Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury

Transkrypt

1 Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury Materiał uzupełniający na potrzeby konwersatorium pt. Dostęp Wymiana Integracja. Wykorzystanie różnych źródeł informacji na potrzeby zarządzania kryzysowego" Warszawa 14 kwietnia 2014 r.

2 Nota: Niniejsza prezentacja stanowi uzupełnienie materiałów konwersatorium pt. Dostęp Wymiana Integracja. Wykorzystanie różnych źródeł informacji na potrzeby zarządzania kryzysowego" zorganizowanego przez Instytut MikroMakro i Collegium Civitas w Warszawie 14 kwietnia 2014 r. Prezentację można kopiować i wykorzystywać w całości lub w części tylko pod warunkiem podania pełnej informacji o utworze w poniższym brzmieniu: W.R.Wiewiórowski, Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi, WPiA Uniwersytet Gdański 2013 (wersja z 12 kwietnia 2014 r.) ---- W prezentacji wykorzystano publikację: W. R. Wiewiórowski: Prawne aspekty udostępniania usług administracji publicznej w modelu chmury (cloud computing) z książki: G. Szpor [red.:] Internet - Cloud Computing, Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s W.R.Wiewiórowski,

3 M. Narojek dla Biura GIODO 2011

4 Motto dla chmury

5 Przetwarzanie w chmurze D. C. Wyld: Moving to the Cloud: An Introduction the the Cloud Computing in the Govenment, IBM Center for The Business of Government 2009, s. 10.

6 Przetwarzanie w chmurze Definicja przetwarzania danych w chmurze obliczeniowej przygotowana przez National Institute of Standards and Technology (NIST) Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model is composed of five essential characteristics, three service models, and four deployment models. National Institute of Standards and Technology (NIST), Special Publication , The NIST Definition of Cloud Computing, September 2011, Page 3.

7 Cechy modelu chmurowego (NIST) cz. 1 Pięć głównych cech chmurowego modelu przetwarzania to: On-demand self-service klienci chmury powinni mieć możliwość skorzystania z usług w chmurze (np. obliczeniowych, pamięci i zasobów pamięci masowej), używając mechanizmu samoobsługi (np. portal internetowy), tak żeby nabywanie usług nie wymagało interwencji przez usługodawcę chmury, Broad network access chmura powinna być dostępna z każdego miejsca (jeśli wymagane) na różnych urządzeniach, takich jak: smartfony, tablety, laptopy, komputery stacjonarne oraz na wszystkich innych typach czytników, istniejących obecnie lub w przyszłości, Resource pooling chmury powinny udostępniać pule współdzielonych zasobów, które wykorzystywane są przez klientów chmury. Zasoby, takie jak: moc obliczeniowa, pamięć, sieć i dysk, przydzielone są do klientów korzystających z usług udostępnionej, wspólnej puli. Zasoby pobierane są z aktualnej lokalizacji, a klienci nie są świadomi lokalizacji tych zasobów, Tłumaczenie za: M.Ledwoch, Przegląd architektury Chmur Prywatnych, TechNet Microsoft, (stan z )

8 Cechy modelu chmurowego (NIST) cz. 2 Pięć głównych cech chmurowego modelu przetwarzania to: ( ) Rapid elasticity - chmury powinny zapewnić szybkie zastrzeganie i uwolnienie zasobów ze względu na zapotrzebowanie usług w chmurze. Powinno to odbywać się automatycznie, bez konieczności ingerencji człowieka. Ponadto, odbiorcy usługi chmury powinni odnosić wrażenie, że istnieje nieograniczona pula zasobów usługa jest w stanie spełnić wymagania dla dowolnego scenariusza w przypadku użycia, Metered Services model chmury, określany jako pay-as-you-go, powinien czasem umożliwiać ładowanie usług konsumenta chmury w oparciu o rzeczywiste wykorzystanie zasobów chmury. Wykorzystanie zasobów jest monitorowane, zgłaszane i kontrolowane przez dostarczyciela usług chmurowych i politykę serwisu, które zapewniają przejrzystość rozliczeń, zarówno z dostarczycielem usług chmurowych, jak i z konsumentem usług. Tłumaczenie za: M.Ledwoch, Przegląd architektury Chmur Prywatnych, TechNet Microsoft, (stan z )

9 Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi Modele przetwarzania w chmurze IaaS - Infrastructure as a Service (z ang. "infrastruktura jako usługa") - w tym przypadku usługodawca zobowiązuje się do dostarczenia infrastruktury informatycznej, PaaS - Platform as a Service (z ang. "platforma jako usługa") - usługodawca udostępnia całe środowisko pracy, SaaS - Software as a Service (z ang. "oprogramowanie jako usługa") - usługodawca udostępnia oprogramowanie, użytkowane aplikacje są jedynie wynajmowane,

10 Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi Quasi-modele przetwarzania w chmurze BaaS Business as a Service CaaS Communications as a Service integracja komunikacji głosowej, wizualne, chatów, komunikatorów itp. DaaS Data as a Service np. The Google Geocoding API TM E

11 Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi Quasi-modele przetwarzania w chmurze Źródło: Wikipedia

12 Modele przetwarzania w chmurze chmura publiczna Chmury dedykowane chmura prywatna chmura wspólna chmura hybrydowa stos chmur

13 Modele przetwarzania w chmurze M. Ferrar, M. Gray, K. Craig-Wood: Data Centre Migration, G-Cloud and Applications Store Programme Phase 2. Technical Architecture Workstrand Report, Cabinet Office, Londyn, Maj 2010, s. 7

14 Przewidywania wobec chmur rządowych 1. Chmurowe usługi rządowe wystartują tak na poziomie centralnych jak i lokalnym jako ostrożne i dokładnie obserwowane inicjatywy w najbliższych latach. 2. Na poziomie centralnym nastąpi skoordynowane przejście do usług chmurowych przy nieuniknionych sporach pomiędzy poszczególnymi urzędami. 3. Rocznie na świecie zdarzać się będą 2-3 incydenty grożące znaczącymi zdarzeniami z zakresu bezpieczeństwa danych, wzbudzając ogromne zainteresowanie mediów i wezwania do szerszej regulacji i kontroli nad dostawcami chmur. 4. Rozwijać się będzie współpraca pomiędzy firmami chcącymi stać się dostarczycielami chmur i agencjami rządowymi, a zakres danych i aplikacji umieszczanych w chmurach znacznie przekroczy nasze dzisiejsze oczekiwania w najbliższej dekadzie. 5. Sytuacja budżetowa wzmagać będzie nacisk na umieszczanie jak najszerszej gamy usług w chmurach dedykowanych a nawet w chmurach publicznych, w związku z wzrastającą tendencją do ousourcowania zadań i zasobów IT (hardware, software, dane i wsparcie osobowe). Na podstawie: D. C. Wyld: Moving to the Cloud: An Introduction the the Cloud Computing in the Govenment, IBM Center for The Business of Government 2009, s. 7.

15 Przewidywania wobec chmur rządowych 6. Wzrost znaczenia chmur zaznaczy się we wszystkich sektorach poczynając od ochrony zdrowia i edukacji a na wojsku i obronie narodowej kończąc [PROBLEMATYCZNA TEZA] 7. Darmowa oferta chmurowa wykraczająca nawet poza usługi i dzisiejsze aplikacje stanie się ważną częścią portfolio większości urzędów. 8. Efektem ubocznym aktywności rządu w chmurach będzie przyspieszenie procesów standaryzacji i zwiększanie interoperacyjnosci pomiędzy dostawcami chmur. 9. W ciągu całej najbliższej dekady obserwować będziemy przyspieszenie w zakresie rozwiązań prawnych związanych z chmurami, poczynając od precedensowych sporów sądowych a kończąc na inicjatywach legislacyjnych w kwestiach technologicznych i biznesowych oraz w zakresie ochrony użytkowników usług. 10. Demokratyzacja technologii, którą przyniesie cloud computing wpłynie znacząco na jakość życia online, rozwój gospodarki i innowacyjność przynosząc zyski wszystkim Na podstawie: D. C. Wyld: Moving to the Cloud: An Introduction the the Cloud Computing in the Govenment, IBM Center for The Business of Government 2009, s. 7.

16 Polska chmura prywatna dla administracji publicznej Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze proponowany do umieszczenia na liście rezerwowej Ministerstwo Administracji i Cyfryzacji / Centrum Projektów Informatycznych Projekt umożliwi realizację spójnej polityki wdrażania systemów zarządzania dokumentami oraz standaryzację rozwiązań; pozwoli na wykorzystanie systemu archiwizacji oraz zarządzania dokumentami w JST. Wprowadzenie chmury obliczeniowej może przyczynić się do zmniejszenia ilości pracy wykonywanej przez urzędników, obniżenie kosztów obsługi obywatela i kosztów działania urzędu, w tym również ilości używanych dokumentów papierowych. Projekt przełoży się na przebudowę, dostosowanie i wdrożenie zasobów i systemów informatycznych administracji publicznej w celu ich usprawnienia i integracji.

17 Polska chmura prywatna dla administracji publicznej Założenia Projektu Celem przygotowywanego przez CPI projektu Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze jest stworzenie nowego jakościowo rozwiązania o charakterze chmury prywatnej przeznaczonego dla Jednostek Samorządu Terytorialnego. ( ) Projekt zakłada rozwój nowych i integrację już eksploatowanych przez JST systemów teleinformatycznych, wykorzystując możliwości oferowane przez epuap. ( ) Eksploatacja i rozwój infrastruktury w horyzoncie, co najmniej do roku 2020 finansowana byłaby ze środków budżetowych. Zasady partycypacji finansowej administracji centralnej i JST w tym procesie, zostaną ustalone na etapie definiowania projektu wspólnie z JST. Realne koszty utrzymania infrastruktury wspólnej będą uzależnione od wielu czynników, tym niemniej definiując projekt założono, że koszt partycypacji JST będzie niższy niż wydatki ponoszone przez JST na własną infrastrukturę. Na podst. dokumentu Załącznik do ankiety Jednostki Samorządu Terytorialnego a prywatna chmura obliczeniowa przygotowanej w ramach projektu Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze dokument elektroniczny: (dokument z 25 września 2012 r., ostatnio sprawdzany 6 listopada 2012 r.)

18 Polska chmura prywatna dla administracji publicznej wątpliwości GIODO Pojawiają się jednak dwa podstawowe pytania: 1. Czy dostarczyciele chmury w modelu IaaS, będą również oferowali usługi SaaS, a jeśli tak, to czy będą to usługi standardowe, w których decyzję o funkcjonalnościach oprogramowania w SaaS (celach i sposobach jego działania) decydować będzie dostarczyciel usługi chmurowej? 2. Czy gmina (powiat, województwo), decydując się na przyjęcie oferty usług chmurowych, będzie decydowała jedynie o przekazaniu tam zasobów, dla których sama jest administratorem danych osobowych, czy będzie de facto zmuszać do takiego kroku jednostki komunalne, będące przecież często samodzielnymi administratorami danych osobowych? Te dwa pytania należałoby uzupełnić trzecim, zapewne nieco prostszym: 3. Kto będzie podejmował ewentualne decyzje w imieniu dostarczycieli chmury (jako administrator lub procesor)? Minister właściwy ds. informatyzacji czy Dyrektor CPI? A może każdy z nich osobno?

