Upload
ledang
View
217
Download
0
Embed Size (px)
Citation preview
Zasady ochrony danych stosowane
przez dostarczyciela chmury,
dostarczyciela usługi chmurowej
i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dr Wojciech R. Wiewiórowski
Materiał uzupełniający
na potrzeby konwersatorium
pt. „Dostęp – Wymiana –
Integracja.
Wykorzystanie różnych źródeł
informacji na potrzeby
zarządzania kryzysowego"
Warszawa 14 kwietnia 2014 r.
Nota:
Niniejsza prezentacja stanowi uzupełnienie materiałów
konwersatorium pt. „Dostęp – Wymiana – Integracja.
Wykorzystanie różnych źródeł informacji na potrzeby zarządzania kryzysowego"
zorganizowanego przez Instytut MikroMakro i Collegium Civitas
w Warszawie 14 kwietnia 2014 r.
Prezentację można kopiować i wykorzystywać w całości lub w części tylko pod warunkiem podania pełnej informacji o utworze w poniższym brzmieniu:
W.R.Wiewiórowski, „Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury”, WPiA Uniwersytet Gdański 2013 (wersja z 12 kwietnia 2014 r.)
----
W prezentacji wykorzystano publikację:
W. R. Wiewiórowski: Prawne aspekty udostępniania usług administracji publicznej w modelu chmury (cloud computing) z książki: G. Szpor [red.:] Internet - Cloud Computing, Przetwarzanie w chmurze,
C.H.Beck, Warszawa 2013, s. 83-120
© W.R.Wiewiórowski,
© M. Narojek dla Biura GIODO 2011
Motto dla chmury
Przetwarzanie w chmurze
D. C. Wyld: Moving to the Cloud: An Introduction the the Cloud Computing
in the Govenment, IBM Center for The Business of Government 2009, s. 10.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski
Przetwarzanie w chmurze
Definicja przetwarzania danych w chmurze obliczeniowej
przygotowana przez National Institute of Standards and Technology
(NIST)
“Cloud computing is a model for enabling ubiquitous, convenient,
on-demand network access to a shared pool of configurable
computing resources (e.g., networks, servers, storage, applications,
and services) that can be rapidly provisioned and released with
minimal management effort or service provider interaction. This
cloud model is composed of five essential characteristics, three
service models, and four deployment models.”
National Institute of Standards and Technology (NIST), Special Publication 800-
145, The NIST Definition of Cloud Computing, September 2011, Page 3.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dr Wojciech R. Wiewiórowski
Cechy modelu chmurowego (NIST) cz. 1
Pięć głównych cech chmurowego modelu przetwarzania to:
On-demand self-service – klienci chmury powinni mieć możliwość skorzystania z
usług w chmurze (np. obliczeniowych, pamięci i zasobów pamięci masowej),
używając mechanizmu samoobsługi (np. portal internetowy), tak żeby
nabywanie usług nie wymagało interwencji przez usługodawcę chmury,
Broad network access – chmura powinna być dostępna z każdego miejsca (jeśli
wymagane) na różnych urządzeniach, takich jak: smartfony, tablety, laptopy,
komputery stacjonarne oraz na wszystkich innych typach czytników,
istniejących obecnie lub w przyszłości,
Resource pooling – chmury powinny udostępniać pule współdzielonych zasobów,
które wykorzystywane są przez klientów chmury. Zasoby, takie jak: moc
obliczeniowa, pamięć, sieć i dysk, przydzielone są do klientów korzystających
z usług udostępnionej, wspólnej puli. Zasoby pobierane są z aktualnej
lokalizacji, a klienci nie są świadomi lokalizacji tych zasobów,
Tłumaczenie za: M.Ledwoch, Przegląd architektury Chmur Prywatnych , TechNet
Microsoft, 12.12.2012 (stan z 18.12.2012)
http://technet.microsoft.com/pl-pl/library/przeglad-architektury-chmur-prywatnych.aspx.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dr Wojciech R. Wiewiórowski
Cechy modelu chmurowego (NIST) cz. 2
Pięć głównych cech chmurowego modelu przetwarzania to:
(…)
Rapid elasticity - chmury powinny zapewnić szybkie zastrzeganie i uwolnienie
zasobów ze względu na zapotrzebowanie usług w chmurze. Powinno to
odbywać się automatycznie, bez konieczności ingerencji człowieka. Ponadto,
odbiorcy usługi chmury powinni odnosić wrażenie, że istnieje nieograniczona
pula zasobów – usługa jest w stanie spełnić wymagania dla dowolnego
scenariusza w przypadku użycia,
Metered Services – model chmury, określany jako „pay-as-you-go”, powinien
czasem umożliwiać ładowanie usług konsumenta chmury w oparciu o
rzeczywiste wykorzystanie zasobów chmury. Wykorzystanie zasobów jest
monitorowane, zgłaszane i kontrolowane przez dostarczyciela usług
chmurowych i politykę serwisu, które zapewniają przejrzystość rozliczeń,
zarówno z dostarczycielem usług chmurowych, jak i z konsumentem usług.
Tłumaczenie za: M.Ledwoch, Przegląd architektury Chmur Prywatnych , TechNet
Microsoft, 12.12.2012 (stan z 18.12.2012)
http://technet.microsoft.com/pl-pl/library/przeglad-architektury-chmur-prywatnych.aspx.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dr Wojciech R. Wiewiórowski
Modele przetwarzania w chmurze
• IaaS - Infrastructure as a Service (z ang. "infrastruktura jako
usługa") - w tym przypadku usługodawca zobowiązuje
się do dostarczenia infrastruktury informatycznej,
• PaaS - Platform as a Service (z ang. "platforma jako usługa")
- usługodawca udostępnia całe środowisko pracy,
• SaaS - Software as a Service (z ang. "oprogramowanie jako
usługa") - usługodawca udostępnia oprogramowanie,
użytkowane aplikacje są jedynie wynajmowane,
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski
Quasi-modele przetwarzania w chmurze
• BaaS – Business as a Service
• CaaS – Communications as a Service – integracja komunikacji
głosowej, wizualne, chatów, komunikatorów itp.
• DaaS – Data as a Service – np. The Google® Geocoding APITM
• E …
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski
Quasi-modele przetwarzania w chmurze
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Źródło:
Wikipedia
Dr Wojciech R. Wiewiórowski
Modele przetwarzania w chmurze
• chmura publiczna
• chmura prywatna
• chmura wspólna
• chmura hybrydowa
• „stos chmur”
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Chmury
dedykowane
Dr Wojciech R. Wiewiórowski
Modele przetwarzania w chmurze
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
M. Ferrar, M. Gray,
K. Craig-Wood: Data
Centre Migration,
G-Cloud and
Applications Store
Programme
Phase 2. Technical
Architecture
Workstrand Report ,
Cabinet Office,
Londyn, Maj 2010,
s. 7
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury Przewidywania wobec chmur „rządowych”
1. Chmurowe usługi „rządowe” wystartują tak na poziomie centralnych jak
i lokalnym jako ostrożne i dokładnie obserwowane inicjatywy w najbliższych
latach.
2. Na poziomie centralnym nastąpi skoordynowane przejście do usług chmurowych
przy nieuniknionych sporach pomiędzy poszczególnymi urzędami.
3. Rocznie na świecie zdarzać się będą 2-3 incydenty grożące znaczącymi
zdarzeniami z zakresu bezpieczeństwa danych, wzbudzając ogromne
zainteresowanie mediów i wezwania do szerszej regulacji i kontroli nad
dostawcami chmur.
4. Rozwijać się będzie współpraca pomiędzy firmami chcącymi stać się
dostarczycielami chmur i agencjami rządowymi, a zakres danych i aplikacji
umieszczanych w chmurach znacznie przekroczy nasze dzisiejsze oczekiwania w
najbliższej dekadzie.
5. Sytuacja budżetowa wzmagać będzie nacisk na umieszczanie jak najszerszej gamy
usług w chmurach dedykowanych a nawet w chmurach publicznych , w związku
z wzrastającą tendencją do ousourcowania zadań i zasobów IT (hardware,
software, dane i wsparcie osobowe).
Na podstawie: D. C. Wyld: Moving to the Cloud: An Introduction the the Cloud Computing
in the Govenment, IBM Center for The Business of Government 2009, s. 7.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury Przewidywania wobec chmur „rządowych”
6. Wzrost znaczenia chmur zaznaczy się we wszystkich sektorach poczynając od
ochrony zdrowia i edukacji a na wojsku i obronie narodowej kończąc [PROBLEMATYCZNA TEZA]
7. Darmowa oferta chmurowa – wykraczająca nawet poza usługi email
i dzisiejsze aplikacje – stanie się ważną częścią portfolio większości urzędów.
