Νομικά ζητήματα νεφοϋπολογιστικής

Legal issues of cloud computing

Ευαγγελία Βαγενά, ΔΝ, DEAΔικηγόρος- Καθηγήτρια Τμήματος Πληροφορικής

Μητροπολιτικού Κολλεγίου

Ανοιχτό Σεμινάριο

«Σύγχρονες Τάσεις και Συμβουλές

για το Cloud Security»

21 Δεκεμβρίου-Μητροπολιτικό Κολλέγιο

Nεφοϋπολογιστική = Cloud computing"marketing hype" or the "latest fashion”?

σύνολο τεχνολογιών και μοντέλων

υπηρεσιών που εστιάζουν στη

διαδικτυακή χρήση και παροχή

εφαρμογών τεχνολογίας των

πληροφοριών, στη δυνατότητα

επεξεργασίας δεδομένων, στην

παροχή χώρου αποθήκευσης

δεδομένων και στην παροχή

μνήμης

in simplified terms can be

understood as the storing,

processing and use of data on

remotely located computers

accessed over the internet (ΕU

com)

European Cloud Computing Strategy

Communication on the "Unleashing the Potential of Cloud Computing in Europe" of

27 September 2012

«cutting through the jungle of standards»

interoperability of cloud services, facilitating data portability and reversibility

establishment of a European Cloud Partnership to drive innovation and growth for the

public sector

European Cloud Partnership (ECP)

Cloud Service Level Agreement Standardisation Guidelines by Cloud Select Industry Group ("C-

SIG")

draft data protection Code of Conduct for providers

Safe and Fair Contract Terms and Conditions

expert group to work on safe and fair terms for cloud computing for consumers and small

firms

https://ec.europa.eu/digital-single-market/en/cloud

Cloud υπηρεσίες: επισκόπηση νομικών ζητημάτων

Ζητήματα σχετικά με τις συμβάσεις

νεφοϋπολογιστικής

Ιδιαίτερα

• ζητήματα ευθύνης εν γένει για το

αποθηκευμένο περιεχόμενο

• ζητήματα προστασίας προσωπικών δεδομένων

• zητήματα ασφάλειας δικτύων και

πληροφοριών

• ζητήματα προστασίας πνευματικής ιδιοκτησίας

Cloud υπηρεσίες: κάθετη ρύθμιση νομικών ζητημάτων

Αρχές προστασίας προσωπικών δεδομένων :

κατευθυντήριες γραμμές από Δανία, Γαλλία, Λιθουανία, Ισπανία

Οικονομικές αρχές:

οδηγίες για την ισχύ υπηρεσιών cloud από Ουγγαρία, Λουξεμβούργο, Σουηδία

Δημόσιος τομέας:

Πρωτοβουλίες και ρυθμίσεις για χρήση υπηρεσιών cloud

Η.Β. G-Cloud initiative

Γαλλία Andromède project

Γερμανία "Trusted Cloud“

Ιδιωτικός τομέας:

Πρωτοβουλίες αυτορρύθμισης, π.χ. IT & Telekomföretagen, Σουηδική ένωση εταιρειών ΤΠΕ, General Terms on Cloud Computing

Cloud συμβάσεις: βασικά ζητήματα -

key contractual issues

Περιγραφή αντικειμένου & επιπέδου παρεχόμενης εξυπηρέτησης (ServiceLevel Agreement-SLA, ενδεχομένως και operational-level agreement - OLA)

Πολιτική χρήσης (acceptable use policy- AUP)

Προστασία δεδομένων προσωπικού χαρακτήρα (Data protection)

Διανοητική ιδιοκτησία, προστασία άυλης ιδιοκτησίας (Intellectual property Rights)

Ευθύνη έναντι αξιώσεων τρίτων (Warranties, liability for third party claims)

Καταγγελία σύμβασης & συνέπειες ιδίως σχετικά με τα διατηρούμενα δεδομένα (Termination of the contract, effects of termination and data preservation in particular)

Τροποποίηση σύμβασης ή όρων της (Modification of the contact or terms and conditions)

Ασφάλεια δεδομένων (Security of data, loss of data)

