουν τον

πάροχο υπηρεσιών νεφοϋπολογιστικής).

26. Συμβατική πρόβλεψη ότι δεσμεύεται ο εκτελών την επεξεργασία έναντι του

υπεύθυνου της επεξεργασίας να οριοθετεί τις διαδικασίες διεθνούς διαβίβασης

δεδομένων, π.χ. υπογράφοντας συμβάσεις με τους υπό-εκτελούντες την

επεξεργασία, έχοντας ως βάση τις τυποποιημένες συμβατικές ρήτρες της

απόφασης 2010/87/ΕΕ.64 Η δέσμευση αυτή πρέπει να περιλαμβάνει ειδικές

εγγυήσεις για περιπτώσεις διεθνούς διαβίβασης δεδομένων για συμμόρφωση προς

τις συμβατικές ρήτρες που έχει εγκρίνει η Ευρωπαϊκή Επιτροπή δυνάμει της

απόφασης 2010/87/ΕΚ της Επιτροπής σε περίπτωση διαβίβασης δεδομένων από

υπεύθυνο της επεξεργασίας εγκατεστημένο στην ΕΕ σε εκτελούντα την

επεξεργασία εγκατεστημένο εκτός ΕΕ.

23

27. Σαφή καθορισμό των ευθυνών του παρόχου υπηρεσιών νεφοϋπολογιστικής όσον

αφορά την ενημέρωση του πελάτη υπηρεσιών νεφοϋπολογιστικής σε περίπτωση

παραβίασης δεδομένων η οποία θίγει τα δεδομένα του τελευταίου.

28. Σαφή υποχρέωση του παρόχου υπηρεσιών νεφοϋπολογιστικής να παρέχει

κατάλογο των τοποθεσιών στις οποίες δύναται να γίνεται επεξεργασία των

δεδομένων.

29. Σαφή αναφορά του δικαιώματος του υπευθύνου της επεξεργασίας να

παρακολουθεί τις διαδικασίες επεξεργασίας του παρόχου υπηρεσιών

νεφοϋπολογιστικής και της αντίστοιχης υποχρέωση του τελευταίου να

συνεργάζεται.

30. Σαφή αναφορά ότι ο πάροχος υπηρεσιών νεφοϋπολογιστικής πρέπει να

ενημερώνει τον πελάτη για αλλαγές που αφορούν την εκάστοτε παρεχόμενη

υπηρεσία νεφοϋπολογιστικής όπως, για παράδειγμα, η εκτέλεση πρόσθετων

λειτουργιών.

31. Συμβατική πρόβλεψη της δυνατότητας της καταγραφής και του ελέγχου των

συναφών διαδικασιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα που

επιτελούνται από τον πάροχο υπηρεσιών νεφοϋπολογιστικής ή τους

υπεργολάβους.

32. Πρόβλεψη για την υποχρεωτική και a priori ενημέρωση του πελάτη υπηρεσιών

νεφοϋπολογιστικής σχετικά με κάθε νομικά δεσμευτικό αίτημα κοινοποίησης των

δεδομένων προσωπικού χαρακτήρα που υποβάλλεται από Αρχή επιβολής του

νόμου, εκτός αν υπάρχει σχετική απαγόρευση, όπως απαγόρευση συνοδευόμενη

από ποινικές κυρώσεις για τη διατήρηση του εμπιστευτικού χαρακτήρα

αστυνομικής έρευνας.

33. Συμβατική πρόβλεψη περί τη γενική υποχρέωση του παρόχου να παρέχει

διαβεβαιώσεις ότι οι ρυθμίσεις οργάνωσης και επεξεργασίας δεδομένων που

εφαρμόζει ο ίδιος (όπως και οι αντίστοιχες ρυθμίσεις που εφαρμόζουν οι υπό-

εκτελούντες την επεξεργασία τους οποίους έχει ενδεχομένως προσλάβει)

συμμορφώνονται προς τις ισχύουσες επιταγές και τα πρότυπα της εθνικής και

διεθνούς νομοθεσίας.

24

34. Πρόβλεψη της ρήτρας σκοπού στη συλλογή και επεξεργασία των δεδομένων

προσωπικού χαρακτήρα στο σύστημα νεφοϋπολογιστικής.

35. Πρόβλεψη των ειδικών διαδικασιών τις οποίες ο πάροχος του συστήματος

νεφοϋπολογιστικής θέτει στη διάθεση του υποκειμένου των δεδομένων ή/και του

υπεύθυνου επεξεργασίας δεδομένων ώστε το υποκείμενο των δεδομένων να μπορεί

ν’ ασκεί τα δικαιώματα που του παρέχει ο νόμος για τα δεδομένα προσωπικού

χαρακτήρα.

36. Συμβατική πρόβλεψη της υποχρέωσης λογοδοσίας συνιστάμενης αυτής σε

υποχρέωση του παρόχου νεφοϋπολογιστικής να παρέχει έγγραφα από τα οποία να

αποδεικνύεται ότι λαμβάνει προσήκοντα και αποτελεσματικά μέτρα τα οποία

εγγυώνται την επίτευξη των στόχων των βασικών αρχών προστασίας των

δεδομένων.65

37. Πρόβλεψη ανταπόκρισης του παρόχου σε αιτήματα πελάτη για επιδιόρθωση

ελαττωμάτων στο σύστημα νεφοϋπολογιστικής (response, repair and remedy).

38. Πρόβλεψη λύσης της σύμβασης σε περίπτωση επαναλαμβανόμενων ελαττωμάτων

στο σύστημα νεφοϋπολογιστικής (material breach issue).

39. Όροι περί τη συντήρηση και αναβάθμιση του συστήματος νεφοϋπολογιστικής.

40. Συμβατικός όρος για την τεκμηρίωση του λογισμικού που χρησιμοποιείται στο

σύστημα νεφοϋπολογιστικής (software documentation).

41. Συμβατικούς όρους για την άδεια χρήσης λογισμικού (software license

agreement) για κάθε ένα λογισμικό προϊόν που παρέχεται μέσω του συστήματος

νεφοϋπολογιστικής.

42. Συμβατικούς όρους για την εκχώρηση άδειας προς χρήση, αποδοχή ή απόρριψη

της άδειας χρήσης λογισμικού ή υπηρεσιών που χρησιμοποιείται ή παρέχονται

στο σύστημα νεφοϋπολογιστικής (delivery, acceptance and rejection).

43. Συμβατικούς όρους εμπιστευτικότητας των πληροφοριών που παρέχονται ή

παράγονται από τη χρήση του συστήματος νεφοϋπολογιστικής (non-disclosure or

confidentiality).

44. Εγγυήσεις είτε περί τη λειτουργία του συστήματος νεφοϋπολογιστικής ή των

επιμέρους υπηρεσιών του συστήματος αυτού είτε περί τη διανοητική ιδιοκτησία,

πνευματική ιδιοκτησία έργων ή βιομηχανική ιδιοκτησία στοιχείων όπως

25

εμπορικών σημάτων, διακριτικών τίτλων, βιομηχανικών σχεδίων, διπλωμάτων

ευρεσιτεχνίας κλπ του συστήματος αυτού (professional services warranty,

intellectual property or industrial property warranty).

45. Αποποιήσεις ευθύνης ή άλλες εγγυήσεις ή περιορισμό της ευθύνης περί τη

λειτουργία του συστήματος νεφοϋπολογιστικής ή επιμέρους στοιχείων αυτού

(disclaimers or other warranties or limitation of liability).

46. Συμβατικούς όρους περί αποζημιώσεων σε περιπτώσεις αποτυχίας του

συστήματος νεφοϋπολογιστικής ή σε περιπτώσεις παραβίασης όρων της σύμβασης

μεταξύ παρόχου και πελάτη. Μπορεί να προβλέπονται αποζημιώσεις από τον

πάροχο (indemnity from cloud computing provider), αποζημιώσεις από

εκτελούντα την επεξεργασία (indemnity from processor) και αποζημιώσεις από

τον υπεύθυνο επεξεργασίας (indemnity from controller).

47. Συμβατικούς όρους για την εκπαίδευση του πελάτη από τον πάροχο στη χρήση

του συστήματος νεφοϋπολογιστικής (training terms).

48. Συμβατικούς όρους περί απαγόρευσης ανταγωνισμού (non-compete and

employee non-solicit terms).

49. Όρους περί την εξωδικαστική επίλυση διαφορών των συμβαλλόμενων (alternate

dispute resolution terms).

50. Όρους περί τη διάρκεια ισχύος της σύμβασης για την παροχή υπηρεσιών

νεφοϋπολογιστικής (term and termination)

51. Πρόβλεψη όρων ελέγχου λογισμικού (software audit terms).

52. Πρόβλεψη όρων αποκατάστασης καταστροφών από αποτυχία του συστήματος ή

επιμέρους στοιχείων του συστήματος νεφοϋπολογιστικής (disaster recovery

terms).

