legal issues of cloud computing, evangelia vagena
TRANSCRIPT
Νομικά ζητήματα νεφοϋπολογιστικής
Legal issues of cloud computing
Ευαγγελία Βαγενά, ΔΝ, DEAΔικηγόρος- Καθηγήτρια Τμήματος Πληροφορικής
Μητροπολιτικού Κολλεγίου
Ανοιχτό Σεμινάριο
«Σύγχρονες Τάσεις και Συμβουλές
για το Cloud Security»
21 Δεκεμβρίου-Μητροπολιτικό Κολλέγιο
Nεφοϋπολογιστική = Cloud computing"marketing hype" or the "latest fashion”?
σύνολο τεχνολογιών και μοντέλων
υπηρεσιών που εστιάζουν στη
διαδικτυακή χρήση και παροχή
εφαρμογών τεχνολογίας των
πληροφοριών, στη δυνατότητα
επεξεργασίας δεδομένων, στην
παροχή χώρου αποθήκευσης
δεδομένων και στην παροχή
μνήμης
in simplified terms can be
understood as the storing,
processing and use of data on
remotely located computers
accessed over the internet (ΕU
com)
European Cloud Computing Strategy
Communication on the "Unleashing the Potential of Cloud Computing in Europe" of
27 September 2012
«cutting through the jungle of standards»
interoperability of cloud services, facilitating data portability and reversibility
establishment of a European Cloud Partnership to drive innovation and growth for the
public sector
European Cloud Partnership (ECP)
Cloud Service Level Agreement Standardisation Guidelines by Cloud Select Industry Group ("C-
SIG")
draft data protection Code of Conduct for providers
Safe and Fair Contract Terms and Conditions
expert group to work on safe and fair terms for cloud computing for consumers and small
firms
https://ec.europa.eu/digital-single-market/en/cloud
Cloud υπηρεσίες: επισκόπηση νομικών ζητημάτων
Ζητήματα σχετικά με τις συμβάσεις
νεφοϋπολογιστικής
Ιδιαίτερα
• ζητήματα ευθύνης εν γένει για το
αποθηκευμένο περιεχόμενο
• ζητήματα προστασίας προσωπικών δεδομένων
• zητήματα ασφάλειας δικτύων και
πληροφοριών
• ζητήματα προστασίας πνευματικής ιδιοκτησίας
Cloud υπηρεσίες: κάθετη ρύθμιση νομικών ζητημάτων
Αρχές προστασίας προσωπικών δεδομένων :
κατευθυντήριες γραμμές από Δανία, Γαλλία, Λιθουανία, Ισπανία
Οικονομικές αρχές:
οδηγίες για την ισχύ υπηρεσιών cloud από Ουγγαρία, Λουξεμβούργο, Σουηδία
Δημόσιος τομέας:
Πρωτοβουλίες και ρυθμίσεις για χρήση υπηρεσιών cloud
Η.Β. G-Cloud initiative
Γαλλία Andromède project
Γερμανία "Trusted Cloud“
Ιδιωτικός τομέας:
Πρωτοβουλίες αυτορρύθμισης, π.χ. IT & Telekomföretagen, Σουηδική ένωση εταιρειών ΤΠΕ, General Terms on Cloud Computing
Cloud συμβάσεις: βασικά ζητήματα -
key contractual issues
Περιγραφή αντικειμένου & επιπέδου παρεχόμενης εξυπηρέτησης (ServiceLevel Agreement-SLA, ενδεχομένως και operational-level agreement - OLA)
Πολιτική χρήσης (acceptable use policy- AUP)
Προστασία δεδομένων προσωπικού χαρακτήρα (Data protection)
Διανοητική ιδιοκτησία, προστασία άυλης ιδιοκτησίας (Intellectual property Rights)
Ευθύνη έναντι αξιώσεων τρίτων (Warranties, liability for third party claims)
Καταγγελία σύμβασης & συνέπειες ιδίως σχετικά με τα διατηρούμενα δεδομένα (Termination of the contract, effects of termination and data preservation in particular)
Τροποποίηση σύμβασης ή όρων της (Modification of the contact or terms and conditions)
Ασφάλεια δεδομένων (Security of data, loss of data)
Cloud συμβάσεις: τυπολογία- ορολογία
Αρχικά:
SaaS = Software as a Service
IaaS =Infrastructure as a Service
PaaS=Platform as a service
Μετέπειτα:
DaaS =Data as a service
NaaS= Network as a service
CaaS= Communications as a
service
MaaS =Monitoring as a service
XaaS =Everything as a service
Επηρεάζει νομικό χαρακτηρισμό σύμβασης:
• σύμβαση μίσθωσης (π.χ. αποθήκευση)
• σύμβαση παροχής υπηρεσιών (π.χ. συντήρηση
λογισμικού)
• σύμβαση έργου (π.χ. εγκατάσταση εφαρμογής)
• σύμβαση χρησιδανείου (π.χ. παροχή sw δωρεάν)
• sui generis?