Cloud συμβάσεις: τυπολογία- ορολογία

Αρχικά:

SaaS = Software as a Service

IaaS =Infrastructure as a Service

PaaS=Platform as a service

Μετέπειτα:

DaaS =Data as a service

NaaS= Network as a service

CaaS= Communications as a

service

MaaS =Monitoring as a service

XaaS =Everything as a service

Επηρεάζει νομικό χαρακτηρισμό σύμβασης:

• σύμβαση μίσθωσης (π.χ. αποθήκευση)

• σύμβαση παροχής υπηρεσιών (π.χ. συντήρηση

λογισμικού)

• σύμβαση έργου (π.χ. εγκατάσταση εφαρμογής)

• σύμβαση χρησιδανείου (π.χ. παροχή sw δωρεάν)

• sui generis?

Cloud συμβάσεις: γενικό ισχύον πλαίσιο

Δυνατή η παραπομπή στους όρους χρήσης (terms of use) μιας ιστοσελίδας εάν

είναι ευδιάκριτοι και εύληπτοι

Για B2C εφαρμογή ρυθμίσεων:

δικαίου προστασίας καταναλωτή

για εξ αποστάσεως συμβάσεις

ΠΔ ηλεκτρονικού εμπορίου

Έλεγχος βάσει:

Ρυθμίσεων για Γενικούς όρους συναλλαγών(ΓΟΣ)- καταχρηστικούς γενικούς όρους

Για την ερμηνεία τους:

Θεωρία του σκοπού

Συναλλακτικά ήθη

Cloud συμβάσεις: εφαρμοστέο δίκαιο

Συνήθως ορίζεται από τα μέρη- ελευθερία επιλογής

Αν όχι, εφαρμογή Κανονισμού (ΕΚ) αριθ. 593/2008 του Ευρωπαϊκού

Κοινοβουλίου και του Συμβουλίου, της 17ης Ιουνίου 2008 , για το εφαρμοστέο

δίκαιο στις συμβατικές ενοχές (Ρώμη Ι)

Βλ. α. 4, π.χ. ελλείψει επιλογής «η σύμβαση παροχής υπηρεσιών διέπεται από το

δίκαιο της χώρας στην οποία ο πάροχος υπηρεσίας έχει τη συνήθη διαμονή του»

Επί αδικοπραξίας, α. 4 Κανονισμού 864/2007 για το εφαρμοστέο δίκαιο στις

εξωσυμβατικές ενοχές (Ρώμη ΙΙ)

συνήθως το δίκαιο του κράτους στο οποίο επήλθε η ζημιά

Cloud υπηρεσίες: η ευθύνη για το παράνομο

αποθηκευμένο περιεχόμενο

EE- Ρυθμίσεις οδηγίας για το ηλεκτρονικό εμπόριο

E commerce directive (EU)

DMCA (US)

512(c)

notice and take down system

Καταρχήν «ανεύθυνο» υπό προϋποθέσεις – no monitoring obligation

Προϋπόθεση:

μη εμπλοκής στο περιεχόμενο

απουσία πραγματικής γνώσης

Cloud service= hosting service?

Δύσκολο αν παρέχει και άλλες λειτουργίες

Cloud υπηρεσίες: ζητήματα προστασίας δεδομένων

προσωπικού χαρακτήρα

Προσωπικά δεδομένα= κάθε πληροφορία που αναφέρεται σε και περιγράφει ένα άτομο

Κρίσιμο ζήτημα για το εφαρμοστέο δίκαιο:

Μέχρι τώρα εφαρμόζεται το δίκαιο της χώρας όπου γίνεται η επεξεργασία ή της λήψης των δεδομένων (α.4 οδ. 95/46/ΕΚ)

GDPR:

Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης».

Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με:

α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή

β) την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.

