Prawne problemy "chmury"
omówienie
wybranych
AKTÓW PRAWNYCH
Wyciek
agresywne akcje marketingowe
SPAM itp.
STALKING
skutek wycieku to nie tylko formalna kontrola GIODO
nerwowe reakcje właścicieli nadużytych danych
uwaga na groźnych pieniaczy
4. USTAWA O ZWALCZANIU NIEUCZCIWEJ KONKURENCJI
Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
tajemnica przedsiębiorstwa
właściwa ochrona
podjęcie niezbędnych środków
WARUNEK !
Rejestracja zbiorów danych osobowych
art. 40. UODO Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1.
inaczej:
+ zmiany !
można zrobić to online na stronie egiodo.gov.pl
Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie
z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Największe utrudnienie - 2010 - GiODO stwierdził, że jest konieczna również co do danych w chmurze
przestaje być tajemnica
INNE PRAWNE PRAKTYCZNE PRZESZKODY / ZAGROŻENIA:
- zagraniczny wymiar sprawiedliwości i organy ścigania mają fizycznie dostęp do sprzętu i w konsekwencji do danych,
przetwarzanie danych -
jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
- zagraniczny Sąd zajmie sprzęt w trybie zabezpieczenia dowodów,
ubezpieczenie, zapis umowny nieskuteczny
- zagraniczna Policja / Prokuratura może dokonać zajęcia sprzętu z powodu, np.: naruszenia PWP, PRAWA AUTORSKIEGO lub podejrzenia popełnienia innych przestępstw.
- komornik
EGZEKUCJA
w jednym miejscu - "chmura" - zgromadzone wszystkie niematerialne składniki majatku spółek / firm - dane zapisane w cyfrowo
nie jest nowość
PO CO ZABEZPIECZAĆ?
ludzie bywają nieuczciwi?
KNOW-HOW
Zapewnienia umowne o stosowanych środkach ochrony "fizycznej":
1. Pomieszczenie zabezpieczone jest drzwiami o podwyższonej odporności ogniowej >= 30 min.
2. W pomieszczeniu okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej.
3. Pomieszczenia wyposażone są w system alarmowy przeciwwłamaniowy.
4. Dostęp do pomieszczeń objęty jest systemem kontroli dostępu.
5. Dostęp do pomieszczeń kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych.
6. Dostęp do pomieszczeń jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony za pomocą systemu CCTV.
7. Dostęp do pomieszczeń przez cała dobę jest nadzorowany przez służbę ochrony za pomocą CCTV.
8. Pomieszczenia zabezpieczone są przed skutkami pożaru za pomocą systemu przeciwpożarowego.
"złodziej"
oferty
cenniki
nowości techniczne
baza klientów / oczekiwania cenowe / zlecenia
dostawca chmury - może być konkurentem na rynku
Kto będąc do tego obowiązany
nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
zabezpieczenia techniczne - nie jest kwestia prawna - zaufanie?
DANE osób trzecich (np. tajemnice, poufność)
i wszelkie inne dobra osobiste
IP
WYMAGANA pełna świadomość
właścicieli danych, co do warunków chmury
Dziękujemy za uwagę!
Paweł Koehler
Szymon Koehler
KOEHLER RAK KUROWSKI
BIURA PRAWNE SP.J.
biuraprawne.pl
"właściciel danych akceptuje"
adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową.
>> prawo do bycia zapomnianym <<
w jakich przypadkach ?
PRZEKAZANIE DANYCH:
Podmioty przetwarzające dane osobowe
Administrator danych może powierzyć innemu podmiotowi,
w drodze umowy zawartej na piśmie, przetwarzanie danych.
!!!
>> bezpieczne klauzule <<
Przekazywanie danych osobowych do państw trzecich
Czy można przetwarzać dane osobowe w chmurze?
nawet jeśli państwo jest "niebezpieczne",
to można przekazać dane
Wówczas, jego odpowiedzialność:
TAKA sama,
JAK administratora
1. OSOBA, której dane dotyczą
2. ADMINISTRATOR - kontroluje
3. PRZETWARZAJĄCY dane - w kontekście
chmury będzie to najczęściej dostawca usługi.
art. 31 ust. 1 i 3 UODO
"gdy administratorzy decydują się na powierzenie usług przetwarzania w chmurze, są zobowiązani do wybrania przetwarzającego zapewniającego wystarczające gwarancje pod względem technicznych środków bezpieczeństwa" - opinia GR.
