Prawne problemy chmury - cloud computing

Prawne problemy "chmury"

omówienie

wybranych

AKTÓW PRAWNYCH

Wyciek

agresywne akcje marketingowe

SPAM itp.

STALKING

skutek wycieku to nie tylko formalna kontrola GIODO

nerwowe reakcje właścicieli nadużytych danych

uwaga na groźnych pieniaczy

4. USTAWA O ZWALCZANIU NIEUCZCIWEJ KONKURENCJI

Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

tajemnica przedsiębiorstwa

właściwa ochrona

podjęcie niezbędnych środków

WARUNEK !

Rejestracja zbiorów danych osobowych

art. 40. UODO Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1.

inaczej:

+ zmiany !

można zrobić to online na stronie egiodo.gov.pl

Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie

z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Największe utrudnienie - 2010 - GiODO stwierdził, że jest konieczna również co do danych w chmurze

przestaje być tajemnica

INNE PRAWNE PRAKTYCZNE PRZESZKODY / ZAGROŻENIA:

- zagraniczny wymiar sprawiedliwości i organy ścigania mają fizycznie dostęp do sprzętu i w konsekwencji do danych,

przetwarzanie danych -

jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,

- zagraniczny Sąd zajmie sprzęt w trybie zabezpieczenia dowodów,

ubezpieczenie, zapis umowny nieskuteczny

- zagraniczna Policja / Prokuratura może dokonać zajęcia sprzętu z powodu, np.: naruszenia PWP, PRAWA AUTORSKIEGO lub podejrzenia popełnienia innych przestępstw.

- komornik

EGZEKUCJA

w jednym miejscu - "chmura" - zgromadzone wszystkie niematerialne składniki majatku spółek / firm - dane zapisane w cyfrowo

nie jest nowość

PO CO ZABEZPIECZAĆ?

KARNA ODPOWIEDZIALNOŚĆ

ludzie bywają nieuczciwi?

KNOW-HOW

Zapewnienia umowne o stosowanych środkach ochrony "fizycznej":

1. Pomieszczenie zabezpieczone jest drzwiami o podwyższonej odporności ogniowej >= 30 min.

2. W pomieszczeniu okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej.

3. Pomieszczenia wyposażone są w system alarmowy przeciwwłamaniowy.

4. Dostęp do pomieszczeń objęty jest systemem kontroli dostępu.

5. Dostęp do pomieszczeń kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych.

6. Dostęp do pomieszczeń jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony za pomocą systemu CCTV.

7. Dostęp do pomieszczeń przez cała dobę jest nadzorowany przez służbę ochrony za pomocą CCTV.

8. Pomieszczenia zabezpieczone są przed skutkami pożaru za pomocą systemu przeciwpożarowego.

"złodziej"

oferty

cenniki

nowości techniczne

baza klientów / oczekiwania cenowe / zlecenia

dostawca chmury - może być konkurentem na rynku

Kto będąc do tego obowiązany

nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

zabezpieczenia techniczne - nie jest kwestia prawna - zaufanie?

DANE osób trzecich (np. tajemnice, poufność)

i wszelkie inne dobra osobiste

IP

WYMAGANA pełna świadomość

właścicieli danych, co do warunków chmury

Dziękujemy za uwagę!

Paweł Koehler

Szymon Koehler

KOEHLER RAK KUROWSKI

BIURA PRAWNE SP.J.

biuraprawne.pl

"właściciel danych akceptuje"

adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową.

>> prawo do bycia zapomnianym <<

w jakich przypadkach ?

PRZEKAZANIE DANYCH:

Podmioty przetwarzające dane osobowe

Administrator danych może powierzyć innemu podmiotowi,

w drodze umowy zawartej na piśmie, przetwarzanie danych.

!!!

>> bezpieczne klauzule <<

Przekazywanie danych osobowych do państw trzecich

Czy można przetwarzać dane osobowe w chmurze?

nawet jeśli państwo jest "niebezpieczne",

to można przekazać dane

Wówczas, jego odpowiedzialność:

TAKA sama,

JAK administratora

1. OSOBA, której dane dotyczą

2. ADMINISTRATOR - kontroluje

3. PRZETWARZAJĄCY dane - w kontekście

chmury będzie to najczęściej dostawca usługi.

art. 31 ust. 1 i 3 UODO

"gdy administratorzy decydują się na powierzenie usług przetwarzania w chmurze, są zobowiązani do wybrania przetwarzającego zapewniającego wystarczające gwarancje pod względem technicznych środków bezpieczeństwa" - opinia GR.