Cloud υπηρεσίες: Υφιστάμενο εθνικό πλαίσιο

προστασίας δεδομένων προσωπικού χαρακτήρα

Βασικός νόμος 2472/1997 και ν. 4139/2013

Ουσιαστικά ενσωμάτωση κοινοτικών προβλέψεων

Ορισμός- διακρίσεις:

απλά, ευαίσθητα

Αρχές σύννομης επεξεργασίας

Υποχρεώσεις (γνωστοποίηση, άδεια κ.ο.κ)

Κυρώσεις

Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)

Cloud υπηρεσίες: Το νέο θεσμικό πλαίσιο

προσωπικών δεδομένων -“data reform package”

Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων- General Data Protection Regulation/ GDPR).

Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου.

Οδηγία (ΕΕ) 2016/681 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016, σχετικά με τη χρήση των δεδομένων που περιέχονται στις καταστάσεις ονομάτων επιβατών (PNR) για την πρόληψη, ανίχνευση, διερεύνηση και δίωξη τρομοκρατικών και σοβαρών εγκλημάτων.

Διαδικασία αναθεώρησης Οδηγίας e- privacy - (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες)

Cloud υπηρεσίες: βασικές αρχές επεξεργασίας

δεδομένων Αρχή της νομιμότητας της επεξεργασίας

Διαφάνεια όρων

Aρχή της θεμιτής και νόμιμης συλλογής

Πλήρης ενημέρωση τρόπου συλλογής

Αρχή του σκοπού

Ενημέρωση από πριν, επεξεργασία μόνο για ότι δόθηκε συναίνεση

Αρχή της αναλογικότητας/ ή συνάφειας

Μόνο στο βαθμό που απαιτούνται για την επίτευξη του σκοπού

Αρχή της ορθότητας των δεδομένων

π.χ. χρήση συστημάτων ανίχνευσης/ πρόληψης εισβολών (IPS/IDS)

Αρχή της χρονικά πεπερασμένης διάρκειας τήρησης

Διαγραφή δεδομένων μετά- ρητή συμβατική ρύθμιση προτιμητέα

Αρχή του απορρήτου

π.χ. χρήση κρυπτογράφησης

Αρχή της ασφάλειας

π.χ διαθεσιμότητα σε περίπτωση DoS

Cloud υπηρεσίες: Διασυνοριακή ροή δεδομένων

Ευρωπαϊκή Ένωση: ενιαίος χώρος κυκλοφορίας και προστασίας προσωπικών δεδομένων – σκοπός εναρμόνισης

Κράτη με ικανοποιητικό επίπεδο προστασίας

Διαπίστωση ικανοποιητικού επιπέδου από Αρχή Προστασίας Προσωπικών Δεδομένων

Αποφάσεις της Ευρωπαϊκής Ένωσης

ΗΠΑ δεν έχουν αντίστοιχη νομοθεσία αλλά ειδική συμφωνία με ΕΕ για διαβίβαση δεδομένων για ΗΠΑ βλ. Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield

Κράτη χωρίς ικανοποιητικό επίπεδο επεξεργασίας

Κατ’ εξαίρεση άδεια της Αρχής εφόσον συντρέχουν οι προβλεπόμενες στο νόμο προϋποθέσεις

Cloud υπηρεσίες: ο νέος Κανονισμός GDPR

Αντικαθιστά τη βασική Οδηγία 95/46/ΕΚ

Έχει τεθεί σε ισχύ από τις 4.5.2016, θα τεθεί σε εφαρμογή από τις

25 Μαΐου 2018

Έως τότε οι εταιρείες θα πρέπει να εξασφαλίσουν ότι

ανταποκρίνονται στις επιβαλλόμενες νέες υποχρεώσεις

Θα βοηθηθούν από οδηγίες, γνωμοδοτήσεις, κατευθυντήριες

γραμμές αρμόδιων αρχών

Cloud υπηρεσίες: GDPR- βασικές ρυθμίσεις Ανανεωμένοι & νέοι ορισμοί, π.χ.:

Κατάρτιση προφίλ, Ψευδωνυμοποίηση, Γενετικά δεδομένα, βιομετρικά δεδομένα

Ευαίσθητα: +γενετικά, βιομετρικά

Ειδικές προϋποθέσεις για συγκατάθεση παιδιού

Επαναδιατύπωση αρχών επεξεργασίας

Νέα δικαιώματα «υποκειμένων»