19 Polska chmura prywatna dla administracji publicznej wątpliwości GIODO Przy pierwszym pytaniu nawet pobieżna lektura ankiety zamieszczonej na stronie projektu a skierowanej do jego ewentualnych użytkowników wskazuje, że twórcy infrastruktury mają zamiar oferować w ramach niej klasyczne usługi przetwarzania danych osobowych w modelu SaaS. Pytania dotyczą bowiem potencjalnego zainteresowania usługami obejmującymi m.in. wysyłanie przesyłek SMS do mieszkańców, e-przedszkola i e-szkoły (w tym komunikacja z rodzicami i umożliwienie im dostępu do informacji o płatnościach, wyżywieniu, obecności, a także wynikach w nauce swoich dzieci), czy informowanie osoby zarejestrowanej w urzędzie pracy o aktualnych ofertach odpowiadających jego profilowi zawodowemu. Gminy pytane są również o ewentualne korzystanie z udostępnionych przez dostarczyciela usług w chmurze prywatnej programów typu ERP (zaawansowane zarządzanie zasobami), SZD (zarządzanie dokumentami) i CRM (zarządzanie relacjami z mieszkańcami). To oznaczać może, że rola MAiC i CPI nie będzie sprowadzać się do przetwarzania nie swoich danych, ale przerodzi się w rolę administratora decydującego o celach i sposobach przetwarzania danych z zasobów podmiotów całkowicie organizacyjnie od nich niezależnych jakimi są jednostki samorządu terytorialnego wobec MAiC i CPI należących do administracji rządowej. Problemy rozróżnienia administratora danych i procesora są tu bardzo wyraźne, ale nie są typowe tylko dla relacji w administracji publicznej stąd też są w centrum prawnych rozważań o chmurach od momentu pojawienia się tego fenomenu, a w rozważaniach wykorzystywane są już wcześniejsze doświadczenia dotyczące innych modeli outsourcingu.

20 Polska chmura prywatna dla administracji publicznej wątpliwości GIODO Sprawa komplikuje się znacznie bardziej, gdy próbujemy odpowiedzieć na drugie z postawionych pytań. Z jednej strony wydaje się zupełnie oczywiste, że gmina (powiat, województwo) mogą przenosić do przetwarzania w chmurach tylko te usługi, dla których same są administratorem zbioru danych w nich wykorzystywanych. Z drugiej strony sugestia, że w ramach wspólnej infrastruktury chmurowej mają być decyzją gminy przetwarzane dane e-przedszkola i e-szkoły, w tym takie dany, które umożliwią komunikację z rodzicami i dostęp tychże rodziców do informacji o płatnościach, wyżywieniu, obecności, a także wynikach w nauce swoich dzieci, sugeruje, że twórcy projektu zakładają, że do wspólnej infrastruktury trafiać będą dane, dla których administratorami są dyrektorzy szkół czy przedszkoli. Wymaga to rozstrzygnięcia, kto będzie podejmował decyzję o skorzystaniu z usług chmurowych. Oczywiście logiczne wydaje się, że decyzja będzie podejmowana na poziomie gminy, a administratorzy danych nie będą mieli innego wyjścia jak podporządkowanie się jej. Kto w takiej sytuacji będzie decydował o celach i sposobach przetwarzania? Dyrektor szkoły lub przedszkola, jak wskazywałaby na to regulacja prawna? Gmina zamawiająca usługę chmurową? A może jednak MAiC i CPI tworzące usługi i decydujące, jakich czynności związanych z przetwarzaniem danych osobowych można przy ich pomocy dokonać i jak to uczynić? Jeśli odpowiedź na to pytanie miała być inna niż, że jedynym administratorem danych jest dyrektor szkoły lub przedszkola, to oczywiście należy od razu zapytać o podstawy prawne takiego przetwarzania po stronie gminy, MAiC i CPI.

21 Polska chmura prywatna dla administracji publicznej Zakłada się, że: Infrastruktura byłaby administrowana centralnie przez MAC / CPI. Właścicielem i administratorem danych byłyby JST. MAC / CPI odpowiadały by za rozwój infrastruktury i związanych z nią usług administracji. Proces ten byłby nadzorowany przez Radę Użytkowników w skład, której wchodziliby przedstawiciele JST uczestniczący w projekcie. Infrastruktura wspólna może objąć istniejące lub planowane moce obliczeniowe znajdujące się w ośrodkach obliczeniowych administracji (zarówno centralnej jak i samorządowej). Zasady wykorzystania przez JST usług infrastruktury wspólnej regulowałyby każdorazowo umowy SLA zawierane pomiędzy MAC / CPI a JST. Infrastruktura wspólna (wraz z usługami) byłaby w pełni operacyjna najpóźniej w 2015 r. Na podst. dokumentu Załącznik do ankiety Jednostki Samorządu Terytorialnego a prywatna chmura obliczeniowa przygotowanej w ramach projektu Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze dokument elektroniczny: (dokument z 25 września 2012 r., ostatnio sprawdzany 6 listopada 2012 r.)

22 Role w przedsięwzięciu Obszar strategiczny Obszar infrastruktury CPI / MAC: Centralny rozwój usług i infrastruktury Rozwój infrastruktury centralnej JST: Ustalanie wymagań dla rozwijanych usług Udostępnianie swojej infrastruktury Obszar usług Udostępnianie usług Eksploatacja usług Wybrane slajdy z prezentacji: Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze. Wprowadzenie do dyskusji warsztatowej, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r.,

23 Założenia proponowanego modelu MAC / CPI odpowiadać będą za centralny aspekt rozwoju infrastruktury i e-usług administracji, w szczególności za zapewnienie: integracji systemu z centralnymi rejestrami państwowymi i systemami ewidencyjnymi a także ogólnokrajowymi platformami usług elektronicznych jak e-puap, funkcjonowania ośrodków obliczeniowych oraz centrum monitoringu i zarządzania systemem (7/24), sprawnej i bezpiecznej łączności pomiędzy ośrodkami obliczeniowymi i centrum, spójności tworzonych usług z Krajowymi Ramami Interoperacyjności, rozwoju usług o zasięgu ogólnokrajowym. Wybrane slajdy z prezentacji: Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze. Wprowadzenie do dyskusji warsztatowej, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r.,

24 Założenia proponowanego modelu Infrastruktura i usługi rozwijane będą w oparciu o zasoby: zasoby znajdujące się już we władaniu MAC / CPI, pozyskane na drodze zamówień publicznych, centrów przetwarzania danych, które stworzyły jednostki administracji zarówno samorządowej jak i centralnej. Nadzór nad procesem rozwoju usług, w tym wyznaczanie strategicznych kierunków rozwoju systemu, sprawować będzie Rada Użytkowników złożona z przedstawicieli JST. Wybrane slajdy z prezentacji: Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze. Wprowadzenie do dyskusji warsztatowej, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r.,

25 Założenia proponowanego modelu Na podstawie doświadczeń z dotychczasowej realizacji projektów przez MSWiA / MAC jednostką odpowiedzialną za utrzymanie systemu w działaniu i zapewnieniu jego rozwoju (przynajmniej w okresie trwałości) projektu byłoby CPI, odpowiadające za: 25 tworzenie nowych i rozwój istniejących usług w ustalonym zakresie (Rada Użytkowników), wsparcie użytkowników z JST w zakresie wykorzystania udostępnionej infrastruktury, środowiska i usług do realizacji zadań własnych, zapewnienie świadczenia usług na ustalonym poziomie (SLA / OLA), zapewnienie funkcjonowania ośrodków obliczeniowych i łączącej je infrastruktury sieciowej na ustalonym poziomie (SLA / OLA). Przyjęty model nie wyklucza: zamawiania określonych usług na drodze zamówień publicznych, budowania partnerstwa publiczno-prywatnego w obszarach nie objętych trwałością projektu, rozbudowy systemu z wykorzystaniem środków nowej perspektywy finansowej.

26 Założenia proponowanego modelu Wybrane slajdy z prezentacji: Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze. Wprowadzenie do dyskusji warsztatowej, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r., Formalną podstawą do współpracy pomiędzy MAC i JST będą zapisy tzw. Linii Współpracy, która będzie porozumieniem pomiędzy MAC a JST porządkującym współpracę pomiędzy wspomnianymi podmiotami w kwestii budowy otwartego państwa i nowoczesnej e-administracji. Zakłada się, że Jednostka Samorządu Terytorialnego korzystająca z usług oraz Ministerstwo Administracji i Cyfryzacji podpiszą każdorazowo Umowę, która sformalizuje obowiązki leżące: po stronie MAC oraz CPI jako operatora (zapewniającego świadczenie usług), po stronie JST jako usługobiorcy (korzystającego z usług) w tym finansowej partycypacji w utrzymaniu systemu. 26 W przypadku wykorzystania zasobów JST we wspólnej infrastrukturze podpisywana byłaby pomiędzy JST a MAC odrębna Umowa określająca zasady finansowej rekompensaty przez MAC wykorzystania zasobów. Linia Współpracy, 22 kwietnia 2013 roku

27 Założenia proponowanego modelu Beneficjent (MAC) Operator Wybrane slajdy z prezentacji: Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze. Wprowadzenie do dyskusji warsztatowej, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r., content/uploads/2013/03/informatyzacja- JST-z-zastosowaniem-technologiiprzetwarzania-w-chmurze-cz2.pptx Klient (JST) Realizacja projektu i zapewnienie jego działania (trwałość) Świadczenie usług IaaS, PaaS, SaaS Eksploatacja usług IaaS, PaaS, SaaS Wytyczanie ogólnych kierunków rozwoju systemu Zapewnienie dostępności i rozbudowa infrastruktury (w szczególności o zasoby własne JST) Zamawianie i zlecanie wykonania usług Integracja z centralnymi rejestrami i systemami ewidencyjnymi Rozwój usług zgodnie z wytycznymi Beneficjenta i Klienta Wytyczanie szczegółowych kierunków rozwoju usług z punktu widzenia klientów 27 Linia Współpracy, 22 kwietnia 2013 roku

28 Pytania - model eksploatacji Na obecnym etapie projektu zakładamy że CPI pełnić będzie rolę inicjalnego operatora systemu czyli: zrealizuje projekt i doprowadzi do uruchomienia systemu, wypracuje wspólnie z JST plany rozwoju usług elektronicznych i infrastruktury, doprowadzi do podpisania porozumień z JST. 28 Pytanie jaki model współpracy MAC <> JST docelowo powinien obowiązywać w kontekście utrzymania i rozwoju systemu: na etapie trwałości projektu, po zakończeniu trwałości projektu: o utrzymanie dotychczasowego modelu, o zmiana, o a może komercjalizacja Linia Współpracy, 22 kwietnia 2013 roku