ADMINISTRATORZY są prawnie zobowiązani do podpisania oficjalnej umowy z dostawcą usługi w chmurze, jak przewidziano w artykule 17 ust. 3 dyrektywy 95/46/WE.
wymóg istnienia umowy lub innego wiążącego aktu prawnego regulującego relację między administratorem a przetwarzającym.
W celach dowodowych części umowy lub aktu prawnego dotyczące ochrony danych i wymogów w zakresie środków technicznych i organizacyjnych powinny być sporządzone na piśmie lub w innej równoważnej formie.
Tak. Należy jednak pamiętać o prawnych ograniczeniach.
PRZEKAZANIE DANYCH ZA GRANICĘ RP
"14 BEZPIECZNYCH KLAUZUL"
UMOWA PRZETWARZAJĄCA (poza bezpieczne kraje) DANE OSOBOWE W CHMURZE MUSI JE ZAWIERAĆ, AŻEBY BYŁA UZNANA ZA "BEZPIECZNĄ"
i standardy...
MACIE JE PAŃSTWO W TECZCE
umowy cloud bywają
zestandaryzowane - bez możliwości negocjacji
SAS70
dopuszczalne w ramach EOG
iso 27000 + iso 27001 + iso 27002
Art. 47. 1. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych.
LINKED-IN:
charakter internetu z założenia
wyklucza 1000% bezpieczeństwa
w prawnym rozumieniu
ISae3000
SSAE16
umownie - OK
Prawo = to jak rzeczywistość postrzega Sędzia
" INTERNET NIE JEST BEZPIECZNY W 100%
(...)
NIE ZAPEWNIAMY OCHRONY DANYCH PRZESŁANYCH PRZEZ UŻYTKOWNIKA DO LINKED-IN "
ISae 3402
podnoszą wiarygodność dostawcy
mogą powodować ekskulpację
Co powinna zawierać UMOWA?
SPÓR SĄDOWY ?
REALNE gwarancje, takie jak UBEZPIECZENIE RYZYK:
Zapewnienie umowne, "pusta" deklaracja nie stanowi o należytej staranności
np. kary umowne + sposób (techniczny) zabezpieczenia
własność danych - odbiorca musi zadbać, by nie wyzbywać się własności danych (nie tylko osobowych)
Sędzia = brak wiedzy informatycznej
wykorzystanie danych - zakaz przez dostawcę
Biegli (z listy) = wiedza często niewielka
ZAPEWNIENIE ZWROTU BAZY DANYCH I USUNIĘCIA ICH Z SERWERA DOSTAWCY CHMURY PO ZAKOŃCZENIU WSPÓŁPRACY
+ aby odbiorca miał dostęp (!) do danych
PÓKI TRWA (!) UMOWA
TYPOWY PROBLEM PRAWNY
NA GRUNCIE WYKONYWANIA UMÓW
UMOWA ROZWIAZUJE SIĘ PO ZWROCIE DANYCH
usunięcie danych - tzw. "prawo do bycia zapomnianym"
1a. Ogólnie o UMOWACH
ZWROT danych - po zakończeniu współpracy, wypowiedzeniu umowy
zabezpieczenia techniczne - kopie zapasowe: kiedy, gdzie itp.
prawnie: "multitenancy" = multi-najem
jurysdykcja - zazwyczaj brak wpływu (standard) - temat rzeka
ekonomicznie: outsourcing
podwykonawcy - zadbać, by zapewniało bezpieczeństwo !
konsument i niedozwolone klauzule
- jeśli dostawca przetwarza, to traktuje się go, jak admistratora
A jeśli nie zachodzą PRZYCZYNY, to:
>> jest wytrych <<
Dodatkowo, zwrócić uwagę:
ART. 47 UST. 3 Administrator danych może jednak przekazać dane osobowe do państwa trzeciego, jeżeli:
1) osoba, której dane dotyczą, udzieliła na to zgody na piśmie,
2) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,
3) przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,
4) przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,
5) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
lub: 6) dane są ogólnie dostępne.
korzystanie z "chmury" jest odpłatne - oczywiste
należy mieć kontrolę nad opłatami
ORAZ państwo docelowe nie zapewnia odpowiednich standardów ochrony, przekazanie danych może mieć miejsce tylko po uzyskaniu zgody GIODO, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą (art. 48 ustawy).
