Embed Size (px)
DESCRIPTION
Agata Kowalska Joanna Jastrząb Topic of Presentation: Practical aspects of cloud-computing for operators Language: Polish Abstract: Solutions that use cloud-computing are becoming more and more popular and common both in business activity and private life. Along with the increasing interest in cloud-computing grows the awareness of the legal problems concerning these services, specifically in the context of personal data protection and requirements imposed on the electronic providers. Safe data-processing in the cloud is quite a challenge for a provider because of the abundance of regulations, which have to be taken into consideration whilst defying his duties and procedures which have to be applied. The aim of this speech is to point out the most important provisions to be applied during data-processing in the cloud (specifically its storage) and the newest opinions presented in this matter in literature and jurisdiction. Taking into account the practical gravity of the issue, the following topics will be discussed: the duties stemming from Electronic Services Providing Regulation and the basis for exclusion the responsibility of a provider the issues connected with works as perceived in copyright and responsibility for infringement third persons’ copyrights (e. g. by storing illegal works in the cloud) the problem of protection of sensitive informations such as confidential business information and consequences of inadequate due diligence in this matter. Special attention due to the current problem will be paid to the problem of data storage in the cloud. In the speech will be presented basic duties, which burden the data administrator. Furthermore dangers connected with the specific of this service will be indicated. It is provided without concurrent presence of the parties and personal data are often stored on the servers placed in different countries. This however involves danger of its loss if the provider does not possess its physical copy or actual control over it. These issues are a part of the wider context of reflections over personal data protection and rights of individuals, which are heatedly discussed domestically and in European Union (apart from actual raports and speeches of General Inspector of Personal Data, this issue must be discussed in the context of the strategy adopted by European Commission (European Strategy for Cloud Computing).
Citation preview
Praktyczne problemy cloud-computingu (aspekty prawne)
Chabasiewicz Kowalska i Partnerzy
Kraków, 30 września 2014 r.
1
Cloud computing - definicja
Definicja NISTPrzetwarzanie w chmurze to model świadczenia usług przetwarzania danych, pozwalający na dostęp na żądanie, przez sieć, do dzielonej puli zasobów (sieciowych, serwerowych, pamięci masowych, aplikacji i usług). Zasoby te mogą być zamawiane przez klientów i w odpowiedni sposób konfigurowane w zależności od potrzeb użytkowników oraz dostarczane na żądanie i udostępniane przy minimalnym zaangażowaniu odbiorcy usługi.
Modele wdrożenia: chmura publiczna, prywatna, hybrydowa…
Modele świadczenia usługi:
SaaS – aplikacje dostępne przez przeglądarkę internetową i niezainstalowane lokalnie;
PaaS - aplikacje i narzędzia są dostępne u dostawcy zdalnych usług;
IaaS – to serwery, pamięci masowe i sprzęt sieciowy dostarczane jako usługa. 2
Obawy przed CC
Prywatność danych Dostępność usług i danych Integralność danych Poufność danych firmowych oraz obowiązek zachowania
tajemnicy zawodowej Możliwość wyparcia się wykonania czynności na danych Utrata kontroli nad usługami / danymi Brak odpowiedzialności dostawców usług Niespójności w uregulowaniach transgranicznych Niejasne uregulowania cenowe Niekontrolowany koszt (zależny od użycia) Koszty i trudności migracji do chmury
3
Cloud computing
Z perspektywy prawa: usługa świadczona drogą elektroniczną„Wszystkie usługi, których wykonanie następuje przez wysyłanie i odbieranie danych za pomocą systemów teleinformatycznych na indywidualne żądanie usługobiorcy (klienta), bez jednoczesnej obecności stron, przy czym dane te muszą zostać transmitowane za pośrednictwem sieci publicznych.”