8. Efektem ubocznym aktywności rządu w chmurach będzie przyspieszenie
procesów standaryzacji i zwiększanie interoperacyjnosci pomiędzy
dostawcami chmur.
9. W ciągu całej najbliższej dekady obserwować będziemy przyspieszenie
w zakresie rozwiązań prawnych związanych z chmurami, poczynając od
precedensowych sporów sądowych a kończąc na inicjatywach legislacyjnych
w kwestiach technologicznych i biznesowych oraz w zakresie ochrony
użytkowników usług.
10. „Demokratyzacja technologii”, którą przyniesie cloud computing wpłynie
znacząco na „jakość życia online”, rozwój gospodarki i innowacyjność
przynosząc zyski wszystkim
Na podstawie: D. C. Wyld: Moving to the Cloud: An Introduction the the Cloud
Computing in the Govenment, IBM Center for The Business of Government
2009, s. 7.
Dr Wojciech R. Wiewiórowski
Polska chmura prywatna dla administracji publicznej
Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze
proponowany do umieszczenia na liście rezerwowej
2012-2015 Ministerstwo Administracji i Cyfryzacji / Centrum Projektów
Informatycznych
Projekt umożliwi realizację spójnej polityki wdrażania systemów zarządzania
dokumentami oraz standaryzację rozwiązań; pozwoli na wykorzystanie systemu
archiwizacji oraz zarządzania dokumentami w JST. Wprowadzenie chmury
obliczeniowej może przyczynić się do zmniejszenia ilości pracy wykonywanej
przez urzędników, obniżenie kosztów obsługi obywatela i kosztów działania
urzędu, w tym również ilości używanych dokumentów papierowych. Projekt
przełoży się na przebudowę, dostosowanie i wdrożenie zasobów i systemów
informatycznych administracji publicznej w celu ich usprawnienia i integracji.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dr Wojciech R. Wiewiórowski
Założenia Projektu
Celem przygotowywanego przez CPI projektu „Informatyzacja JST z zastosowaniem
technologii przetwarzania w chmurze” jest stworzenie nowego jakościowo rozwiązania o
charakterze chmury prywatnej przeznaczonego dla Jednostek Samorządu Terytorialnego.
(…) Projekt zakłada rozwój nowych i integrację już eksploatowanych przez JST systemów
teleinformatycznych, wykorzystując możliwości oferowane przez ePUAP. (…)
Eksploatacja i rozwój infrastruktury w horyzoncie, co najmniej do roku 2020 finansowana
byłaby ze środków budżetowych. Zasady partycypacji finansowej administracji centralnej i
JST w tym procesie, zostaną ustalone na etapie definiowania projektu wspólnie z JST.
Realne koszty utrzymania infrastruktury wspólnej będą uzależnione od wielu czynników,
tym niemniej definiując projekt założono, że koszt partycypacji JST będzie niższy niż
wydatki ponoszone przez JST na własną infrastrukturę.
Na podst. dokumentu Załącznik do ankiety „Jednostki Samorządu Terytorialnego
a prywatna chmura obliczeniowa” przygotowanej w ramach projektu „Informatyzacja JST
z zastosowaniem technologii przetwarzania w chmurze” – dokument elektroniczny:
http://chmura.cpi.gov.pl/images/zalacznik_ankieta_chmura.pdf (dokument z 25 września
2012 r., ostatnio sprawdzany 6 listopada 2012 r.)
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Polska chmura prywatna dla administracji publicznej
Polska chmura prywatna dla administracji
publicznej – wątpliwości GIODO
Pojawiają się jednak dwa podstawowe pytania:
1. Czy dostarczyciele chmury w modelu IaaS, będą również oferowali usługi
SaaS, a jeśli tak, to czy będą to usługi standardowe, w których decyzję
o funkcjonalnościach oprogramowania w SaaS (celach i sposobach jego
działania) decydować będzie dostarczyciel usługi chmurowej?
2. Czy gmina (powiat, województwo), decydując się na przyjęcie oferty usług
chmurowych, będzie decydowała jedynie o przekazaniu tam zasobów, dla
których sama jest administratorem danych osobowych, czy będzie de facto
zmuszać do takiego kroku jednostki komunalne, będące przecież często
samodzielnymi administratorami danych osobowych ?
Te dwa pytania należałoby uzupełnić trzecim, zapewne nieco prostszym:
3. Kto będzie podejmował ewentualne decyzje w imieniu dostarczycieli chmury
(jako administrator lub procesor) ? Minister właściwy ds. informatyzacji czy
Dyrektor CPI ? A może każdy z nich osobno ?
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Polska chmura prywatna dla administracji
publicznej – wątpliwości GIODO
Przy pierwszym pytaniu nawet pobieżna lektura ankiety zamieszczonej na stronie projektu
a skierowanej do jego ewentualnych użytkowników wskazuje, że twórcy „infrastruktury” mają
zamiar oferować w ramach niej klasyczne usługi przetwarzania danych osobowych w modelu
SaaS. Pytania dotyczą bowiem potencjalnego zainteresowania usługami obejmującymi m.in.
wysyłanie przesyłek SMS do mieszkańców, e-przedszkola i e-szkoły (w tym komunikacja z rodzicami
i umożliwienie im dostępu do informacji o płatnościach, wyżywieniu, obecności, a także wynikach w
nauce swoich dzieci), czy informowanie osoby zarejestrowanej w urzędzie pracy o aktualnych ofertach
odpowiadających jego profilowi zawodowemu. Gminy pytane są również o ewentualne korzystanie
z udostępnionych przez dostarczyciela usług w chmurze prywatnej programów typu ERP
(zaawansowane zarządzanie zasobami), SZD (zarządzanie dokumentami) i CRM (zarządzanie
relacjami z mieszkańcami). To oznaczać może, że rola MAiC i CPI nie będzie sprowadzać się do
przetwarzania „nie swoich” danych, ale przerodzi się w rolę administratora decydującego
o celach i sposobach przetwarzania danych z zasobów podmiotów całkowicie organizacyjnie od
nich niezależnych jakimi są jednostki samorządu terytorialnego wobec MAiC i CPI należących do
administracji rządowej. Problemy rozróżnienia administratora danych i procesora są tu bardzo
wyraźne, ale nie są typowe tylko dla relacji w administracji publicznej stąd też są w centrum prawnych
rozważań o chmurach od momentu pojawienia się tego fenomenu, a w rozważaniach wykorzystywane
są już wcześniejsze doświadczenia dotyczące innych modeli outsourcingu.
http://chmura.cpi.gov.pl.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Polska chmura prywatna dla administracji
publicznej – wątpliwości GIODO
Sprawa komplikuje się znacznie bardziej, gdy próbujemy odpowiedzieć na drugie
z postawionych pytań. Z jednej strony wydaje się zupełnie oczywiste, że gmina (powiat,
województwo) mogą przenosić do przetwarzania w chmurach tylko te usługi, dla których same
są administratorem zbioru danych w nich wykorzystywanych. Z drugiej strony sugestia, że
w ramach wspólnej infrastruktury chmurowej mają być – decyzją gminy – przetwarzane dane
e-przedszkola i e-szkoły, w tym takie dany, które umożliwią komunikację z rodzicami i dostęp
tychże rodziców do informacji o płatnościach, wyżywieniu, obecności, a także wynikach
w nauce swoich dzieci, sugeruje, że twórcy projektu zakładają, że do wspólnej infrastruktury
trafiać będą dane, dla których administratorami są dyrektorzy szkół czy przedszkoli.
Wymaga to rozstrzygnięcia, kto będzie podejmował decyzję o skorzystaniu z usług chmurowych.
Oczywiście logiczne wydaje się, że decyzja będzie podejmowana na poziomie gminy,
a administratorzy danych nie będą mieli innego wyjścia jak podporządkowanie się jej.
Kto w takiej sytuacji będzie decydował o celach i sposobach przetwarzania? Dyrektor szkoły
lub przedszkola, jak wskazywałaby na to regulacja prawna? Gmina zamawiająca usługę
chmurową? A może jednak MAiC i CPI tworzące usługi i decydujące, jakich czynności
związanych z przetwarzaniem danych osobowych można przy ich pomocy dokonać i jak to
uczynić? Jeśli odpowiedź na to pytanie miała być inna niż, że jedynym administratorem danych
jest dyrektor szkoły lub przedszkola, to oczywiście należy od razu zapytać o podstawy prawne
takiego przetwarzania po stronie gminy, MAiC i CPI.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dr Wojciech R. Wiewiórowski
Zakłada się, że:
· Infrastruktura byłaby administrowana centralnie przez MAC / CPI.
· Właścicielem i administratorem danych byłyby JST.
· MAC / CPI odpowiadały by za rozwój infrastruktury i związanych z nią usług
administracji. Proces ten byłby nadzorowany przez Radę Użytkowników w skład, której
wchodziliby przedstawiciele JST uczestniczący w projekcie.