53. Στερεότυπους συμβατικούς όρους (boilerplate terms) στους οποίους μπορεί να

περιλαμβάνονται—εκτός από τους ορισμούς όρων που αναφέρονται στη

σύμβαση—ρυθμίσεις περί εφαρμοστέου δικαίου και δωσιδικίας (choice of law

and courts), όροι περί την εκχώρηση δικαιωμάτων (assignment) από τη σύμβαση,

όροι περί ανωτέρας βίας (force majeure), όροι περί ισχύος της σύμβασης

ανεξάρτητα από την ακυρότητα όρου αυτής (severability), όρους για την

26

τροποποίηση της σύμβασης (amendment), όρους για τα προσαρτήματα της

σύμβασης (attachments or annexes) κλπ.

Όροι για προστασία προσωπικών δεδομένων από κώδικα δεοντολογίας παρόχων

υπολογιστικού νέφους

Στο συμβατικό κείμενο της σχέσης πελάτη και παρόχου υπηρεσιών

νεφοϋπολογιστικής θα μπορούσε να γίνεται αναφορά σε κώδικα δεοντολογίας

διαμορφωμένο με πανευρωπαϊκή ισχύ και στις επιμέρους διατάξεις του

αναφερόμενες στους παρόχους υπηρεσιών υπολογιστικού νέφους. Ήδη τέτοιος

κώδικας δεοντολογίας πανευρωπαϊκής ισχύος τελεί υπό διαμόρφωση από το

Cloud Select Industry Group (C-SIG)66 και υπό την έγκριση της Ομάδας

Εργασίας του Άρθρου 2967 κατ’ εφαρμογή του άρ.27 της Οδηγίας 95/46/ΕΚ που

αναφέρεται στην εκπόνηση κωδίκων δεοντολογίας που αποσκοπούν να

συμβάλλουν στην ορθή εφαρμογή των εθνικών διατάξεων για την προστασία των

δεδομένων προσωπικού χαρακτήρα.68 Η ρητή αναφορά συμβατικά στο κείμενο

του ισχύοντος πανευρωπαϊκά κώδικα δεοντολογίας αρκεί για τη συμπληρωματική

εφαρμογή των επιμέρους διατάξεων αυτού στη συμβατική σχέση πελάτη και

παρόχου νεφοϋπολογιστικής χωρίς να χρειάζεται ειδική αναφορά στη σύμβαση

για την παροχή υπηρεσιών υπολογιστικού νέφους κάποιων ή όλων των επιμέρους

ρυθμίσεων του κώδικα δεοντολογίας. Από τη στιγμή της ισχύος και αποδοχής του

κώδικα δεοντολογίας ο πάροχος υπηρεσιών νεφοϋπολογιστικής δεσμεύεται από το

σύνολο των διατάξεών του και όχι επιλεκτικά από μέρος αυτών.69 Έτσι, σε επίπεδο

ισχύουσας ρύθμισης δια της αποδοχής κώδικα δεοντολογίας πανευρωπαϊκής

αποδοχής ο πάροχος υπηρεσιών υπολογιστικού νέφους μπορεί να προβλέπει στο

περιεχόμενο της σύμβασης με τον πελάτη του δια της παραπομπής στο κώδικα

δεοντολογίας κατ’ ελάχιστο τα εξής:

1. Σαφή αναφορά ότι ο κώδικας δεοντολογίας δεν αναπληρώνει ούτε κατισχύει των

συμβατικών ρυθμίσεων, αλλά μάλλον ότι συμπληρώνει αυτές κατά το περιεχόμενο

και την ερμηνεία τους, και ότι ο κώδικας δεοντολογίας τελεί εντός του ισχύοντος

Ευρωπαϊκού νομικού πλαισίου για την προστασία των δεδομένων προσωπικού

χαρακτήρα.

27

2. Αναφορά στη διάκριση των ρόλων του υπεύθυνου επεξεργασίας και του

εκτελούντα την επεξεργασία, όπως αυτοί έχουν προσδιοριστεί από την ισχύουσα

νομοθεσία και νομολογία ή/και τις ερμηνευτικές προσεγγίσεις αυτών από την

Ομάδα Εργασίας του Άρθρου 29.70

3. Αναφορά ότι ο πάροχος υπηρεσιών νεφοϋπολογιστικής που συνήθως ενεργεί ως

εκτελών την επεξεργασία πρέπει να λαμβάνει την προηγούμενη έγγραφη

συναίνεση του πελάτη του εφόσον αυτός ενεργεί ως υπεύθυνος επεξεργασίας για

κάθε επεξεργασία των δεδομένων προσωπικού χαρακτήρα των υποκειμένων που

αναφέρονται στον πελάτη είτε αυτή ενεργείται από τον πάροχο των υπηρεσιών

νεφοϋπολογιστικής είτε από υπό-εκτελούντες την επεξεργασία δεδομένων

ενταγμένων στο group του παρόχου υπηρεσιών νεφοϋπολογιστικής.

4. Δήλωση του παρόχου νεφοϋπολογιστικής ότι όλοι οι υπό-εκτελούντες επεξεργασία

δεδομένων που εντάσσονται στο group του λαμβάνουν τα ίδια μέτρα προστασίας

και ασφάλειας των δεδομένων που λαμβάνει κι ο πάροχος.

5. Ρητή αναφορά σε λίστα όλων των υπό-εκτελούντων την επεξεργασία δεδομένων

που είναι ενταγμένοι στο group του παρόχου με ειδική αναφορά της τοποθεσίας

της εγκατάστασής τους ή/και της εγκατάστασης των πληροφορικών υποδομών

τους. Η εν λόγω λίστα πρέπει να είναι εύκολα προσβάσιμη στον υπεύθυνο

επεξεργασίας και δι’ αυτού σε κάθε υποκείμενο δεδομένων προσωπικού

χαρακτήρα που αναφέρεται στον υπεύθυνο επεξεργασίας.

6. Αναφορά της υποχρέωσης του παρόχου υπηρεσιών υπολογιστικού νέφους να

ενημερώνει εγκαίρως τον πελάτη του και υπεύθυνο επεξεργασίας για κάθε νέα

προσθήκη εκτελούντα την επεξεργασία στη λίστα αυτών που είναι ενταγμένοι στο

group του παρόχου.

7. Ειδική αναφορά των ισχυόντων κανόνων προστασίας των δεδομένων σε περίπτωση

που ο εκτελών ή υπό-εκτελών την επεξεργασία τελεί εκτός ΕΟΧ ή ΕΕ, δηλαδή

τελεί σε τρίτη χώρα που εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την

έννοια του άρ.25 παρ.2 της Οδηγίας 95/46/ΕΚ. Επ’ αυτού του θέματος μπορεί

να γίνεται περαιτέρω ειδική αναφορά σε Απόφαση της Ευρωπαϊκής Επιτροπής

2001/497/ΕΕ71 ή σε 2004/915/ΕΕ72 εφόσον πρόκειται για μεταφορά από

εκτελούντα επεξεργασία εντός της ΕΕ σε εκτελούντα επεξεργασία εκτός ΕΕ ή

28

αναφορά σε Απόφαση Ευρωπαϊκής Επιτροπής 2010/593/ΕΕ73 εφόσον πρόκειται

για μεταφορά από υπεύθυνο επεξεργασίας εντός ΕΕ σε εκτελούντα επεξεργασία

εκτός ΕΕ. Η Ομάδα Εργασίας του Άρθρου 29 έχει εκδώσει σειρά διευκρινιστικών

κατευθύνσεων υπό μορφή Working Papers σχετικά με Δεσμευτικούς Εταιρικούς

Κανόνες—Binding Corporate Rules για τις περιπτώσεις μεταφοράς δεδομένων σε

τρίτες χώρες εκτός ΕΟΧ ή ΕΕ.74 Εκτός, όμως, από τα Binding Corporate Rules

της ΕΕ, υπάρχει και το σύνολο των κανόνων Cross-Border Privacy Rules75 που

έχει εκδώσει ο φορέας Asia-pacific Economic Cooperation (APEC) που υφίσταται

από το 1989 με 21 χώρες-μέλη ως επί το πλείστον της Ασίας και Ωκεανίας στις

οποίες, όμως, περιλαμβάνονται και οι ΗΠΑ, Καναδάς και Ρωσία. Το μέχρι

πρότινος αποδεκτό σύνολο κανόνων γνωστών ως Safe Harbor76 σε Ευρωατλαντικό

επίπεδο διακίνησης δεδομένων προσωπικού χαρακτήρα μεταξύ ΕΕ και ΗΠΑ,

κρίθηκε από το Δικαστήριο της Ευρωπαϊκής Ένωσης στην υπόθεση C-362/14

Maximillian Schrems77 κατά Data Protection Commissioner ως μη επαρκές περί

την εξασφάλιση ικανοποιητικού επίπεδου προστασίας των διαβιβαζόμενων

δεδομένων προσωπικού χαρακτήρα και ως εκ τούτου έκτοτε το επίπεδο

προστασίας των κανόνων Safe Harbor δεν πληροί σε περιβάλλον

νεφοϋπολογιστικής επάρκεια ασφάλειας προσωπικών δεδομένων διακινούμενων

από ΕΕ στις ΗΠΑ.78

8. Αναφορά της πιστοποίησης του παρόχου υπηρεσιών υπολογιστικού νέφους και

του δικαιώματος του πελάτη του παρόχου να ζητά από τον πάροχο την επίδειξη

αποδεικτικού της πιστοποίησης αυτής. Σε περίπτωση που ο πάροχος

νεφοϋπολογιστικής δεν είναι πιστοποιημένος, αναφορά του δικαιώματος του

πελάτη του παρόχου να ζητά τη διενέργεια ελέγχου του παρόχου από τρίτο

εξειδικευμένο ελεγκτή περί την προσαρμογή του παρόχου σε τεχνολογικές,

οργανωτικές και νομικές ελάχιστες αναγκαίες προϋποθέσεις για την ασφάλεια των

δεδομένων που διακινούνται μέσα από το σύστημα νεφοϋπολογιστικής του

παρόχου.