Διαγραφής- δικαίωμα λήθης (Βλ. υπόθεση Costeja)

Φορητότητας δεδομένων

Εναντίωσης στην κατάρτιση προφίλ ή σε απόφαση βάσει αυτού

Πληροφόρησης για παραβίαση

Τροποποίηση υποχρεώσεων υπεύθυνων επεξεργασίας

Κατάργηση υποχρέωσης γνωστοποίησης αρχείου

Privacy by design & privacy by default

Διατήρηση αρχείων επεξεργασίας

Γνωστοποίηση εντός 72 ωρών παραβιάσεων

Impact assessment

Νέος θεσμός Data Protection Officer (DPO)- υπεύθυνος προστασίας δεδομένων

Νέες ρυθμίσεις για εποπτεύουσες αρχές

Κυρώσεις για υπεύθυνους ή εκτελούντες την επεξεργασία

Cloud υπηρεσίες:Οδηγία NIS-Network & Information Systems

Οδηγία (EE) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Ιουλίου 2016, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση για την ασφάλεια δικτύων και πληροφοριών (ΑΔΠ)

ΑΔΠ=η ικανότητα συστημάτων δικτύου και πληροφοριών ναανθίστανται, σε δεδομένο βαθμό αξιοπιστίας, σε ενέργειες που πλήττουν τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή το απόρρητο των δεδομένων που αποθηκεύονται, μεταδίδονται ή υποβάλλονται σε επεξεργασία ή των συναφών υπηρεσιών που προσφέρονται ή είναι προσβάσιμες μέσω των εν λόγω συστημάτων δικτύου και πληροφοριών

Cloud υπηρεσίες: βασικές προβλέψεις οδηγίας NIS

Υποχρεώσεις κρατών μελών

Εθνική στρατηγική για την ασφάλεια των συστημάτων δικτύου και πληροφοριών

Εθνικές ομάδες παρέμβασης -national CSIRTs (Computer Security Incident Response Teams)

Δίκτυο ομάδων παρέμβασης- network of the national CSIRTs

Εθνικό σημείο επαφής

«Ομάδα Συνεργασίας»/ Cooperation Group: κράτη μέλη, Επιτροπή, ENISA για την υποστήριξη και διευκόλυνση της στρατηγικής συνεργασίας καθώς και της ανταλλαγής πληροφοριών, και την καλλιέργεια πνεύματος αξιοπιστίας και εμπιστοσύνης

Κυρώσεις - επιβολή

Υποχρεώσεις άλλων εμπλεκομένων

Φορείς εκμετάλλευσης βασικών υπηρεσιών/ Operators of Essential Services (OES)

σε τομείς ζωτικής σημασίας όπως η ενέργεια, οι μεταφορές, η υγεία και οι χρηματοπιστωτικές υπηρεσίες

Πάροχοι ψηφιακών υπηρεσιών/ Digital Service Providers

διαδικτυακές αγορές, τις μηχανές αναζήτησης και τις υπηρεσίες νεφοϋπολογιστικής

Πότε;

Έως 9 Μαΐου 2018 τις αναγκαίες νομοθετικές, κανονιστικές και διοικητικές διατάξεις για να συμμορφωθούν με τη νέα οδηγία

Από 10 Μαΐου 2018 τα μέτρα αυτά θα τεθούν σε εφαρμογή

Cloud υπηρεσίες: Υποχρεώσεις παρόχων ψηφιακών

υπηρεσιών/ Digital Service Providers (DSPs) βάσει NIS

προσδιορίζουν και λαμβάνουν κατάλληλα και αναλογικά τεχνικά και

οργανωτικά μέτρα για τη διαχείριση των κινδύνων

λαμβάνουν μέτρα για την αποτροπή και την ελαχιστοποίηση του αντίκτυπου

συμβάντων που επηρεάζουν την ασφάλεια

κοινοποιούν στην αρμόδια αρχή ή την CSIRT χωρίς αδικαιολόγητη

καθυστέρηση κάθε συμβάν που έχει σημαντικό αντίκτυπο

Κριτήρια:

ο αριθμός των χρηστών που επηρεάζονται από το συμβάν, ιδίως των χρηστών

που εξαρτώνται από την υπηρεσία για την παροχή των δικών τους υπηρεσιών

η διάρκεια του συμβάντος

το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν

η έκταση της διατάραξης της λειτουργίας της υπηρεσίας

η έκταση του αντίκτυπου στις οικονομικές και κοινωνικές δραστηριότητες

Cloud υπηρεσίες: ζητήματα πνευματικής

ιδιοκτησίας

Σε περίπτωση προσβολής δικαιωμάτων εκ μέρους χρήστη

Εφαρμογή κριτηρίων οδηγίας ηλεκτρονικού εμπορίου για την ευθύνη των παρόχων

Δικαίωμα ενημέρωσης δικαιούχων– right to information (α. 8 οδ. 2001/29)

Έλεγχος για την τυχόν παραβίαση πολιτική χρήσης –AUP

Συζήτηση για δυνατότητα επιβολής εύλογης αμοιβής για ιδιωτική

αναπαραγωγή

Γαλλία, πρόταση τροποποίησης στον γαλλικό νόμο σχετικά με το οπτικοακουστικό

και ραδιοφωνικό περιεχόμενο το οποίο εγγράφεται και αρχειοθετείται σε cloud

πλατφόρμες μέσω της χρήσης Προσωπικών Εγγραφέων Βίντεο Δικτύου (NPVR)

Cloud υπηρεσίες: ιδιαίτερες απαιτήσεις

ασφαλείας

Επιβαλλόμενες από νομοθεσία για:

Προστασία προσωπικών δεδομένων

Υφιστάμενη

GDPR

ΑΔΑΕ- αρχή διασφάλισης απορρήτου των επικοινωνιών

Οδηγία NIS- Network Information Security

Cloud υπηρεσίες: πιστοποιήσεις

τα κράτη μέλη, χωρίς να επιβάλλουν ούτε να ευνοούν τη χρησιμοποίηση

συγκεκριμένου είδους τεχνολογίας, ενθαρρύνουν τη χρήση ευρωπαϊκών ή

διεθνώς αποδεκτών προτύπων και προδιαγραφών σχετικών με την ασφάλεια

των συστημάτων δικτύου και πληροφοριών (οδηγία NIS)

α. 42 GDPR

Παροτρύνουν […]τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και

σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της

συμμόρφωσης

Εθελοντική πιστοποίηση μέσω διαφανούς διαδικασίας

Όταν τα κριτήρια εγκρίνονται από το Συμβούλιο Προστασίας Δεδομένων, αυτό

μπορεί να οδηγήσει σε κοινή πιστοποίηση, την Ευρωπαϊκή Σφραγίδα Προστασίας

των Δεδομένων

μέγιστη διάρκεια ισχύος 3 ετών

Μητρώο Συμβουλίου Προστασίας Δεδομένων

Cloud υπηρεσίες: Πιστοποιήσεις για οργανισμούς

και επιχειρήσεις

(ενδεικτικά):

ISO/IEC 27001: Information technology - Security techniques - Information

security management systems - Requirements

ISO/IEC 27018: Information technology - Security techniques - Code of

practice for protection of personally identifiable information (PII) in public

clouds acting as PII processors

Cloud υπηρεσίες: πηγές για περαιτέρω ενημέρωση

Cloud computing

https://ec.europa.eu/digital-single-market/en/cloud

Cloud Computing Contracts

http://ec.europa.eu/justice/contract/cloud-computing/index_en.htm

Cloud computing – data protection

Γνώμη 05/2012 της ομάδας εργασίας του άρθρου 29 σχετικά με τη

νεφοϋπολογιστική-

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-

recommendation/files/2012/wp196_el.pdf

https://www.cloudindustryforum.org/content/cloud-and-eu-gdpr-six-steps-compliance

http://www.a4cloud.eu/

Ερωτήσεις;

Evangelia.Vagena@gmail.com

evagena@metropolitan.edu.gr

http://www.mitropolitiko.edu.gr/