· Infrastruktura wspólna może objąć istniejące lub planowane moce obliczeniowe
znajdujące się w ośrodkach obliczeniowych administracji (zarówno centralnej jak
i samorządowej).
· Zasady wykorzystania przez JST usług infrastruktury wspólnej regulowałyby
każdorazowo umowy SLA zawierane pomiędzy MAC / CPI a JST.
· Infrastruktura wspólna (wraz z usługami) byłaby w pełni operacyjna najpóźniej w 2015 r.
Na podst. dokumentu Załącznik do ankiety „Jednostki Samorządu Terytorialnego
a prywatna chmura obliczeniowa” przygotowanej w ramach projektu „Informatyzacja JST
z zastosowaniem technologii przetwarzania w chmurze” – dokument elektroniczny:
http://chmura.cpi.gov.pl/images/zalacznik_ankieta_chmura.pdf (dokument z 25 września
2012 r., ostatnio sprawdzany 6 listopada 2012 r.)
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Polska chmura prywatna dla administracji publicznej
CPI / MAC:
JST:
Eksploatacja usług
Udostępnianie swojej
infrastruktury
Ustalanie wymagań dla
rozwijanych usług
Udostępnianie usług
Rozwój infrastruktury
centralnej
Centralny rozwój usług i
infrastruktury Obszar strategiczny
Obszar infrastruktury
Obszar usług
Role w przedsięwzięciu
Wybrane slajdy z prezentacji: „ Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze.
Wprowadzenie do dyskusji warsztatowej”, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r.,
https://mac.gov.pl/wp-content/uploads/2013/03/Informatyzacja-JST-z-zastosowaniem-technologii-przetwarzania-w-
chmurze-cz2.pptx
• integracji systemu z centralnymi rejestrami państwowymi i systemami
ewidencyjnymi a także ogólnokrajowymi platformami usług elektronicznych
jak e-PUAP,
• funkcjonowania ośrodków obliczeniowych oraz centrum monitoringu i
zarządzania systemem (7/24),
• sprawnej i bezpiecznej łączności pomiędzy ośrodkami obliczeniowymi i
centrum,
• spójności tworzonych usług z Krajowymi Ramami Interoperacyjności,
• rozwoju usług o zasięgu ogólnokrajowym.
MAC / CPI odpowiadać będą za centralny aspekt rozwoju
infrastruktury i e-usług administracji, w szczególności za zapewnienie:
Założenia proponowanego modelu
Wybrane slajdy z prezentacji: „ Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze. Wprowadzenie
do dyskusji warsztatowej”, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r., https://mac.gov.pl/wp-
content/uploads/2013/03/Informatyzacja-JST-z-zastosowaniem-technologii-przetwarzania-w-chmurze-cz2.pptx
Infrastruktura i usługi rozwijane będą w oparciu o zasoby:
• zasoby znajdujące się już we władaniu MAC / CPI,
• pozyskane na drodze zamówień publicznych,
• centrów przetwarzania danych, które stworzyły jednostki
administracji zarówno samorządowej jak i centralnej.
Nadzór nad procesem rozwoju usług, w tym wyznaczanie
strategicznych kierunków rozwoju systemu, sprawować
będzie Rada Użytkowników złożona z przedstawicieli JST.
Założenia proponowanego modelu
Wybrane slajdy z prezentacji: „ Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze.
Wprowadzenie do dyskusji warsztatowej”, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r.,
https://mac.gov.pl/wp-content/uploads/2013/03/Informatyzacja-JST-z-zastosowaniem-technologii-przetwarzania-w-
chmurze-cz2.pptx
• tworzenie nowych i rozwój istniejących usług w ustalonym zakresie (Rada Użytkowników),
• wsparcie użytkowników z JST w zakresie wykorzystania udostępnionej infrastruktury,
środowiska i usług do realizacji zadań własnych,
• zapewnienie świadczenia usług na ustalonym poziomie (SLA / OLA),
• zapewnienie funkcjonowania ośrodków obliczeniowych i łączącej je infrastruktury sieciowej
na ustalonym poziomie (SLA / OLA).
25
Na podstawie doświadczeń z dotychczasowej realizacji projektów przez
MSWiA / MAC jednostką odpowiedzialną za utrzymanie systemu w
działaniu i zapewnieniu jego rozwoju (przynajmniej w okresie trwałości)
projektu byłoby CPI, odpowiadające za:
Założenia proponowanego modelu
Przyjęty model nie wyklucza:
•zamawiania określonych usług na drodze zamówień publicznych,
•budowania partnerstwa publiczno-prywatnego w obszarach nie objętych trwałością projektu,
•rozbudowy systemu z wykorzystaniem środków nowej perspektywy finansowej.
26
Formalną podstawą do współpracy pomiędzy MAC i JST będą zapisy tzw.
Linii Współpracy, która będzie porozumieniem pomiędzy MAC a JST
porządkującym współpracę pomiędzy wspomnianymi podmiotami w
kwestii budowy otwartego państwa i nowoczesnej e-administracji.
Linia Współpracy, 22 kwietnia 2013 roku
Założenia proponowanego modelu
Zakłada się, że Jednostka Samorządu Terytorialnego korzystająca z usług
oraz Ministerstwo Administracji i Cyfryzacji podpiszą każdorazowo
Umowę, która sformalizuje obowiązki leżące:
•po stronie MAC oraz CPI jako operatora (zapewniającego świadczenie usług),
•po stronie JST jako usługobiorcy (korzystającego z usług) w tym finansowej
partycypacji w utrzymaniu systemu.
W przypadku wykorzystania zasobów JST we wspólnej infrastrukturze
podpisywana byłaby pomiędzy JST a MAC odrębna Umowa określająca
zasady finansowej rekompensaty przez MAC wykorzystania zasobów.
Wybrane slajdy z prezentacji: „
Informatyzacja JST z zastosowaniem
technologii przetwarzania w chmurze.
Wprowadzenie do dyskusji warsztatowej”,
Centrum Projektów Informatycznych,
Warszawa, 22 kwietnia 2013 r.,
Beneficjent (MAC)
Realizacja projektu i zapewnienie jego
działania (trwałość)
Wytyczanie ogólnych kierunków rozwoju
systemu
Integracja z centralnymi rejestrami i systemami
ewidencyjnymi
Operator
Świadczenie usług IaaS, PaaS, SaaS
Zapewnienie dostępności i rozbudowa infrastruktury (w szczególności o zasoby
własne JST)
Rozwój usług zgodnie z wytycznymi Beneficjenta i
Klienta
Klient (JST)
Eksploatacja usług IaaS, PaaS, SaaS
Zamawianie i zlecanie wykonania usług
Wytyczanie szczegółowych kierunków
rozwoju usług z punktu widzenia klientów
27
Założenia proponowanego modelu
Linia Współpracy, 22 kwietnia 2013 roku
Wybrane slajdy z prezentacji: „
Informatyzacja JST z zastosowaniem
technologii przetwarzania w chmurze.
Wprowadzenie do dyskusji warsztatowej”,
Centrum Projektów Informatycznych,
Warszawa, 22 kwietnia 2013 r.,
https://mac.gov.pl/wp-
content/uploads/2013/03/Informatyzacja-
JST-z-zastosowaniem-technologii-
przetwarzania-w-chmurze-cz2.pptx
28
Pytania - model eksploatacji
Na obecnym etapie projektu zakładamy że CPI pełnić będzie rolę
„inicjalnego operatora systemu” czyli:
• zrealizuje projekt i doprowadzi do uruchomienia systemu,
• wypracuje wspólnie z JST plany rozwoju usług elektronicznych i infrastruktury,
• doprowadzi do podpisania porozumień z JST.
Pytanie jaki model współpracy MAC <> JST docelowo powinien
obowiązywać w kontekście utrzymania i rozwoju systemu:
• na etapie trwałości projektu,
• po zakończeniu trwałości projektu:
o utrzymanie dotychczasowego modelu,
o zmiana,
o a może komercjalizacja …
Linia Współpracy, 22 kwietnia 2013 roku
Pytania - porozumienia
Jak powinno wyglądać porozumienie pomiędzy MAC <> JST dotyczące
eksploatacji usług:
• umowa SLA czy OLA,
• niezależnie ze umawiające strony są jednostkami administracji jak zapewnić zgodnie z
ITIL „zapłatę za dobrze świadczoną usługę”,
• prawa i obowiązki Operatora,
• prawa i obowiązki JST.
Jak powinno wyglądać porozumienie pomiędzy MAC <> JST dotyczące
udostępnienia infrastruktury przez JST: to nie będzie proste odwrócenie
umowy o eksploatacji usług!
Wybrane slajdy z prezentacji: „ Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze.