9. Αναφορά του εφαρμοστέου νομικού πλαισίου σε περίπτωση αντισυμβατικής

συμπεριφοράς περί την προστασία δεδομένων προσωπικού χαρακτήρα

29

10. Αναφορά των διαδικασιών και μέσων βέλτιστης συνεργασίας και επικοινωνίας του

παρόχου νεφοϋπολογιστικής με τον πελάτη του για την εκπλήρωση των

συμβατικών υποχρεώσεών τους και την προστασία των δεδομένων προσωπικού

χαρακτήρα σύμφωνα με το ισχύον νομικό πλαίσιο. Η αναφορά αυτή μπορεί να

περιγράφει τους τρόπους άσκησης των δικαιωμάτων των υποκειμένων των

προσωπικών δεδομένων ή/και του τρόπου υποβολής παραπόνων στον υπεύθυνο

επεξεργασίας σε σχέση με το δικαίωμα πρόσβασης, το δικαίωμα διόρθωσης και το

δικαίωμα στη λήθη (δικαίωμα διαγραφής) των δεδομένων προσωπικού χαρακτήρα

των υποκειμένων.

11. Αναφορά των διαδικασιών και μέσων βέλτιστης συνεργασίας και επικοινωνίας του

παρόχου νεφοϋπολογιστικής με αρμόδια Αρχή Προστασίας Δεδομένων

Προσωπικού Χαρακτήρα.

12. Την υποχρέωση του παρόχου να ενημερώνει χωρίς καθυστέρηση για κάθε

αίτημα που λαμβάνει από κρατική Αρχή για παροχή πληροφόρησης περί τα

δεδομένα προσωπικού χαρακτήρα υποκειμένου.

13. Πρόβλεψη διαδικασίας πολιτικής διατήρησης δεδομένων προσωπικού

χαρακτήρα από τον πάροχο.

14. Πρόβλεψη διαδικασίας επιστροφής δεδομένων προσωπικού χαρακτήρα από τον

πάροχο στον πελάτη του υπεύθυνο επεξεργασίας ή/και στο υποκείμενο των

δεδομένων

15. Πρόβλεψη διαδικασίας διαγραφής δεδομένων προσωπικού χαρακτήρα από τον

πάροχο.

16. Πρόβλεψη διαδικασίας ελέγχου της ασφάλειας των πληροφορικών υποδομών του

παρόχου και των ενταγμένων στο group του παρόχου πληροφορικών υποδομών

τρίτων. Αναφορά όλων των τεχνικών, φυσικών και οργανωτικών μέτρων ασφάλειας

που λαμβάνονται από τον πάροχο ή τους τρίτους ενταγμένους στο group του

παρόχου και του συσχετισμού των μέτρων αυτών με standards πιστοποιήσεων

όπως της πιστοποίησης ISO/IEC 27001, ISO/IEC 27018 ή άλλης παρόμοιας

πιστοποίησης79 που επιτρέπουν τη διαθεσιμότητα, ακεραιότητα και

εμπιστευτικότητα των δεδομένων. Επίσης, τη διαφάνεια των διαδικασιών του

30

παρόχου, τη λογοδοσία αυτού, αλλά και τον περιορισμό του σκοπού της συλλογής

και επεξεργασίας των δεδομένων των υποκειμένων.

Επίλογος

Το υπολογιστικό νέφος είναι μια σημαντική τεχνολογική επανάσταση που

έχει ήδη μπει στη ζωή μας και αναμένεται να αναδιαμορφώσει το περιβάλλον των

ΤΠΕ στην καθημερινή τους χρήση τόσο από φυσικά όσο και από νομικά πρόσωπα

είτε στο δημόσιο είτε στον ιδιωτικό τομέα. Το υπολογιστικό νέφος έχει τις

προδιαγραφές για να προσφέρει μεγάλα κέρδη καθιστώντας ευκολότερη την

παροχή ολοκληρωμένων και αποτελεσματικών υπηρεσιών με χαμηλότερο κόστος.

Σε περιβάλλον νεφοϋπολογιστικής μπορεί να ενισχυθεί η έρευνα δεδομένου ότι τα

ερευνητικά ιδρύματα θα μπορούν να συμπληρώσουν τις ειδικευμένες εσωτερικές

τους υποδομές πληροφορικής συνδυάζοντάς τες με τις παρεχόμενες από το

υπολογιστικό νέφος, με αποτέλεσμα να είναι σε θέση να διατηρούν τεράστιες

ποσότητες δεδομένων και να τα επεξεργάζονται πολύ ταχύτερα, και την

καινοτομία, καθώς έτσι καθίσταται ευκολότερο και φθηνότερο να δοκιμαστούν

νέες ιδέες για προϊόντα ή υπηρεσίες πληροφορικής. Το πώς θα επηρεάσει το

υπολογιστικό νέφος την ιδιωτικότητά μας και πως εντέλει θα προστατευτούν τα

προσωπικά δεδομένα των καταναλωτών των υπηρεσιών του μέλλει ν’ αποδειχθεί

στην πράξη. Το νέο νομικό πλαίσιο της ΕΕ με τον Γενικό Κανονισμό Προστασίας

Δεδομένων και τις Οδηγίες 2016/680/ΕΕ και 2016/681/ΕΕ αποσκοπούν στην

μεγαλύτερη δυνατή προστασία των προσωπικών δεδομένων των υποκειμένων στο

νέο περιβάλλον νεφοϋπολογιστικής—και όχι μόνον σ’ αυτό—με παράλληλη

ενίσχυση της αντεγκληματικής και αντιτρομοκρατικής δυνατότητας των διωκτικών

Αρχών των Κρατών-Μελών.

31

Για τους συγγραφείς:

Ο Δρ. Μαρίνος Παπαδόπουλος, είναι δικηγόρος εγγεγραμμένος στο Δικηγορικό

Σύλλογο Αθηνών από το 1996. Είναι κάτοχος διδακτορικού από τη Νομική Σχολή

του Πανεπιστημίου Αθηνών στο γνωστικό αντικείμενο της πνευματικής ιδιοκτησίας

στο διαδίκτυο με θέμα περί την Ανοικτότητα (Openness)· είναι πτυχιούχος της

Νομικής Σχολής του Πανεπιστημίου Αθηνών και κάτοχος μεταπτυχιακού τίτλου

Master of Science (MSc) στο αντικείμενο της Εταιρικής Επικοινωνίας—Δημόσιες

Σχέσεις Επιχειρήσεων του πανεπιστημίου Boston University. Έχει, επίσης,

μεταπτυχιακές σπουδές στα πανεπιστήμια Harvard University σε θέματα Νομικής

Πληροφορικής, και George Washington University σε αντικείμενα Management.

Έχει συμμετοχή σε διεθνή fora με αντικείμενο θέματα Νομικής Πληροφορικής

(Πληροφορικής Τεχνολογίας και Νομικής Επιστήμης), Κοινωνίας της Πληροφορίας

και Ψηφιακής Στρατηγικής και πλούσια εμπειρία στη διαχείριση υποθέσεων

Ελλήνων και αλλοδαπών πελατών περί τη Νομοπληροφορική σε τομείς Αστικού,

Ποινικού και Εμπορικού Δικαίου. Υπήρξε επικεφαλής νομικός (Legal Lead) και

δημιουργός των αδειών Creative Commons v. 2.5 & v. 3.0 στην Ελλάδα∙ είναι

ιδρυτικό μέλος του Ιδρύματος Ανοικτής Γνώσης Ελλάδας (Open Knowledge

Foundation Greece) και δημιουργός της ελληνικής άδειας Open Data Common

(ODC) Open Database License (ODbL) του Open Knowledge Foundation. Είναι

δικηγόρος της Εθνικής Βιβλιοθήκης της Ελλάδας (ΕΒΕ) με εντολή περί τη νομική

συνδρομή της ΕΒΕ για την υλοποίηση στρατηγικού σχεδιασμού Ανοικτότητας σ’

αυτήν στο πλαίσιο του σχεδίου υλοποίησης μετεγκατάστασης της ΕΒΕ στο Κέντρο

Πολιτισμού Ίδρυμα Σταύρος Νιάρχος. Είναι αρωγό μέλος της Ακαδημίας

Στρατηγικών Αναλύσεων. Έχει πλούσια εμπειρία ως ειδικός επιστημονικός και

νομικός σύμβουλος σε έργα καινοτομίας χρηματοδοτούμενα από την Ευρωπαϊκή

Επιτροπή υλοποιούμενα στην Ελλάδα και το εξωτερικό (Τουρκία, Λιθουανία,

Αζερμπαϊτζάν, Γαλλία, Αγγλία, Ιταλία, κ.α.). Το συγγραφικό του έργο περιλαμβάνει

πληθώρα επιστημονικών άρθρων και δημοσιεύσεις σε πανεπιστημιακές και

επιστημονικές εκδόσεις Ελλάδας, ΗΠΑ, Μεγάλης Βρετανίας, Αυστραλίας και Ινδίας.

