Analiza zakresu praw własności danych, wykorzystywanych przy budowie platformy oraz identyfikacja wymagań, dotyczących ochrony danych z uwzględnieniem specyfiki przetwarzania informacji w chmurze, prawa UE oraz prawa krajowego. Robert Kazimierowicz Tomasz Konopa

Agenda Analiza zakresu praw własności danych w kontekście ich przekazania do przetwarzania w chmurze Cywilnoprawna umowa określająca zakres i ograniczenia praw stron Prawo do ochrony danych użytkowników Wymagania dotyczące przetwarzania oraz ochrony danych w chmurze Ochrona danych osobowych Pojęcie i ochrona pozostałych danych Szyfrowanie danych 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Wstęp Powstanie platformy Cloud Computing implikuje konieczność zapewnienia bezpieczeństwa i prywatności przetwarzanych danych w chmurze, ze szczególnym uwzględnieniem ochrony danych osobowych. Przekazywanie danych osobowych obywateli poza kraj podlega ścisłym regulacjom. W sytuacji, gdy przetwarzanie danych odbywa się na terenie Polski czy też Unii Europejskiej, dostawca usługi zobowiązany jest przestrzegać zasad bezpieczeństwa panujących w obszarze wspólnotowym. W przypadku, gdy chmura znajduje się poza UE, jej dostawca musi dochować wszelkich procedur bezpieczeństwa w stopniu adekwatnym do zasad unijnych. Ponadto procedury te w wielu przypadkach muszą zostać zaakceptowane przez Generalnego Inspektora Ochrony Danych Osobowych, który podejmuje decyzję, czy tak zabezpieczone dane osobowe mogą być przetwarzane poza UE. 4 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Analiza zakresu praw własności danych w kontekście ich przekazania do przetwarzania w chmurze /1 Same usługi oferowane w chmurze, podzielić można na trzy najważniejsze kategorie: SaaS (Software as a Service), czyli oprogramowanie zainstalowane w środowisku chmury; IaaS (Infrastructure as a Service), czyli infrastruktura umieszczona w środowisku chmury; PaaS (Platform as a Service), czyli zdalnie udostępniana platforma do rozwoju aplikacji umieszczona w chmurze. W projekcie znajdzie zastosowanie model Saas (Software as a service) i na tym modelu skupiać się będzie niniejsza analiza. 5 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Analiza zakresu praw własności danych w kontekście ich przekazania do przetwarzania w chmurze /2 Dane przechowywane w chmurze mogą zmieniać swoją lokalizację. Dostawcy rozwiązań Cloud często korzystają z podwykonawców, którzy utrzymują dane powierzone dostawcy przez jego klientów na swoich własnych serwerach. Dane są umieszczane na serwerach dostawcy lub jego podwykonawców. Z punktu widzenia odbiorcy lokalizacja jest nieistotna, jednakże musi odpowiadać normom bezpieczeństwa, które gwarantuje dostawca. 6 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Cywilnoprawna umowa określająca zakres i ograniczenia praw stron /1 Podstawą nawiązania stosunku cywilno-prawnego, będącego podstawą powstania Cloud Computing, jest umowa między stronami. Umowy te można porównać do umów stosowanych w przypadku modeli outsourcingowych. art. 8 Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. (Dz.U.2002.144.1204) nakazuje umieszczenie regulaminu korzystania z serwisu, w którym zawarte są: „(1) rodzaje i zakres usług świadczonych drogą elektroniczną, (2) warunki świadczenia usług drogą elektroniczną, w tym: (a) wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym, którym posługuje się usługodawca, (b) zakaz dostarczania przez usługobiorcę treści o charakterze bezprawnym, (3) warunki zawierania i rozwiązywania umów o świadczenie usług drogą elektroniczną, (4) tryb postępowania reklamacyjnego”. 7 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Cywilnoprawna umowa określająca zakres i ograniczenia praw stron /2 SLA opierają się przeważnie na ustalaniu minimalnego poziomu świadczeń: ich dostępności, wydajności oraz poziomu wsparcia dostawcy. Umowy dot. Cloud Computing zawierają również klauzule, regulujące poziom bezpieczeństwa danych oraz metody ich ochrony oraz środki naprawcze na wypadek przestoju. W umowach tego rodzaju spotkać się można z kilkoma podstawowymi kategoriami ustaleń, jak jakość usługi, odszkodowanie za niezgodne z umowa działanie platformy czy sposób uzyskiwania wsparcia technicznego 8 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Prawo do ochrony danych użytkowników /1 Większość informacji, w szczególności tych wartościowych, ma możliwych do określenia właścicieli: dane osobowe są własnością osób, których dotyczą, a tajemnice handlowe należą do zawiadującego nimi przedsiębiorstwa. art. 222 ust. 1 Kodeksu Cywilnego stanowi, iż właściciel rzeczy (czyli także danych) ma prawo żądać od osoby de facto władającej tą rzeczą do jej wydania. Tym niemniej, dostawca zawsze powinien mieć umownie zapewnioną możliwość dostępu do danych, które umieścił w chmurze – ułatwi mu to m.in. bezproblemową zmianę dostawcy usług oraz pomoże wyeliminować ryzyko związane ze stosowaniem przepisów zagranicznych. 