29 Pytania - porozumienia Jak powinno wyglądać porozumienie pomiędzy MAC <> JST dotyczące eksploatacji usług: umowa SLA czy OLA, niezależnie ze umawiające strony są jednostkami administracji jak zapewnić zgodnie z ITIL zapłatę za dobrze świadczoną usługę, prawa i obowiązki Operatora, prawa i obowiązki JST. Jak powinno wyglądać porozumienie pomiędzy MAC <> JST dotyczące udostępnienia infrastruktury przez JST: to nie będzie proste odwrócenie umowy o eksploatacji usług! Wybrane slajdy z prezentacji: Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze. Wprowadzenie do dyskusji warsztatowej, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r.,

30 Usługi w modelu IaaS Obszar Przykładowe usługi dla JST oferowane w ramach projektu Możliwe pola integracji z systemami JST Usługi użyczanie mocy obliczeniowej podmiotom publicznym, hosting stron internetowych administracji publicznej, internetowy backup, usługi telefonii IP i komunikacji natychmiastowej wraz z centralną książką teleadresową administracji. Włączenie zasobów centrów obliczeniowych JST do wspólnej jednolicie zarządzanej infrastruktury teleinformatycznej całej administracji (tzw. grid obliczeniowy administracji). Pola możliwej integracji z systemami centralnymi Włączenie zasobów centrów obliczeniowych administracji centralnej do wspólnej infrastruktury teleinformatycznej całej administracji. Wybrane slajdy z prezentacji: Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze. Wprowadzenie do dyskusji warsztatowej, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r.,

31 Usługi w modelu PaaS Obszar Usługi Przykładowe usługi dla JST oferowane w ramach projektu platforma szkoleń multimedialnych administracji, platforma konsultacji społecznych. Możliwe pola integracji z systemami JST Pola możliwej integracji z systemami centralnymi Integracja platform regionalnych oraz zintegrowanych systemów JST na wspólnej infrastrukturze teleinformatycznej. pełna integracja z infrastrukturą Platformy epuap i usług przez nią świadczonych, integracja z centralnymi platformami sektorowymi np. CSIOZ. Wybrane slajdy z prezentacji: Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze. Wprowadzenie do dyskusji warsztatowej, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r.,

32 Usługi w modelu SaaS Obszar Przykładowe usługi dla JST oferowane w ramach projektu Usługi punkt kontaktowy e-administracji publicznej, interaktywny konsultant prawny, Możliwe pola integracji z systemami JST Pola możliwej integracji z systemami centralnymi aplikacje bazujące / wykorzystujące platformę epuap, aplikacje regionalnych platform i systemów samorządowych zintegrowanych z Chmurą (w modelu IaaS, PaaS). aplikacje bazujące / wykorzystujące platformę epuap, aplikacje centralnych platform sektorowych zintegrowanych z Chmurą (w modelu IaaS, PaaS). Wybrane slajdy z prezentacji: Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze. Wprowadzenie do dyskusji warsztatowej, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r.,

33 Role w przedsięwzięciu - infrastruktura Beneficjent (MAC) Operator Klient (JST) Finansowanie funkcjonowania infrastruktury Zapewnienie dostępności całości infrastruktury Udostępnianie infrastruktury Wytyczanie ogólnych kierunków rozwoju infrastruktury Rozbudowa infrastruktury (w szczególności o zasoby własne JST) Zapewnienie rozwoju infrastruktury (na poziomie lokalnym) Integracja infrastruktury z zasobami centralnymi Administrowanie centralne infrastrukturą Administrowanie lokalne infrastrukturą Wybrane slajdy z prezentacji: Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze. Wprowadzenie do dyskusji warsztatowej, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r.,

34 Europejska Agenda Cyfrowa Zwiększenie wysiłków i efektywności W 2010 r. Komisja przedstawi kompleksową strategię w dziedzinie badań i innowacji pod nazwą Unia innowacji, która jest sztandarowym projektem wdrażającym strategię Europa W oparciu o europejską strategię mającą na celu ustanowienie wiodącej roli sektora TIK30, Europa musi zwiększyć, ukierunkować oraz połączyć swoje inwestycje, aby zachować w tej dziedzinie konkurencyjność, oraz musi nadal inwestować w badania wysokiego ryzyka, w tym w interdyscyplinarne badania podstawowe. Europa powinna również dążyć do osiągnięcia przewagi pod względem innowacji w kluczowych obszarach poprzez wzmocnienie infrastruktur elektronicznych i poprzez ukierunkowany rozwój klastrów innowacyjnych działających w kluczowych dziedzinach. Należy rozwijać unijną strategię dotyczącą wykorzystywania chmur obliczeniowych, szczególnie do celów administracji i nauki. Strategia powinna uwzględniać aspekty ekonomiczne, prawne i instytucjonalne].

35 Stanowisko Komisji Europejskiej Kwestię zmian w praktyce ochrony prywatności w związku z popularyzacją usług cloud computingu poruszyła również Neelie Kroes wice przewodnicząca Komisji Europejskiej i Komisarz ds. Agendy Cyfrowej podczas konferencji «Les Assises du Numérique» zorganizowanej na Uniwersytecie Paris-Dauphine 25 listopada 2010 r. Stanowisko Unii: - przetwarzanie danych w chmurze to nie tylko wyzwanie technologiczne; - niebezpieczeństwo utraty kontroli nad przetwarzaniem danych w chmurze; - tylko dalsze studia nad privacy-by-design i technologiami zwiększającymi prywatność ( privacy-enhancing technologies") połączone z rozpozananiem różnic w implementacji europejskich zasad ochrony danych osobowych w poszczególnych krajach członkowskich może nas przybliżyć do rozwiązania prawnych i organizacyjnych problemów, jakie cloud computing napotyka w Europie.

36 Stanowisko Komisji Europejskiej Stanowisko Unii cd.: - w świetle oczekiwania ze strony Komisji, że Europa stanie się wolnym rynkiem umożliwiającym swobodną a zarazem bezpieczną wymianę danych osobowych, stanowisko Komisji wobec samego modelu będzie cloud-friendly. - takie poparcie uzyskać mogą jedynie takie chmury, które będą w jasny i silny sposób wspierać ochronę danych osobowych. - rola samoregulacji w zakresie przetwrazania danych w chmurze obliczeniowej - drogą do budowania sprawnego i zaufanego rynku przetwarzania danych w chmurze mogą być tak działania samoregulacyjne podejmowane przez grupy przedsiębiorców jak i wiążące reguły korporacyjne ("binding corporate rules") ustanawiane przez dostarczycieli chmury.

37 Stanowisko Komisji Europejskiej - polemika z najczęstszymi zarzutami kierowanymi wobec instytucji wspólnotowych w zakresie ochrony prywatności przy przetwarzaniu w chmurach - Komisja nie godzi się ani z zarzutami protekcjonizmu i wspierania operatorów europejskich ani z zarzutami hamowania rozwoju nowoczesnego modelu biznesowego w Europie - Komisja gra tą samą rolę jaką już wcześniej instytucje europejskie odgrywały np. na rynku motoryzacyjnym, gdzie narzucały zasady bezpieczeństwa (pasy, poduszki powietrzne) co też początkowo odbierane było jako obstrukcja wolnej konkurencji a dziś uważane jest za słusznie wymuszony krok w dobrym kierunku, który w końcu doprowadził do sytuacji w której bezpieczeństwo jazdy i wyniki testów wypadkowych stały się same w sobie ważnym elementami konkurencji między producentami, przy okazji wpływając na coraz większą ochronę kierowcy i pasażerów.

38 Strategia UE w zakresie chmur KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO, RADY, EUROPEJSKIEGO KOMITETU EKONOMICZNO- SPOŁECZNEGO I KOMITETU REGIONÓW Wykorzystanie potencjału chmury obliczeniowej w Europie r. COM(2012) 529 final {SWD(2012) 271 final} docs/com/com_cloud.pdf

39 Strategia UE w zakresie chmur Sprzęt jest własnością dostawcy usług w chmurze obliczeniowej, a nie użytkownika, który uzyskuje dostęp do chmury za pośrednictwem internetu. Wykorzystanie sprzętu jest dynamicznie zoptymalizowane za pomocą seci komputerów, tak że użytkownik w zasadzie nie musi znać dokładnej lokalizacji danych lub procesów, ani wiedzieć, który sprzęt w danym momencie faktycznie obsługuje tego użytkownika, chociaż może to mieć istotne znaczenie dla mających zastosowanie ram prawnych. Dostawcy usług w modelu chmury często przenoszą dane i aplikacje użytkowników w celu optymalnego wykorzystania dostępnego sprzętu. Znajdujący się w innej lokalizacji sprzęt służy do przechowywania i przetwarzania danych oraz ich udostępniania, np. za pośrednictwem aplikacji. Organizacje i osoby prywatne mogą mieć dostęp do ich zawartości i korzystać z ich oprogramowania, kiedykolwiek i gdziekolwiek jest im to potrzebne. Na strukturę chmury składa się kilka poziomów: sprzęt, oprogramowanie pośredniczące lub platforma i oprogramowanie użytkowe. Normalizacja ma zasadnicze znaczenie, zwłaszcza na poziomie oprogramowania pośredniczącego, ponieważ pozwala ono dostawcom dotrzeć do szeregu rozmaitych potencjalnych klientów, a użytkownikom daje możliwości wyboru; Użytkownicy zwykle płacą za to, z czego korzystają, unikając dużych stałych kosztów początkowych, związanych z samodzielną konfiguracją i eksploatacją zaawansowanego sprzętu komputerowego. Jednocześnie użytkownicy mogą bardzo łatwo zmienić liczbę urządzeń, z których korzystają (np. zwiększyć pojemność pamięci online w ciągu kilki sekund kilkoma kliknięciami myszką).

40 Strategia UE w zakresie chmur Komisja Europejska podejmie trzy konkretne działania sprzyjające przyjęciu chmury obliczeniowej: (1) Działanie 1: uporządkowanie dużej ilości różnych norm; (2) Działanie 2: bezpieczne i uczciwe warunki umowne (3) Działanie 3: utworzenie Europejskiego partnerstwa na rzecz chmur obliczeniowych w celu wspierania innowacji i wzrostu przez sektor publiczny. Działanie 1 uporządkowanie dużej ilości różnych norm Komisja będzie: propagować wiarygodne i rzetelne usługi w modelu chmury powierzając Europejskiemu Instytutowi Norm Telekomunikacyjnych (ETSI) koordynację działań z zainteresowanymi stronami na przejrzystych i otwartych zasadach w celu szczegółowego ustalenia do 2013 r. niezbędnych norm (między innymi dotyczących bezpieczeństwa, interoperacyjności, przenoszenia danych i odwracalności danych). zwiększać zaufanie do usług w chmurze obliczeniowej usług poprzez uznanie na szczeblu UE specyfikacji technicznych w dziedzinie ICT służących ochronie danych osobowych zgodnie z nowym rozporządzeniem w sprawie normalizacji europejskiej. wspierać z pomocą ENISA i innych właściwych organów rozwój obejmujących całą UE dobrowolnych systemów certyfikacji w zakresie chmury obliczeniowej (w tym w odniesieniu do ochrony danych) oraz ustanowi wykaz takich systemów do 2014 r.; podejmie działania w celu rozwiązania kwestii dotyczących wyzwań w zakresie ochrony środowiska w związku ze zwiększonym korzystaniem z chmury obliczeniowej, ustalając do 2014 r. wspólnie z branżą jednolite parametry dla zużycia energii i emisji dwutlenku węgla w odniesieniu do usług w modelu chmury obliczeniowej.