Należy podkreślić, że rozpoczęcie przekazywania danych osobowych do państwa trzeciego, które nie zapewnia odpowiednich gwarancji ochrony danych osobowych jest możliwe dopiero po wydaniu pozytywnej decyzji przez Generalnego Inspektora. Decyzja ta nie legalizuje bowiem wcześniejszego przekazywania danych osobowych.
oraz możliwościami ich
jednostronnego podnoszenia przez dostawcę (!)
np.: roczna "salesforce"
OGRANICZANIE ODPOWIEDZIALNOŚCI (damnum emergens, lucrum cessans) przez dostawców
Ocena, czy państwo docelowe zapewnia odpowiednie gwarancje ochrony należy do administratora danych, który musi we własnym zakresie ocenić, czy spełnione są przesłanki z art. 47 ust. 1. Generalny Inspektor nie wydaje w tym zakresie żadnych zaświadczeń.
przykładowo: do wysokości kilkumiesięcznej opłaty
"take it or leave it"
STRATA może wielomilionowa
FARM SERWERY, czyli podwykonawcy
(gdy uzyska dostęp)
główny problem prawny
Argentyna, Australia, Guernsey, Izrael, Jersey, Kanada, Nowa Zelandia, Stany Zjednoczone (safe harbour), Szwajcaria, Wyspa Man, Wyspy Owcze.
bezpieczne
W jakich przypadkach
państwo trzecie
zapewnia
odpowiednie gwarancje
ochrony danych osobowych?
Autentyczność – zapewnieniu, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana (autentyczność dotyczy użytkowników, procesów, systemów i informacji),
Niezaprzeczalność – braku możliwości wyparcia się swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie,
Niezawodność – zapewnieniu spójności oraz zamierzonych zachowań i skutków.
Poufność – zapewnieniu, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom,
Integralność – zapewnieniu, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
Dostępność – zapewnieniu bycia osiągalnym i możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot,
Rozliczalność – zapewnieniu, że działania podmiotu mogą być przy pisane w sposób jednoznaczny tylko temu podmiotowi,
"HOSTING" - Wyłączenie odpowiedzialności usługodawcy:
Nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych.
Usługodawca, który uzyskał wiarygodną wiadomość o bezprawnym charakterze przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp do tych danych, nie odpowiada względem tego usługobiorcy za szkodę powstałą w wyniku uniemożliwienia dostępu do tych danych, jeżeli niezwłocznie zawiadomił usługobiorcę o zamiarze uniemożliwienia do nich dostępu.
INNE ZASTRZEŻENIE UMOWNE - NIE BĘDZIE WAŻNE
IUS COGENS
3. ustawa
o świadczeniu usług
drogą elektroniczną
m.in. obowiązek REGULAMINU
w regulaminie zdarza się
"WYPOWIEDZENIE" W RAZIE UPADŁOŚCI DOSTAWCY
NIESKUTECZNE - ZGODNiE Z polskim prawem UPADŁOŚCIOWYM
UMOWĘ NA CZAS OKREŚLONY NAJCZĘŚCIEJ NIE MOŻNA WYPOWIEDZIEĆ
EOG = UE + Norwegia, Islandia i Lichtenstein
SYNDYK chce pieniędzy...
Autorskie prawa majątkowe do programu komputerowego obejmują prawo do:
1) trwałego lub czasowego zwielokrotnienia programu komputerowego w całości lub w części jakimikolwiek środkami i w jakiejkolwiek formie; w zakresie, w którym dla wprowadzania, wyświetlania, stosowania, przekazywania i przechowywania programu komputerowego niezbędne jest jego zwielokrotnienie, czynności te wymagają zgody uprawnionego;
2) tłumaczenia, przystosowywania, zmiany układu lub jakichkolwiek innych zmian w programie komputerowym, z zachowaniem praw osoby, która tych zmian dokonała;
3) rozpowszechniania, w tym użyczenia lub najmu, programu komputerowego lub jego kopii.
"storage cloud"
(youtube, facebook)
uwaga na prawa autorskie inne niż program komputerowy + wizerunek
INNE PAŃSTWA:
W RAZIE PRZEKROCZENIA OKRESU - ODSZKODOWANIE, ZADOŚĆUCZENIENIE
>> gdzie fizycznie się znajdują pliki <<
>> kto ma dostęp <<
USTALIĆ "OKRES PRZESTOJU"
2. Ustawa
o prawie autorskim
i prawach pokrewnych
>> audyty bezpieczeństwa - można zlecić <<
USTALIĆ JAK CZĘSTO, NA JAKICH ZASADACH WYKONYWANE BĘDA KOPIE BEZPIECZEŃSTWA
2009 - googledocs: przypadkowo udostępniono jako public !
