sigurnost osobnih i drugih osjetljivih podataka u … · •niže cijene nacionalnih arbitraža...

Post on 20-Jan-2020

9 Views

Category:

Documents

0 Downloads

Preview:

Click to see full reader

TRANSCRIPT

SIGURNOST OSOBNIH I DRUGIH OSJETLJIVIH PODATAKA U CLOUDU -PRAVNI POGLED

DOC. DR. SC. GORAN VOJKOVIĆ, DIPL. IUR.

FAKULTET PROMETNIH ZNANOSTI

ZAGREB

CLOUD COMPUTING (ILI RAČUNALSTVO U OBLAKU)

FSec 2016 2

"Cloud computing" by Sam Johnston - Created

by Sam Johnston using OmniGroup's

OmniGraffle and Inkscape (includes

Computer.svg by Sasa Stefanovic).

DEFINICIJA

• Računarstvo u oblaku (eng. Cloud computing) je tehnologija

koja osigurava fleksibilan, od lokacije neovisan pristup

računarskim resursima koji se brzo i neprimjetno alociraju i

dealociraju prema potražnji.

• Računarski resursi se apstrahijrau i obično virtrualiziraju, i

korisnicima se isporučuju u vidu usluga.

• Naplaćivanje, kada je prisutno, obično je bazirano na

korištenju, često u srazmjeru s količinom uporabljenih resursa.

FSec 2016 3

A GDJE JE PROBLEM?

FSec 2016 4

DISTRIBUIRANA TEHNOLOGIJA

MA NEMA BOLJEG!

FSec 2016 5

PET KLJUČNIH KARAKTERISTIKA

FSec 2016 6Carnet, Cloud Computing, CARNet, Zagreb 2010.

PODSJETIMO SE! (I)

• Široki mrežni pristup (engl. Broad network access) predstavlja

mogućnosti dostupne putem mreže kojima se pristupa koristeći

standardne mehanizme.

• Brza elastičnost (engl. Rapid elasticity) podrazumijeva ubrzano

i elastično pokretanje korisničkih mogućnosti, od strane cloud

okruženja.

• Cloud okruženje ima karakteristiku odmjerene usluge (engl.

Measured service) zato što sustavi u cloud okruženju automatski

provjeravaju i optimiziraju uporabu resursa.

FSec 2016 7

PODSJETIMO SE! (II)

• Usluga na zahtjev korisnika (engl. On-demand self-service)

označava karakteristiku cloud okruženja u kojoj korisnik

može samostalno odabrati i pokrenuti određene

računalne resurse.

• Karakteristika udruživanja resursa (engl. Resource

pooling) označava spajanje računalnih resursa pružatelja

usluga, kako bi se poslužili svi korisnici, koristeći model s

više zakupljenih jedinica (engl. Multi-Tenant model).

FSec 2016 8

NO, KOLIKO JE TO SIGURNO?

• Koliko smo se oslonili na autorski zaštićene aplikacije i

formate trećih kompanija?

• Ili smo provjerili da je format postao „javno dobro”, kao

primjerice PDF/A?

FSec 2016 9

Da li možda imate još uvijek neku disketu s vašim radovima pisanim

u ChiWriteru?

TERITORIJALNO OGRANIČENI PROPISI – PRVI ASPEKT

GRANICA NACIONALNE DRŽAVE JE GRANICA NJENE JURISDIKCIJE

FSec 2016 10

SAMO POGLEDAJMO EUROPU…

FSec 2016 11

ILI JOŠ GORE, DIO EUROPE S VLASTITIM PROPISIMA…

FSec 2016 12

ILI NEGDJE GDJE SE ZAKON OPĆENITO DRUGAČIJE SHVAĆA…

FSec 2016 13

NIŠTA BEZ SLA!

• Service-level agreement (SLA) is defined as an official

commitment that prevails between a service provider and

the customer.

• Particular aspects of the service – scope, quality,

availability, responsibilities – are agreed between the

service provider and the service user.

FSec 2016 14

JA IMAM SLA – SVE JE POKRIVENO UGOVOROM!

• Koliko je ono milijuna spor?

• Cijene međunarodnih arbitražnih sudova su ogromne:

za sporove do 10 milijuna dolara International Chamber

of Commerce (ICC) uzima nešto preko 300.000 $.

• Niže cijene nacionalnih arbitraža – pa pazite da partner

ima sjedište u pouzdanoj državi!

FSec 2016 15

TERITORIJALNO OGRANIČENI PROPISI – DRUGI ASPEKT

POSEBAN PROBLEM KOD OSOBNIH PODATAKA

FSec 2016 16

KONVENCIJA 108 VIJEĆA EUROPE

• Konvencija za zaštitu osoba glede automatizirane obrade

osobnih podataka i Dodatni protokol uz konvenciju za zaštitu

osoba glede automatizirane obrade osobnih podataka u vezi

nadzornih tijela i međunarodne razmjene podataka.

• „Opened for signature in Strasbourg on 28 January 1981”

(Dodatni protokol 2001.)