Cloud συμβάσεις: γενικό ισχύον πλαίσιο
Δυνατή η παραπομπή στους όρους χρήσης (terms of use) μιας ιστοσελίδας εάν
είναι ευδιάκριτοι και εύληπτοι
Για B2C εφαρμογή ρυθμίσεων:
δικαίου προστασίας καταναλωτή
για εξ αποστάσεως συμβάσεις
ΠΔ ηλεκτρονικού εμπορίου
Έλεγχος βάσει:
Ρυθμίσεων για Γενικούς όρους συναλλαγών(ΓΟΣ)- καταχρηστικούς γενικούς όρους
Για την ερμηνεία τους:
Θεωρία του σκοπού
Συναλλακτικά ήθη
Cloud συμβάσεις: εφαρμοστέο δίκαιο
Συνήθως ορίζεται από τα μέρη- ελευθερία επιλογής
Αν όχι, εφαρμογή Κανονισμού (ΕΚ) αριθ. 593/2008 του Ευρωπαϊκού
Κοινοβουλίου και του Συμβουλίου, της 17ης Ιουνίου 2008 , για το εφαρμοστέο
δίκαιο στις συμβατικές ενοχές (Ρώμη Ι)
Βλ. α. 4, π.χ. ελλείψει επιλογής «η σύμβαση παροχής υπηρεσιών διέπεται από το
δίκαιο της χώρας στην οποία ο πάροχος υπηρεσίας έχει τη συνήθη διαμονή του»
Επί αδικοπραξίας, α. 4 Κανονισμού 864/2007 για το εφαρμοστέο δίκαιο στις
εξωσυμβατικές ενοχές (Ρώμη ΙΙ)
συνήθως το δίκαιο του κράτους στο οποίο επήλθε η ζημιά
Cloud υπηρεσίες: η ευθύνη για το παράνομο
αποθηκευμένο περιεχόμενο
EE- Ρυθμίσεις οδηγίας για το ηλεκτρονικό εμπόριο
E commerce directive (EU)
DMCA (US)
512(c)
notice and take down system
Καταρχήν «ανεύθυνο» υπό προϋποθέσεις – no monitoring obligation
Προϋπόθεση:
μη εμπλοκής στο περιεχόμενο
απουσία πραγματικής γνώσης
Cloud service= hosting service?
Δύσκολο αν παρέχει και άλλες λειτουργίες
Cloud υπηρεσίες: ζητήματα προστασίας δεδομένων
προσωπικού χαρακτήρα
Προσωπικά δεδομένα= κάθε πληροφορία που αναφέρεται σε και περιγράφει ένα άτομο
Κρίσιμο ζήτημα για το εφαρμοστέο δίκαιο:
Μέχρι τώρα εφαρμόζεται το δίκαιο της χώρας όπου γίνεται η επεξεργασία ή της λήψης των δεδομένων (α.4 οδ. 95/46/ΕΚ)
GDPR:
Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης».
Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με:
α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή
β) την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.