Wprowadzenie do dyskusji warsztatowej”, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r.,
https://mac.gov.pl/wp-content/uploads/2013/03/Informatyzacja-JST-z-zastosowaniem-technologii-przetwarzania-w-
chmurze-cz2.pptx
Obszar Usługi
Przykładowe usługi dla JST
oferowane w ramach projektu
• użyczanie mocy obliczeniowej podmiotom
publicznym,
• hosting stron internetowych administracji
publicznej,
• internetowy backup,
• usługi telefonii IP i komunikacji natychmiastowej
wraz z centralną książką teleadresową
administracji.
Możliwe pola integracji z
systemami JST
Włączenie zasobów centrów obliczeniowych JST do
wspólnej jednolicie zarządzanej infrastruktury
teleinformatycznej całej administracji (tzw. grid
obliczeniowy administracji).
Pola możliwej integracji z
systemami centralnymi
Włączenie zasobów centrów obliczeniowych
administracji centralnej do wspólnej infrastruktury
teleinformatycznej całej administracji.
Usługi w modelu IaaS
Wybrane slajdy z prezentacji: „ Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze. Wprowadzenie do dyskusji
warsztatowej”, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r., https://mac.gov.pl/wp-
content/uploads/2013/03/Informatyzacja-JST-z-zastosowaniem-technologii-przetwarzania-w-chmurze-cz2.pptx
Obszar Usługi
Przykładowe usługi dla JST
oferowane w ramach projektu
• platforma szkoleń multimedialnych administracji,
• platforma konsultacji społecznych.
Możliwe pola integracji z systemami
JST
Integracja platform regionalnych oraz zintegrowanych
systemów JST na wspólnej infrastrukturze
teleinformatycznej.
Pola możliwej integracji z systemami
centralnymi
• pełna integracja z infrastrukturą Platformy ePUAP i
usług przez nią świadczonych,
• integracja z centralnymi platformami sektorowymi np.
CSIOZ.
Usługi w modelu PaaS
Wybrane slajdy z prezentacji: „ Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze.
Wprowadzenie do dyskusji warsztatowej”, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r.,
https://mac.gov.pl/wp-content/uploads/2013/03/Informatyzacja-JST-z-zastosowaniem-technologii-przetwarzania-w-
chmurze-cz2.pptx
Obszar Usługi
Przykładowe usługi dla JST
oferowane w ramach projektu
• punkt kontaktowy e-administracji publicznej,
• interaktywny konsultant prawny,
• …
Możliwe pola integracji z
systemami JST
• aplikacje bazujące / wykorzystujące platformę
ePUAP,
• aplikacje regionalnych platform i systemów
samorządowych zintegrowanych z Chmurą (w
modelu IaaS, PaaS).
Pola możliwej integracji z
systemami centralnymi
• aplikacje bazujące / wykorzystujące platformę
ePUAP,
• aplikacje centralnych platform sektorowych
zintegrowanych z Chmurą (w modelu IaaS, PaaS).
Usługi w modelu SaaS
Wybrane slajdy z prezentacji: „ Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze. Wprowadzenie do dyskusji
warsztatowej”, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r., https://mac.gov.pl/wp-
content/uploads/2013/03/Informatyzacja-JST-z-zastosowaniem-technologii-przetwarzania-w-chmurze-cz2.pptx
Beneficjent (MAC)
Finansowanie funkcjonowania infrastruktury
Wytyczanie ogólnych kierunków rozwoju
infrastruktury
Integracja infrastruktury z zasobami centralnymi
Operator
Zapewnienie dostępności całości
infrastruktury
Rozbudowa infrastruktury (w
szczególności o zasoby własne JST)
Administrowanie centralne infrastrukturą
Klient (JST)
Udostępnianie infrastruktury
Zapewnienie rozwoju infrastruktury (na
poziomie lokalnym)
Administrowanie lokalne infrastrukturą
Role w przedsięwzięciu - infrastruktura
Wybrane slajdy z prezentacji: „ Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze. Wprowadzenie do dyskusji
warsztatowej”, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r., https://mac.gov.pl/wp-
content/uploads/2013/03/Informatyzacja-JST-z-zastosowaniem-technologii-przetwarzania-w-chmurze-cz2.pptx
Dr Wojciech R. Wiewiórowski
Europejska Agenda Cyfrowa
2.5.1. Zwiększenie wysiłków i efektywności
W 2010 r. Komisja przedstawi kompleksową strategię w dziedzinie badań
i innowacji pod nazwą „Unia innowacji”, która jest sztandarowym projektem
wdrażającym strategię Europa 202029. W oparciu o europejską strategię mającą
na celu ustanowienie wiodącej roli sektora TIK30, Europa musi zwiększyć,
ukierunkować oraz połączyć swoje inwestycje, aby zachować w tej dziedzinie
konkurencyjność, oraz musi nadal inwestować w badania wysokiego ryzyka,
w tym w interdyscyplinarne badania podstawowe.
Europa powinna również dążyć do osiągnięcia przewagi pod względem innowacji
w kluczowych obszarach poprzez wzmocnienie infrastruktur elektronicznych
i poprzez ukierunkowany rozwój klastrów innowacyjnych działających
w kluczowych dziedzinach. Należy rozwijać unijną strategię dotyczącą
wykorzystywania chmur obliczeniowych, szczególnie do celów administracji
i nauki.
Strategia powinna uwzględniać aspekty ekonomiczne, prawne
i instytucjonalne].
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dr Wojciech R. Wiewiórowski
Stanowisko Komisji Europejskiej
Kwestię zmian w praktyce ochrony prywatności w związku z popularyzacją usług
cloud computingu poruszyła również Neelie Kroes – wice przewodnicząca
Komisji Europejskiej i Komisarz ds. Agendy Cyfrowej podczas konferencji « Les
Assises du Numérique » zorganizowanej na Uniwersytecie Paris-Dauphine
25 listopada 2010 r.
Stanowisko Unii:
- przetwarzanie danych w chmurze to nie tylko wyzwanie technologiczne;
- niebezpieczeństwo utraty kontroli nad przetwarzaniem danych w chmurze;
- tylko dalsze studia nad „privacy-by-design” i technologiami zwiększającymi
prywatność („privacy-enhancing technologies") połączone
z rozpozananiem różnic w implementacji europejskich zasad ochrony
danych osobowych w poszczególnych krajach członkowskich może nas
przybliżyć do rozwiązania prawnych i organizacyjnych problemów,
jakie cloud computing napotyka w Europie.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dr Wojciech R. Wiewiórowski
Stanowisko Komisji Europejskiej
Stanowisko Unii cd.:
- w świetle oczekiwania ze strony Komisji, że Europa stanie się wolnym rynkiem
umożliwiającym swobodną a zarazem bezpieczną wymianę danych
osobowych, stanowisko Komisji wobec samego modelu będzie
„cloud-friendly”.
- takie poparcie uzyskać mogą jedynie takie chmury, które będą w jasny i silny
sposób wspierać ochronę danych osobowych.
- rola samoregulacji w zakresie przetwrazania danych w chmurze obliczeniowej
- drogą do budowania sprawnego i zaufanego rynku przetwarzania danych
w chmurze mogą być tak działania samoregulacyjne podejmowane przez
grupy przedsiębiorców jak i wiążące reguły korporacyjne ("binding
corporate rules") ustanawiane przez dostarczycieli chmury.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dr Wojciech R. Wiewiórowski
Stanowisko Komisji Europejskiej
- polemika z najczęstszymi zarzutami kierowanymi wobec instytucji
wspólnotowych w zakresie ochrony prywatności przy przetwarzaniu
w chmurach
- Komisja nie godzi się ani z zarzutami protekcjonizmu i wspierania operatorów
europejskich ani z zarzutami hamowania rozwoju nowoczesnego modelu
biznesowego w Europie
- Komisja gra tą samą rolę jaką już wcześniej instytucje europejskie odgrywały
np. na rynku motoryzacyjnym, gdzie narzucały zasady bezpieczeństwa
(pasy, poduszki powietrzne) co też początkowo odbierane było jako
obstrukcja wolnej konkurencji a dziś uważane jest za słusznie
wymuszony krok w dobrym kierunku, który w końcu doprowadził do
sytuacji w której bezpieczeństwo jazdy i wyniki testów wypadkowych
stały się same w sobie ważnym elementami konkurencji między
producentami, przy okazji wpływając na coraz większą ochronę kierowcy
i pasażerów.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dr Wojciech R. Wiewiórowski
Strategia UE w zakresie chmur
KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO,
RADY, EUROPEJSKIEGO KOMITETU EKONOMICZNO-
SPOŁECZNEGO I KOMITETU REGIONÓW
Wykorzystanie potencjału chmury obliczeniowej w Europie
27.9.2012 r.
