Avizul Autorității Europene pentru Protecția Datelor asupra Comunicării Comisiei Europene privind cloud computing-ul
Articol preluat din Newsletter-ul EDRi 10.22
În data de 16 noiembrie 2012, Autoritatea Europeană pentru Protecția Datelor a publicat un aviz asupra Comunicării Comisiei Europene „Eliberarea potențialului cloud computing-ului în Europa”, din 27 septembrie 2012, prin care Comisia propune acțiuni cheie și politici pentru utilizarea serviciilor cloud computing la nivel european. În avizul său, Autoritatea atrage atenția asupra provocărilor pe care serviciile cloud computin le reprezintă pentru protecția datelor cu caracter personal, precum și asupra modului în care propunerea de Regulament privind protecția datelor au urma să gestioneze aceste provocări.
Autoritatea consideră că, în timp ce cloud computing-ul poate aduce avantaje semnificative precum scăderea costurilor cu serviciile IT și un acces mai bun la astfel de servicii, una dintre principalele probleme este legată de necesitatea existenței unor sisteme de încredere pentru clienții serviciilor de coud computing și respectării regulilor privind protecția datelor cu caracter personal atunci când sunt impplicate acțiuni de prelucrare a datelor.
„În momentul de față, mulți clienți ai serviciilor de cloud computing, inclusiv utilizatori ai mijloacelor de comunicare socială, au o foarte mică influență asupra termenilor și condițiilor de furnizare a serviciilor oferite de către furnizorii de cloud. Trebuie să ne asigurăm că furnizorii de servicii de cloud nu evită asumarea responsabilităților și că utilizatorii de cloud își pot îndeplini obligațiile referitoare la protecția datelor cu caracter personal. Complexitatea tehnologiilor cloud computing nu justifică o eventuală scădere a nivelului standarelor de protecție a datelor.”
În avizul Autorității se arată că toate părțile implicate în cloud computing trebuie să aibă responsabilități exacte și clar definite prin lege, pentru a se evita un dezechlibru de putere între clienții de cloud și furnizorii de servicii. Astfel, trebuie dezvoltate politici standard de termeni și condiții, care să respecte regulile privind protecția datelor cu caracter personal în cazul contractelor comerciale, achizițiilor publice și transferurilor internaționale de date. Autoritatea recomandă, de asemenea, îndrumări mai clare și complete privind mecanismele care să asigure eficiența măsurilor de protecție a datelor
Conform propunerilor legislative referitoare la noi reguli de protecție a datelor cu caracter personal, ar urma să fie necesar ca operatorii să verifice că mecanismele puse în practică de către furnizorii de servicii de cloud computing pentru asigurarea protecției datelor cu caracter personal sunt destul de eficiente pentru a garanta faptul că prelucrarea și stocarea datelor se realizează în conformitate cu prevederile legale. „Mai ales în contextul cloud computing, sunt necesare îndrumări specifice care să clarifice care mecanisme ar trebui implementate pentru a se asigura posibilitatea verificării eficienței măsurilor de protecție a datelor.” În aviz se recomandă dezvoltarea de bune practici referitoare la chestiuni precum responsabilitatea operatorului, reținerea datelor în mediul cloud computing, portabilitatea datelor și exercitarea drepturilor persoanelor vizate, precum și dezvoltarea de scheme de certificare și standarde care să încorporeze în întregime criteriile privind protecția datelor.
Cloud computing-ul implică faptul că datele pot fi stocate pe servere aflate în diverse locații în lume. În momentul de față, legislația europeană privind protecția datelor nu permite companiilor să transfere date cu caracter personal în afara Spațiului Economic European decât dacă există măsuri de protecție adecvate (sau dacă țara de destinație a fost aprobată anterior de către Comisie ca având un standard adecvat de protecție a datelor).
Autoritatea consideră că este necesară definirea clară a transferului de date și a criteriilor care permit accesarea datelor stocate în cloud de către autoritățile polițienești și judiciare din afara Spațiului Economic European, avându-se în vedere faptul că, în cazul cloud computing, datele nu sunt doar transferate, ci și „puse la dispoziția unui număr mare de destinatari localizați în diverse țări (acest lucru fiind adesea necunoscut clienților și utilizatorilor finali de servicii de cloud computing).”
Autoritatea își exprimă aprecierea față de planurile Comisiei Europene de a elabora un nou model de contract pentru companii, care să fie utilizat în acordurile (service level agreement) cu furnizorii de cloud computing, și consideră că noile contracte ar trebui să conțină termeni care să prevină furnizorii să denunțe responsabilitățile care le revin cu privire la confidențialitatea și securitatea datelor sau în cazurile de pierdere sau alterare a datelor. De asemenea, Autoritatea consideră că noul model de contract ar trebui să conțină prevederi care să îi oblige pe furnizorii de servicii de cloud computing să își informeze clienții în legătură cu existența posibilității stocării datelor într-o anumită țară sau regiune și să obțină acordul acestora înainte de schimbarea termenilor incluși în contractele de furnizare a serviciilor. Termenii incluși în contracte ar trebuie să includă și informații referitoare la activitățile de prelucrare a datelor cu caracter personal, precum „locul în care pot fi pelucrate datele, respectarea standarelor/schemelor de certificare, garanții referitoare la existența măsurilor de protecție la toate nivelurile infrastructurii și în locurile în care datele sunt transmise sau stocate, garanții specifice pentru date sensibile, identificarea autorității relevante pentru protecția datelor”.
Avizul Autorității este similar celui emis de către Grupul de Lucru Articolul 29 în iulie 2012, prin care se arăta că acele companii care doresc să utilizese servicii cloud computing pentru a stoca și prelucra date cu caracter personal trebuie să aleagă acel furnizor de servicii de cloud care garantează respectarea legislației europene privind protecția datelor.
Informații suplimentare:
- EDPS: responsibility in the Cloud should not be up in the air (16.11.2012)
- Businesses need more guidance on how to verify cloud providers' data protection compliance, says EU watchdog (16.11.2012)
Licenţă: Creative Commons Atribuire 3.0
Add new comment