• Poglavlje III. - Prekogranični protok podataka

FSec 2016 17

ŠTO KAŽE POGLAVLJE III?

• Članak 12.:

• Prekogranični protok osobnih podataka i unutarnje pravo

• 1. Odredbe koje slijede primjenjuju se na prijenos preko državnih

granica, bilo kojim sredstvom, osobnih podataka koji su predmet

automatizirane obrade ili su prikupljeni radi takve obrade.

• 2. Stranka ne može, isključivo u svrhu zaštite privatnosti, zabraniti ili

podvrgnuti posebnom odobrenju prekogranični protok osobnih

podataka usmjeren za područje druge stranke.

• Ali…

FSec 2016 18

ŠTO KAŽE POGLAVLJE III? (II)

• 3. Svaka je stranka, međutim, ovlaštena odstupiti od odredbe stavka

2.:

• a. u onoj mjeri u kojoj njezino zakonodavstvo sadrži posebne propise za

određene kategorije osobnih podataka ili za automatizirane zbirke osobnih

podataka zbog naravi tih podataka ili tih zbirki, osim ako propisi druge

stranke pružaju jednaku zaštitu,

• b. kad se prijenos obavlja s njezina područja na područje države koja nije

stranka preko područja druge stranke, kako bi se izbjeglo da se takvim

prijenosima zaobiđe zakonodavstvo stranke navedene na početku ovoga

stavka.

FSec 2016 19

ŠTO KAŽE POGLAVLJE III? (III)

• Članak 14.

• Pomoć subjektima podataka čije je boravište u inozemstvu

• 1. Svaka stranka pruža pomoć svakoj osobi čije je boravište u inozemstvu u

ostvarenju prava predviđenih njezinim unutarnjim pravom kojima se

ostvaruju načela izložena u članku 8. ove Konvencije. (biti upoznat s

postojanjem obrade, dobiti podatke, zatražiti brisanje i sl.)

• 2. Kad takva osoba boravi na području druge stranke, mora joj se

omogućiti podnošenje zahtjeva posredovanjem tijela koje je ta stranka

odredila.

FSec 2016 20

DIREKTIVA 95/46/EZ

• Članak 1.

• Cilj Direktive

• 1. U skladu s ovom Direktivom, države članice štite temeljna

prava i slobode fizičkih osoba, a posebno njihova prava na

privatnost u vezi s obradom osobnih podataka.

• 2. Države članice ne ograničavaju, ni zabranjuju slobodni

prijenos osobnih podataka između država članica iz razloga

povezanih sa zaštitom osiguranom u stavku 1. ovog članka.

FSec 2016 21

DIREKTIVA 95/46/EZ (II)

• Podsjetimo se termina termini:

• "nadzornik" znači fizička ili pravna osoba, javno tijelo,

agencija ili bilo koje drugo tijelo koje samo ili zajedno s

drugima utvrđuje svrhu i načine obrade osobnih podataka;

(…)

• "obrađivač" znači fizička ili pravna osoba, javno tijelo,

agencija ili bilo koje drugo tijelo koje obrađuje osobne

podatke u ime nadzornika;

FSec 2016 22

DIREKTIVA 95/46/EZ (III)

• Članak 17.

• Sigurnost obrade

• 1. Države članice utvrđuju da nadzornik mora provoditi odgovarajuće

tehničke i organizacijske mjere kako bi zaštitio osobne podatke od

slučajnog ili nezakonitog uništavanja ili slučajnoga gubitka, izmjene,

neovlaštenog otkrivanja ili pristupa, posebno kada obrada uključuje

prijenos podataka putem mreže, (…)

• 2. Države članice utvrđuju da nadzornik mora, kada se obrada provodi u

njegovo ime, izabrati obrađivača koji daje dovoljna jamstva u vezi mjera

tehničke sigurnosti kojima je uređena obrada koju je potrebno izvršiti, te da

osigura poštivanje tih mjera.

FSec 2016 23

DIREKTIVA 95/46/EZ (IV)

• POGLAVLJE IV. - PRIJENOS OSOBNIH PODATAKA TREĆIM ZEMLJAMA

• Članak 25.

• Načela

• 1. Države članice osiguravaju da se prijenos osobnih podataka koji se

obrađuju ili koje je potrebno obraditi nakon prijenosa trećoj zemlji, može

izvršiti jedino ako, ne dovodeći u pitanje nacionalne odredbe donesene u

skladu s drugim odredbama ove Direktive, te treće zemlje osiguraju

odgovarajuću razinu zaštite.

• (…)

FSec 2016 24

DIREKTIVA 95/46/EZ (VII)

• Komisija može, utvrditi da treća zemlja temeljem domaćeg

zakonodavstva ili međunarodnih obveza koje je preuzela,

osigurava odgovarajuću razinu zaštite, za zaštitu privatnog

života i osnovnih sloboda i prava pojedinaca – Zaključak o

prikladnosti.