Saas
korzystanie z programu komputerowego w chmurze nie wkracza w monopol autorski - zastrzeżenia umowne często sa niepotrzebne
ochrona danych = bezpieczeństwo informacji
NORMY bezpieczeństwa teleinformatycznego.
wtyczka - plug in
oznacza konieczność zawarcia umowy licencyjnej
cel umowy: to nie licencja
czasowe zwielokrotnienie
w pamięci RAM - nie,
"część procesu technologicznego"
nie podlega ochronie:
idea, zasada, język oprogramowania,
funkcja
nawet jeśli technicznie tak się dzieje, to wola stron nie było udzielenie licencji
Licencja trwa 5 lat -> nieoznaczony
to DOSTAWCA ma pełna kontrolę nad zakresem udostępnienia "praw"
korzystanie z chmury to usługa
zakaz sublicencji - chyba, że inaczej postanowiono
nie wymaga księgowania !
>> więc: należy to wpisać do umowy <<
jak licencjobiorca = wartość niematerialna
RYZYKO! Nawet w aspekcie karnym.
"program może być używany tylko na jednym stanowisku"
wtedy nie możemy korzystać
z niego chmurze
w umowie DOSTAWCA CHMURY powinien POTWIERDZIĆ, że BAZA DANYCH jest chroniona PRAWEM AUTORSKIM (twórczy klucz) lub USTAWA O OCHRONIE BAZ DANYCH, ŻE
" RESPEKTUJE NASZE PRAWA "
-> roszczenie informacyjne
licencja / nie-licencja -> SKUTEK:
Uprawniony, którego autorskie prawa majątkowe zostały naruszone, może żądać od osoby, która naruszyła te prawa:
1) zaniechania naruszania;
2) usunięcia skutków naruszenia;
3) naprawienia wyrządzonej szkody:
a) na zasadach ogólnych albo
b) poprzez zapłatę sumy pieniężnej w wysokości odpowiadającej dwukrotności, a w przypadku gdy naruszenie jest zawinione - trzykrotności stosownego wynagrodzenia, które w chwili jego dochodzenia byłoby należne tytułem udzielenia przez uprawnionego zgody na korzystanie z utworu;
Ustawa o ochronie danych osobowych zezwala na przekazywanie danych tylko do takich Państw, które zapewniają ochroną na takim poziomie (przynajmniej), jaki jest wymagany w UE.
„Jeżeli firma, która świadczy usługi chmury, wskazuje, że będzie przetwarzała dane osobowe na terenie Unii Europejskiej, Europejskiego Obszaru Gospodarczego (EOG) bądź w krajach, które Komisja Europejska uznała za zapewniające odpowiednio wysoki poziom bezpieczeństwa, to z punktu widzenia ustawy o ochronie danych osobowych jej działanie jest legalne”
program komputerowy
licencja?
usługa?
" umieszczenie utworu w Internecie
=
zgoda twórcy
na dostęp publiczny "
niemiecki wyrok TF
>> utwór <<
1. Ustawa o ochronie danych osobowych
2a. Ustawa o ochronie baz danych
15 lat ochrona / nakład inwestycyjny
ZAPEWNIENIE ODPOWIEDNIEJ OCHRONY:
Czym są dane osobowe ?
rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
Należy zapewnić i udostępnić – na żądanie osoby, której dane są przetwarzane – informacji o:
1. dacie, od kiedy przetwarza się w zbiorze jej dane osobowe, oraz treści tych danych,
2. źródle, z którego pochodzą dane jej dotyczące, chyba że administrator jest obowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej,
3. sposobie i zakresie udostępniania jej danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,
4. sposobie, w jaki zebrano dane.
MACIE PAŃSTWO W TECZCE
+ dane wrażliwe (nałogi) zakaz przetwarzania
wszelkie informacje dotyczące osoby fizycznej lub wszelkie informacje możliwe do zidentyfikowania tej osoby. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić przez numer identyfikacyjny lub jeden z czynników fizycznych, fizjologicznych, umysłowych, kulturowych czy społecznych. Danymi osobowymi są zatem takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak również na określenie jej tożsamości przy pewnym nakładzie kosztów, czasu lub działań.
PROBLEM:
brak pełnej kontroli właściciela nad danymi
ADRES IP w pewnych przypadkach również !