9 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Prawo do ochrony danych użytkowników /2 Istotnym elementem ochrony danych jest ich zabezpieczenie. Stosowanie odpowiednich środków bezpieczeństwa w centrach danych może być nie tylko ogólnie przyjętym standardem, lecz również zobowiązaniem umownym (SLA). W umowie podpisywanej z dostawcą Cloud Computing winien znaleźć się zapis, obowiązujący dostawcę do przeprowadzania regularnych audytów bezpieczeństwa. Umowa może określać istotę zabezpieczeń wirtualnych – np. wymogu kodowania SSL lub stosowania systemów typu firewall. Równie istotne jest tworzenie regularnych kopii zapasowych. Z umowy jasno powinno wynikać: (1) z jaką częstotliwością kopie te będą wykonywane, (2) gdzie będą one przechowywane, (3) przez jaki okres będą one utrzymywane, (4) na jakiej zasadzie będą one dostępne dla odbiorcy. 10 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Wymagania dotyczące przetwarzania oraz ochrony danych w chmurze /1 Najistotniejszym problemem platformy Cloud Computing jest zagwarantowanie bezpieczeństwa przetwarzania danych, szczególnie w kontekście wirtualnej ich formy i przetwarzania ich za pomocą internetu, gdzie dane mogą być kopiowane, udostępniane nawet bez wiedzy ich właścicieli. Należy wiec wskazać, iż strony - uczestnicy projektu, będą zobligowani do ustanowienia podmiotu odpowiedzialnego jako administrator danych. 11 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Wymagania dotyczące przetwarzania oraz ochrony danych w chmurze /2 Zgodnie z art. 7 pkt. 4 Ustawy o ochronie danych osobowych, poprzez administratora danych osobowych rozumie się organ, jednostkę organizacyjną, podmiot lub osobę, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych, znajdujących się na terytorium Rzeczypospolitej Polskiej, decydujące o celach i środkach przetwarzania danych osobowych. Na wstępie należy rozróżnić dwa rodzaje danych, o których mówią polskie i wspólnotowe przepisy prawne, tj. dane osobowe i pozostałe dane. 12 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Ochrona danych osobowych /1 Zgodnie z Ustawą o ochronie danych osobowych, administrator danych winien uczynień zadość wymaganiom określonym w tejże ustawie. Administrator danych jest więc obowiązany zastosować środki techniczne i organizacyjne, które w zależności od kategorii przetwarzanych danych oraz zagrożeń, zapewnią odpowiednią ochronę danym (art. 36 Ustawy o ochronie danych osobowych). Administrator danych prowadzi dokumentację, opisującą sposób przetwarzania danych oraz środki podjęte w celu ich ochrony. 13 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Ochrona danych osobowych /2 Administrator obowiązany jest także prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych (art. 39 Ustawy o Ochronie Danych Osobowych). W szczególności, administrator danych powinien zabezpieczyć dane przed: udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem. 14 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Ochrona danych osobowych /3 Administrator obowiązany jest także prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych (art. 39 Ustawy o Ochronie Danych Osobowych). Zgodnie z art. 40 Ustawy o ochronie danych osobowych, Administrator danych ma obowiązek zgłoszenia zbioru danych osobowych do rejestracji przez Generalnego Inspektora ds. Ochrony Danych Osobowych (GIODO), zanim rozpocznie przetwarzanie zawartych w nim danych. Zbiór danych osobowych to „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. 15 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Pojęcie i ochrona pozostałych danych /1 Kwestia przetwarzania danych, które nie stanowią danych osobowych, nie jest bezpośrednio uregulowana prawnie. Dane takie jak tajemnice przedsiębiorstwa (know how czy biznes plany) są ogólnie chronione Ustawą z dnia 16 kwietnia 1993 r. (Dz.U.2003.153.1503) o zwalczaniu nieuczciwej konkurencji; ponadto, kompilacje danych mogą być chronione Ustawą z dnia 27 lipca 2001 r. o ochronie baz danych (Dz.U.2001.128.1402). 16 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Pojęcie i ochrona pozostałych danych /2 Tajemnica przedsiębiorstwa zdefiniowana jest w art. 11 ust 4 Ustawy o zwalczaniu nieuczciwej konkurencji jako „nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności.” Według polskiego prawa dostawca rozwiązań Cloud nie może więc korzystać z poufnych informacji, umieszczonych w chmurze przez jego klientów. 