ADMINISTRATORZY są prawnie zobowiązani do podpisania oficjalnej umowy z dostawcą usługi w chmurze, jak przewidziano w artykule 17 ust. 3 dyrektywy 95/46/WE.

wymóg istnienia umowy lub innego wiążącego aktu prawnego regulującego relację między administratorem a przetwarzającym.

W celach dowodowych części umowy lub aktu prawnego dotyczące ochrony danych i wymogów w zakresie środków technicznych i organizacyjnych powinny być sporządzone na piśmie lub w innej równoważnej formie.

Tak. Należy jednak pamiętać o prawnych ograniczeniach.

PRZEKAZANIE DANYCH ZA GRANICĘ RP

"14 BEZPIECZNYCH KLAUZUL"

UMOWA PRZETWARZAJĄCA (poza bezpieczne kraje) DANE OSOBOWE W CHMURZE MUSI JE ZAWIERAĆ, AŻEBY BYŁA UZNANA ZA "BEZPIECZNĄ"

i standardy...

MACIE JE PAŃSTWO W TECZCE

umowy cloud bywają

zestandaryzowane - bez możliwości negocjacji

SAS70

dopuszczalne w ramach EOG

iso 27000 + iso 27001 + iso 27002

Art. 47. 1. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych.

LINKED-IN:

charakter internetu z założenia

wyklucza 1000% bezpieczeństwa

w prawnym rozumieniu

ISae3000

SSAE16

umownie - OK

Prawo = to jak rzeczywistość postrzega Sędzia

" INTERNET NIE JEST BEZPIECZNY W 100%

(...)

NIE ZAPEWNIAMY OCHRONY DANYCH PRZESŁANYCH PRZEZ UŻYTKOWNIKA DO LINKED-IN "

ISae 3402

podnoszą wiarygodność dostawcy

mogą powodować ekskulpację

Co powinna zawierać UMOWA?

SPÓR SĄDOWY ?

REALNE gwarancje, takie jak UBEZPIECZENIE RYZYK:

Zapewnienie umowne, "pusta" deklaracja nie stanowi o należytej staranności

np. kary umowne + sposób (techniczny) zabezpieczenia

własność danych - odbiorca musi zadbać, by nie wyzbywać się własności danych (nie tylko osobowych)

Sędzia = brak wiedzy informatycznej

wykorzystanie danych - zakaz przez dostawcę

Biegli (z listy) = wiedza często niewielka

ZAPEWNIENIE ZWROTU BAZY DANYCH I USUNIĘCIA ICH Z SERWERA DOSTAWCY CHMURY PO ZAKOŃCZENIU WSPÓŁPRACY

+ aby odbiorca miał dostęp (!) do danych

PÓKI TRWA (!) UMOWA

TYPOWY PROBLEM PRAWNY

NA GRUNCIE WYKONYWANIA UMÓW

UMOWA ROZWIAZUJE SIĘ PO ZWROCIE DANYCH

usunięcie danych - tzw. "prawo do bycia zapomnianym"

1a. Ogólnie o UMOWACH

ZWROT danych - po zakończeniu współpracy, wypowiedzeniu umowy

zabezpieczenia techniczne - kopie zapasowe: kiedy, gdzie itp.

prawnie: "multitenancy" = multi-najem

jurysdykcja - zazwyczaj brak wpływu (standard) - temat rzeka

ekonomicznie: outsourcing

podwykonawcy - zadbać, by zapewniało bezpieczeństwo !

konsument i niedozwolone klauzule

- jeśli dostawca przetwarza, to traktuje się go, jak admistratora

A jeśli nie zachodzą PRZYCZYNY, to:

>> jest wytrych <<

Dodatkowo, zwrócić uwagę:

ART. 47 UST. 3 Administrator danych może jednak przekazać dane osobowe do państwa trzeciego, jeżeli:

1) osoba, której dane dotyczą, udzieliła na to zgody na piśmie,

2) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,

3) przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,

4) przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,

5) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,

lub: 6) dane są ogólnie dostępne.

korzystanie z "chmury" jest odpłatne - oczywiste

należy mieć kontrolę nad opłatami

ORAZ państwo docelowe nie zapewnia odpowiednich standardów ochrony, przekazanie danych może mieć miejsce tylko po uzyskaniu zgody GIODO, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą (art. 48 ustawy).