Problemy: umowy transgraniczne (wybór prawa i jurysdykcji (jaki sąd jest właściwy?); farmy serwerów (wsparcie infrastrukturalne przez podwykonawców); odpowiedzialność, dane osobowe; regulamin; prawa autorskie; przetwarzanie danych osobowych; certyfikacje; klauzule wyjścia (zwrot danych, usunięcie, okres przejściowy)
4
Obowiązki usługodawcy
KC + UŚUDE + UODO konieczność opracowania umowy lub regulaminu, który będzie regulował
kompleksowo relacje z usługobiorcą oraz uwzględni interesy usługodawcy (art. 8 UŚUDE)
szczególne regulacje, kiedy druga strona jest konsumentem; problem odpowiedzialności wobec usługobiorcy oraz osób trzecich (jakie roszczenia
mogą mieć moi klienci oraz jakie skutki wynikają z prawa – analiza potrzeb); umowa (service level agreement) – definicja usługi, podanie podstawowych
informacji o usługodawcy oraz parametry usługi (dostępność, wydajność, poziom wsparcia dostawcy, bezpieczeństwo danych, ich ochrona, środki naprawcze na wypadek przestoju);
zapewnienie działania systemu teleinformatycznego, w tym zabezpieczenie technikami kryptograficznymi, identyfikację stron usługi, potwierdzenie faktu złożenia oświadczenia woli;
zgodne z prawem przetwarzanie danych osobowych5
Regulamin - opcja minimum
Niezbędne elementy regulaminu: dane identyfikujące usługodawcę (imię i nazwisko/ firma, adres,
nr telefonu, adres e-mail) rodzaje i zakres usług świadczonych drogą elektroniczną; warunki świadczenia usług drogą elektroniczną, w tym:
wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym, którym posługuje się usługodawca,
zakaz dostarczania przez usługobiorcę treści o charakterze bezprawnym;
warunki zawierania i rozwiązywania umów o świadczenie usług drogą elektroniczną;
szczególne zagrożenia związane z usługą tryb postępowania reklamacyjnego. procedurę zgłaszania naruszeń i awarii przez usługobiorcę
brak regulaminu lub brak jego udostępnienia usługobiorcy = brak związania usługobiorcy jego postanowieniami
6
Z praktyki…
Przykłady postanowień dot. CC
„11. NIEAUTORYZOWANY DOSTĘP DO DANYCH UŻYTKOWNIKA I KORZYSTANIA Z USŁUG
11.1 Użytkownik odpowiada za dostęp do Usług i korzystanie z nich przez osoby, które Użytkownik upoważnił do dostępu lub korzystania z Usług lub którym udostępnił dane umożliwiające uwierzytelnienie w Chmurze i na Koncie Użytkownika, w tym za działania i zaniechania takich osób, a także za swoje działania lub zaniechania w zakresie zabezpieczenia dostępu do Usług, w tym do danych umożliwiających uwierzytelnienie.”
https://www.oktawave.com/pl/regulamin.html
7
Z praktyki cd…Przykłady postanowień dot. CC c.d.
„19. ODPOWIEDZIALNOŚĆ ZA UTRATĘ DANYCH UŻYTKOWNIKA
19.1 Zważywszy, że z wyjątkiem Usługi Backupu (Usługa Bezpieczeństwa Danych) Danych Użytkownika, przedmiotem żaden innej z Usług świadczonych Użytkownikowi nie jest tworzenie kopii zapasowych Danych Użytkownika, a także, że Użytkownik zobowiązany jest samodzielnie trzymać kopię zapasową Danych Użytkownika, odpowiedzialność za utratę Danych Użytkownika ponosi Użytkownik.
19.2 Usługodawca nie ponosi odpowiedzialności za utratę Danych Użytkownika, chyba że Użytkownik wykupił dostęp do Oktawave Cloud Storage lub Oktawave Volume Storage. W takiej sytuacji odpowiedzialność Usługodawcy w związku z utratą Danych Użytkownika reguluje Standardowa Umowa o Poziomie Usług.”
https://www.oktawave.com/pl/regulamin.html
8
Konsumenci
Uwaga! Umowa z konsumentem:
szersze obowiązki informacyjne ze względu na wejście w życie 25 grudnia 2014 r. ustawy o prawach konsumenta;obowiązki informacyjne;prawo odstąpienia od umowy bez podawania przyczyny:
w terminie 10 (od grudnia – 14) dni od dnia zawarcia umowy, m.in. pod warunkiem, że usługodawca nie wykonał w pełni
swojej usługi za zgodą konsumenta oraz, w przypadku dostarczania treści cyfrowych niezapisanych na nośniku materialnym, pod warunkiem że usługodawca nie rozpoczął spełniania świadczenia za wyraźną zgodą konsumenta
kontrola regulaminu z punktu widzenia niedozwolonych klauzul umownych
9
Klauzule abuzywne
Przykłady niedozwolonych postanowień umownych:„Open Finance S.A. nie odpowiada za działania osób trzecich obsługujących system informatyczny serwisu, jak również za szkody powstałe w wyniku uszkodzenia sprzętu komputerowego użytkownika, bądź jego zasobów danych, w trakcie lub w związku z korzystaniem z zasobów serwisu, w szczególności na skutek przedostania się do systemu informatycznego użytkownika wirusów komputerowych”"Web-Net nie ponosi żadnej odpowiedzialności: (…) z tytułu strat, jakie może ponieść Abonent na skutek niewłaściwego działania Web-Net lub sieci Internet oraz urządzeń do niej przyłączonych a w szczególności - za utratę danych lub zniszczenie oprogramowania""Całkowita odpowiedzialność Dostawcy wobec użytkownika (dochodzona na podstawie jakiegokolwiek tytułu prawnego) ograniczona jest do wysokości opłat faktycznie uiszczonych przez użytkownika w związku ze skorzystaniem z Serwisu"
10
CC – SaaS
Czy potrzebna jest licencja na oprogramowanie w chmurze?licencja nie jest konieczna, gdy program w chmurze nie jest powielany („trwałe lub czasowe zwielokrotnianie”) na komputerze odbiorcy (art. 74 ust.4 pkt.1 pr.aut.);jeżeli program jest jedynie wyświetlany na monitorze (przejściowe i incydentalne korzystanie – dozwolony użytek?) powielanie w komputerze usługobiorcy = reżim ustawy o pr.aut.