17 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Pojęcie i ochrona pozostałych danych /3 Porozumienie TRIPS (Porozumienie w sprawie handlowych aspektów praw własności intelektualnej). Zgodnie z art. 39 ust. 2 tego porozumienia: „osoby fizyczne i prawne będą miały możliwość zapobiegania, aby informacje pozostające w sposób zgodny z prawem pod ich kontrolą nie zostały ujawnione, nabyte lub użyte bez ich zgody przez innych, w sposób sprzeczny z uczciwymi praktykami handlowymi, jak długo takie informacje: są poufne – w tym sensie, że jako całość lub w szczególnym zestawie i zespole ich elementów nie są ogólnie znane lub łatwo dostępne dla osób z kręgów, które normalnie zajmują się tym rodzaje informacji; mają wartość handlową – dlatego, że są poufne, a ponadto zostały poddane przez osobę, pod której legalną kontrolą informacje te pozostają, rozsądnym, w danych okolicznościach, działaniom dla utrzymania ich poufności”. 18 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Pojęcie i ochrona pozostałych danych /4 Rozporządzenie Komisji Europejskiej o transferze technologii (Rozporządzenie Komisji (WE) nr 772/2004 z dnia 7 kwietnia 2004 r. w sprawie stosowania art. 81 ust. 3 Traktatu do kategorii porozumień o transferze technologii). W myśl tego rozporządzenia, know-how stanowi pakiet nieopatentowanych informacji praktycznych, wynikających z doświadczeń i badań, które są: niejawne – nie są powszechnie znane lub łatwo dostępne; istotne – ważne i użyteczne z punktu widzenia wytwarzania produktów objętych umową dotyczącą transferu technologii; zidentyfikowane – czyli opisane w sposób wystarczająco zrozumiały, aby można było łatwo sprawdzić, czy spełniają kryteria niejawności i istotności. 19 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Pojęcie i ochrona pozostałych danych /5 Należy wskazać, iż nie ma żadnych ograniczeń co do tego, jakie informacje mogą stanowić tajemnicę przedsiębiorstwa. W komentarzach tematu oraz w orzecznictwie wskazuje się na:  patentowane lub niepatentowalne wynalazki, natomiast opatentowany wynalazek nie stanowi już tajemnicy przedsiębiorstwa (ponieważ jest jawny); plany techniczne, listy klientów; wiedzę i metody natury administracyjnej i organizacyjnej; metody kontroli jakości, sposoby marketingu, organizacji pracy, treść zawartych umów, porozumień, korespondencję handlową; strategię funkcjonowania przedsiębiorstwa; informacje dotyczące techniki czy sposobu produkcji ; informacje dotyczące struktury przedsiębiorstwa, przepływu dokumentów, sposobu kalkulacji cen, zabezpieczenia danych; treść opinii prawnych udzielanych przedsiębiorcy; treść negocjacji czy prace nad nowym rozwiązaniem. 20 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Pojęcie i ochrona pozostałych danych /6  Orzecznictwo uznaje za tajemnicę m.in.:  dane zawarte w sprawozdaniach podatkowych; dane obrazujące wielkość produkcji i sprzedaży, a także źródła zaopatrzenia i zbytu; informacje o planach wydawniczych; wyniki finansowe stowarzyszenia i regulamin repartycji wynagrodzeń autorskich. Należy wskazać, iż bez znaczenia jest czy przedsiębiorca wykorzystuje w jakikolwiek sposób posiadaną informację oraz czy informacja ta nadaje się do zastosowania w konkurencyjnym przedsiębiorstwie. 21 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Szyfrowanie danych Bezpieczeństwo danych jest gwarantowane przez odpowiednie systemy informatyczne. Dane mogą być szyfrowane za pomocą protokołu SSL. Istotne znaczenie ma również zastosowanie firewalli, częstotliwość wykonywania kopii zapasowych, miejsce, gdzie będą przechowywane dane, zasady udostępniania ich odbiorcy. Obecnie standardami związanymi z certyfikacją usług w chmurze są: Standard SAS70 wydawany przez Amerykański Instytut Biegłych Rewidentów AICPA (American Institute of Certified Public Accountants), w USA zastępowany standardem SSAE16; drugi to standard ISAE 3000 wydany przez IAASB (The International Auditing and Assurance Standards Bard); W Polsce najczęściej wykorzystywany jest SAS70 i od 2011 roku ISAE3402. Standard SAS70 dotyczy m.in. kontroli wewnętrznej, zarządzania ryzykiem, mechanizmów kontrolnych oraz zakresu świadczonych usług. 22 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa

Podsumowanie Dla uczestników projektu największe znaczenie może mieć zagwarantowanie bezpieczeństwa tajemnic przedsiębiorstwa, czyli. szeroko rozumianego know how. W tym celu administrator danych musi, niewątpliwie pod rygorem odpowiedzialności odszkodowawczej, zapewnić użytkowników platformy o zastosowaniu adekwatnych środków ochrony danych, co najmniej analogicznych do stosowanych przez danych użytkowników. W tym celu strona zainteresowana ochroną konkretnych danych winna, w celu ochrony indywidualnego interesu przedsiębiorstwa, dokładnie określić w umowie charakter danych oraz zakres wymaganej ochrony. W wypadku informacji określanych przez przedsiębiorcę jako poufne, konieczne dla celów dowodowych wydaje się uzyskanie bezpośredniej zgody od właściciela szeroko pojętych danych oraz zapewnienie właściwej ochrony, co najmniej tożsamej z ta udzielaną przez samego użytkownika – przedsiębiorcę. 23 25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz, Tomasz Konopa