COM(2012) 529 final
{SWD(2012) 271 final}
http://ec.europa.eu/information_society/activities/cloudcomputing/
docs/com/com_cloud.pdf
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Strategia UE w zakresie chmur
• Sprzęt jest własnością dostawcy usług w chmurze obliczeniowej, a nie użytkownika, który
uzyskuje dostęp do chmury za pośrednictwem internetu.
• Wykorzystanie sprzętu jest dynamicznie zoptymalizowane za pomocą seci komputerów, tak że
użytkownik w zasadzie nie musi znać dokładnej lokalizacji danych lub procesów, ani wiedzieć,
który sprzęt w danym momencie faktycznie obsługuje tego użytkownika, chociaż może to mieć
istotne znaczenie dla mających zastosowanie ram prawnych.
• Dostawcy usług w modelu chmury często przenoszą dane i aplikacje użytkowników w celu
optymalnego wykorzystania dostępnego sprzętu.
• Znajdujący się w innej lokalizacji sprzęt służy do przechowywania i przetwarzania danych oraz
ich udostępniania, np. za pośrednictwem aplikacji.
• Organizacje i osoby prywatne mogą mieć dostęp do ich zawartości i korzystać z ich
oprogramowania, kiedykolwiek i gdziekolwiek jest im to potrzebne.
• Na strukturę chmury składa się kilka poziomów: sprzęt, oprogramowanie pośredniczące lub
platforma i oprogramowanie użytkowe. Normalizacja ma zasadnicze znaczenie, zwłaszcza na
poziomie oprogramowania pośredniczącego, ponieważ pozwala ono dostawcom dotrzeć do
szeregu rozmaitych potencjalnych klientów, a użytkownikom daje możliwości wyboru;
• Użytkownicy zwykle płacą za to, z czego korzystają, unikając dużych stałych kosztów
początkowych, związanych z samodzielną konfiguracją i eksploatacją zaawansowanego sprzętu
komputerowego.
• Jednocześnie użytkownicy mogą bardzo łatwo zmienić liczbę urządzeń, z których korzystają (np.
zwiększyć pojemność pamięci online w ciągu kilki sekund kilkoma kliknięciami myszką).
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Strategia UE w zakresie chmur
Komisja Europejska podejmie trzy konkretne działania sprzyjające przyjęciu chmury obliczeniowej:
(1) Działanie 1: uporządkowanie dużej ilości różnych norm;
(2) Działanie 2: bezpieczne i uczciwe warunki umowne
(3) Działanie 3: utworzenie Europejskiego partnerstwa na rzecz chmur obliczeniowych
w celu wspierania innowacji i wzrostu przez sektor publiczny.
Działanie 1 – uporządkowanie dużej ilości różnych norm
Komisja będzie:
• propagować wiarygodne i rzetelne usługi w modelu chmury powierzając Europejskiemu
Instytutowi Norm Telekomunikacyjnych (ETSI) koordynację działań z zainteresowanymi
stronami na przejrzystych i otwartych zasadach w celu szczegółowego ustalenia do 2013 r.
niezbędnych norm (między innymi dotyczących bezpieczeństwa, interoperacyjności, przenoszenia
danych i odwracalności danych).
• zwiększać zaufanie do usług w chmurze obliczeniowej usług poprzez uznanie na szczeblu UE
specyfikacji technicznych w dziedzinie ICT służących ochronie danych osobowych zgodnie
z nowym rozporządzeniem w sprawie normalizacji europejskiej.
• wspierać z pomocą ENISA i innych właściwych organów rozwój obejmujących całą UE
dobrowolnych systemów certyfikacji w zakresie chmury obliczeniowej (w tym w odniesieniu
do ochrony danych) oraz ustanowi wykaz takich systemów do 2014 r.;
• podejmie działania w celu rozwiązania kwestii dotyczących wyzwań w zakresie ochrony środowiska
w związku ze zwiększonym korzystaniem z chmury obliczeniowej, ustalając do 2014 r. wspólnie
z branżą jednolite parametry dla zużycia energii i emisji dwutlenku węgla w odniesieniu do usług
w modelu chmury obliczeniowej.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Strategia UE w zakresie chmur
Działanie 1 – uporządkowanie dużej ilości różnych norm
ETSI uruchomiło inicjatywę Cloud Standards Coordination
(CSC) otwartą dla wszystkich uczestników rynku.
Po analizie głównych aspektów standaryzacji chmur
przygotowano raport końcowy, który opublikowano
7 listopada 2013 r.. W raporcie przedstawiono:
- definicję ról w chmurze;
- opis i klasyfikacja ponad 100 przypadków praktycznych;
- listę ok. 20 organizacji zajmujących się standaryzacją
rozwiązań chmurowych;
- wybór ok. 150 dokumentów, standardów, specyfikacji,
raportów i białych ksiąg;
- klasyfikację działań, które powinni podejmować
dostarczyciele i użytkownicy chmury w trakcie
całego procesu życiowego usługi;
W oparciu o to przygotowano konkluzje, dotyczące statusu
normalizacji chmur w obecnej chwili, obejmujące wskazania
ogólne (np. fragmentacja) i wskazania szczegółowe w zakresie interoperacyjności, bezpieczeństwa,
prywatności oraz umów Service Level Agreements (SLA).
Dr Wojciech R. Wiewiórowski
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Strategia UE w zakresie chmur
Główne wskazania raportu:
- Wbrew pozorom normalizacja w zakresie chmur – mimo, że jest chaotyczna –
zachowuje zaskakującą spójność i w żaden sposób nie może być określana jako
„dżungla standardów”.
- Choć dziś nie widzimy, by standardy te bardzo popularne, zakłada się,
że sytuacja znacząco zmieni się w ciągu półtora roku. Pomóc w tym może
tworzenie wspólnych – maszynowo czytanych – słowników i formalnych definicji.
- Wskazano znaczące luki w normalizacji chmur.
-Za duże wyzwanie uznano uporządkowanie środowiska prawnego dla chmur
tak na poziomie krajowym jak i międzynarodowym.
Dr Wojciech R. Wiewiórowski
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Strategia UE w zakresie chmur
Działanie 2: bezpieczne i uczciwe warunki umowne
Do końca 2013 Komisja:
• opracuje we współpracy z zainteresowanymi stronami wzorzec umowny dla umów
o gwarantowanym poziomie usług w chmurze obliczeniowej zawieranych między dostawcami
usług w chmurze i profesjonalnymi użytkownikami takich usług, uwzględniając unijny dorobek
prawny w tej dziedzinie;
• zaproponuje konsumentom i małym firmom europejski wzorzec umowny w odniesieniu do tych
kwestii, które wchodzą w zakres wniosku w sprawie wspólnych europejskich przepisów
dotyczących sprzedaży;
• zleci powołanej w tym celu grupie ekspertów, do której należeć będą także przedstawiciele branży,
ustalenie przed końcem 2013 r. bezpiecznych i uczciwych warunków umów dla konsumentów i
małych przedsiębiorstw, oraz, przy pomocy instrumentu opartego na podobnym fakultatywnym
podejściu, dla tych kwestii związanych z usługami w chmurze obliczeniowej, które wychodzą
poza zakres wspólnych europejskich przepisów dotyczących sprzedaży;
• będzie wspierać uczestnictwo Europy w światowym rozwoju chmury obliczeniowej: dokonując
przeglądu standardowych klauzul umownych, które mają zastosowanie do przekazywania
danych osobowych do państw trzecich, i dostosowując je zgodnie z potrzebami do usług w
modelu chmury, oraz wzywając krajowe organy ochrony danych do zatwierdzenia wiążących
reguł korporacyjnych dla dostawców usług w chmurze obliczeniowej;
• będzie współpracować z przedstawicielami branży na rzecz wypracowania kodeksu postępowania dla
dostawców usług w modelu chmury, aby wspierać jednolite stosowanie przepisów dotyczących
ochrony danych. Kodeks taki może zostać przedłożony do zatwierdzenia grupie roboczej
powołanej na mocy art. 29 w celu zapewnienia pewności prawa i spójności między tym
kodeksem postępowania i prawem UE.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Strategia UE w zakresie chmur
Działanie 2: bezpieczne i uczciwe warunki umowne
Grupa przemysłowa ds. schematów certyfikacyjnych dla chmury
(The Cloud Select Industry Group on Certification Schemes)
Grupa przemysłowa ds. kodeksów postępowania
(The Cloud Select Industry Group on Code of Conduct)
Grupa ekspercka ds. umów o przetwarzanie w chmurze
(Expert Group on Cloud Computing Contracts - E02922)
Wsparcie dla Komisji w identyfikacji bezpiecznych i sprawiedliwych klauzul i warunków umownych
dla chmurowych usług skierowanych do konsumentów i do małych przedsiębiorstw. Grupa
powinna brać pod uwagę istniejące praktyki rynkowe oraz odpowiednie przepisy dotyczące
ochrony danych osobowych.