Ε: marinos@marinos.com.gr

LinkedIn: https://gr.linkedin.com/in/dr-marinos-papadopoulos-8bb7a271

Ο Παντελής Ευγενίδης εργάζεται ως Principal Software Developer (IC4) στην Oracle

Corp. με έδρα το Reading του Ηνωμένου Βασιλείου. Είναι μέλος του τμήματος Software Reliability Engineering (SRE), που σαν στόχο έχει την υποστήριξη της λύσης Cloud Computing της εταιρίας. Ως μέλος του τμήματος αυτού της Oracle Corp. είναι team leader στην ομάδα Control που έχει ως ειδικό στόχο την παροχή

και υποστήριξη λογισμικού για τον κεντρικό έλεγχο των Virtual Servers που αποτελούν την βάση του Oracle Cloud. Στο παρελθόν έχει εργαστεί στην Ελλάδα στις εταιρίες Intracom Telecom, Antcor και Intralot ως μηχανικός συστημάτων & λογισμικού. Είναι απόφοιτος του τμήματος Φυσικής της Σχολής Θετικών Επιστημών

του Πανεπιστημίου Πατρών.

E: pantelis.evgenidis@gmail.com

LinkedIn: https://www.linkedin.com/in/pantelisevgenidis

32

Σημειώσεις:

1 P. Mell, T. Grace, (2011), The NIST Definition of Cloud Computing, National Institute of Standards and

Technology, Special Publication 800-145, διαθέσιμο σε http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf (τελευταίος έλεγχος, 10 Ιουνίου 2016) σύμφωνα με το οποίο Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. 2 Ομάδα Εργασίας Άρθρου 29, (2012), Γνώμη 05/2012 σχετικά με τη νεφοϋπολογιστική, WP 196 01037/12/EL

διαθέσιμο σε http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_el.pdf (τελευταίος έλεγχος, 10 Ιουνίου 2016). 3 Ομάδα Εργασίας Άρθρου 29, (2012), ibid.

4 Ομάδα Εργασίας Άρθρου 29, (2010), Γνώμη 8/2010 για το εφαρμοστέο δίκαιο, WP 179 0836-02/10/EL,

διαθέσιμο σε http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp179_el.pdf (τελευταίος έλεγχος, 10 Ιουνίου 2016). 5 Ομάδα Εργασίας Άρθρου 29, (2012), ibid.

6 European Cloud Partnership, (2014), establishing a Trusted Cloud Europe—a Policy Vision Document by the

Steering Board of the European Cloud Partnership, διαθέσιμο σε https://ec.europa.eu/digital-single-market/news/trusted-cloud-europe (τελευταίος έλεγχος, 10 Ιουνίου 2016). 7 Gartner, (2013), Forecast: Public Cloud Services, Worldwide, 2011-2017, 4Q13 Update, διαθέσιμο σε

https://www.gartner.com/doc/2642020/forecast-public-cloud-services-worldwide (τελευταίος έλεγχος, 10 Ιουνίου 2016). 8 N. Marangos, P. Rizomiliotis, L. Mitrou, (2012), Digital Forensics in the Cloud Computing Era, 2012 IEEE

Globecom Workshops, σ.775-780, διαθέσιμο σε http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=6477673&url=http%3A%2F%2Fieeexplore.ieee.org%2Fxpls%2Fabs_all.jsp%3Farnumber%3D6477673 (τελευταίος έλεγχος, 10 Ιουνίου 2016)· Λ. Μήτρου, (2015), Προστασία Προσωπικών Δεδομένων και υπολογιστικό νέφος, 48 ΔiΜΕΕ, σ.534-549. 9 N. Robinson, L. Valeri, J. Cave, T. Thompson-Starkey, H. Graux, S. Creese, P. Hopkins, (2011), The Cloud:

Understanding the Security Privacy and Trust Challenges—Final Report, Santa Monica, CA: RAND Corp., διαθέσιμο σε http://www.rand.org/pubs/technical_reports/TR933.html (τελευταίος έλεγχος, 10 Ιουνίου 2016); Λ. Μήτρου, (2015), ibid. 10

European Cloud Partnership ibid, 2014· Λ. Μήτρου, (2015), ibid· Ευρωπαϊκή Επιτροπή, (2012), Εκμετάλλευση των δυνατοτήτων του υπολογιστικού νέφους (Cloud Computing) στην Ευρώπη—τι είναι και τι σημαίνει αυτό για μένα;, ΜΕΜΟ/12/713, διαθέσιμο σε http://europa.eu/rapid/press-release_MEMO-12-713_el.htm (τελευταίος έλεγχος, 10 Ιουνίου 2016)· Ευρωπαϊκή Επιτροπή, (2012), Ανακοίνωση της Επιτροπής στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο, την Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή και την Επιτροπή Περιφερειών – Αξιοποίηση των δυνατοτήτων του υπολογιστικού νέφους, COM(2012) 529 FINAL, σελ.3-6, διαθέσιμο σε http://ec.europa.eu/transparency/regdoc/rep/1/2012/EL/1-2012-529-EL-F1-1.Pdf (τελευταίος έλεγχος, 10 Ιουνίου 2016). 11

To Andromède Cloud της Γαλλίας υλοποιείται από δύο χρηματοδοτούμενα consortia το Numergy και το Cloudwatt. 12

Gov.UK, Cloud Technology and Support, διαθέσιμο σε https://www.digitalmarketplace.service.gov.uk/g-cloud (τελευταίος έλεγχος, 10 Ιουνίου 2016). 13

Federal Ministry of Economic Affairs and Energy, Development of digital technologies, Trusted Cloud, διαθέσιμο σε http://www.digitale-technologien.de/DT/Navigation/EN/Foerderprogramme/Trusted_Cloud/trusted_cloud.html (τελευταίος έλεγχος, 10 Ιουνίου 2016). 14

Ευρωπαϊκή Επιτροπή, (2012), ibid. ΜΕΜΟ/12/713· Ευρωπαϊκή Επιτροπή, (2012), Ψηφιακό θεματολόγιο: Νέα στρατηγική για προώθηση της παραγωγικότητας των ευρωπαϊκών επιχειρήσεων και των κυβερνήσεων μέσα από το υπολογιστικό νέφος, IP/12/1025, διαθέσιμο σε http://www.digitalplan.gov.gr/resource-api/dipla/contentObject/IP-12-1025_EL/content (τελευταίος έλεγχος, 10 Ιουνίου 2016)· IDC, (2012), Quantitative

33

Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take-up, διαθέσιμο σε http://cordis.europa.eu/fp7/ict/ssai/docs/study45-d2-interim-report.pdf (τελευταίος έλεγχος, 10 Ιουνίου 2016). 15

G. Greenleaf, (2013), Global Data Privacy Laws 2013: 99 Countries and Counting, 123 Privacy Laws & Business International Report 10-13, UNSW Law Research paper No.2013-58, διαθέσιμο σε http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2305882 (τελευταίος έλεγχος, 10 Ιουνίου 2016). 16

OECD, (1980), Recommendation of the Council Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data C(80)58/final, διαθέσιμο σε http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm (τελευταίος έλεγχος, 10 Ιουνίου 2016). 17

OECD, (2013), Revised Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, C(2013)79, διαθέσιμο σε http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf (τελευταίος έλεγχος, 10 Ιουνίου 2016). 18

Ευρωπαϊκό Κοινοβούλιο και Συμβούλιο της Ευρωπαϊκής Ένωσης, Κανονισμός 2016/679/ΕΕ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) διαθέσιμο σε http://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CELEX:32016R0679&from=EL (τελευταίος έλεγχος, 10 Ιουνίου 2016). 19

Ευρωπαϊκό Κοινοβούλιο και Συμβούλιο της Ευρωπαϊκής Ένωσης, Οδηγία 2016/680/ΕΕ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου διαθέσιμο σε http://eur-lex.europa.eu/legal-content/EL/TXT/?uri=CELEX%3A32016L0680 (τελευταίος έλεγχος, 10 Ιουνίου 2016). 20