41 Strategia UE w zakresie chmur Działanie 1 uporządkowanie dużej ilości różnych norm ETSI uruchomiło inicjatywę Cloud Standards Coordination (CSC) otwartą dla wszystkich uczestników rynku. Po analizie głównych aspektów standaryzacji chmur przygotowano raport końcowy, który opublikowano 7 listopada 2013 r.. W raporcie przedstawiono: - definicję ról w chmurze; - opis i klasyfikacja ponad 100 przypadków praktycznych; - listę ok. 20 organizacji zajmujących się standaryzacją rozwiązań chmurowych; - wybór ok. 150 dokumentów, standardów, specyfikacji, raportów i białych ksiąg; - klasyfikację działań, które powinni podejmować dostarczyciele i użytkownicy chmury w trakcie całego procesu życiowego usługi; W oparciu o to przygotowano konkluzje, dotyczące statusu normalizacji chmur w obecnej chwili, obejmujące wskazania ogólne (np. fragmentacja) i wskazania szczegółowe w zakresie interoperacyjności, bezpieczeństwa, prywatności oraz umów Service Level Agreements (SLA).

42 Strategia UE w zakresie chmur Główne wskazania raportu: - Wbrew pozorom normalizacja w zakresie chmur mimo, że jest chaotyczna zachowuje zaskakującą spójność i w żaden sposób nie może być określana jako dżungla standardów. - Choć dziś nie widzimy, by standardy te bardzo popularne, zakłada się, że sytuacja znacząco zmieni się w ciągu półtora roku. Pomóc w tym może tworzenie wspólnych maszynowo czytanych słowników i formalnych definicji. - Wskazano znaczące luki w normalizacji chmur. -Za duże wyzwanie uznano uporządkowanie środowiska prawnego dla chmur tak na poziomie krajowym jak i międzynarodowym.

43 Strategia UE w zakresie chmur Działanie 2: bezpieczne i uczciwe warunki umowne Do końca 2013 Komisja: opracuje we współpracy z zainteresowanymi stronami wzorzec umowny dla umów o gwarantowanym poziomie usług w chmurze obliczeniowej zawieranych między dostawcami usług w chmurze i profesjonalnymi użytkownikami takich usług, uwzględniając unijny dorobek prawny w tej dziedzinie; zaproponuje konsumentom i małym firmom europejski wzorzec umowny w odniesieniu do tych kwestii, które wchodzą w zakres wniosku w sprawie wspólnych europejskich przepisów dotyczących sprzedaży; zleci powołanej w tym celu grupie ekspertów, do której należeć będą także przedstawiciele branży, ustalenie przed końcem 2013 r. bezpiecznych i uczciwych warunków umów dla konsumentów i małych przedsiębiorstw, oraz, przy pomocy instrumentu opartego na podobnym fakultatywnym podejściu, dla tych kwestii związanych z usługami w chmurze obliczeniowej, które wychodzą poza zakres wspólnych europejskich przepisów dotyczących sprzedaży; będzie wspierać uczestnictwo Europy w światowym rozwoju chmury obliczeniowej: dokonując przeglądu standardowych klauzul umownych, które mają zastosowanie do przekazywania danych osobowych do państw trzecich, i dostosowując je zgodnie z potrzebami do usług w modelu chmury, oraz wzywając krajowe organy ochrony danych do zatwierdzenia wiążących reguł korporacyjnych dla dostawców usług w chmurze obliczeniowej; będzie współpracować z przedstawicielami branży na rzecz wypracowania kodeksu postępowania dla dostawców usług w modelu chmury, aby wspierać jednolite stosowanie przepisów dotyczących ochrony danych. Kodeks taki może zostać przedłożony do zatwierdzenia grupie roboczej powołanej na mocy art. 29 w celu zapewnienia pewności prawa i spójności między tym kodeksem postępowania i prawem UE.

44 Strategia UE w zakresie chmur Działanie 2: bezpieczne i uczciwe warunki umowne Grupa przemysłowa ds. schematów certyfikacyjnych dla chmury (The Cloud Select Industry Group on Certification Schemes) Grupa przemysłowa ds. kodeksów postępowania (The Cloud Select Industry Group on Code of Conduct) Grupa ekspercka ds. umów o przetwarzanie w chmurze (Expert Group on Cloud Computing Contracts - E02922) Wsparcie dla Komisji w identyfikacji bezpiecznych i sprawiedliwych klauzul i warunków umownych dla chmurowych usług skierowanych do konsumentów i do małych przedsiębiorstw. Grupa powinna brać pod uwagę istniejące praktyki rynkowe oraz odpowiednie przepisy dotyczące ochrony danych osobowych. 30 członków - Eksperci powołani indywidualniein - Reprezentanci dostarczycieli usług sieciowych - Reprezentanci użytkowników usług chmurowych - Prawnicy i akademicy - Eksperci w zakresie prawa ochrony danych osobowych

45 Strategia UE w zakresie chmur Działanie 2: bezpieczne i uczciwe warunki umowne Bowden Caspar, Di Cesare Giuseppe, Gawroński Maciej, Helberger Natali, Kits Peter, Litwiński Pawel, Luís Neto Galvão Meents Jan Geert Palmigiano Alessandro Roques-Bonnet Marie-Charlotte Walden Ian Wolfgram Susanna Yanguaz Gomez Roberto Bartoli Emmanuelle Cassiers Donatien De Silva Sam Ariba S.A. France - przedsiębiorstwo - Francja BEUC - stowarzyszenie europejskie BEUC - data protection - stowarzyszenie europejskie Cloudwatt - przedsiębiorstwo - Francja Council of Bars of Law Societies of Europe (CCBE) - stowarzyszenie europejskie (adwokaci i radcy prawni) Euro Cloud Polska - stowarzyszenie - Polska European CIO Association - stowarzyszenie europejskie German Bar Association (DAV) - stowarzyszenie Niemcy (adwokaci) ICTrecht - przedsiębiorstwo - Holandia OVH SAS - przedsiębiorstwo - Francja Skyscape - przedsiębiorstwo - Wielka Brytania Telecom Italia przedsiębiorstwo - Włochy UEAPME - stowarzyszenie europejskie University Politecnico of Milan środowisko akademickie - Włochy

46 Strategia UE w zakresie chmur CCBE Guidelines on the Use of Cloud Computing Services by Lawyers Conseil des barreaux européens, Bruksela, 7 września 2012 r.

47 Strategia UE w zakresie chmur Działanie 3 promowanie wspólnej wiodącej roli sektora publicznego poprzez Europejskie partnerstwo na rzecz chmur obliczeniowych W tym roku Komisja powoła Europejskie partnerstwo na rzecz chmur obliczeniowych, które ma pełnić rolę organizacji patronackiej dla podobnych inicjatyw na poziomie państw członkowskich. Partnerstwo to pozwoli na współpracę między ekspertami z branży i użytkownikami z sektora publicznego w celu wypracowania w otwarty i w pełni przejrzysty sposób wspólnych wymogów obowiązujących przy zamówieniach publicznych dotyczących chmury obliczeniowej. Partnerstwo nie ma na celu utworzenia fizycznej infrastruktury chmury obliczeniowej Ma ono natomiast poprzez wprowadzenie wymogów obowiązujących przy zamówieniach publicznych, których stosowanie w całej UE będzie promowane przez uczestniczące państwa członkowskie i organy publiczne, przyczynić się do tego, żeby oferta handlowa w Europie była dostosowana do europejskich potrzeb. Partnerstwo znacząco przyczyni się również do uniknięcia rozdrobnienia i zadba o to, aby korzystanie z chmury publicznej było interoperacyjne i bezpieczne, a także bardziej ekologiczne oraz w pełni zgodne z przepisami unijnymi, np. w dziedzinie ochrony danych i bezpieczeństwa. Partnerstwo pod kierownictwem Rady Sterującej będzie obejmowało uczestniczące organy publiczne współpracujące z konsorcjami przemysłowymi w celu wdrożenia przedkomercyjnych zamówień publicznych. Celem jest: określenie wymogów sektora publicznego dotyczących chmur obliczeniowych; opracowanie specyfikacji dla zamówień w obszarze technologii informatycznych i zlecenie opracowania wzorcowych modeli wdrażania w celu wykazania zgodności i wydajności; prowadzenie działań zmierzających do wspólnego zamawiania usług w chmurze przez organy publiczne w oparciu o nowe wspólne wymagania użytkowników; określenie i wdrożenie dalszych działań wymagających koordynacji z zainteresowanymi stronami, zgodnie z niniejszym dokumentem.

48 Stanowisko Polski wobec Strategii Mając na uwadze obiektywne trendy w rozwoju usług przetwarzania w chmurze obliczeniowej oraz mając na uwadze tworzenie na obszarze UE jednolitego rynku tego typu usług, Rząd Rzeczypospolitej Polskiej popiera inicjatywę Komisji Europejskiej mającą na celu uregulowanie funkcjonowania rynku w przedmiotowym zakresie. ( ) Rząd RP będzie aktywnie uczestniczył w procesie uzgadniania wniosku w sprawie rozporządzenia ws. ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych ( ). Rząd Rzeczypospolitej Polskiej oczekuje również uwzględnienia rozwoju technologii przetwarzania w chmurze w przygotowywanej przez Komisję Europejską strategii na rzecz bezpieczeństwa informacji. Jednocześnie Rząd Rzeczypospolitej Polskiej wspiera działania podejmowane w dotychczasowych ramach prawnych ochrony danych osobowych w UE mające na celu zapewnienie odpowiedniej ochrony danych przetwarzanych w chmurze obliczeniowej. W szczególności Rząd RP popiera stanowisko Komisji Europejskiej, stanowiące, że opinia Grupy Roboczej powołanej na mocy art. 29 dyrektywy 95/46/WE z dnia 1 lipca 2012 r. o przetwarzaniu danych w chmurze WP 196 powinna stanowić wytyczne dla prac organów krajowych i przedsiębiorstw, zapewniając maksymalną jawność i pewność prawa na podstawie istniejących ram prawnych. Stanowisko Rządu RP dot. komunikatu Wykorzystanie potencjału chmury obliczeniowej w Europie przyjęte przez Komitet ds. Europejskich RM 9 listopada 2012 r.