Cloud υπηρεσίες: Υφιστάμενο εθνικό πλαίσιο
προστασίας δεδομένων προσωπικού χαρακτήρα
Βασικός νόμος 2472/1997 και ν. 4139/2013
Ουσιαστικά ενσωμάτωση κοινοτικών προβλέψεων
Ορισμός- διακρίσεις:
απλά, ευαίσθητα
Αρχές σύννομης επεξεργασίας
Υποχρεώσεις (γνωστοποίηση, άδεια κ.ο.κ)
Κυρώσεις
Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)
Cloud υπηρεσίες: Το νέο θεσμικό πλαίσιο
προσωπικών δεδομένων -“data reform package”
Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων- General Data Protection Regulation/ GDPR).
Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου.
Οδηγία (ΕΕ) 2016/681 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016, σχετικά με τη χρήση των δεδομένων που περιέχονται στις καταστάσεις ονομάτων επιβατών (PNR) για την πρόληψη, ανίχνευση, διερεύνηση και δίωξη τρομοκρατικών και σοβαρών εγκλημάτων.
Διαδικασία αναθεώρησης Οδηγίας e- privacy - (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες)
Cloud υπηρεσίες: βασικές αρχές επεξεργασίας
δεδομένων Αρχή της νομιμότητας της επεξεργασίας
Διαφάνεια όρων
Aρχή της θεμιτής και νόμιμης συλλογής
Πλήρης ενημέρωση τρόπου συλλογής
Αρχή του σκοπού
Ενημέρωση από πριν, επεξεργασία μόνο για ότι δόθηκε συναίνεση
Αρχή της αναλογικότητας/ ή συνάφειας
Μόνο στο βαθμό που απαιτούνται για την επίτευξη του σκοπού
Αρχή της ορθότητας των δεδομένων
π.χ. χρήση συστημάτων ανίχνευσης/ πρόληψης εισβολών (IPS/IDS)
Αρχή της χρονικά πεπερασμένης διάρκειας τήρησης
Διαγραφή δεδομένων μετά- ρητή συμβατική ρύθμιση προτιμητέα
Αρχή του απορρήτου
π.χ. χρήση κρυπτογράφησης
Αρχή της ασφάλειας
π.χ διαθεσιμότητα σε περίπτωση DoS
Cloud υπηρεσίες: Διασυνοριακή ροή δεδομένων
Ευρωπαϊκή Ένωση: ενιαίος χώρος κυκλοφορίας και προστασίας προσωπικών δεδομένων – σκοπός εναρμόνισης
Κράτη με ικανοποιητικό επίπεδο προστασίας
Διαπίστωση ικανοποιητικού επιπέδου από Αρχή Προστασίας Προσωπικών Δεδομένων
Αποφάσεις της Ευρωπαϊκής Ένωσης
ΗΠΑ δεν έχουν αντίστοιχη νομοθεσία αλλά ειδική συμφωνία με ΕΕ για διαβίβαση δεδομένων για ΗΠΑ βλ. Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield
Κράτη χωρίς ικανοποιητικό επίπεδο επεξεργασίας
Κατ’ εξαίρεση άδεια της Αρχής εφόσον συντρέχουν οι προβλεπόμενες στο νόμο προϋποθέσεις
Cloud υπηρεσίες: ο νέος Κανονισμός GDPR
Αντικαθιστά τη βασική Οδηγία 95/46/ΕΚ
Έχει τεθεί σε ισχύ από τις 4.5.2016, θα τεθεί σε εφαρμογή από τις
25 Μαΐου 2018
Έως τότε οι εταιρείες θα πρέπει να εξασφαλίσουν ότι
ανταποκρίνονται στις επιβαλλόμενες νέες υποχρεώσεις
Θα βοηθηθούν από οδηγίες, γνωμοδοτήσεις, κατευθυντήριες
γραμμές αρμόδιων αρχών
Cloud υπηρεσίες: GDPR- βασικές ρυθμίσεις Ανανεωμένοι & νέοι ορισμοί, π.χ.:
Κατάρτιση προφίλ, Ψευδωνυμοποίηση, Γενετικά δεδομένα, βιομετρικά δεδομένα
Ευαίσθητα: +γενετικά, βιομετρικά
Ειδικές προϋποθέσεις για συγκατάθεση παιδιού
Επαναδιατύπωση αρχών επεξεργασίας