30 członków
- Eksperci powołani indywidualniein
- Reprezentanci dostarczycieli usług sieciowych
- Reprezentanci użytkowników usług chmurowych
- Prawnicy i akademicy
- Eksperci w zakresie prawa ochrony danych osobowych
Dr Wojciech R. Wiewiórowski
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Strategia UE w zakresie chmur
Działanie 2: bezpieczne i uczciwe warunki umowne
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Bowden Caspar ,
Di Cesare Giuseppe ,
Gawroński Maciej, Helberger Natali ,
Kits Peter ,
Litwiński Pawel , Luís Neto Galvão
Meents Jan Geert
Palmigiano Alessandro
Roques-Bonnet
Marie-Charlotte
Walden Ian
Wolfgram Susanna
Yanguaz Gomez Roberto
Bartoli Emmanuelle
Cassiers Donatien
De Silva Sam
Ariba S.A. France - przedsiębiorstwo - Francja
BEUC - stowarzyszenie europejskie
BEUC - data protection - stowarzyszenie europejskie
Cloudwatt - przedsiębiorstwo - Francja
Council of Bars of Law Societies of Europe (CCBE)
- stowarzyszenie europejskie (adwokaci i radcy
prawni)
Euro Cloud Polska - stowarzyszenie - Polska
European CIO Association - stowarzyszenie europejskie
German Bar Association (DAV) - stowarzyszenie –
Niemcy (adwokaci)
ICTrecht - przedsiębiorstwo - Holandia
OVH SAS - przedsiębiorstwo - Francja
Skyscape - przedsiębiorstwo - Wielka Brytania
Telecom Italia – przedsiębiorstwo - Włochy
UEAPME - stowarzyszenie europejskie
University Politecnico of Milan – środowisko
akademickie - Włochy
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Strategia UE w zakresie chmur
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
‘CCBE Guidelines on the Use
of Cloud Computing Services
by Lawyers’
Conseil des barreaux européens,
Bruksela, 7 września 2012 r.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Strategia UE w zakresie chmur
Działanie 3 – promowanie wspólnej wiodącej roli sektora publicznego poprzez Europejskie
partnerstwo na rzecz chmur obliczeniowych
W tym roku Komisja powoła Europejskie partnerstwo na rzecz chmur obliczeniowych, które ma pełnić
rolę organizacji patronackiej dla podobnych inicjatyw na poziomie państw członkowskich. Partnerstwo
to pozwoli na współpracę między ekspertami z branży i użytkownikami z sektora publicznego w celu
wypracowania w otwarty i w pełni przejrzysty sposób wspólnych wymogów obowiązujących przy
zamówieniach publicznych dotyczących chmury obliczeniowej. Partnerstwo nie ma na celu utworzenia
fizycznej infrastruktury chmury obliczeniowej Ma ono natomiast poprzez wprowadzenie wymogów
obowiązujących przy zamówieniach publicznych, których stosowanie w całej UE będzie promowane
przez uczestniczące państwa członkowskie i organy publiczne, przyczynić się do tego, żeby oferta
handlowa w Europie była dostosowana do europejskich potrzeb. Partnerstwo znacząco przyczyni się
również do uniknięcia rozdrobnienia i zadba o to, aby korzystanie z chmury publicznej było
interoperacyjne i bezpieczne, a także bardziej ekologiczne oraz w pełni zgodne z przepisami unijnymi,
np. w dziedzinie ochrony danych i bezpieczeństwa. Partnerstwo pod kierownictwem Rady Sterującej
będzie obejmowało uczestniczące organy publiczne współpracujące z konsorcjami przemysłowymi w
celu wdrożenia przedkomercyjnych zamówień publicznych. Celem jest:
• określenie wymogów sektora publicznego dotyczących chmur obliczeniowych; opracowanie
specyfikacji dla zamówień w obszarze technologii informatycznych i zlecenie opracowania
wzorcowych modeli wdrażania w celu wykazania zgodności i wydajności;
• prowadzenie działań zmierzających do wspólnego zamawiania usług w chmurze przez organy
publiczne w oparciu o nowe wspólne wymagania użytkowników;
• określenie i wdrożenie dalszych działań wymagających koordynacji z zainteresowanymi stronami,
zgodnie z niniejszym dokumentem.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski
Stanowisko Polski wobec Strategii
Mając na uwadze obiektywne trendy w rozwoju usług przetwarzania w chmurze obliczeniowej oraz
mając na uwadze tworzenie na obszarze UE jednolitego rynku tego typu usług, Rząd Rzeczypospolitej
Polskiej popiera inicjatywę Komisji Europejskiej mającą na celu uregulowanie funkcjonowania rynku
w przedmiotowym zakresie.
(…) Rząd RP będzie aktywnie uczestniczył w procesie uzgadniania wniosku w sprawie rozporządzenia
ws. ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym
przepływem takich danych (…). Rząd Rzeczypospolitej Polskiej oczekuje również
uwzględnienia rozwoju technologii przetwarzania w chmurze w przygotowywanej przez Komisję
Europejską strategii na rzecz bezpieczeństwa informacji. Jednocześnie Rząd Rzeczypospolitej Polskiej
wspiera działania podejmowane w dotychczasowych ramach prawnych ochrony danych osobowych
w UE mające na celu zapewnienie odpowiedniej ochrony danych przetwarzanych w chmurze
obliczeniowej. W szczególności Rząd RP popiera stanowisko Komisji Europejskiej, stanowiące, że
opinia Grupy Roboczej powołanej na mocy art. 29 dyrektywy 95/46/WE z dnia 1 lipca 2012 r.
o przetwarzaniu danych w chmurze WP 196 powinna stanowić „wytyczne dla prac organów krajowych
i przedsiębiorstw, zapewniając maksymalną jawność i pewność prawa na podstawie istniejących ram
prawnych.”
Stanowisko Rządu RP dot. komunikatu „Wykorzystanie potencjału chmury obliczeniowej
w Europie” przyjęte przez Komitet ds. Europejskich RM 9 listopada 2012 r.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dr Wojciech R. Wiewiórowski
Stanowisko Polski wobec Strategii
Rząd Rzeczypospolitej Polskiej od dłuższego czasu rozważa możliwość zastosowania
chmury obliczeniowej do rozwiązania problemu z ciągłym, coraz szybszym wzrostem
zapotrzebowania na moc obliczeniową systemów teleinformatycznych. Wynika to
z przekonania, że zastosowanie chmury obliczeniowej we wszystkich działach gospodarki
znacznie obniży zapotrzebowanie na rozbudowę i modernizację infrastruktury
teleinformatycznej. Przykład może stanowić przygotowywany przez Ministerstwo
Administracji i Cyfryzacji razem z Centrum Projektów Informatycznych projekt o nazwie
„Informatyzacja Jednostek Samorządu Terenowego (JST) z zastosowaniem technologii
przetwarzania w chmurze”. Celem ogólnym tego projektu jest stworzenie jakościowo
nowego rozwiązania dla JST umożliwiającego świadczenie obywatelowi i przedsiębiorcy
nowych, zintegrowanych usług elektronicznej administracji, zbudowanych w oparciu
o jednolitą infrastrukturę teleinformatyczną o charakterze prywatnej chmury obliczeniowej.