49 Stanowisko Polski wobec Strategii Rząd Rzeczypospolitej Polskiej od dłuższego czasu rozważa możliwość zastosowania chmury obliczeniowej do rozwiązania problemu z ciągłym, coraz szybszym wzrostem zapotrzebowania na moc obliczeniową systemów teleinformatycznych. Wynika to z przekonania, że zastosowanie chmury obliczeniowej we wszystkich działach gospodarki znacznie obniży zapotrzebowanie na rozbudowę i modernizację infrastruktury teleinformatycznej. Przykład może stanowić przygotowywany przez Ministerstwo Administracji i Cyfryzacji razem z Centrum Projektów Informatycznych projekt o nazwie Informatyzacja Jednostek Samorządu Terenowego (JST) z zastosowaniem technologii przetwarzania w chmurze. Celem ogólnym tego projektu jest stworzenie jakościowo nowego rozwiązania dla JST umożliwiającego świadczenie obywatelowi i przedsiębiorcy nowych, zintegrowanych usług elektronicznej administracji, zbudowanych w oparciu o jednolitą infrastrukturę teleinformatyczną o charakterze prywatnej chmury obliczeniowej. Stanowisko Rządu RP dot. komunikatu Wykorzystanie potencjału chmury obliczeniowej w Europie przyjęte przez Komitet ds. Europejskich RM 9 listopada 2012 r.

50 Zagrożenia dostrzegane przez doktrynę Uczestnicy gry rynkowej oraz ich konsultanci nie mają fachowej i praktycznej wiedzy, brak im również doświadczenia w kontakcie z chmurą; Nierówność w zakresie wiedzy i doświadczenia; Brak wspólnej rozwiniętej i utrwalonej terminologii; Zastosowane dotąd rozwiązania technologiczne nie są wystarczajaco sprawdzone; Ogromna ilość gromadzonych i przetwarzanych danych; Transgraniczność i globalizacja rozwiązań; Brak transparentności przetwarzania danych, procedur i praktyk po stronie procesora, w szczególności brak wiedzy od podwykonawcach procesów i ich procedurach; Brak transparentności ogranicza możliwość przeprowadzenia analizy ryzyk; Brak transparentności ogranicza możliwość kontroli przetwarzania; Dostarczyciele usług chmurowych są pod presją zwrotu kosztów inwestycji; Użytkownicy chmur są pod presją zmniejszania kosztów Niskie ceny są powiązane z akceptacją umów adhezyjnych.

51 Zagrożenia dostrzegane przez doktrynę Błędy wynikające zazwyczaj z braku zrozumienia, trudności komunikacyjnych i niejasnych klauzul umownych; Incydenty bezpieczeństwa informacji takie jak naruszenie tajemnic prawnie chronionych, integralności i dostępności danych (w tym danych osobowych); Przesyłanie danych osobowych do tzw. państw trzecich nie zapewniających odpowiedniego poziomu ochrony; Łamanie prawa i zasad ochrony danych osobowych; Administrator danych osobowych narażony jest na nieznane mu zagrożenia; Administrator danych osobowych akceptuje standardowe klauzule w umowach dostarczonych przez dostarczyciela usług chmurowych włączają w to sytuacje, gdy procesor może zmieniać sposób przetwarzania danych; Dostarczyciele usług chmurowych i ich podwykonawcy używają danych osobowych dostarczonych przez użytkownika do innych celów bez wiedzy administratora danych osobowych; Rozliczalność i odpowiedzialność rozmywa się w łańcuchu podwykonawców; Brak możliwości kontroli dokonywanej przez administratora danych osobowych lub jego przedstawiciela; Organy ochrony danych nie mają możliwości dokonywania inspekcji systemów chmurowych.

52 Kwestie prawne Większość obecnie zauważanych problemów z cloud computingiem może zostać rozwiązana w umowach zawartych po poprawnie toczonych negocjacjach. Trudno określić jeden rodzaj umowy, który najlepiej będzie służył obsłudze usług w chmurach. Z ostrożnością podchodzić do klauzul standardowych dla dotychczasowych umów o usługi w sieci (np. hosting) Szczególnie dużo uwagi należy poświęcać zagadnieniom praw i obowiązków związanych z : zawiadamianiem o złamaniu zasad bezpieczeństwa, transferowi danych, pochodnemu przetwarzaniu danych, zmianom w kontroli, dostępowi do danych przez organy śledcze D. Catteddu, G. Hogben, Cloud Computing. Benefits, risks and recommendations for information security, European Network and Information Security Agency (ENISA), listopad 2009

53 Rekomendacje ze strony rzeczników ochrony prywatności Opinia 5/2012 Grupy Art 29 z 1 lipca 2012 r. Memorandum Sopockie Międzynarodowej Grupy Roboczej ds. Ochrony Danych w Telekomunikacji (tzw. Grupy Berlińskiej)

54 Opinia 5/2012 Grupy Art 29 z 1 lipca 2012 r. Zabezpieczenia umowne relacji administrator przetwarzający W celu zapewnienia pewności prawnej umowa powinna przewidywać następujące kwestie: 1. Szczegółowe informacje na temat (zakresu i rodzajów) instrukcji klienta powinny być zapewnione dostawcy, ze szczególnym odniesieniem do mających zastosowanie umów o gwarantowanym poziomie usług (ang. SLA) (które powinny być obiektywne i wymierne) oraz do właściwych sankcji (finansowych lub innych, obejmujących możliwość pozwania dostawcy w przypadku nie zapewnienia zgodności). 2. Określenie środków bezpieczeństwa, z którymi dostawca usługi w chmurze musi zapewnić zgodność, w zależności od zagrożeń związanych z przetwarzaniem i charakterem danych, które mają być chronione. Bardzo ważne jest, aby określić konkretne środki techniczne i organizacyjne, takie jak te wymienione w punkcie poniżej. Jest to bez szkody dla zastosowania bardziej rygorystycznych środków, o ile takie istnieją, które mogą być przewidziane prawem krajowym klienta. 3. Przedmiot i ramy czasowe usługi w chmurze, która ma być świadczona przez dostawcę usługi w chmurze, zakres, sposób i cel przetwarzania danych osobowych przez dostawcę usługi w chmurze, jak również rodzaje przetwarzanych danych osobowych. 4. Określenie warunków zwrotu danych (osobowych) lub zniszczenia danych po zakończeniu realizacji usługi. Ponadto należy zapewnić, aby dane osobowe usunąć bezpiecznie na wniosek klienta usługi w chmurze. 5. Zawarcie klauzuli poufności, wiążącej zarówno dostawcę usługi w chmurze, jak i wszelkich jego pracowników, które mogą mieć możliwość dostępu do danych. Tylko upoważnione osoby mogą mieć dostęp danych.

55 Opinia 5/2012 Grupy Art 29 z 1 lipca 2012 r. 6. Obowiązek po stronie dostawcy do wspierania klienta w ułatwianiu realizacji praw osoby, której dane dotyczą, do dostępu do swoich danych, ich poprawienia lub usunięcia. 7. Umowa powinna wyraźnie stanowić, że dostawca usługi w chmurze nie może przekazywać danych stronom trzecim, nawet w celach zatrzymania, chyba że umowa przewiduje zaangażowanie podmiotów, którym podpowierzona zostanie realizacja usługi. Umowa powinna określać, że podprzetwarzających można zaangażować tylko na podstawie zgody, której może generalnie udzielić administrator zgodnie z wyraźnym obowiązkiem nałożonym na przetwarzającego dotyczącym informowania administratora o wszelkich planowanych zmianach w tym zakresie, przy czym administrator zachowuje przez cały czas możliwość wyrażenia sprzeciwu wobec takich zmian lub do zakończenia umowy. Powinien istnieć wyraźny obowiązek, aby dostawca usługi w chmurze wskazał wszystkie podmioty, którym podpowierzono realizację usługi (np. w publicznym rejestrze cyfrowym). Należy zapewnić, aby umowy między dostawcą usługi w chmurze a podmiotem, któremu podpowierzono jej realizację, odzwierciedlały postanowienia umowy między klientem chmury a dostawcą chmury (tj. podprzetwarzający podlegają takim samym obowiązkom umownym jak dostawca usługi w chmurze). W szczególności należy zagwarantować, że zarówno dostawca usługi w chmurze, jak i wszystkie podmioty, którym podpowierzono realizację, będą działać tylko na podstawie instrukcji pochodzących od klienta usługi w chmurze. Jak wyjaśniono w rozdziale dotyczącym powierzonego przetwarzania, łańcuch odpowiedzialności powinien być wyraźnie określony w umowie. Po stronie przetwarzającego należy ustanowić obowiązek regulowania transgranicznego przekazywania danych, na przykład poprzez podpisanie umów z podprzetwarzającymi, na podstawie standardowych klauzul umownych 2010/87/UE.

56 Opinia 5/2012 Grupy Art 29 z 1 lipca 2012 r. 8. Wyjaśnienie zobowiązań dostawcy usługi w chmurze dotyczących zawiadamiania klienta usługi w chmurze w przypadku wszelkich naruszeń ochrony danych, które mają wpływ na dane klienta usługi w chmurze. 9. Obowiązek dostawcy usługi w chmurze dotyczący wskazania listy lokalizacji, w których dane mogą być przetwarzane. 10. Prawa administratora do monitorowania oraz odpowiadającemu temu zobowiązania dostawcy usługi w chmurze do współpracy. 11. Należy określić w umowie, że dostawca usługi w chmurze musi poinformować klienta o istotnych zmianach dotyczących określonej usługi w chmurze, takich jak wdrożenie dodatkowych funkcji. 12. Umowa powinna przewidywać rejestrowanie i kontrolowanie istotnych operacji przetwarzania danych osobowych, które są dokonywane przez dostawcę usługi w chmurze lub podmioty, którym podpowierzono ich realizację. 13. Zawiadamianie klienta usługi w chmurze o każdym prawnie wiążącym wniosku o udostępnienie danych osobowych przez organ egzekwowania prawa, o ile nie jest to zakazane w inny sposób, na przykład poprzez zakaz na mocy prawa karnego do zachowania poufności śledztwa dotyczącego egzekwowania prawa. 14. Podobny obowiązek po stronie dostawcy, aby zapewnił, że jego wewnętrzne ustalenia w zakresie organizacji i przetwarzania danych (oraz ustalenia jego podprzetwarzających, o ile tacy są) będą zgodne z właściwymi krajowymi i międzynarodowymi wymogami prawnymi i standardami.

57 Opinia 5/2012 Grupy Art 29 z 1 lipca 2012 r. Środki techniczne i organizacyjne w zakresie ochrony danych i bezpieczeństwa danych Dostępność - Zapewnienie dostępności oznacza zapewnienie w odpowiednim czasie niezawodnego dostępu do danych osobowych. Integralność - fakt, że dane są prawdzie i nie zostały złośliwie lub przypadkowo zmienione podczas przetwarzania, przechowywania lub przekazywania. Pojęcie integralności można rozszerzyć na systemy informatyczne i wymagać, aby przetwarzanie danych osobowych w tych systemach pozostało niezmienione. Poufność - W środowisku cloud computingu szyfrowanie może znacznie przyczynić się do poufności danych osobowych, jeżeli będzie stosowane prawidłowo, choć nie anonimizuje danych nieodwracalnie. Przejrzystość Odizolowanie (ograniczenie celu) Możliwość interwencji Możliwość przenoszenia danych Rozliczalność - możliwość ustalenia, co podmiot robił w określonym momencie w przeszłości i w jaki sposób. W dziedzinie ochrony danych termin ten często przyjmuje szersze znaczenie i opisuje możliwość pokazania przez strony, że podjęły odpowiednie kroki w celu zapewnienia, że zasady ochrony danych zostaną wdrożone.