Νέα δικαιώματα «υποκειμένων»
Διαγραφής- δικαίωμα λήθης (Βλ. υπόθεση Costeja)
Φορητότητας δεδομένων
Εναντίωσης στην κατάρτιση προφίλ ή σε απόφαση βάσει αυτού
Πληροφόρησης για παραβίαση
Τροποποίηση υποχρεώσεων υπεύθυνων επεξεργασίας
Κατάργηση υποχρέωσης γνωστοποίησης αρχείου
Privacy by design & privacy by default
Διατήρηση αρχείων επεξεργασίας
Γνωστοποίηση εντός 72 ωρών παραβιάσεων
Impact assessment
Νέος θεσμός Data Protection Officer (DPO)- υπεύθυνος προστασίας δεδομένων
Νέες ρυθμίσεις για εποπτεύουσες αρχές
Κυρώσεις για υπεύθυνους ή εκτελούντες την επεξεργασία
Cloud υπηρεσίες:Οδηγία NIS-Network & Information Systems
Οδηγία (EE) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Ιουλίου 2016, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση για την ασφάλεια δικτύων και πληροφοριών (ΑΔΠ)
ΑΔΠ=η ικανότητα συστημάτων δικτύου και πληροφοριών ναανθίστανται, σε δεδομένο βαθμό αξιοπιστίας, σε ενέργειες που πλήττουν τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή το απόρρητο των δεδομένων που αποθηκεύονται, μεταδίδονται ή υποβάλλονται σε επεξεργασία ή των συναφών υπηρεσιών που προσφέρονται ή είναι προσβάσιμες μέσω των εν λόγω συστημάτων δικτύου και πληροφοριών
Cloud υπηρεσίες: βασικές προβλέψεις οδηγίας NIS
Υποχρεώσεις κρατών μελών
Εθνική στρατηγική για την ασφάλεια των συστημάτων δικτύου και πληροφοριών
Εθνικές ομάδες παρέμβασης -national CSIRTs (Computer Security Incident Response Teams)
Δίκτυο ομάδων παρέμβασης- network of the national CSIRTs
Εθνικό σημείο επαφής
«Ομάδα Συνεργασίας»/ Cooperation Group: κράτη μέλη, Επιτροπή, ENISA για την υποστήριξη και διευκόλυνση της στρατηγικής συνεργασίας καθώς και της ανταλλαγής πληροφοριών, και την καλλιέργεια πνεύματος αξιοπιστίας και εμπιστοσύνης
Κυρώσεις - επιβολή
Υποχρεώσεις άλλων εμπλεκομένων
Φορείς εκμετάλλευσης βασικών υπηρεσιών/ Operators of Essential Services (OES)
σε τομείς ζωτικής σημασίας όπως η ενέργεια, οι μεταφορές, η υγεία και οι χρηματοπιστωτικές υπηρεσίες
Πάροχοι ψηφιακών υπηρεσιών/ Digital Service Providers
διαδικτυακές αγορές, τις μηχανές αναζήτησης και τις υπηρεσίες νεφοϋπολογιστικής
Πότε;
Έως 9 Μαΐου 2018 τις αναγκαίες νομοθετικές, κανονιστικές και διοικητικές διατάξεις για να συμμορφωθούν με τη νέα οδηγία
Από 10 Μαΐου 2018 τα μέτρα αυτά θα τεθούν σε εφαρμογή
Cloud υπηρεσίες: Υποχρεώσεις παρόχων ψηφιακών
υπηρεσιών/ Digital Service Providers (DSPs) βάσει NIS
προσδιορίζουν και λαμβάνουν κατάλληλα και αναλογικά τεχνικά και
οργανωτικά μέτρα για τη διαχείριση των κινδύνων
λαμβάνουν μέτρα για την αποτροπή και την ελαχιστοποίηση του αντίκτυπου
συμβάντων που επηρεάζουν την ασφάλεια
κοινοποιούν στην αρμόδια αρχή ή την CSIRT χωρίς αδικαιολόγητη
καθυστέρηση κάθε συμβάν που έχει σημαντικό αντίκτυπο
Κριτήρια:
ο αριθμός των χρηστών που επηρεάζονται από το συμβάν, ιδίως των χρηστών