Stanowisko Rządu RP dot. komunikatu „Wykorzystanie potencjału chmury
obliczeniowej w Europie” przyjęte przez Komitet ds. Europejskich RM 9 listopada
2012 r.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dr Wojciech R. Wiewiórowski
Zagrożenia dostrzegane przez doktrynę • Uczestnicy gry rynkowej oraz ich konsultanci nie mają fachowej i praktycznej
wiedzy, brak im również doświadczenia w kontakcie z chmurą;
• Nierówność w zakresie wiedzy i doświadczenia;
• Brak wspólnej rozwiniętej i utrwalonej terminologii;
• Zastosowane dotąd rozwiązania technologiczne nie są wystarczajaco sprawdzone;
• Ogromna ilość gromadzonych i przetwarzanych danych;
• Transgraniczność i globalizacja rozwiązań;
• Brak transparentności przetwarzania danych, procedur i praktyk po stronie
procesora, w szczególności brak wiedzy od podwykonawcach procesów i ich
procedurach;
• Brak transparentności ogranicza możliwość przeprowadzenia analizy ryzyk;
• Brak transparentności ogranicza możliwość kontroli przetwarzania;
• Dostarczyciele usług chmurowych są pod presją zwrotu kosztów inwestycji;
• Użytkownicy chmur są pod presją zmniejszania kosztów
• Niskie ceny są powiązane z akceptacją umów adhezyjnych.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dr Wojciech R. Wiewiórowski
• Błędy wynikające zazwyczaj z braku zrozumienia, trudności komunikacyjnych i
niejasnych klauzul umownych;
• Incydenty bezpieczeństwa informacji takie jak naruszenie tajemnic prawnie
chronionych, integralności i dostępności danych (w tym danych osobowych);
• Przesyłanie danych osobowych do tzw. państw trzecich nie zapewniających
odpowiedniego poziomu ochrony;
• Łamanie prawa i zasad ochrony danych osobowych;
• Administrator danych osobowych narażony jest na nieznane mu zagrożenia;
• Administrator danych osobowych akceptuje standardowe klauzule w umowach
dostarczonych przez dostarczyciela usług chmurowych włączają w to sytuacje, gdy
procesor może zmieniać sposób przetwarzania danych;
• Dostarczyciele usług chmurowych i ich podwykonawcy używają danych osobowych
dostarczonych przez użytkownika do innych celów bez wiedzy administratora
danych osobowych;
• Rozliczalność i odpowiedzialność rozmywa się w łańcuchu podwykonawców;
• Brak możliwości kontroli dokonywanej przez administratora danych osobowych lub
jego przedstawiciela;
• Organy ochrony danych nie mają możliwości dokonywania inspekcji
systemów chmurowych.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Zagrożenia dostrzegane przez doktrynę
Dr Wojciech R. Wiewiórowski
Kwestie prawne
• Większość obecnie zauważanych problemów z cloud computingiem może zostać
rozwiązana w umowach zawartych po poprawnie toczonych negocjacjach.
• Trudno określić jeden rodzaj umowy, który najlepiej będzie służył obsłudze usług w
chmurach .
• Z ostrożnością podchodzić do klauzul standardowych dla dotychczasowych umów
o usługi w sieci (np. hosting)
• Szczególnie dużo uwagi należy poświęcać zagadnieniom praw i obowiązków związanych
z : zawiadamianiem o złamaniu zasad bezpieczeństwa, transferowi danych,
pochodnemu przetwarzaniu danych, zmianom w kontroli, dostępowi do danych
przez organy śledcze
D. Catteddu, G. Hogben, Cloud Computing. Benefits, risks and recommendations for
information security, European Network and Information Security Agency (ENISA),
listopad 2009
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dr Wojciech R. Wiewiórowski
Rekomendacje ze strony rzeczników ochrony prywatności
Opinia 5/2012 Grupy Art 29 z 1 lipca 2012 r.
http://www.giodo.gov.pl/1520111/id_art/4760/j/pl/
Memorandum Sopockie
Międzynarodowej Grupy Roboczej ds. Ochrony Danych w Telekomunikacji
(tzw. Grupy Berlińskiej)
http://www.giodo.gov.pl/plik/id_p/2689/j/pl/
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Opinia 5/2012 Grupy Art 29 z 1 lipca 2012 r.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Zabezpieczenia umowne relacji „administrator” – „przetwarzający”
W celu zapewnienia pewności prawnej umowa powinna przewidywać następujące kwestie:
1. Szczegółowe informacje na temat (zakresu i rodzajów) instrukcji klienta powinny być
zapewnione dostawcy, ze szczególnym odniesieniem do mających zastosowanie umów
o gwarantowanym poziomie usług (ang. SLA) (które powinny być obiektywne i wymierne)
oraz do właściwych sankcji (finansowych lub innych, obejmujących możliwość pozwania
dostawcy w przypadku nie zapewnienia zgodności).
2. Określenie środków bezpieczeństwa, z którymi dostawca usługi w chmurze musi zapewnić
zgodność, w zależności od zagrożeń związanych z przetwarzaniem i charakterem danych,
które mają być chronione. Bardzo ważne jest, aby określić konkretne środki techniczne i
organizacyjne, takie jak te wymienione w punkcie 3.4.3 poniżej. Jest to bez szkody dla
zastosowania bardziej rygorystycznych środków, o ile takie istnieją, które mogą być
przewidziane prawem krajowym klienta.
3. Przedmiot i ramy czasowe usługi w chmurze, która ma być świadczona przez dostawcę
usługi w chmurze, zakres, sposób i cel przetwarzania danych osobowych przez dostawcę
usługi w chmurze, jak również rodzaje przetwarzanych danych osobowych.
4. Określenie warunków zwrotu danych (osobowych) lub zniszczenia danych po zakończeniu
realizacji usługi. Ponadto należy zapewnić, aby dane osobowe usunąć bezpiecznie na wniosek
klienta usługi w chmurze.
5. Zawarcie klauzuli poufności, wiążącej zarówno dostawcę usługi w chmurze, jak i wszelkich
jego pracowników, które mogą mieć możliwość dostępu do danych. Tylko upoważnione
osoby mogą mieć dostęp danych.
Opinia 5/2012 Grupy Art 29 z 1 lipca 2012 r.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
6. Obowiązek po stronie dostawcy do wspierania klienta w ułatwianiu realizacji praw osoby,
której dane dotyczą, do dostępu do swoich danych, ich poprawienia lub usunięcia.
7. Umowa powinna wyraźnie stanowić, że dostawca usługi w chmurze nie może
przekazywać danych stronom trzecim, nawet w celach zatrzymania, chyba że umowa
przewiduje zaangażowanie podmiotów, którym podpowierzona zostanie realizacja
usługi. Umowa powinna określać, że podprzetwarzających można zaangażować tylko na
podstawie zgody, której może generalnie udzielić administrator zgodnie z wyraźnym
obowiązkiem nałożonym na przetwarzającego dotyczącym informowania administratora o
wszelkich planowanych zmianach w tym zakresie, przy czym administrator zachowuje przez
cały czas możliwość wyrażenia sprzeciwu wobec takich zmian lub do zakończenia umowy.
Powinien istnieć wyraźny obowiązek, aby dostawca usługi w chmurze wskazał wszystkie
podmioty, którym podpowierzono realizację usługi (np. w publicznym rejestrze cyfrowym).
Należy zapewnić, aby umowy między dostawcą usługi w chmurze a podmiotem, któremu
podpowierzono jej realizację, odzwierciedlały postanowienia umowy między klientem
chmury a dostawcą chmury (tj. podprzetwarzający podlegają takim samym obowiązkom
umownym jak dostawca usługi w chmurze). W szczególności należy zagwarantować, że
zarówno dostawca usługi w chmurze, jak i wszystkie podmioty, którym podpowierzono
realizację, będą działać tylko na podstawie instrukcji pochodzących od klienta usługi w
chmurze. Jak wyjaśniono w rozdziale dotyczącym powierzonego przetwarzania, łańcuch
odpowiedzialności powinien być wyraźnie określony w umowie. Po stronie przetwarzającego
należy ustanowić obowiązek regulowania transgranicznego przekazywania danych, na
przykład poprzez podpisanie umów z podprzetwarzającymi, na podstawie standardowych
klauzul umownych 2010/87/UE.
Opinia 5/2012 Grupy Art 29 z 1 lipca 2012 r.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
8. Wyjaśnienie zobowiązań dostawcy usługi w chmurze dotyczących zawiadamiania klienta
usługi w chmurze w przypadku wszelkich naruszeń ochrony danych, które mają wpływ
na dane klienta usługi w chmurze.
9. Obowiązek dostawcy usługi w chmurze dotyczący wskazania listy lokalizacji, w których
dane mogą być przetwarzane.
10. Prawa administratora do monitorowania oraz odpowiadającemu temu zobowiązania
dostawcy usługi w chmurze do współpracy.
11. Należy określić w umowie, że dostawca usługi w chmurze musi poinformować klienta
o istotnych zmianach dotyczących określonej usługi w chmurze, takich jak wdrożenie
dodatkowych funkcji.
12. Umowa powinna przewidywać rejestrowanie i kontrolowanie istotnych operacji
przetwarzania danych osobowych, które są dokonywane przez dostawcę usługi w chmurze
lub podmioty, którym podpowierzono ich realizację.
13. Zawiadamianie klienta usługi w chmurze o każdym prawnie wiążącym wniosku o
udostępnienie danych osobowych przez organ egzekwowania prawa, o ile nie jest to
zakazane w inny sposób, na przykład poprzez zakaz na mocy prawa karnego do zachowania
poufności śledztwa dotyczącego egzekwowania prawa.
14. Podobny obowiązek po stronie dostawcy, aby zapewnił, że jego wewnętrzne ustalenia w
zakresie organizacji i przetwarzania danych (oraz ustalenia jego podprzetwarzających, o ile
tacy są) będą zgodne z właściwymi krajowymi i międzynarodowymi wymogami prawnymi i
standardami.
Opinia 5/2012 Grupy Art 29 z 1 lipca 2012 r.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Środki techniczne i organizacyjne w zakresie ochrony danych i bezpieczeństwa danych
Dostępność - Zapewnienie dostępności oznacza zapewnienie w odpowiednim czasie
niezawodnego dostępu do danych osobowych.