58 Zastrzeżenia w sprawie bezpieczeństwa chmur. The FISA Amendments Act of 2008 Zmiany do Foreign Intelligence Surveillance Act z 1978 H.R. 6304, uchwalony przez Kongres USA 10 lipca 2008 r. Dopuszcza by rząd nie przechowywał wyników przeszukiwań sieci, ale nakazuje i przetrzymywać dane przez 10 lat. Chroni telekomy przed postępowaniami w sprawie przeszłej lub przyszłej współpracy z federalnymi organami scigania w sprawach związanych z terroryzmem Znosi wymaganie szczegółowego opisywania natury przechowywanej przez służby informacji jeśli istnieje uzasadnione przekonanie, że cel znajduje się poza terytorium USA Czas podsłuchu bez nakazu został wydłużony z 48 godz. Do 7 dni Wymaga nakazu podsłuchiwania Amerykanów zagranicą (ale tylko Amerykanów) Podsumowując Poprawka do FISA z 2008 r. zezwala na kontrolę danych bez nakazu sadowego jeśli dane znajdują się poza USA i nie dotyczą obywateli USA

59 Analiza ryzyka przetwarzania danych w chmurach. Przykładowe wzory T.Haeberlen, D.Liveri, M.Lakka, Good Practice Guide for securely deploying Governmental Clouds, ENISA, Bruksela, Listopad 2013

60 Analiza ryzyka przetwarzania danych w chmurach. Przykładowe wzory Creating Effective Cloud Computing Contracts for the Federal Government Best Practices for Acquiring IT as a Service, US CIO Council, Chief Aquisition Officers Council, Federal Cloud Computing Committee, Waszyngton luty 2012

61 Analiza ryzyka przetwarzania danych w chmurach. Przykładowe wzory Council CIO, Proposed Security Assessment & Authorization for U.S. Government Cloud Computin. Draft version 0.96, US CIO, listopad 2010

62 Analiza ryzyka przetwarzania danych w chmurach. Przykładowe wzory D. Catteddu, G. Hogben, Cloud Computing. Benefits, risks and recommendations for information security, European Network and Information Security Agency (ENISA), listopad 2009

63 Analiza ryzyka przetwarzania danych w chmurach. Przykładowe wzory Department of Finance and Deregulation: Cloud Computing Strategic Direction Paper. Opportunities and applicability for use by the Australian Government, Australian Government, kwiecień 2011

64 Analiza ryzyka przetwarzania danych w chmurach. Przykładowe wzory J.Budszus, H.-W.Heibey, R. Hillenbrand-Beck, S.Polenz, M.Seifert, M.Thiermann: Orientierungshilfe Cloud Computing. Version 1.0, Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder wrzesień 2011

65 Analiza ryzyka przetwarzania danych w chmurach. Przykładowe wzory P. De Hert, D. Kloza, D. Wright, (red.:) Recommendations for a privacy impact assessment framework for the European Union, PIAF for European Commission DG Justice, listopad 2012.

66 Analiza ryzyka przetwarzania danych w chmurach. Przykładowe wzory D. Bigo, G. Boulet, C. Bowden, S. Carrera, J. Jeandesboz, A. Scherrer, Fighting cyber crime and protecting privacy in the cloud. Study, Parlament Europejski, Bruksela listopad 2012

67 Analiza ryzyka przetwarzania danych w chmurach. Przykładowe wzory Information Commissioners' Office, Guidance on the use of cloud computing. Version: 1.1, Wilmslow październik 2012.

68 Analiza ryzyka przetwarzania danych w chmurach. Przykładowe wzory Sample System Privacy Impact Assessments Samples of U.S. Department of Health and Human Services privacy impact assessments for systems that collect personally identifiable information. Administration for Children and Families Privacy Impact Assessments (PDF - 170KB) Agency for Healthcare Research and Quality Privacy Impact Assessments (PDF - 460KB) Administration on Aging Privacy Impact Assessments (PDF - 25KB) Centers for Disease Control & Prevention Privacy Impact Assessments (PDF MB) Centers for Medicare & Medicaid Services Privacy Impact Assessments (PDF MB) Food & Drug Administration Privacy Impact Assessments (PDF - 896KB) Health Resources & Services Administration Privacy Impact Assessments (PDF - 580KB) Indian Health Service Privacy Impact Assessments (PDF - 82KB) National Institutes of Health Privacy Impact Assessments (PDF MB) Office of the Inspector General Privacy Impact Assessments (PDF - 117KB) Office of the Secretary Privacy Impact Assessments (PDF MB) Substance Abuse and Mental Health Services Administration Privacy Impact Assessments (PDF - 166KB)

69 Zalecenia dla amerykańskich chmur rządowych Information Technology Reform. Progress Made but Future Cloud Computing Efforts Should be Better Planned. Report to the Subcommittee on Federal Financial Management, Government Information, Federal Services, and International Security, Committee on Homeland Security and Governmental Affairs United States Senate, GAO , United States Government Accountability Office, lipiec 2012,

70 American Bar Association o usługach prawnych w chmurze

71 American Bar Association o usługach prawnych w chmurze Lista amerykańskich prawniczych kodeksów etycznych, które przewidują zasady dotyczące chmur ources/resources/charts_fyis/cloud-ethics-chart.html Można tam znaleźć takie postanowienia przykład z Massachusetts: "Consistent with its prior opinions, the Committee further believes that the Lawyer remains bound to follow an express instruction from his client that the client's confidential information not be stored or transmitted by means of the Internet, and that he should refrain from storing or transmitting particularly sensitive client information by means of the Internet without first seeking and obtaining the client's express consent to do so"

72 ABA o usługach prawnych w chmurze 20 września 2010 r. Grupa Robocza ds. Wpływu Nowych Technologii Komisji ds. Etyki ABA wydała dokument pt. Issues Paper Concerning Client Confidentiality and Lawyers Use of Technology. Uznając z nim, że cloud computing budzi uzasadnione obawy i możliwe wątpliwości co do potencjalnej kradzieży, utraty lub ujawnienia informacji objętych tajemnicą ABA zwraca uwagę na: a) możliwość nieuprawnionego dostępu poprzez Internet do informacji klienta objętych tajemnicą przez dostarczyciela usług chmurowych lub jego podwykonawców oraz przez podmioty zewnętrzne (np. hakerów); b) fakt przechowywania informacji na serwerach w krajach, które mają słabszą prawną ochronę informacji przechowywanej elektronicznie, co może być szczególnie problematyczne w działach rynku podlegających daleko idącej regulacji jeśli chodzi o utrzymywanie takiej informacji przez cały cykl jej życia; c) kłopoty dostarczyciela usługi z tworzeniem kopii zapasowych danych; d) możliwość dostępu do danych korporacyjnych przy użyciu łatwo dostępnego oprogramowania w przypadku, gdy korporacja zakończy współpracę z dostarczycielem chmury lub usługi chmurowej, lub gdy ten zakończy działalność biznesową;

73 ABA o usługach prawnych w chmurze e) konieczność współpracy dostarczyciela usługi z instytucjami publicznymi żądającymi dostępu do informacji (i ewentualną możliwość odmowy takiej współpracy); f) polityki zgłaszania użytkownikom incydentów bezpieczeństwa informacyjnego; g) niedostateczne szyfrowanie danych; h) niejasne polityki w zakresie kontrolowania własnych danych przez użytkownika usługi chmurowej; i) konieczność istnienia polityk w zakresie niszczenia danych w momencie, gdy użytkownik nie chce ich dalej przechowywać, lub gdy przenosi je do innej lokalizacji; j) problem tym razem ściśle amerykański dotyczący możliwości zatrzymania danych bez odpowiedniego nakazu sądowego na podstawie anachronicznych przepisów Electronic Communications Privacy Act ( ECPA ) z 1986, obejmującej m.in. tzw. Stored Communications Act.

74 Położenie danych ważne nie tylko dla Europy Compliance Compliance is a multifaceted issue that can affect cloud computing in several ways. One of the key compliance issues that the cloud presents is data location, where the data is stored geographically. Because the government often requires that public sector cloud data must reside in the continental U.S., cloud providers who operate globally are rapidly addressing this compliance issue with concerted efforts to ensure that data remains local to the country in which it belongs. Other compliance issues center on federal laws and regulations such as FISMA, the National Archives and Records Management Act (NARMA), and even HIPAA or the Payment Card Industry Data Security Standard PCI DSS. D.Blankenhorn, V.Ristau, C.Beesley: Cloud Computing for Govies, DLT Solutions, Herndon 2012, s. 51.

75 Przewodnik Rady niemieckich rzeczników ochrony prywatności 29 września 2011 rada niemieckich landowych rzeczników ochrony prywatności na temat przetwarzania danych w chmurach obliczeniowych. - Dostarczyciele chmur powinni zapewnić, że ich działania pozostają w zgodzie w prawem ochrony danych osobowych - Użytkownicy chmur mogą godzić się na przenoszenie słych usług do chmur, jeśli będą tam mogli wykonywać swoje obowiązki jako administratorzy danych osobowych (ADO) oraz tylko wtedy, gdy potwierdzili, że oferowany jest im odpowiedni poziom ochrony danych i informacji. - Poza zapewnieniem poufności, integralności i dostępności danych ADO muszą również wziąć pod uwagę trudne do implementacji wymagania dotyczące kontroli, transparentności i nadzoru nad przetwarzaniem danych. - Uruchomienie usług w chmurach nie zwalnia ADO a w szczególności jego władz od odpowiedzialności za sposób przetwarzania danych osobowych. J.Budszus, H.-W.Heibey, R. Hillenbrand-Beck, S.Polenz, M.Seifert, M.Thiermann: Orientierungshilfe Cloud Computing. Version 1.0, Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, wrzesień 2011

76 Uwagi GAO nt. wprowadzania chmury przez administrację amerykańską (lipiec 2012) Government Accountability Office (GAO w uproszczeniu odpowiednik polskiego NIK) przygotował raport nt. rezultatów projektu Cloud First. Już w podtytule raportu czytamy osiągnęliśmy postęp, ale dalsze działania w chmurze powinny być lepiej planowane. 1. Zachowanie federalnych wymagań bezpieczeństwa. 2. Istniejące federalne wytyczne są albo niewystarczające, albo niekompletne. 3. Brak wiedzy i doświadczenia - delivering cloud services without direct knowledge of the technologies has been difficult. 4. Potrzeba certyfikacji i akredytacji usługodawców. 5. Zapewnienie przenaszalności danych i interoperacyjności. 6. Przełamanie barier kulturowych w organizacji 7. Zamawianie usług na podstawie dotychczasowej konsumpcji. Information Technology Reform. Progress Made but Future Cloud Computing Efforts Should be Better Planned. Report to the Subcommittee on Federal Financial Management, Government Information, Federal Services, and International Security, Committee on Homeland Security and Governmental Affairs United States Senate, GAO , United States Government Accountability Office, lipiec 2012,

77 FedRAMP - The Federal Risk and Authorization Management Program FedRAMP prowadzony przez Office of Citizen Services and Innovative Technology (OCSIT) skierowany jest do całości administracji tak federalnej jak i stanowej, a ma przygotowywane i wdrażane wspólnych ram standaryzacyjnych dla oceny bezpieczeństwa, autoryzacji i stałego monitorowania produktów i usług chmurowych. Celem FedRAMP jest promowanie przyjmowania przez podmioty publiczne bezpiecznych rozwiązań w zakresie usług chmurowych poprzez wykorzystanie istniejących już dobrych praktyk i poprzez certyfikację istniejących rozwiązań. Prowadzić to powinno do zwiększenia zaufania do zastosowanych przez administracje rozwiązań przez przyjmowanie podstawowych standardów i akredytację działań na podstawie oceny przeprowadzanej przez niezależną stronę trzecią. Powinno również przyczynić się do tworzenia systemu stałego monitoringu używanych rozwiązań.