licencja odpłatna lub nieodpłatna forma: dowolna (licencja niewyłączna) lub pisemna (licencja wyłączna) możliwość kształtowania czasu trwania licencji oraz okresów wypowiedzenia element niezbędny – wymienienie pól eksploatacji; konsekwencje podatkowe
11
Dane osobowe - słowniczek dane osobowe: wszelkie informacje: imię, nazwisko i adres, adres mailowy, zdjęcia, filmy,
zarejestrowane głosy, tzw. dane biometryczne (cechy źrenicy, linie papilarne, cechy twarzy, geometria ręki) itp. – pod warunkiem, że mogą służyć do zidentyfikowania nas. Informacja staje się więc daną osobową, jeżeli można tę informację powiązać z konkretną osobą;
ADO: każdy kto przetwarza dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych; posiadacz zbioru danych, który decyduje o celach i środkach przetwarzania staje się ich administratorem i musi zarejestrować zbiór danych, a także zapewnić bezpieczeństwo ich przechowywania;
zbieranie tych informacji i ich przetwarzanie może nastąpić tylko w przypadkach przewidzianych w prawie, tj. przede wszystkim w przypadku uzyskania zgody osoby albo przetwarzania dla celów zrealizowania umowy; przetwarzanie to: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie (jakiekolwiek operacje na DO zwłaszcza w systemach informatycznych);
Usługodawca zobowiązany jest do zapewnienia należytego poziomu ochrony danych osobowych oraz ich zgłoszenia do GIODO
Możliwość bezpłatnego zgłoszenia poprzez formularz dostępny na https://egiodo.giodo.gov.pl
12
Przechowywanie danych osobowych w chmurze - wątpliwości
UWAGA: od 2015 roku zmiana prawa unijnego
Dyrektywa 95/46/WE zostanie zastąpiona rozporządzeniem PEiR w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych – bezpośrednie stosowanie;
wskazówki i rekomendacje grupy roboczej art. 29 (5/2012); tzw. Memorandum Sopockie z 24.04. 2012 roku ( dokument roboczy w sprawie
przetwarzania danych osobowych w chmurze obliczeniowej- kwestie ochrony danych i prywatności);
czy przechowywanie danych osobowych w chmurze spełnia wymogi bezpieczeństwa?
czy administrator, który umieszcza dane w chmurze ma nad nimi realną kontrolę? czy hostingodawca również przetwarza dane osobowe, umieszczone w zbiorze
przez usługobiorcę - administratora?13
CC jako hostingOdpowiedzialność usługodawcy wobec podmiotów trzecich
Wyłączenie odpowiedzialności, gdy usługodawca:nie wie o bezprawnym charakterze danych lub związanej z nimi działalności albootrzymał urzędowe zawiadomienie lub uzyskał wiarygodną wiadomość o bezprawnym charakterze danych lub związanej z nimi działalności i niezwłocznie uniemożliwił dostęp do tych danych („notice and take down”)
Podmiot świadczący hosting nie jest obowiązany do sprawdzania przekazywanych, przechowywanych lub udostępnianych przez usługobiorców danych.
Ocena niezależna od tego, czy dane w chmurze są dostępne dla ogółu internautów czy zabezpieczone hasłem i dostępne jedynie dla usługobiorcy.