Ευρωπαϊκό Κοινοβούλιο και Συμβούλιο της Ευρωπαϊκής Ένωσης, Οδηγία 2016/681/ΕΕ σχετικά με τη χρήση των δεδομένων που περιέχονται στις καταστάσεις ονομάτων επιβατών (PNR) για την πρόληψη, ανίχνευση, διερεύνηση και δίωξη τρομοκρατικών και σοβαρών εγκλημάτων, διαθέσιμο σε http://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CELEX:32016L0681&from=EL (τελευταίος έλεγχος, 10 Ιουνίου 2016). 21

Οδηγία 95/46/ΕΚ Για την προστασία των φυσικών προσώπων έναντι της επεξεργασία δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, διαθέσιμη σε http://eur-lex.europa.eu/legal-content/EL/TXT/?uri=URISERV%3Al14012 (τελευταίος έλεγχος, 10 Ιουνίου 2016). 22

Οδηγία 2002/58/ΕΚ Για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, διαθέσιμη σε http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0047:el:PDF (τελευταίος έλεγχος, 10 Ιουνίου 2016). 23

Οδηγία 2006/24/ΕΚ Για τη διατήρηση δεδομένων που παράγονται ή υποβάλλονται σε επεξεργασία σε συνάρτηση με την παροχή διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ή δημοσίων δικτύων επικοινωνιών και για την τροποποίηση της οδηγίας 2002/58/ΕΚ, διαθέσιμη σε http://eur-lex.europa.eu/legal-content/el/TXT/?uri=CELEX%3A32006L0024 (τελευταίος έλεγχος, 10 Ιουνίου 2016). 24

Οδηγία 2009/136/ΕΚ Για τροποποίηση της οδηγίας 2002/22/ΕΚ για την καθολική υπηρεσία και τα δικαιώματα των χρηστών όσον αφορά δίκτυα και υπηρεσίες ηλεκτρονικών επικοινωνιών, της οδηγίας 2002/58/ΕΚ σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και του κανονισμού (ΕΚ) αριθ. 2006/2004 για τη συνεργασία μεταξύ των εθνικών αρχών που είναι αρμόδιες για την επιβολή της νομοθεσίας για την προστασία των καταναλωτών, διαθέσιμη σε http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:El:PDF (τελευταίος έλεγχος, 10 Ιουνίου 2016). 25

Ν.2472/1997 περί προστασίας του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα όπως έχει τροποποιηθεί, διαθέσιμος σε http://www.dpa.gr/pls/portal/docs/PAGE/APDPX/LAW/NOMOTHESIA%20PROSOPIKA%20DEDOMENA/FILES/2472_97_JUNE2013.PDF (τελευταίος έλεγχος, 10 Ιουνίου 2016). 26

Ο Ν.4139/2013 αφορά στις εξαρτησιογόνες ουσίες. Περιέχει, ωστόσο, το άρ.85 που τροποποιεί το άρ.2 παρ.7 του Ν.3051/2002 που αφορά στις Συνταγματικά κατοχυρωμένες ανεξάρτητες αρχές.

34

27

Ν.4070/2012 περί ρυθμίσεων ηλεκτρονικών επικοινωνιών, μεταφορών, δημόσιων έργων και άλλες διατάξεις, διαθέσιμος σε http://www.dpa.gr/pls/portal/docs/PAGE/APDPX/LAW/NOMOTHESIA%20PROSOPIKA%20DEDOMENA/FILES/4070_2012.PDF (τελευταίος έλεγχος, 10 Ιουνίου 2016). 28

Ν.3917/2011 περί διατήρησης δεδομένων που παράγονται ή υποβάλλονται σε επεξεργασία σε συνάρτηση με την παροχή διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ή δημόσιων δικτύων επικοινωνιών, χρήση συστημάτων επιτήρησης με τη λήψη ή καταγραφή ήχου ή εικόνας σε δημόσιους χώρους και συναφείς διατάξεις, διαθέσιμος σε http://www.dpa.gr/pls/portal/docs/PAGE/APDPX/LAW/NOMOTHESIA%20PROSOPIKA%20DEDOMENA/FILES/N_3917_11_TROPOP_APRIL13.PDF (τελευταίος έλεγχος, 10 Ιουνίου 2016). 29

Ν.3783/2009 περί ταυτοποίησης των κατόχων και χρηστών εξοπλισμού και υπηρεσιών κινητής τηλεφωνίας και άλλες διατάξεις, διαθέσιμος σε http://www.dpa.gr/pls/portal/docs/PAGE/APDPX/LAW/NOMOTHESIA%20PROSOPIKA%20DEDOMENA/FILES/%CE%9D.3783_2009.PDF (τελευταίος έλεγχος, 10 Ιουνίου 2016). 30

Ν.3471/2006 περί προστασίας δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και τροποποίηση του ν.2472/1997, διαθέσιμος σε http://www.dpa.gr/pls/portal/docs/PAGE/APDPX/LAW/NOMOTHESIA%20PROSOPIKA%20DEDOMENA/FILES/%CE%9D3471_06.PDF (τελευταίος έλεγχος, 10 Ιουνίου 2016). 31

Ομάδα Εργασίας Άρθρου 29, (2010), Γνώμη 1/2010 σχετικά με τις έννοιες του «υπεύθυνου της επεξεργασίας» και του «εκτελούντος την επεξεργασία», WP 169, 00264/10/EL, διαθέσιμο σε http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_el.pdf (τελευταίος έλεγχος, 10 Ιουνίου 2016). 32

Ομάδα Εργασίας Άρθρου 29, (2012), ibid. 33

Λ. Μήτρου, (2015), ibid. σ.539. 34

Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.10. 35

Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.10. 36

Ομάδα Εργασίας Άρθρου 29, (2010), ibid, σ.10-15· Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.5. 37

Λ. Μήτρου, (2015), ibid. σ.539· Ομάδα Εργασίας Άρθρου 29, (2010), σ.30· ΑΠΔΠΧ, (2012), Ετήσια Έκθεση 2012, σ.71-72, διαθέσιμη σε http://www.dpa.gr/pls/portal/docs/PAGE/APDPX/ANNUALREPORTS/AR2012/ARXH%20PROSTASIAS%20APOLOGISMOS%202012_%20WEBUSE.PDF (τελευταίος έλεγχος, 10 Ιουνίου 2016) όπου η ΑΠΔΠΧ έκρινε πως η εταιρία INTRACOM για την παροχή υπηρεσίας διαχείρισης και αποθήκευσης ιατρικής απεικόνισης βάσει υποδομής υπολογιστικού νέφους με εγκατάσταση σε κέντρο δεδομένων (data center) της εν λόγω εταιρίας, η εταιρία λειτουργεί ως εκτελούσα την επεξεργασία καθώς ενεργεί για λογαριασμό του εκάστοτε πελάτη της ο οποίος έχει την ιδιότητα του υπευθύνου επεξεργασίας και καθορίζει αυτός τον τρόπο επεξεργασίας. 38

Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.10. 39

Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.10-11. 40

Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.5· Λ. Μήτρου, (2015), ibid. σ.539-540. 41

Συμβούλιο της Ευρωπαϊκής Ένωσης, (2016), Διοργανικός Φάκελος 2012/001 (COD), 5419/16, Θέση του Συμβουλίου σε πρώτη ανάγνωση ενόψει της έκδοσης Κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), διαθέσιμο σε http://data.consilium.europa.eu/doc/document/ST-5419-2016-INIT/el/pdf (τελευταίος έλεγχος, 10 Ιουνίου 2016). 42

ΓΚΠΔ, δικαίωμα πρόσβασης (άρ.15), δικαίωμα διόρθωσης (άρ.16), δικαίωμα διαγραφής—δικαίωμα στη λήθη (άρ.17), δικαίωμα περιορισμού της επεξεργασίας (άρ.18), δικαίωμα στη φορητότητα των δεδομένων (άρ.20), δικαίωμα εναντίωσης (άρ.21), δικαίωμα να μην υπόκειται σε αυτοματοποιημένη λήψη αποφάσεων (άρ.22). 43

ΓΚΠΔ, άρ.13 αφορά σε πληροφορίες που παρέχονται στο υποκείμενο των δεδομένων εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από αυτό. 44

ΓΚΠΔ, άρ.14 αφορά σε πληροφορίες που παρέχονται στο υποκείμενο των δεδομένων εάν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από αυτό.