Należy podkreślić, że rozpoczęcie przekazywania danych osobowych do państwa trzeciego, które nie zapewnia odpowiednich gwarancji ochrony danych osobowych jest możliwe dopiero po wydaniu pozytywnej decyzji przez Generalnego Inspektora. Decyzja ta nie legalizuje bowiem wcześniejszego przekazywania danych osobowych.

oraz możliwościami ich

jednostronnego podnoszenia przez dostawcę (!)

np.: roczna "salesforce"

OGRANICZANIE ODPOWIEDZIALNOŚCI (damnum emergens, lucrum cessans) przez dostawców

Ocena, czy państwo docelowe zapewnia odpowiednie gwarancje ochrony należy do administratora danych, który musi we własnym zakresie ocenić, czy spełnione są przesłanki z art. 47 ust. 1. Generalny Inspektor nie wydaje w tym zakresie żadnych zaświadczeń.

przykładowo: do wysokości kilkumiesięcznej opłaty

"take it or leave it"

STRATA może wielomilionowa

FARM SERWERY, czyli podwykonawcy

(gdy uzyska dostęp)

główny problem prawny

Argentyna, Australia, Guernsey, Izrael, Jersey, Kanada, Nowa Zelandia, Stany Zjednoczone (safe harbour), Szwajcaria, Wyspa Man, Wyspy Owcze.

bezpieczne

W jakich przypadkach

państwo trzecie

zapewnia

odpowiednie gwarancje

ochrony danych osobowych?

Autentyczność – zapewnieniu, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana (autentyczność dotyczy użytkowników, procesów, systemów i informacji),

Niezaprzeczalność – braku możliwości wyparcia się swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie,

Niezawodność – zapewnieniu spójności oraz zamierzonych zachowań i skutków.

Poufność – zapewnieniu, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom,

Integralność – zapewnieniu, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany,

Dostępność – zapewnieniu bycia osiągalnym i możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot,

Rozliczalność – zapewnieniu, że działania podmiotu mogą być przy pisane w sposób jednoznaczny tylko temu podmiotowi,

"HOSTING" - Wyłączenie odpowiedzialności usługodawcy:

Nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych.

Usługodawca, który uzyskał wiarygodną wiadomość o bezprawnym charakterze przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp do tych danych, nie odpowiada względem tego usługobiorcy za szkodę powstałą w wyniku uniemożliwienia dostępu do tych danych, jeżeli niezwłocznie zawiadomił usługobiorcę o zamiarze uniemożliwienia do nich dostępu.

INNE ZASTRZEŻENIE UMOWNE - NIE BĘDZIE WAŻNE

IUS COGENS

3. ustawa

o świadczeniu usług

drogą elektroniczną

m.in. obowiązek REGULAMINU

w regulaminie zdarza się

"WYPOWIEDZENIE" W RAZIE UPADŁOŚCI DOSTAWCY

NIESKUTECZNE - ZGODNiE Z polskim prawem UPADŁOŚCIOWYM

UMOWĘ NA CZAS OKREŚLONY NAJCZĘŚCIEJ NIE MOŻNA WYPOWIEDZIEĆ

EOG = UE + Norwegia, Islandia i Lichtenstein

SYNDYK chce pieniędzy...

Autorskie prawa majątkowe do programu komputerowego obejmują prawo do:

1) trwałego lub czasowego zwielokrotnienia programu komputerowego w całości lub w części jakimikolwiek środkami i w jakiejkolwiek formie; w zakresie, w którym dla wprowadzania, wyświetlania, stosowania, przekazywania i przechowywania programu komputerowego niezbędne jest jego zwielokrotnienie, czynności te wymagają zgody uprawnionego;

2) tłumaczenia, przystosowywania, zmiany układu lub jakichkolwiek innych zmian w programie komputerowym, z zachowaniem praw osoby, która tych zmian dokonała;

3) rozpowszechniania, w tym użyczenia lub najmu, programu komputerowego lub jego kopii.

"storage cloud"

(youtube, facebook)

uwaga na prawa autorskie inne niż program komputerowy + wizerunek

INNE PAŃSTWA:

W RAZIE PRZEKROCZENIA OKRESU - ODSZKODOWANIE, ZADOŚĆUCZENIENIE

>> gdzie fizycznie się znajdują pliki <<

>> kto ma dostęp <<

USTALIĆ "OKRES PRZESTOJU"

2. Ustawa

o prawie autorskim

i prawach pokrewnych

>> audyty bezpieczeństwa - można zlecić <<

USTALIĆ JAK CZĘSTO, NA JAKICH ZASADACH WYKONYWANE BĘDA KOPIE BEZPIECZEŃSTWA

2009 - googledocs: przypadkowo udostępniono jako public !