14
CC - hosting przechowywanie danych w ramach hostingu jest ich przetwarzaniem;
dostawca usługi nie ma obowiązku sprawdzania przechowywanych danych;
przetwarzającym jest sam ADO, dostawca hostingu nie dokonuje żadnych czynności na danych, chyba, że związane są one z tworzeniem kopii zapasowych;
ADO ma obowiązek zapewnić ustawowy poziom ochrony danych przetwarzanych przez podmioty trzecie;
jeżeli usługobiorca poinformuje dostawcę o tym, że będzie przechowywał na jego serwerach dane osobowe, to na dostawcy ciąży obowiązek spełnienia wymogów ustawy o ochronie danych osobowych, o ile nie poinformuje niezwłocznie i jednoznacznie usługobiorcy, że jego serwery nie są przystosowane do przetwarzania tego typu danych;
15
Przechowywanie danych osobowych w chmurze - wątpliwości
czy konieczne jest zawieranie umowy o przetwarzaniu danych osobowych przez osobę trzecią (usługodawcę)?co do zasady nie ma takiego obowiązku – decyduje wola stron i chęć zapewnienia większego poziomu bezpieczeństwa w stosunku do przechowywanych danych;
świadczenie usługi - umowa starannego działania, wzajemna, konsensualną i odpłatną (o ile strony nie postanowią inaczej);
efektem zawarcia takiej umowy jest nałożenie na osobę trzecią takich obowiązków, jakie ciążą na administratorze danych:
konieczność zabezpieczenia danych osobowych przetwarzanie tylko w zakresie i zgodnie z celem przetwarzania wyznaczonym
w umowie z administratorem (art. 31 UODO) obowiązek zabezpieczenia dotyczy danych osobowych a nie tylko zbioru danych obowiązek sprawowania kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do
zbioru wprowadzone oraz komu są one przekazywane obowiązek spełnienia wymogów określonych w rozporządzeniu w sprawie dokumentacji i
warunkach technicznych odpowiedzialność za przestrzeganie przepisów dotyczących zabezpieczenia danych podleganie kontroli GIODO
16
CC - hosting brak umowy – ograniczona odpowiedzialność za przetwarzanie danych
(stanowisko GIODO – ABC Bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych http://www.giodo.gov.pl/1520074/id_art/3910/j/pl/);
zapewnienie w umowie hostingowej, ze bezpieczeństwo serwerów spełnia minimalne wymogi określone w Rozporządzeniu w sprawie dokumentacji i warunków technicznych;
Odpowiedzialność za:nienależyte wykonanie umowy (przerwy w dostępie, awarie) – 471 k.c.ujawnienie danych, informacji chronionych czy prywatnych – o ile zrobiono to celowo (naruszenie dóbr osobistych, praw autorskich, czyny niedozwolone) lub nie dołożono należytej staranności w zakresie zabezpieczenia danych i informacji
17
Przechowywanie danych osobowych w chmurze - wątpliwości
Czy przechowywanie danych w osobowych w chmurze może być uznane za transfer danych do państwa trzeciego?kwestia zależna od oceny, czy usługodawca przetwarza dane osobowepaństwo trzecie = państwo spoza EOG
– swoboda przepływu danych w granicach UE i całego obszaru EOGistotny jest kraj siedziby usługodawcy, który przechowuje dane osobowena serwerzepaństwo trzecie musi dać gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium RP (UE)
– Komisja Europejską w drodze decyzji stwierdziła, które kraje taki poziom zapewniają, m.in. Argentyna, Australia, Izrael, Kanada, Szwajcaria, USA (safe harbour)
– Inne kraje – konieczność uzyskania zgody GIODO, który wyda ją po ocenie, jaki poziom bezpieczeństwa jest zapewniony
18
Przechowywanie danych osobowych w chmurze - wątpliwości
co na to GIODO? przechowywanie danych w chmurze jest dopuszczalne, ale: konieczność zapewnienia usługobiorcy realnej kontroli nad
danymi przez usługodawcę oraz gwarancji ich ochrony, zgodnie z przedstawionymi wcześniej uwagami
GIODO postuluje zmiany perspektywy: uznanie, że to nie dany kraj spełnia standardy bezpieczeństwa, a konkretny (np. certyfikowany) usługodawca – modelowe klauzule UE (SCC), BCR (wiążące reguły korporacyjne) – wymagania KE (transfer danych wewnątrz grupy)
19
European Strategy for Cloud Computing
Kluczowe działania w ramach strategii to: rozwiązanie problemu mnogości standardów, aby zapewnić użytkownikom chmury interoperacyjność, przenoszenie danych i odwracalność danych; promowanie ogólnounijnych mechanizmów certyfikacji dla wiarygodnych dostawców usług w modelu chmury; opracowanie wzoru „bezpiecznych i uczciwych” warunków dla umów dotyczących usług w chmurze, w tym umów o gwarantowanym poziomie usług;ustanowienie Europejskiego Partnerstwa na Rzecz Chmur Obliczeniowych z udziałem państw członkowskich i podmiotów branżowych, aby wykorzystać siłę nabywczą sektora publicznego w celu kształtowania europejskiego rynku chmury obliczeniowej, zwiększenia szans europejskich dostawców usług w modelu chmury na osiągnięcie poziomu zapewniającego konkurencyjność oraz dostarczenia tańszych i lepszych rozwiązań w zakresie elektronicznej administracji publicznej.
20
Dziękujemy za uwagę i zapraszamy do współpracy
Chabasiewicz, Kowalska i Partnerzy Radcowie Prawni
tel: +48 12 297 38 38, +48 12 297 38 30fax: +48 12 297 38 39
[email protected]@ck-legal.pl
www.ck-legal.pl
zapraszamy na naszego bloga: www.prawainwestora.pl
21