35

45

Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.12. 46

Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.12. 47

Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.13. 48

Κατά την Ομάδα Εργασίας του Άρθρου 29, η διαφάνεια και ο έγγραφος τύπος των συμβάσεων ανάθεσης της εκτέλεσης επεξεργασίας δεδομένων προσωπικού χαρακτήρα μπορεί να συντελεστεί μόνο εφόσον υπάρχει η συγκατάθεση του υπευθύνου της επεξεργασίας, η οποία δύναται να δίδεται γενικώς κατά την έναρξη της παροχής της υπηρεσίας νεφοϋπολογιστικής με τη σαφή υποχρέωση του εκτελούντος την επεξεργασία να ενημερώνει τον υπεύθυνο της επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση υπεργολάβων, με τον υπεύθυνο δε της επεξεργασίας να διατηρεί πάντοτε τη δυνατότητα να αντιταχθεί στις αλλαγές αυτές ή να τερματίσει τη σύμβαση. Προτείνεται να βαρύνεται ο πάροχος υπηρεσιών νεφοϋπολογιστικής με τη σαφή υποχρέωση να κοινοποιεί τα ονόματα όλων των υπεργολάβων που προσλαμβάνει. Ακόμη, προτείνεται η υπογραφή σύμβασης μεταξύ του παρόχου υπηρεσιών νεφοϋπολογιστικής και του υπεργολάβου η οποία να αντικατοπτρίζει τις διατάξεις της σύμβασης ανάμεσα στον πελάτη υπηρεσιών νεφοϋπολογιστικής και στον πάροχο υπηρεσιών νεφοϋπολογιστικής. Η σύμβαση προτείνεται να παρέχει στον υπεύθυνο της επεξεργασίας δυνατότητες προσφυγής στη δικαιοσύνη σε περίπτωση παραβίασης των συμβάσεων εκ μέρους των υπό-εκτελούντων την επεξεργασία. Αυτό θα μπορούσε να ρυθμιστεί είτε καθιστώντας τον εκτελούντα την επεξεργασία άμεσα υπεύθυνο έναντι του υπευθύνου της επεξεργασίας για τυχόν παραβιάσεις της νομοθεσίας εκ μέρους των υπό-εκτελούντων την επεξεργασία τους οποίους έχει προσλάβει, είτε προβλέποντας δικαίωμα τρίτου επικαρπωτή προς όφελος του υπευθύνου της επεξεργασίας στις συμβάσεις που υπογράφονται μεταξύ του εκτελούντος την επεξεργασία και των υπό-εκτελούντων την επεξεργασία, είτε, τέλος, μεριμνώντας για την υπογραφή των εν λόγω συμβάσεων εξ ονόματος του υπευθύνου της επεξεργασίας δεδομένων, γεγονός που καθιστά τον τελευταίο ως αντισυμβαλλόμενο. Βλ. Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.13-14. 49 Ως διαθεσιμότητα νοείται η διασφάλιση έγκαιρης και αξιόπιστης πρόσβασης σε δεδομένα προσωπικού χαρακτήρα. Ο υπεύθυνος της επεξεργασίας δεδομένων πρέπει να ελέγχει εάν ο πάροχος υπηρεσιών νεφοϋπολογιστικής λαμβάνει ή όχι εύλογα μέτρα για την αντιμετώπιση των διαφόρων κινδύνων περί τη διαθεσιμότητα των δεδομένων, όπως εφεδρικούς διαδικτυακούς συνδέσμους δικτύου, μηχανισμούς πολλαπλής αποθήκευσης και αποτελεσματικής εφεδρικής αποθήκευσης δεδομένων. Βλ. Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.19. 50

Ως ακεραιότητα νοείται η ιδιότητα των δεδομένων να διατηρούν τη γνησιότητά τους και να μην υφίστανται κακόβουλη ή τυχαία τροποποίηση κατά τη διάρκεια της επεξεργασίας, της αποθήκευσης ή της διαβίβασης. Βλ. Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.20. 51

Για τη διασφάλιση του απορρήτου των δεδομένων χρησιμοποιείται η λύση της κρυπτογράφησης αυτών. Η κρυπτογράφηση δεδομένων προσωπικού χαρακτήρα προτείνεται να χρησιμοποιείται σε όλες τις περιπτώσεις κατά τις οποίες τα δεδομένα βρίσκονται «σε κίνηση» και, εφόσον είναι διαθέσιμη, όταν τα δεδομένα βρίσκονται «σε αδράνεια». Η λύση της κρυπτογράφησης των δεδομένων πρέπει να είναι εφικτή είτε από τον πάροχο των υπηρεσιών υπολογιστικού νέφους είτε από τον πελάτη αυτού. Δηλαδή το σύστημα των υπηρεσιών νεφοϋπολογιστικής του παρόχου δεν θα πρέπει να απορρίπτει λύσεις κρυπτογράφησης που δεν περιλαμβάνονται στις υπηρεσίες του παρόχου. Σε ορισμένες περιπτώσεις (π.χ. υπηρεσία αποθήκευσης IaaS), ο πελάτης υπηρεσιών νεφοϋπολογιστικής δύναται να μην επιλέξει τη λύση της κρυπτογράφησης που προσφέρει ο πάροχος υπηρεσιών νεφοϋπολογιστικής, αλλά να προτιμήσει να προβεί σε κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα προτού τα στείλει στο υπολογιστικό νέφος. Για τη διασφάλιση του απορρήτου των δεδομένων, η επικοινωνία μεταξύ του παρόχου και του πελάτη υπηρεσιών νεφοϋπολογιστικής, καθώς και μεταξύ των κέντρων δεδομένων, προτείνεται να είναι κρυπτογραφημένη. Για τον ίδιο λόγο, η εξ αποστάσεως διαχείριση της πλατφόρμας υπολογιστικού νέφους προτείνεται να γίνεται μόνο μέσω ασφαλούς διαύλου επικοινωνίας. Πέραν αυτών, πρόσθετα τεχνικά μέτρα για τη διασφάλιση του απορρήτου μπορεί να είναι, μεταξύ άλλων, οι μηχανισμοί αδειοδότησης και αδιάβλητης πιστοποίησης (π.χ. έλεγχος γνησιότητας με δύο παράγοντες). Βλ. Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.20. 52 Ο υπεύθυνος επεξεργασίας δεδομένων σε περιβάλλον νεφοϋπολογιστικής πρέπει να παρέχει στο πρόσωπο

από το οποίο συλλέγονται δεδομένα που το αφορούν πληροφορίες για την ταυτότητά του και τον σκοπό της επεξεργασίας. Πρέπει, επίσης, να παρέχει οποιαδήποτε περαιτέρω πληροφορία, όπως τους αποδέκτες ή τις

36

κατηγορίες αποδεκτών των δεδομένων, όπου μπορεί κάλλιστα να περιλαμβάνονται, μεταξύ άλλων, οι εκτελούντες και οι υπό-εκτελούντες την επεξεργασία, εφόσον οι πληροφορίες αυτές είναι αναγκαίες ώστε να εξασφαλίζεται η θεμιτή επεξεργασία έναντι του προσώπου στο οποίο αναφέρονται τα δεδομένα. Η διαφάνεια πρέπει να διασφαλίζεται και στο πλαίσιο της σχέσης (ή των σχέσεων) μεταξύ του πελάτη υπηρεσιών νεφοϋπολογιστικής εφόσον αυτός είναι ο υπεύθυνος επεξεργασίας δεδομένων κατά το νόμο, του παρόχου υπηρεσιών νεφοϋπολογιστικής και των υπεργολάβων αυτού εάν υπάρχουν. Ο πελάτης υπηρεσιών νεφοϋπολογιστικής είναι σε θέση να αξιολογεί τη νομιμότητα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα εντός του υπολογιστικού νέφους μόνο εάν ο πάροχος τον ενημερώνει για όλα τα συναφή ζητήματα. Συνεπώς, ο υπεύθυνος της επεξεργασίας που προτίθεται να προσλάβει πάροχο υπηρεσιών νεφοϋπολογιστικής πρέπει να ελέγχει προσεκτικά τους γενικούς και ειδικούς όρους της σύμβασης του παρόχου υπηρεσιών νεφοϋπολογιστικής και να τους αξιολογεί από τη σκοπιά της προστασίας των δεδομένων. Βλ. Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.14. 53

Η οδηγία 95/46/ΕΚ παρέχει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα τα δικαιώματα της πρόσβασης, της διόρθωσης, της διαγραφής, του κλειδώματος και της αντίταξης (βλ. άρ.12 και άρ.14). Ο πελάτης υπηρεσιών νεφοϋπολογιστικής πρέπει να εξακριβώνει ότι ο πάροχος υπηρεσιών νεφοϋπολογιστικής δεν παρεμποδίζει καθ’ οιονδήποτε τρόπο σε τεχνικό και οργανωτικό επίπεδο την άσκηση των δικαιωμάτων αυτών, ακόμη και στις περιπτώσεις στις οποίες τα δεδομένα υφίστανται μεταγενέστερη επεξεργασία από υπεργολάβους. Η σύμβαση μεταξύ του πελάτη και του παρόχου πρέπει να αναφέρει ρητά ότι ο πάροχος υπηρεσιών νεφοϋπολογιστικής υποχρεούται να παρέχει στήριξη στον πελάτη όσον αφορά τη διευκόλυνση της άσκησης των δικαιωμάτων που έχουν τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, και να διασφαλίζει ότι το ίδιο ισχύει για τη σχέση του με οποιονδήποτε υπεργολάβο. Βλ. Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.21. 54

