Dosare juridice

Protectia datelor cu caracter personal si serviciile de tip cloud computing

de Adriana Nastase, Oana Apopei     Schoenherr si Asociatii
Miercuri, 8 mai 2013, 13:54 Dosare Juridice - IT & Telecom


Serviciile de tip cloud computing sunt privite ca noua sursa de crestere pentru companiile active pe piata tehnologiei. In acest context, in ultima perioada a crescut foarte mult atat numarul serviciilor si aplicatiilor de tip "cloud" disponibile pe piata, cat si numarul utilizatorilor acestora.

Cloud-ul ridica insa o serie de probleme de securitate, procesare si stocare a datelor cu caracter personal ale utilizatorilor (e.g. nume, telefon, CNP, adresa, etc.), care sunt mai putin luate in seama in actualul context legislativ, unde, cel putin in Romania, nivelul sanctiunilor aplicate pentru incalcarea prevederilor legale este relativ scazut.

In viitorul apropiat insa se intentioneaza adoptarea la nivelul Uniunii Europene a unui Regulament privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal si libera circulatie a acestor date. In forma actuala a Regulamentului, se prefigureaza infiintarea unei autoritati de supraveghere a datelor cu caracter personal la nivel UE, precum si amenzi usturatoare, raportate la cifra de afaceri globala anuala a unei companii, in cazul nerespectarii regimului protectiei datelor cu caracter personal. Odata adoptat, Regulamentul se va aplica direct in statele membre ale Uniunii Europene.

Avizul nr. 5/2012 privind "cloud computing"
In acest context, a fost adoptat relativ recent Avizul nr. 5/2012 privind "cloud computing" de catre Grupul de Lucru instituit in temeiul articolului 29 Directiva 95/46/CE privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date.

Avizul analizeaza, printre altele, o serie de implicatii negative ale serviciilor de tip "cloud" asupra protectiei datelor cu caracter personal, printre care (i) lipsa controlului utilizatorului asupra datelor respective, precum si (ii) informatii insuficiente cu privire la modalitatea, locul si entitatea de prelucrare/sub-prelucrare a datelor.

Riscuri asociate "cloud computing"
Astfel (i) lipsa transparentei asupra lantului de externalizare/subcontractare a prelucrarii de date cu caracter personal de catre furnizorul de servicii de tip "cloud"; (ii) lipsa unui cadru global comun al portabilitatii datelor si (iii) incertitudinea cu privire la admisibilitatea transferului de date cu caracter personal catre furnizorii de servicii de cloud computing stabiliti in afara SEE, sunt riscuri de care utilizatorul trebuie sa fie constient sau trebuie facut constient atunci cand doreste sa utilizeze serviciile de tip "cloud".

(i)    Subcontractarea
Furnizorul serviciilor de tip "cloud" de cele mai multe ori subcontracteaza catre terti o serie de servicii care implica prelucrare de date cu caracter personal. In aceasta situatie, contractele dintre furnizorii de servicii si clientii serviciilor de cloud computing ar trebui sa includa garantii suplimentare privind subcontractorii. Una dintre solutii, preluata de Comisie in propunerea de Regulament privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date, ar fi impunerea unor clauze contractuale intre furnizorul de servicii si utilizator, conform carora subcontractarea prelucrarii de date este permisa numai cu autorizarea prealabila a utilizatorului.

(ii)    Conformitatea cu principiile fundamentale
Prelucrarea de date in cadrul serviciilor de cloud computing trebuie sa garanteze respectarea principiilor fundamentale ale legislatiei UE privind protectia datelor, cum ar fi: (i) transparenta, (ii) specificarea si limitarea scopului (iii) stergerea datelor cu caracter personal imediat ce pastrarea lor nu mai este necesara precum si (iv) adoptarea de masuri tehnice si organizationale in scopul asigurarii unui nivel adecvat de protectie si securitate a datelor (i.e., disponibilitatea, integritatea, confidentialitatea, transparenta, izolarea ¬ limitarea scopului, posibilitatea de interventie, portabilitatea, responsabilitatea).

Respectarea fiecaruia dintre aceste principii trebuie detaliata si reglementata in contractul dintre furnizorul de servicii si utilizator. De asemenea, furnizorul de servicii trebuie sa-si structureze activitatea si serviciul oferit astfel incat sa poata asigura respectarea acestor principii.

(iii)    Transferuri internationale
Libera circulatie a datelor cu caracter personal catre tarile din afara SEE este conditionata de un nivel adecvat de protectie a datelor oferit de tara sau destinatarul datelor, iar in lipsa acestora, de operatorul si co-operatorii sai si/sau de persoanele imputernicite. Conform Grupului de Lucru, in contextul in care cloud computing se bazeaza pe o lipsa totala a unei locatii stabile a datelor in cadrul retelei furnizorului de cloud computing, datele se pot afla intr-un centru de date la ora 14.00 si in alta parte de pe glob la ora 16.00, utilizatorul aflandu-se foarte rar in pozitia de a putea cunoaste in timp real unde sunt localizate, stocate sau transferate datele sale.