Saas

korzystanie z programu komputerowego w chmurze nie wkracza w monopol autorski - zastrzeżenia umowne często sa niepotrzebne

ochrona danych = bezpieczeństwo informacji

NORMY bezpieczeństwa teleinformatycznego.

wtyczka - plug in

oznacza konieczność zawarcia umowy licencyjnej

cel umowy: to nie licencja

czasowe zwielokrotnienie

w pamięci RAM - nie,

"część procesu technologicznego"

nie podlega ochronie:

idea, zasada, język oprogramowania,

funkcja

nawet jeśli technicznie tak się dzieje, to wola stron nie było udzielenie licencji

Licencja trwa 5 lat -> nieoznaczony

to DOSTAWCA ma pełna kontrolę nad zakresem udostępnienia "praw"

korzystanie z chmury to usługa

zakaz sublicencji - chyba, że inaczej postanowiono

nie wymaga księgowania !

>> więc: należy to wpisać do umowy <<

jak licencjobiorca = wartość niematerialna

RYZYKO! Nawet w aspekcie karnym.

"program może być używany tylko na jednym stanowisku"

wtedy nie możemy korzystać

z niego chmurze

w umowie DOSTAWCA CHMURY powinien POTWIERDZIĆ, że BAZA DANYCH jest chroniona PRAWEM AUTORSKIM (twórczy klucz) lub USTAWA O OCHRONIE BAZ DANYCH, ŻE

" RESPEKTUJE NASZE PRAWA "

-> roszczenie informacyjne

licencja / nie-licencja -> SKUTEK:

Uprawniony, którego autorskie prawa majątkowe zostały naruszone, może żądać od osoby, która naruszyła te prawa:

1) zaniechania naruszania;

2) usunięcia skutków naruszenia;

3) naprawienia wyrządzonej szkody:

a) na zasadach ogólnych albo

b) poprzez zapłatę sumy pieniężnej w wysokości odpowiadającej dwukrotności, a w przypadku gdy naruszenie jest zawinione - trzykrotności stosownego wynagrodzenia, które w chwili jego dochodzenia byłoby należne tytułem udzielenia przez uprawnionego zgody na korzystanie z utworu;

Ustawa o ochronie danych osobowych zezwala na przekazywanie danych tylko do takich Państw, które zapewniają ochroną na takim poziomie (przynajmniej), jaki jest wymagany w UE.

„Jeżeli firma, która świadczy usługi chmury, wskazuje, że będzie przetwarzała dane osobowe na terenie Unii Europejskiej, Europejskiego Obszaru Gospodarczego (EOG) bądź w krajach, które Komisja Europejska uznała za zapewniające odpowiednio wysoki poziom bezpieczeństwa, to z punktu widzenia ustawy o ochronie danych osobowych jej działanie jest legalne”

program komputerowy

licencja?

usługa?

" umieszczenie utworu w Internecie

=

zgoda twórcy

na dostęp publiczny "

niemiecki wyrok TF

>> utwór <<

1. Ustawa o ochronie danych osobowych

2a. Ustawa o ochronie baz danych

15 lat ochrona / nakład inwestycyjny

ZAPEWNIENIE ODPOWIEDNIEJ OCHRONY:

Czym są dane osobowe ?

rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

Należy zapewnić i udostępnić – na żądanie osoby, której dane są przetwarzane – informacji o:

1. dacie, od kiedy przetwarza się w zbiorze jej dane osobowe, oraz treści tych danych,

2. źródle, z którego pochodzą dane jej dotyczące, chyba że administrator jest obowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej,

3. sposobie i zakresie udostępniania jej danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,

4. sposobie, w jaki zebrano dane.

MACIE PAŃSTWO W TECZCE

+ dane wrażliwe (nałogi) zakaz przetwarzania

wszelkie informacje dotyczące osoby fizycznej lub wszelkie informacje możliwe do zidentyfikowania tej osoby. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić przez numer identyfikacyjny lub jeden z czynników fizycznych, fizjologicznych, umysłowych, kulturowych czy społecznych. Danymi osobowymi są zatem takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak również na określenie jej tożsamości przy pewnym nakładzie kosztów, czasu lub działań.

PROBLEM:

brak pełnej kontroli właściciela nad danymi

ADRES IP w pewnych przypadkach również !