dr Bogdan Fischer
Claud computing zostało uznane przez Grupę Roboczą art.29 w dokumencie WP 170 Program prac na lata 2010 2011 przyjętym dnia 15 lutego 2010 r. za jedno z najistotniejszych obecnie wyzwań.
Agenda cyfrowa będąca częścią strategii Europa 2020, zaleca m.in. powszechniejsze wykorzystywanie technologii informacyjnych i telekomunikacyjnych we wszystkich obszarach życia Komisja chce uproszczenia m.in. procesu udostępniania praw autorskich, udzielania licencji międzynarodowych, systemów dokonywania płatności online oraz wystawiania faktur elektronicznych
Komisja opowiada się za wprowadzeniem surowszych przepisów w dziedzinie ochrony danych osobowych a jednocześnie chce uczynić proces międzynarodowego przekazywania danych łatwiejszym i mniej uciążliwym.
- Czyli przetwarzanie w chmurze lub chmury obliczeniowe to model biznesowy przetwarzania oparty na użytkowaniu różnorodnych usług dostarczonych przez podmioty zewnętrzne (dalej model CC). - Rozróżniając chmury publiczne, prywatne oraz hybrydy w każdy przypadku mamy do czynienia z współdzieleniem usług i zasobów.
Konsolidacja i centralizacja infrastruktury Wirtualizacja Cloud computing Jak zabezpieczyć się przed ewoluującymi zagrożeniami oraz jak spełnić wymagania narzucane przez akty prawne?
IAAS - Infrastructure as a Service (infrastruktura jako usługa), PAAS - Platform as a Service (platforma jako usługa) - usługodawca udostępnia całe środowisko pracy, SAAS - Software as a service (oprogramowanie jako usługa).
Nie jest to kategoria jednorodna, Towarzyszy jej odmienny stopień ryzyka, Dlatego podejście dotyczące ochrony i odpowiedzialności za dane powinno być w każdym przypadku zindywidualizowane.
gdzie są zlokalizowane dane? kto ma do nich wgląd, w jaki sposób ukształtowana jest ochrona przed nieautoryzowanym dostępem? czy będziemy mieli informacje że doszło do naruszenia i jakiego ( pytanie o ewentualne incydenty bezpieczeństwa)?
- Kontrola w przypadku modelu CC jest nieporównywalnie słabsza aniżeli np. przy klasycznym outsourcingu. - Mając przypisaną wagę poszczególnych informacji/ kategorii informacji i odpowiadające im potencjalne zagrożenia, okreslone reguły definiujące, pozwolą ustalić które usługi w modelu CC mogą być zastosowane a które nie.
np. pojawiają się problemy z określeniem lokalizacji przetwarzania, kontroli itd. W konsekwencji przy modelu cc nie można zawrzeć prawidłowej umowy o powierzenie przetwarzania danych osobowych.
czy w przypadku modelu cc administrator rzeczywiście decyduje o celach i środkach przetwarzania czy nie powinno dojść do przedefiniowania pojęcia administratora
powszechne powierzanie przetwarzania danych podmiotom zewnętrznym bardzo często spoza UE, w konsekwencji pytania o prawo właściwe o sposób rozwiązania problemów dot. ustalania związanej z przetwarzaniem odpowiedzialności.
mimo wspólnych unijnych ram prawnych brak dostatecznej harmonizacji obowiązujących w poszczególnych państwach członkowskich przepisów o ochronie danych, brak nadrzędnych instrumentów mających zastosowanie do wszystkich sektorów i wszystkich polityk UE brak jednolitego standardu przechowywania danych
Hard law czy soft law? Prawo unijne (tak jak międzynarodowe) posługuje się od wielu lat coraz częściej aktami niewiążącymi prawa pochodnego tzw. soft law (prawo miękkie). W literaturze przedmiotu wskazywany jest podział na dwie kategorie pojęciowe: akty nazwane i akty nienazwane
W celu wykonania swych zadań oraz na warunkach przewidzianych w TFUE, Parlament Europejski wspólnie z Radą, Rada i Komisja uchwalają rozporządzenia i dyrektywy, podejmują decyzje, wydają zalecenia i opinie. Zalecenia i opinie nie mają mocy wiążącej (akty nazwane).
np. deklaracje, komunikaty, konkluzje Rady, noty i wytyczne Komisji, uchwały, wspólne stanowiska i zalecenia, porozumienia, programy i strategie, białe i zielone księgi Jak dotąd właśnie akty nienazwane stanowią najbardziej aktualne wskazówki postępowania z danymi osobowymi.