Η φορητότητα των δεδομένων αφορά στη δυνατότητα των υπηρεσιών νεφοϋπολογιστικής να διευκολύνουν τη διαλειτουργικότητα μεταξύ των διαφόρων παρόχων των υπηρεσιών αυτών. Εάν ο πελάτης υπηρεσιών νεφοϋπολογιστικής αποφασίσει να αλλάξει πάροχο υπηρεσιών νεφοϋπολογιστικής, η ενδεχόμενη έλλειψη διαλειτουργικότητας μπορεί να καταστήσει αδύνατη ή τουλάχιστον πολύ δύσκολη τη διαβίβαση των δεδομένων (προσωπικού χαρακτήρα) του πελάτη στον νέο πάροχο υπηρεσιών νεφοϋπολογιστικής (πρόκειται για τη λεγόμενη εξάρτηση από τον εκάστοτε προμηθευτή). Ο πελάτης υπηρεσιών νεφοϋπολογιστικής πρέπει να ελέγχει κατά πόσον ο πάροχος εγγυάται ή όχι, και με ποιον τρόπο, τη φορητότητα δεδομένων και υπηρεσιών, προτού αποφασίσει να κάνει χρήση κάποιας υπηρεσίας νεφοϋπολογιστικής. Βλ. Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.22. 55

Σύμφωνα με την αρχή του προσδιορισμού και του περιορισμού του σκοπού, τα δεδομένα προσωπικού χαρακτήρα πρέπει να συλλέγονται για καθορισμένους, σαφείς και νόμιμους σκοπούς και η μεταγενέστερη επεξεργασία τους να συμβιβάζεται με τους σκοπούς αυτούς (βλ. άρθρο 6 παράγραφος 1 στοιχείο β) της οδηγίας 95/46/ΕΚ). Ο πελάτης υπηρεσιών νεφοϋπολογιστικής πρέπει να προσδιορίζει τον ή τους σκοπούς της επεξεργασίας πριν από τη συλλογή δεδομένων προσωπικού χαρακτήρα από το πρόσωπο στο οποίο αναφέρονται και να ενημερώνει σχετικά το τελευταίο. Ο πελάτης υπηρεσιών νεφοϋπολογιστικής δεν πρέπει να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για άλλους σκοπούς μη συμβατούς με τους αρχικούς. Επιπλέον, πρέπει να διασφαλίζεται ότι τα δεδομένα προσωπικού χαρακτήρα δεν υφίστανται (παράνομη) επεξεργασία για περαιτέρω σκοπούς από τον πάροχο υπηρεσιών νεφοϋπολογιστικής ή από κάποιον υπεργολάβο του. Η σύμβαση μεταξύ του παρόχου και του πελάτη υπηρεσιών νεφοϋπολογιστικής θα πρέπει να περιλαμβάνει, μεταξύ άλλων, τεχνικά και οργανωτικά μέτρα μετριασμού του κινδύνου συλλογής και επεξεργασίας δεδομένων πέραν του σκοπού της αρχικής συλλογής και επεξεργασίας και θα πρέπει, επίσης, να παρέχει εγγυήσεις όσον αφορά την καταγραφή και τον έλεγχο των συναφών διαδικασιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα οι οποίες επιτελούνται από υπαλλήλους του παρόχου υπηρεσιών νεφοϋπολογιστικής ή από τους εργολάβους αυτού. Βλ. Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.15. 56

Σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο ε) της οδηγίας 95/46/ΕΚ, τα δεδομένα προσωπικού χαρακτήρα πρέπει να διατηρούνται με μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των προσώπων στα οποία αναφέρονται μόνο κατά τη διάρκεια περιόδου που δεν υπερβαίνει την απαιτούμενη για την επίτευξη των σκοπών για τους οποίους έχουν συλλεγεί ή για τους οποίους αργότερα υφίστανται επεξεργασία. Τα δεδομένα προσωπικού χαρακτήρα που δεν χρειάζονται πια πρέπει να διαγράφονται ή να καθίστανται απολύτως ανώνυμα. Εάν τα εν λόγω δεδομένα προσωπικού χαρακτήρα δεν μπορούν να διαγραφούν λόγω νομικών κανόνων που

37

υπαγορεύουν τη διατήρησή τους (π.χ. φορολογικές ρυθμίσεις), πρέπει να εμποδίζεται η πρόσβαση σε αυτά. Ως ασφαλής διαγραφή δεδομένων προσωπικού χαρακτήρα νοείται είτε η καταστροφή ή ο απομαγνητισμός του μέσου αποθήκευσης είτε η αποτελεσματική διαγραφή των αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με τη μέθοδο της επεγγραφής (overwriting). Η σύμβαση μεταξύ του παρόχου και του πελάτη υπηρεσιών υπολογιστικού νέφους πρέπει να περιέχει σαφή διάταξη περί διαγραφής των δεδομένων προσωπικού χαρακτήρα. Το ίδιο ισχύει για τις συμβάσεις μεταξύ παρόχων υπηρεσιών νεφοϋπολογιστικής και υπεργολάβων. Βλ. Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.15-16. 57

Βλ. αρ.17 παρ.2, 3 Οδηγίας 95/46/ΕΚ 58

Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.6-7. 59

Ομάδα Εργασίας Άρθρου 29, (2012), ibid, σ.8. 60

Λ. Μήτρου, (2015), ibid. σ.536-538. 61

Βλ. σχετική αναφορά του σκοπού για τον οποίο προτείνεται η υιοθέτηση πανευρωπαϊκά κώδικα δεοντολογίας για παρόχους υπηρεσιών νεφοϋπολογιστικής στο τμήμα περί του Σκοπού (Purpose) του προτεινόμενου κώδικα ενταγμένου στο νομικό πλαίσιο για την προστασία δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση, σε σελ.6 του Cloud Select Industry Group, (2015), Data Protection – Code of Conduct for Cloud Service Providers, διαθέσιμο σε https://ec.europa.eu/digital-single-market/en/news/data-protection-code-conduct-cloud-service-providers (τελευταίος έλεγχος, 10 Ιουνίου 2016). 62

Ευρωπαϊκή Επιτροπή, (2014), Cloud Service Level Agreement Standardisation Guidelines, διαθέσιμο σε https://ec.europa.eu/digital-single-market/en/news/cloud-service-level-agreement-standardisation-guidelines (τελευταίος έλεγχος, 10 Ιουνίου 2016). 63

Όροι χρησιμοποιούμενοι σε SLA μπορεί να είναι οι εξής: Application Programming Interface (API), Auditability (ελεγξιμότητα), Availability (διαθεσιμότητα), Cloud Computing (νεφοϋπολογιστική), Cloud Infrastructure (νεφοϋπολογιστική υποδομή), Cloud Service (υπηρεσία νεφοϋπολογιστικής), Cloud Service Customer (πελάτης νεφοϋπολογιστικής υπηρεσίας), Cloud Service Customer Data (δεδομένα πελάτη νεφοϋπολογιστικής υπηρεσίας), Cloud Service Derived Data (δεδομένα που δημιουργούνται από τη διάδραση του πελάτη με το σύστημα νεφοϋπολογιστικής), Cloud Service Provider (πάροχος συστήματος νεφοϋπολογιστικής), Cloud Service Provider Data (δεδομένα παρόχου συστήματος νεφοϋπολογιστικής), Cloud Service User (χρήστης συστήματος νεφοϋπολογιστικής), Cloud SLA Life Cycle (χρονική διάρκεια ισχύος της SLA), Cryptographic Key Management (σύστημα διαχείρισης κλειδιού κρυπτογράφησης δεδομένων), Data Controller (υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα), Data Processor (εκτελών επεξεργασία δεδομένων προσωπικού χαρακτήρα), Data Format (μορφότυπος δεδομένων), Data Integrity (ακεραιότητα δεδομένων), Data Intervenability (προσβασιμότητα υποκειμένου στα δικά του δεδομένα), Data Life Cycle (κύκλος ζωής δεδομένων που περιλαμβάνει τη δημιουργία, αποθήκευση, επεξεργασία, μοίρασμα, αρχειοθέτηση και καταστροφή αυτών), Data Location (γεωγραφικός τόπο επεξεργασίας ή αποθήκευσης ή αρχειοθέτησης δεδομένων), Data Portability (φορητότητα δεδομένων), Data Protection (προστασία δεδομένων), Data Subject (υποκείμενο δεδομένων), Hybrid Cloud (υβριδικό σύστημα νεφοϋπολογιστικής), Identity Assurance (επαλήθευση ταυτότητας), Incident Notification and Transparency (σύστημα ενημέρωσης και διαφάνειας), Information Security (ασφάλεια πληροφοριών), Infrastructure-as-a-Service (Υποδομή ως Υπηρεσία), Personal Data (δεδομένα προσωπικού χαρακτήρα), Platform-as-a-Service (Πλατφόρμα ως Υπηρεσία), Private Cloud (ιδιωτικό σύστημα νεφοϋπολογιστικής), Processing of Personal Data (επεξεργασία δεδομένων προσωπικού χαρακτήρα), Public Cloud (δημόσιο σύστημα νεφοϋπολογιστικής), Response Time (χρόνος ανταπόκρισης), Reversibilty (αναστρεψιμότητα), Sensitive Data (ευαίσθητα προσωπικά δεδομένα), Software-as-a-Service (Λογισμικό ως Υπηρεσία), Temporary Data (προσωρινά δεδομένα), Vulnerability (τρωτότητα). 64

Ευρωπαϊκή Επιτροπή, (2010), Απόφαση της Επιτροπής 2010/87/ΕΕ σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρας σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της Οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, Ε(2010) 593, διαθέσιμο σε http://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CELEX:32010D0087&from=EL (τελευταίος έλεγχος, 10 Ιουνίου 2016). 65

Ομάδα Εργασίας Άρθρου 29, (2010), Γνώμη 3/2010 σχετικά με την αρχή της λογοδοσίας, WP 173, 00062/10/EL, διαθέσιμο σε http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_el.pdf (τελευταίος έλεγχος, 10 Ιουνίου 2016).