78 FedRAMP - The Federal Risk and Authorization Management Program Uznano, że niewskazana jest sytuacja, w której każda agencja prowadzi własną ocenę ryzyka wprowadzanych usług chmurowych oraz zarządza usługami sama, niezależnie od tego, że inne agencje w tym samym czasie dokonują takiej samej oceny ryzyka i zmagają się z tymi samymi problemami zarządzania projektami. Takie rozwiązanie jest nieskuteczne, niespójne, kosztowne i prowadzi do powielania działań. Jednocześnie dostrzeżono, że takie rozproszone działania powodują, że ocena przedsięwzięć podejmowana jest przede wszystkim przed ich rozpoczęciem, a dalsze działania nie polegają na prowadzeniu stałego monitoringu zagrożeń. Używanie FedRAMP jest obowiązkowe dla wszystkich agencji federalnych, a jedynym wyjątkiem mogą być usługi przeznaczone dla pojedynczej agencji, realizowane w prywatnej chmurze, w całości w infrastrukturze federalnej. Agencje zostały zobowiązane do przekazania OCSIT pełnej informacji o usługach chmurowych realizowanych przed powstaniem FedRAMP, które nie są zgodne z proponowanymi w ramach tego projektu rozwiązaniami. Mają one zostać ocenione i, jeśli mają pozostać w obecnej formie, przygotować należy szczególne uzasadnienie takiej decyzji. W ciągu kolejnych dwóch lat nastąpi dostosowanie wszelkich usług do standardów FedRAMP.

79 Potrzeba mapowania przepływu danych Określenie ról poszczególnych stron i stałe monitorowanie alokacji zasobów, którymi zarządzają konkretni administratorzy danych i konkretni przetwarzający może odgrywać bardzo praktyczną rolę. Brak monitorowania alokacji zbiorów może bowiem prowadzić do wyłączenia usług wszystkich użytkowników w przypadku problemów dotyczących zaledwie jednego z nich. Dobrym przykładem może być tu sytuacja, w której FBI w trakcie prowadzonego przez siebie postępowania doprowadziła do czasowego zamknięcia całego centrum przetwarzania danych na potrzeby chmury publicznej, gdyż musiała zabezpieczyć dowody dotyczące jednego z użytkowników, a dostarczyciel chmury nie był w stanie określić, w których dokładnie zasobach i kiedy przetwarzane były należące do tego użytkownika dane. Poszukiwanie igły w stogu siana wymagało tym samym zabezpieczenia całości stogu i de facto odcięcie wszystkich użytkowników chmury publicznej od ich zasobów i usług. Trudno ocenić straty wizerunkowe dostarczyciela chmury. Ciekawe jednak, czy użytkownikom takiej zasekwestrowanej chmury udałoby się dochodzenie odszkodowania cywilnego na podstawie zawartej z dostarczycielem chmury umowy o usługi chmurowe. A. Etengoff, Intel says 2015 will be the Cloud computing tipping point, TG Daily

80 Informowanie o zdarzeniach bezpieczeństwa danych (Data Breach Notification)

81 Informowanie o zdarzeniach bezpieczeństwa danych w projekcie nowego rozporządzenia UE o ochronie danych Artykuł 31 Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu 1. W przypadku naruszenia ochrony danych osobowych, administrator zgłasza organowi nadzorczemu takie naruszeniu bez nieuzasadnionej zwłoki i jeśli jest to możliwe, nie później niż w ciągu 24 godzin od momentu dowiedzenia się o tym naruszeniu. Jeśli organ nadzorczy nie zostanie zawiadomiony w ciągu 24 godzin, do zgłoszenia należy dołączyć umotywowane wyjaśnienie. 2. Na mocy art. 26 ust. 2 lit. f) podmiot przetwarzający ostrzega i informuje administratora niezwłocznie po stwierdzeniu naruszenia ochrony danych osobowych. 3. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym podawać kategorie i liczbę zainteresowanych podmiotów danych oraz kategorie i liczbę rekordów danych, których dotyczy naruszenie; b) podawać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, w którym można uzyskać więcej informacji; c) zalecać środki mające na celu zmniejszenie ewentualnych negatywnych skutków naruszenia ochrony danych osobowych; d) opisywać konsekwencje naruszenia ochrony danych; e) opisywać środki proponowane lub podjęte przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych.

82 Informowanie o zdarzeniach bezpieczeństwa danych w projekcie nowego rozporządzenia UE o ochronie danych Artykuł 31 Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu ( ) 4. Administrator sporządza dokumentację dotyczącą wszelkich naruszeń ochrony danych osobowych, obejmującą okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi umożliwiać organowi nadzorczemu sprawdzenie zgodności z niniejszym artykułem. Dokumentacja zawiera wyłącznie informacje niezbędne do realizacji powyższego celu. 5. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących stwierdzenia naruszenia ochrony danych osobowych, o którym mowa w ust. 1 i 2, oraz szczególnych okoliczności, w których administrator i podmiot przetwarzający mają obowiązek zgłosić naruszenie ochrony danych osobowych. 6. Komisja może ustanowić standardowe formularze zgłoszenia przekazywanego organowi nadzorczemu, procedury mające zastosowanie do wymogu zgłoszenia, a także formę i sposób prowadzenia dokumentacji, o której mowa w art. 4, w tym terminy usuwania zawartych w niej informacji. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2.

83 Informowanie o zdarzeniach bezpieczeństwa danych w projekcie nowego rozporządzenia UE o ochronie danych Artykuł 32 Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych 1. Gdy istnieje prawdopodobieństwo, że naruszenie ochrony danych osobowych może niekorzystnie wpłynąć na ochronę danych osobowych lub prywatność podmiotu danych, administrator, po dokonaniu zgłoszenia, o którym mowa w art. 31, bez nieuzasadnionej zwłoki informuje podmiot danych o naruszeniu ochrony danych osobowych. 2. Zawiadomienie przekazane podmiotowi danych, o którym mowa w ust. 1, opisuje charakter naruszenia ochrony danych osobowych i zawiera przynajmniej informacje i zalecenia, o których mowa w art. 31 ust. 3 lit. b) i c). 3. Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych nie jest wymagane, jeśli administrator wykaże, zgodnie z wymogami organu nadzorczego, że wdrożył odpowiednie technologiczne środki ochrony oraz że środki te zostały zastosowane do danych, których dotyczyło naruszenie ochrony danych osobowych. Tego rodzaju technologiczne środki ochrony sprawiają, że dane stają się nieczytelne dla każdego, kto nie jest uprawniony do dostępu do nich. 4. Bez uszczerbku dla obowiązku administratora w zakresie zawiadomienia podmiotu danych o naruszeniu ochrony danych osobowych, jeśli administrator nie zawiadomił wcześniej podmiotu danych o naruszeniu ochrony danych osobowych, organ nadzorczy może tego od niego zażądać, jeśli stwierdzi możliwość wystąpienia niekorzystnych skutków naruszenia.

84 Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi Wątpliwości skandynawskich rzeczników co do chmur w usługach publicznych Szwedzki organ ochrony danych (Datainspektionen) uznał, że brak jasności w podziale obowiązków wynikających z umowy prowadzi do niebezpieczeństwa, że administrator danych osobowych nie będzie pewny czy wypełnia wskazania szwedzkiej ustawy o ochronie danych osobowych. Zwrócił uwagę na fakt, że siła uprawnień administratora i procesora w umowach o usługi chmurowe rozkłada się zupełnie inaczej niż w zwykłych umowach o powierzenie przetwarzania danych, mimo że użytkownik w tym przypadku gmina pozostaje nadal w pełni odpowiedzialna za przetwarzanie danych w chmurze. W tej sytuacji wybór prawa właściwego odgrywa szczególną rolę w zapewnieniu bezpieczeństwa danych z punktu widzenia administratora danych, a zawarta w ocenianej umowie klauzula zezwalająca na jednostronną zmianę warunków umownych przez dostarczyciela usług chmurowych musi zostać z umowy wyeliminowana. Organ ochrony danych zwrócił uwagę, że dla każdego podmiotu a w szczególności dla podmiotu wykonującego zadania publiczne taka klauzula powinna być sygnałem ostrzegawczym, że rola administratora danych osobowych zostaje wyraźnie ograniczona, a różnica pomiędzy administratorem a procesorem może zostać rozmyta. Im większą pozostawi się swobodę procesorowi w wyborze podprzetwarzających, tym większe jest prawdopodobieństwo, że administrator danych osobowych utraci kontrolę nad przetwarzaniem danych. W tej sytuacji niezbędne jest przeprowadzenie prawidłowej oceny wpływu przedsięwzięcia na ochronę prywatności (privacy impact assessment - PIA) oraz stworzenie poradnika dla urzędników administracji publicznej, jak używać rozwiązań chmurowych.

85 Wątpliwości skandynawskich rzeczników co do chmur w usługach publicznych Również duński organ ochrony danych osobowych (Datatilsynet ) w swej odpowiedzi na pytania skierowane przez miasto Odense zwrócił uwagę na problemy jakie administracja publiczna napotyka przy wykorzystaniu usług chmurowych. Ponieważ zaś problem dotyczył usług Google Apps bardzo popularnych również w Polsce warto zwrócić uwagę na tą opinię. Odense zwróciło się do Datatilsynet o opinię co do możliwości zastosowania usługi Google Apps celem wdrożenia wirtualnej obsługi biurowej. Produkt miał być zastosowany w szkołach i obok innych funkcjonalności miał obsługiwać zbiory wrażliwych danych osobowych dotyczących zdrowia, problemów społecznych i innych spraw prywatnych uczniów. Zdając sobie sprawę z tego, że jednostki komunalne Odense podlegają nie tylko ogólnym przepisom o ochronie danych osobowych, ale również szczegółowym wymaganiom wynikającym z duńskich aktów wykonawczych, Datatilsynet rozpoczęło inspekcję proponowanych rozwiązań Google Apps. Mimo, że duński organ ochrony dnaych zajmował zawsze bardzo otwarte i postępowe stanowisko wobec innowacyjnych rozwiązań teleinformatycznych w tym wobec usług chmurowych, tym razem uznał, że używanie Google Apps jest niewskazane przy przetwarzaniu wrażliwych lub objętych tajemnicami prawnie chronionymi dotyczących uczniów.