• Zaključak Europske komisije o prikladnosti ima obvezujući učinak.

• Zaključak Komisije može imati različiti opseg – za neke države biti

općenit, ali za druge države omogućavati samo razmjenu osobnih

podataka kod međunarodnih letova.

FSec 2016 25

TKO STVARNO DRŽI NAŠE PODATKE?

FSec 2016 26

NE, U IRSKOJ JE SAMO SJEDIŠTE ZA EUROPU (NISKI POREZI)!

FSec 2016 27

GDJE JE TAJ OBLAK?

FSec 2016 28

ŠTO AKO NETKO ZLORABI NAŠE PODATKE?

• Kaznena odgovornost podrazumijeva biće kaznenog

djela, skup obilježja za postojanje kaznenog djela

predviđenih zakonom; opis kaznenog djela s kojima se u

zakonu, apstraktno, obilježuje neko ljudsko ponašanje kao

kriminalno.

• Izvor: http://proleksis.lzmk.hr/3736/

FSec 2016 29

UJEDNAČAVANJE KAZNENIH ZAKONODAVSTAVA

• Veliki iskorak: Convention

on Cybercrime Vijeća

Europe

• Ukupno 49 ratifikacija –

velik dio svijeta i dalje

nema ujednačeno

zakonodavstvo

FSec 2016 30

PRINCIP „SIGURNE LUKE” –SJEDINJENE DRŽAVE

• While the United States and the EU share the goal of enhancing

privacy protection for their citizens, the United States takes a

different approach to privacy from that taken by the EU.

• In order to bridge these differences in approach and provide a

streamlined means for U.S. organizations to comply with the Directive,

the U.S. Department of Commerce in consultation with the European

Commission developed a "safe harbor" framework and this website

to provide the information an organization would need to evaluate –

and then join – the U.S.-EU Safe Harbor program. (izvor: export.gov)

FSec 2016 31

ŠTO SE DOGODILO SA „SIGURNOM LUKOM SAD”

KADA JE LJUBAV PRESTALA…

FSec 2016 32

UPUTA ZA USA KOMPANIJE KOJE ŽELE NA POPIS:

• If your organization decides to join:

• Bring your organization's policies and practices into compliance with the

requirements outlined in Helpful Hints on Self-Certifying Compliance with

the U.S.-EU Safe Harbor Framework.

• Review the Information Required for Self-Certification.

• Complete and submit the Certification Form.

• Upon receipt of your organization’s self-certification submission and

corresponding processing fee, the submission will be reviewed for

completeness. If and when the submission is deemed complete, it will

be posted to the U.S.-EU Safe Harbor List, available on this website.

FSec 2016 33

„SIGURNA LUKA” – IZVAN SNAGE

FSec 2016 34

NEKI PRIMJERI IZ PRAKSE

FSec 2016 35

NA POVJERENJE?

• Google Drive:

• Is my organization compliant with the European Commission Directive

on Data Protection if we use Google Apps?

• Google adheres to the U.S. Safe Harbor Privacy Principles of

Notice, Choice, Onward Transfer, Security, Data Integrity, Access

and Enforcement, and is registered with the U.S. Department of

Commerce’s Safe Harbor Program.

• Generally, an organization must decide whether its use of Google

Apps is compliant with any regulations it may be subject to.

FSec 2016 36

SMJEŠTAJ U EU-ČLANICI

• CloudMe:

• „Security and privacy of our customers data is a top priority for

us. CloudMe in contrast to most cloud storage companies, run and

operate our own data center and hardware.

• All located in the country of Sweden, within the European Union

and protected by strong EU privacy laws.”

FSec 2016 37

KRIPTIRANJE PODATAKA NA RAZINI KLIJENTA

• SpiderOak:

• Zero Knowledge means we know nothing about the encrypted

data you store on our servers.

• This unique design means nothing leaves your computer until

after it is encrypted and is never decrypted until it is unlocked

with your password on your computer.

FSec 2016 38

I NE ZABORAVITE…

• Većina projekata traži da se po završetku istog podaci

vrate vlasnicima podataka.

• Nuditelji cloud usluga u pravilu – još neko vrijeme čuvaju

vaše podatke.

• Jeste li sigurni da su ih i nakon tog vremena izbrisali?

FSec 2016 39

ZAKLJUČNO…

• Postojeći pravni okvir rađen je prije razdoblja brzog Interneta i cloud

okruženja.

• Potrebna je nova regulacija koja će uzeti u obzir:

• Cloud okruženje za rad

• Cloud okruženje za spremanje podataka

• Odgovornost za podatke koji se nalaze u nekoliko država.

• Pitanja nadzora i moguće zloporabe komunikacijskih kanala (npr. dvije

osobe u Hrvatskoj komuniciraju preko stranog mail servera).

• Nadzor nad reklamama i ponudama cloud usluga.

• Američko-europski trgovinski sporazum.

FSec 2016 40

HVALA NA PAŽNJI!goran.vojkovic@fpz.hr

FSec 2016 41

top related