38

66

Cloud Select Industry Group, (2015), Data Protection – Code of Conduct for Cloud Service Providers, διαθέσιμο σε https://ec.europa.eu/digital-single-market/en/news/data-protection-code-conduct-cloud-service-providers (τελευταίος έλεγχος, 10 Ιουνίου 2016). 67

Ομάδα Εργασίας Άρθρου 29, (2015), Opinion 02/2015 on the C-SIG Code of Conduct on Cloud Computing, WP 232, 2588/15/EN διαθέσιμο σε http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2015/wp232_en.pdf (τελευταίος έλεγχος, 10 Ιουνίου 2016). 68

Ευρωπαϊκή Επιτροπή, (2015), Opinion of the Article 29 Data Protection Working Party on the Code of conduct on data protection for cloud service providers, 12/10/2015, διαθέσιμο σε https://ec.europa.eu/digital-single-market/en/news/opinion-article-29-data-protection-working-party-code-conduct-data-protection-cloud-service (τελευταίος έλεγχος, 10 Ιουνίου 2016). 69

Βλ. Cloud Select Industry Group, (2015), ibid, σελ.10, Conditions of adherence: Any declaration of adherence to the Code submitted in accordance with the governance section of the Code must relate to all parts of the Code: CSPs cannot submit such declarations if they declare to adhere to only a chosen part of the Code or to exclude certain sections of the Code. 70

Βλ. Ομάδα Εργασίας Άρθρου 29, (2010), Γνώμη 1/2010 σχετικά με τις έννοιες του ‘υπεύθυνου επεξεργασίας’ και του ‘εκτελούντος την επεξεργασία’, WP 169, 00264/10/EL, διαθέσιμο σε http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_el.pdf (τελευταίος έλεγχος, 10 Ιουνίου 2016). 71

Βλ. Ευρωπαϊκή Επιτροπή, (2001), Decision 2001/497/EC Set I Standard contractual clauses for the purposes of Article 26(2) of Directive 95/46/EC for the transfer of personal data to third countries which do not ensure an adequate level of protection (controller to controller transfers), διαθέσιμο σε http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm (τελευταίος έλεγχος, 10 Ιουνίου 2016). 72 Βλ. Ευρωπαϊκή Επιτροπή, (2004), Decision 2004/915/EC Set ΙI Standard contractual clauses for the transfer of

personal data from the Community to third countries (controller to controller transfers), διαθέσιμο σε http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm (τελευταίος έλεγχος, 10 Ιουνίου 2016). 73 Βλ. Ευρωπαϊκή Επιτροπή, (2010), Decision 2010/593/EC Standard contractual clauses (processors), διαθέσιμο σε

http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm (τελευταίος έλεγχος, 10 Ιουνίου 2016). 74

Βλ. Ομάδα Εργασίας Άρθρου 29, (2003), Working Document: transfers of personal data to third countries: Applying article 26(2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers, WP 74, 11639/02/EN, διαθέσιμο σε http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2003/wp74_en.pdf (τελευταίος έλεγχος, 10 Ιουνίου 2016)· το ίδιο, (2005), Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on Adequate Safeguards Resulting from ‘Binding Corporate Rules’, WP 107, 05/EN, διαθέσιμο σε http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/wp107_en.pdf (τελευταίος έλεγχος, 10 Ιουνίου 2016)· το ίδιο, (2005), Working Document Establishing a Model Checklist Application for Approval of Binding Corporate Rules, WP 108, 05/EN, διαθέσιμο σε http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/wp108_en.pdf (τελευταίος έλεγχος, 10 Ιουνίου 2016)· το ίδιο, (2008), Working Document Setting up a framework for the structure of Binding Corporate Rules, WP 154, 1271-00-01/08/EN, διαθέσιμο σε http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp154_en.pdf (τελευταίος έλεγχος, 10 Ιουνίου 2016)· το ίδιο, (2008), Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules, WP 153, 1271-00-00/08/EN, διαθέσιμο σε http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp153_en.pdf (τελευταίος έλεγχος, 10 Ιουνίου 2016)· το ίδιο, (2009), Working Document on Frequently Asked Questions (FAQ) related to Binding Corporate Rules, WP 155 rev.04, 1271-04-02/08/EN, διαθέσιμο σε http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp155_rev.04_en.pdf (τελευταίος έλεγχος, 10 Ιουνίου 2016). 75

APEC, (2011), Cross Border Privacy Rules (CBPR) system, διαθέσιμο σε http://www.cbprs.org/GeneralPages/APECCBPRSystemDocuments.aspx (τελευταίος έλεγχος, 10 Ιουνίου 2016).

39

76

Η Ευρωπαϊκή Επιτροπή με την Απόφαση 2000/520/ΕΚ της 26ης

Ιουλίου 2000 σχετικά με την επάρκεια της προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ, διαθέσιμο σε http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32000D0520:El:HTML (τελευταίος έλεγχος, 10 Ιουνίου 2016) βάσει της Οδηγίας 95/46/ΕΚ έκρινε ως επαρκές το σύνολο των κανόνων που εξέδωσε το Υπουργείο Εμπορίου των ΗΠΑ με στόχο της διευκόλυνση της διαβίβασης δεδομένων σε εταιρίες εγκατεστημένες στις ΗΠΑ που δραστηριοποιούνταν στην ΕΕ ή στόχευαν δεδομένων Ευρωπαίων πολιτών. 77

Η υπόθεση Maximillian Schrems κατά Data Protection Commissioner προέκυψε το 2013 όταν μετά τις αποκαλύψεις του Edward Snowden για τις δραστηριότητες της National Security Agency των ΗΠΑ περί του ελέγχου πληροφοριών και δεδομένων στο διαδίκτυο και στις βάσεις δεδομένων αμερικανικών εταιριών, ο Schrems, αυστριακός υπήκοος που χρησιμοποιεί το Facebook, υπέβαλε στον Ιρλανδό Επίτροπο για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα ερώτημα/καταγγελία περί την ασφάλεια των δεδομένων που διατίθενται στο Facebook και μεταφέρονται μέσω της θυγατρικής εταιρίας του Facebook στην Ιρλανδία στις ΗΠΑ όπου εδρεύει η εταιρία. Η υπόθεση μετά τον Ιρλανδό Επίτροπο υποβλήθηκε ενώπιον του Ανώτατου Δικαστηρίου της Ιρλανδίας το οποίο απασχόλησε αν η απόφαση αυτή της Επιτροπής 2000/520/ΕΚ εμποδίζει εθνική αρχή ελέγχου να ερευνήσει καταγγελία κατά την οποία τρίτη χώρα, όπως η ΗΠΑ, δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας, και, εφόσον χρειάζεται, να αναστείλει τη διαβίβαση των επίμαχων δεδομένων. Το Ανώτατο Δικαστήριο της Ιρλανδίας υπέβαλε προδικαστική παραπομπή με το ως άνω ερώτημα στο Δικαστήριο της Ευρωπαϊκής Ένωσης που τελικά έκρινε ότι ενόψει των παρεμβάσεων και ελέγχου της NSA των ΗΠΑ στα δεδομένα που μεταβιβάζονται σ’ αυτές μέσω αμερικανικών επιχειρήσεων που δραστηριοποιούνται στην Ευρώπη, δεν πληρούνται οι προϋποθέσεις ασφάλειας των δεδομένων που ισχύουν στην Ευρώπη. 78

Βλ. Δελτίο Τύπου του Δικαστηρίου της Ευρωπαϊκής Ένωσης υπ’ αριθμ.117/15 διαθέσιμο σε http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117el.pdf (τελευταίος έλεγχος, 10 Ιουνίου 2016). 79

Βλ. European Union Agency for Network and Information Security, (2016), Cloud Computing certification – CCSL and CCSM, διαθέσιμο σε https://resilience.enisa.europa.eu/cloud-computing-certification (τελευταίος έλεγχος, 10 Ιουνίου 2016).