86 Wątpliwości skandynawskich rzeczników co do chmur w usługach publicznych Znalazł ku temu pięć podstawowych przyczyn: 1. niewystarczające zabezpieczenia umowne powoływanie się na polityki prywatności Google tam, gdzie wymagane powinny być instrukcje ze strony gminy jako użytkownika; 2. niemożność zapewnienia przez Odense, że przetwarzający realizuje w praktyce środki bezpieczeństwa, do których stosowania zobowiązał się umownie; uznano tak mimo że Google uznawało, że jest audytowane przez niezależny wyspecjalizowany podmiot, na podstawie standardu SAS 70 Type II audit; 3. nieprzeprowadzenie prawidłowej oceny ryzyka przedsięwzięcia; 4. niewypełnienie wymagań duńskiego rozporządzenia technicznego przede wszystkim w zakresie: usuwania danych osobowych, szyfrowania, niewystarczającego raportowania nieudanych logowań i niewystarczających dzienników użytkowania); 5. możliwość przekazania danych poza obszar Europejski Obszar Gospodarczy (EOG).

87 Dekalog chmuroluba 1 Podmiot decydujący się na przekazanie choćby części swoich zasobów do chmury musi zobowiązać dostarczyciela usługi chmurowej do przekazania pełnej informacji o wszystkich fizycznych lokalizacjach serwerów, na których przetwarzane są lub mogą być przetwarzane dane. Informacja o zmianie lokalizacji powinna być przekazywana uztkownikowi z rozsądnym wyprzedzeniem, tak by podmiot ten mógł rozważyć nie tylko wymagania wynikające z zasad ochrony danych osobowych ale również z zasad ochrony tajemnic prawnie chronionych oraz ewentualnych wymagań co do infrastruktury krytycznej Państwa. Wymaganie to dotyczy tym samym nie tylko przekazywania zasobów do tak zwanych państw trzecich w rozumieniu przepisów o ochronie danych osobowych, ale również do przekazywania zasobów do państw należących do EOG, a nawet do konkretnych centrów przetwarzania danych.

88 Dekalog chmuroluba 2 Dostarczyciel usługi chmurowej powinien umożliwić użytkownikowi pełny dostęp do dokumentacji dotyczącej zasad bezpieczeństwa oraz środków technicznych przyjmowanych w poszczególnych centrach przetwarzania danych. Informacja taka stanowi oczywiście tajemnicę przedsiębiorcy dostarczającego usługi chmurowe, jest jednak niezbędna dla zapewnienia bezpieczeństwa usług.

89 Dekalog chmuroluba 3 Dostarczyciel usługi chmurowej jest zobowiązany przekazać pełną informację dotyczącą podwykonawców i współpracujących instytucji, mających udział w realizacji usługi chmurowej. Przekazana informacja powinna umożliwić użytkownikowi ocenę wszystkich podwykonawców w stosie chmur oraz umożliwić mu ocenę roli każdego z tych podmiotów jako przetwarzającego dane osobowe.

90 Dekalog chmuroluba 4 Każdy z podwykonawców traktowany jako podprzetwarzający dane osobowe powinien być związany takimi samymi klauzulami umownymi jak dostarczyciel usług chmurowych. Dostarczyciel usług chmurowych powinien zaś zarządzać całym łańcuchem podwykonawców i ich uprawnieniami zgodnie z instrukcjami przekazanymi przez użytkownika.

91 Dekalog chmuroluba 5 Użytkownik będący podmiotem wykonującym zadania publiczne powinien pozostawać wyłącznym administratorem danych osobowych przekazanych do chmury. Niedopuszczalna jest sytuacja, w której jakikolwiek dostarczyciel chmury nawet jeśli sam jest podmiotem publicznym decydowałby o celach i sposobach przetwarzania danych niezależnie od instrukcji ze strony administratora danych osobowych.

92 Dekalog chmuroluba 6 Dostarczyciel usługi chmurowej jest zobowiązany informować użytkownika o wszelkich zobowiązaniach publicznych w stosunku do policji i organów ścigania oraz służ specjalnych w zakresie przekazywania im dostępu do danych zamieszczonych w chmurze przez użytkownika. Odmowa przekazania takich informacji powinna stanowić przeszkodę dla realizacji usługi chmurowej u danego dostarczyciela. Wymaganie to dotyczy oczywiście również wszystkich podwykonawców w stosie chmur. Jeśli użytkownik podejmie decyzję, że może godzić się na taki dostęp do danych instytucji publicznych (krajowych lub zagranicznych), dostarczyciel usługi chmurowej powinien niezwłocznie informować użytkownika o wszystkich wnioskach o udostępnienie danych z jego zasobu.

93 Dekalog chmuroluba 7 Dostarczyciel usługi chmurowej powinien określić wspólnie z użytkownikiem zasady przeszukiwania, retencji i usuwania danych dostarczonych przez użytkownika.

94 Dekalog chmuroluba 8 Dostarczyciel usługi chmurowej powinien być zobowiązany do raportowania wszystkich incydentów bezpieczeństwa danych, ze szczególnym uwzględnieniem tych, które dotyczyć mogą danych osobowych przetwarzanych przez podmiot publiczny w chmurze. Powinien również udzielić użytkownikowi wszelkiej możliwej pomocy przy zwalczaniu skutków takich incydentów bezpieczeństwa.

95 Dekalog chmuroluba 9 Użytkownik powinien w procesie negocjacji umowy z dostarczycielem usługi chmurowej ustalić, jakie zasady wyłączenia lub ograniczenia odpowiedzialności dostarczyciela usługi mogą być zastosowane przy realizacji usługi. Powinno to w szczególności dotyczyć wyłączeń, o których mowa w dyrektywie o handlu elektronicznym, czyli mere conduit, cachingu i przede wszystkim hostingu.

96 Dekalog chmuroluba 10 Użytkownik musi wszelkimi środkami unikać przywiązania do pojedynczego dostarczyciela usług chmurowych i jego rozwiązań technicznych. Interoperacyjność i przenaszalność danych jest podstawą dla uniknięcia syndromu jednego dostawcy, który musi niekorzystnie wpływać na całość realizacji usługi chmurowej Na podst.: B. Segalis, Cloud Computing Legal Risk and Liability, InfoLawGroup 2011, prezentacja s

97 Privacy Impact Assessment Jeśli wszystkie organy ochrony danych osobowych zalecają, by przeprowadzać privacy impast assessment (PIA) dla każdej z usług chmurowych, spróbujmy zastanowić się na czym miałby polegać taki proces. Używając pojęć z projektu ogólnego rozporządzenia o bezpieczeństwie danych, można powiedzieć, że przetwarzanie danych w chmurze uznaje się z zasady za operacje stwarzające szczególne ryzyko dla praw i wolności podmiotów danych z racji swego charakteru. Oznacza to, że tak administrator danych osobowych jak podmiot przetwarzający powinny przeprowadzić ocenę skutków przewidywanych operacji przetwarzania w zakresie ochrony danych osobowych. Ocena taka powinna obejmować przynajmniej ogólny opis przewidywanych operacji przetwarzania, ocenę ryzyk dla praw i wolności podmiotów danych, środki przewidywane w celu sprostania ryzykom, gwarancje, środki i mechanizmy bezpieczeństwa mające zagwarantować ochronę danych osobowych oraz wykazać zgodność z niniejszym rozporządzeniem, uwzględniając prawa i słuszne interesy podmiotów danych i innych zainteresowanych osób. Przygotowując ocenę administrator powinien zwrócić się o opinie do podmiotów danych lub ich przedstawicieli. Proponowany przepis Artykułu 33 ust. 5 rozporządzenia nie zwalnia organu lub podmiotu publicznego z przeprowadzenia takiej oceny. Przy ocenie usługi chmurowej nie chodzi bowiem o ocenę meritum przetwarzania, ale o ocenę przydatność narzędzi modelu chmurowego i efektów ubocznych ich użycia.

98 Privacy Impact Assessment Rezolucja Madrycka, Międzynarodowe Standardy Ochrony Prywatności przyjęta przez Międzynarodową Konferencję Rzeczników Ochrony Danych i Prywatności w dniu r. Zachęta do przeprowadzania oceny wpływu przedsięwzięcia na ochronę prywatności. Koncepcja ta została również wpisana do projektu ogólnego rozporządzenia o ochronie danych i znalazła swoje odzwierciedlenie w dokumentach Grupy Art. 29 (np. w zakresie RFID). Amerykańska Federalna Komisja Handlu zobowiązała niektóre firmy internetowe (np. Google i Facebook) do regularnego przeprowadzania PIA przez kolejnych 20 lat. Mimo, że silny polityczny nacisk na przeprowadzanie PIA, szczególnie tam gdzie mowa o zbieraniu danych biometrycznych, danych o stanie zdrowia lub danych związanych z bezpieczeństwem wewnętrznym, jest zauważalny w administracji amerykańskiej, australijskiej, kanadyjskiej czy nowozelandzkiej, w Europie idea PIA wciąż nie jest traktowana jako obowiązkowy składnik działań administracji publicznej.

99 Privacy Impact Assessment Jedynym krajem Europy, w którym PIA jest wyraźnie zalecany dla administracji publicznej jest Wielka Brytania. Brytyjski odpowiednik GIODO (Information Commissioner`s Office) już w 2007 r. przygotował przewodnik dla podmiotów przeprowadzających taką ocenę. Istniejące dzisiaj schematy PIA nie odnoszą się wprost do usług chmurowych lecz zadawane w nich pytania dotyczące oceny ryzyka oraz proponowane środki zapobieżenia zagrożeniom mogą być z równym powodzeniem wykorzystywane w usługach chmurowych. Najnowsze opracowanie w tej sprawie w odniesieniu do chmur to: Information Commissioners' Office, Guidance on the use of cloud computing. Version:1.1, Wilmslow październik Polska administracja publiczna wciąż nie dorobiła się generalnych wskazań co do oceny wpływu jej przedsięwzięć na ochronę prywatności. Zakładając, że takie przewodniki powinny powstać w najbliższych latach, warto uwzględnić w nich szczególne zagrożenia jakie mogą wynikać z przenoszenia usług publicznych do chmur. Z pewnością wskazania co do oceny wpływu przedsięwzięcia będą jednocześnie obejmowały zagadnienia przetwarzania w chmurach oraz Service Oriented Architecture (SOA).

100 Podstawy PIA na przykładzie zaleceń dla australijskiej administracji publicznej