που εξαρτώνται από την υπηρεσία για την παροχή των δικών τους υπηρεσιών
η διάρκεια του συμβάντος
το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν
η έκταση της διατάραξης της λειτουργίας της υπηρεσίας
η έκταση του αντίκτυπου στις οικονομικές και κοινωνικές δραστηριότητες
Cloud υπηρεσίες: ζητήματα πνευματικής
ιδιοκτησίας
Σε περίπτωση προσβολής δικαιωμάτων εκ μέρους χρήστη
Εφαρμογή κριτηρίων οδηγίας ηλεκτρονικού εμπορίου για την ευθύνη των παρόχων
Δικαίωμα ενημέρωσης δικαιούχων– right to information (α. 8 οδ. 2001/29)
Έλεγχος για την τυχόν παραβίαση πολιτική χρήσης –AUP
Συζήτηση για δυνατότητα επιβολής εύλογης αμοιβής για ιδιωτική
αναπαραγωγή
Γαλλία, πρόταση τροποποίησης στον γαλλικό νόμο σχετικά με το οπτικοακουστικό
και ραδιοφωνικό περιεχόμενο το οποίο εγγράφεται και αρχειοθετείται σε cloud
πλατφόρμες μέσω της χρήσης Προσωπικών Εγγραφέων Βίντεο Δικτύου (NPVR)
Cloud υπηρεσίες: ιδιαίτερες απαιτήσεις
ασφαλείας
Επιβαλλόμενες από νομοθεσία για:
Προστασία προσωπικών δεδομένων
Υφιστάμενη
GDPR
ΑΔΑΕ- αρχή διασφάλισης απορρήτου των επικοινωνιών
Οδηγία NIS- Network Information Security
Cloud υπηρεσίες: πιστοποιήσεις
τα κράτη μέλη, χωρίς να επιβάλλουν ούτε να ευνοούν τη χρησιμοποίηση
συγκεκριμένου είδους τεχνολογίας, ενθαρρύνουν τη χρήση ευρωπαϊκών ή
διεθνώς αποδεκτών προτύπων και προδιαγραφών σχετικών με την ασφάλεια
των συστημάτων δικτύου και πληροφοριών (οδηγία NIS)
α. 42 GDPR
Παροτρύνουν […]τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και
σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της
συμμόρφωσης
Εθελοντική πιστοποίηση μέσω διαφανούς διαδικασίας
Όταν τα κριτήρια εγκρίνονται από το Συμβούλιο Προστασίας Δεδομένων, αυτό
μπορεί να οδηγήσει σε κοινή πιστοποίηση, την Ευρωπαϊκή Σφραγίδα Προστασίας
των Δεδομένων
μέγιστη διάρκεια ισχύος 3 ετών
Μητρώο Συμβουλίου Προστασίας Δεδομένων
Cloud υπηρεσίες: Πιστοποιήσεις για οργανισμούς
και επιχειρήσεις
(ενδεικτικά):
ISO/IEC 27001: Information technology - Security techniques - Information
security management systems - Requirements
ISO/IEC 27018: Information technology - Security techniques - Code of
practice for protection of personally identifiable information (PII) in public
clouds acting as PII processors
Cloud υπηρεσίες: πηγές για περαιτέρω ενημέρωση
Cloud computing
https://ec.europa.eu/digital-single-market/en/cloud
Cloud Computing Contracts
http://ec.europa.eu/justice/contract/cloud-computing/index_en.htm
Cloud computing – data protection
Γνώμη 05/2012 της ομάδας εργασίας του άρθρου 29 σχετικά με τη
νεφοϋπολογιστική-
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-
recommendation/files/2012/wp196_el.pdf
https://www.cloudindustryforum.org/content/cloud-and-eu-gdpr-six-steps-compliance
http://www.a4cloud.eu/
Ερωτήσεις;