Prin urmare, contractele incheiate cu utilizatorii ar trebui sa includa un set de garantii standardizate privind protectia datelor (e.g. audituri si certificari independente de catre terti ale serviciilor unui furnizor).

Concluzie

In actualul context legislativ, furnizorii de servicii de tip "cloud" ar trebui sa verifice in ce masura structura serviciului "cloud" oferit ridica problemele semnalate mai sus. In masura in care sunt identificate probleme, acestea ar trebui remediate.

Si mai important insa este sa urmareasca procesul legislativ la nivelul Uniunii Europene si sa se pregateasca pentru noua schimbare de regim juridic care va duce cu sine mai multa protectie pentru utilizatori si mai multe riscuri juridice pentru furnizorii de servicii.


Citeste mai multe despre   





Citeste doar ceea ce merita. Urmareste-ne si pe Facebook si Instagram.


















7520 vizualizari

  • +1 (3 voturi)    
    Comentariu sters de utilizator (Miercuri, 8 mai 2013, 14:16)

    [anonim]

    • +3 (3 voturi)    
      Cloud (Miercuri, 8 mai 2013, 18:40)

      Trojan.H [utilizator] i-a raspuns lui

      Asta daca cloud-ul e in afara tarii. Dar serverele pot fi in interiorul granitelor si astfel conceptul ramine in picioare bine-mersi. Strict despre securitatea datelor, va mai dura ceva pina cind lucrurile vor fi cit de cit clare.
    • +1 (1 vot)    
      Nu e chiar asa (Joi, 9 mai 2013, 10:24)

      Bogdan_1 [utilizator] i-a raspuns lui

      Spre exemplu in Franta armata are un cloud pe Internet (evident securizat cu VPN si servere aflate in locatii sigure) Structura e mai sigura decat cea cu servere locale deoarece chiar in cad de distrugere a unui server altul preia functiile inclusiv refacerea datelor oglindite). Securitatea e foarte ridicata deoarece serverele sunt distribuite in locatii confidentiale (inclusiv la contractanti privati) este redundanta la aplicatii si date iar datele sunt criptate cu chei asimetrice ce verifica si integritatea. Asa ca tehnologiile cloud bine proiectate sunt mai sigure si mai fiabile decat stocarile locale.
      • +1 (1 vot)    
        Comentariu sters de utilizator (Joi, 9 mai 2013, 11:32)

        [anonim] i-a raspuns lui Bogdan_1

        • +2 (2 voturi)    
          In completare (Joi, 9 mai 2013, 13:55)

          Bogdan_1 [utilizator] i-a raspuns lui

          Armata utilizeaza cloud tocmai pentru cresterea fiabilitatii si disponibilitatii serviciilor. daca cine vrea sa acceseze datele si in locatia primara a cazut alimentarea le ia (cu un dispozitiv mobil eventual) din locatiile oglinda. Datacenterele de cloud au alimentari redundante multiple si standardul curent spune ca nu se accepta o intrerupere a serviciilor mai mare de 1 min. pe an. Nu e chiar modelul grid ci mai curand modelul virtualizare servere extins in afara retelei locale. Astfel de structuri sunt si foarte greu de intrerupt de atacuri cibernetice, dezastre naturale, terorism, etc. Si armata americana utilizeaza acest model cu mentiunea ca legea lor nu le permite (desi exista probe ca nu respecta acest lucru) ca serverele sa fie locate in afara teritoriului SUA - cel mai mare centru e in Colorado langa Norad dar au practic peste tot (chiar centrele Google si Facebook au zone ale armatei - de cei doi se stie sigur probabil si alte companii cu datacentere mari au astfel de contracte cu armata).
  • 0 (0 voturi)    
    Birocatie UE (Joi, 9 mai 2013, 17:08)

    Unul111 [utilizator]

    Toate astea au un singur scop, birocratizarea serviciilor de cloud in asa fel incat marii jucatori de pe piata sa impuna restrictii micilor jucatori. Pe langa investitia in sine necesara businessului acuma os a fie nevoie sa dai bani pe audituri/ceritificari. Mai mult de atat, cu ocazia asta se infiinteaza noi caste specializate sa te beleasca de bani de tipul notarilor publici.
    Cred ca UE intrun final isi va merita soarta acolo unde se indreapta acum.
  • +1 (1 vot)    
    clouji romani (Joi, 9 mai 2013, 19:27)

    sisipisi [utilizator]

    Mdea, doi "clouji" neaosi de Romania, ceva parlamentari pare-se, Anca Boaaagiu si Dan Cristian Popescu au gabjit baza de adrese ale pensionarilor de la SPCEP din sectorul 2 si le trimit astora tot felul de felicitari gretoase cu urari de prosperitate si viata feicita... pensionarilor, fireste, nu functionarilor smecheri de la primarie...


Abonare la comentarii cu RSS

Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.

Aici puteti modifica setarile de Cookie

hosted by
powered by
developed by