Integralność - fakt, że dane są prawdzie i nie zostały złośliwie lub przypadkowo
zmienione podczas przetwarzania, przechowywania lub przekazywania. Pojęcie
integralności można rozszerzyć na systemy informatyczne i wymagać, aby
przetwarzanie danych osobowych w tych systemach pozostało niezmienione.
Poufność - W środowisku cloud computingu szyfrowanie może znacznie przyczynić się do
poufności danych osobowych, jeżeli będzie stosowane prawidłowo, choć nie
anonimizuje danych nieodwracalnie.
Przejrzystość
Odizolowanie (ograniczenie celu)
Możliwość interwencji
Możliwość przenoszenia danych
Rozliczalność - możliwość ustalenia, co podmiot robił w określonym momencie
w przeszłości i w jaki sposób. W dziedzinie ochrony danych termin ten często
przyjmuje szersze znaczenie i opisuje możliwość pokazania przez strony, że podjęły
odpowiednie kroki w celu zapewnienia, że zasady ochrony danych zostaną wdrożone.
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dr Wojciech R. Wiewiórowski
Zastrzeżenia w sprawie bezpieczeństwa chmur.
The FISA Amendments Act of 2008
Zmiany do Foreign Intelligence Surveillance Act z 1978
H.R. 6304, uchwalony przez Kongres USA 10 lipca 2008 r.
• Dopuszcza by rząd nie przechowywał wyników przeszukiwań sieci, ale nakazuje
i przetrzymywać dane przez 10 lat.
• Chroni telekomy przed postępowaniami w sprawie „przeszłej lub przyszłej
współpracy’ z federalnymi organami scigania w sprawach związanych z
terroryzmem
• Znosi wymaganie szczegółowego opisywania natury przechowywanej przez służby
informacji jeśli „istnieje uzasadnione przekonanie”, że cel znajduje się poza
terytorium USA
• Czas podsłuchu bez nakazu został wydłużony z 48 godz. Do 7 dni
• Wymaga nakazu podsłuchiwania Amerykanów zagranicą (ale tylko Amerykanów)
Podsumowując Poprawka do FISA z 2008 r. zezwala na kontrolę danych bez nakazu
sadowego jeśli dane „znajdują się” poza USA i nie dotyczą obywateli USA
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Analiza ryzyka przetwarzania danych w chmurach.
Przykładowe wzory
T.Haeberlen, D.Liveri, M.Lakka,
Good Practice Guide for securely
deploying Governmental Clouds,
ENISA, Bruksela, Listopad 2013
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Analiza ryzyka przetwarzania danych w chmurach.
Przykładowe wzory
Creating Effective Cloud Computing
Contracts for the Federal Government
Best Practices for Acquiring IT as a
Service,
US CIO Council,
Chief Aquisition Officers Council,
Federal Cloud Computing Committee,
Waszyngton luty 2012
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Analiza ryzyka przetwarzania danych w chmurach.
Przykładowe wzory
Council CIO, Proposed Security
Assessment & Authorization for U.S.
Government Cloud Computin. Draft
version 0.96, US CIO, listopad 2010
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Analiza ryzyka przetwarzania danych w chmurach.
Przykładowe wzory
D. Catteddu, G. Hogben, Cloud
Computing. Benefits, risks and
recommendations for information
security, European Network and
Information Security Agency (ENISA),
listopad 2009
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Analiza ryzyka przetwarzania danych w chmurach.
Przykładowe wzory
Department of Finance and
Deregulation: Cloud Computing
Strategic Direction Paper.
Opportunities and applicability
for use by the Australian
Government, Australian
Government, kwiecień 2011
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Analiza ryzyka przetwarzania danych w chmurach.
Przykładowe wzory
J.Budszus, H.-W.Heibey, R.
Hillenbrand-Beck, S.Polenz,
M.Seifert, M.Thiermann:
Orientierungshilfe – Cloud
Computing. Version 1.0,
Arbeitskreise Technik und
Medien der Konferenz der
Datenschutzbeauftragten des
Bundes und der Länder
wrzesień 2011
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Analiza ryzyka przetwarzania danych w chmurach.
Przykładowe wzory
P. De Hert, D. Kloza, D. Wright,
(red.:)
Recommendations for a privacy
impact assessment framework for
the European Union,
PIAF for European Commission –
DG Justice, listopad 2012.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Analiza ryzyka przetwarzania danych w chmurach.
Przykładowe wzory
D. Bigo, G. Boulet, C. Bowden, S.
Carrera, J. Jeandesboz, A. Scherrer,
Fighting cyber crime and protecting
privacy in the cloud. Study,
Parlament Europejski, Bruksela
listopad 2012
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Analiza ryzyka przetwarzania danych w chmurach.
Przykładowe wzory
Information Commissioners' Office,
Guidance on the use of cloud
computing. Version: 1.1, Wilmslow
październik 2012.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Analiza ryzyka przetwarzania danych w chmurach.
Przykładowe wzory
Sample System Privacy Impact Assessments
Samples of U.S. Department of Health and Human Services privacy impact assessments for
systems that collect personally identifiable information.
• Administration for Children and Families Privacy Impact Assessments (PDF - 170KB)
• Agency for Healthcare Research and Quality Privacy Impact Assessments (PDF -
460KB)
• Administration on Aging Privacy Impact Assessments (PDF - 25KB)
• Centers for Disease Control & Prevention Privacy Impact Assessments (PDF - 8.69MB)
• Centers for Medicare & Medicaid Services Privacy Impact Assessments (PDF - 1.24MB)
• Food & Drug Administration Privacy Impact Assessments (PDF - 896KB)
• Health Resources & Services Administration Privacy Impact Assessments (PDF -
580KB)
• Indian Health Service Privacy Impact Assessments (PDF - 82KB)
• National Institutes of Health Privacy Impact Assessments (PDF - 7.38MB)
• Office of the Inspector General Privacy Impact Assessments (PDF - 117KB)
• Office of the Secretary Privacy Impact Assessments (PDF - 1.33MB)
• Substance Abuse and Mental Health Services Administration Privacy Impact
Assessments (PDF - 166KB)
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Zalecenia dla amerykańskich chmur rządowych
Information Technology Reform.
Progress Made but Future Cloud
Computing Efforts Should be Better
Planned . Report to the Subcommittee
on Federal Financial Management,
Government Information, Federal
Services, and International Security,
Committee on Homeland Security and
Governmental Affairs United States
Senate, GAO-12-756, United States
Government Accountability Office,
lipiec 2012,
http://www.gao.gov/products/GAO-12-
756
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
American Bar Association
o usługach prawnych w chmurze
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
American Bar Association
o usługach prawnych w chmurze
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Lista amerykańskich prawniczych kodeksów etycznych, które
przewidują zasady dotyczące chmur http://www.americanbar.org/groups/departments_offices/legal_technology_res
ources/resources/charts_fyis/cloud-ethics-chart.html
Można tam znaleźć takie postanowienia – przykład z Massachusetts:
"Consistent with its prior opinions, the Committee further believes
that the Lawyer remains bound to follow an express instruction
from his client that the client's confidential information not be
stored or transmitted by means of the Internet, and that he should
refrain from storing or transmitting particularly sensitive client
information by means of the Internet without first seeking and
obtaining the client's express consent to do so"
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
ABA o usługach prawnych w chmurze
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
20 września 2010 r. Grupa Robocza ds. Wpływu Nowych Technologii Komisji ds. Etyki
ABA wydała dokument pt. “Issues Paper Concerning Client Confidentiality and
Lawyers’ Use of Technology”. Uznając z nim, że cloud computing budzi „uzasadnione
obawy i możliwe wątpliwości co do potencjalnej kradzieży, utraty lub ujawnienia
informacji objętych tajemnicą” ABA zwraca uwagę na:
a) możliwość nieuprawnionego dostępu poprzez Internet do informacji klienta objętych
tajemnicą przez dostarczyciela usług chmurowych lub jego podwykonawców oraz
przez podmioty zewnętrzne (np. hakerów);
b) fakt przechowywania informacji na serwerach w krajach, które mają słabszą prawną
ochronę informacji przechowywanej elektronicznie, co może być szczególnie
problematyczne w działach rynku podlegających daleko idącej regulacji jeśli chodzi o
utrzymywanie takiej informacji przez cały cykl jej życia;
c) kłopoty dostarczyciela usługi z tworzeniem kopii zapasowych danych;
d) możliwość dostępu do danych korporacyjnych przy użyciu łatwo dostępnego
oprogramowania w przypadku, gdy korporacja zakończy współpracę z
dostarczycielem chmury lub usługi chmurowej, lub gdy ten zakończy działalność
biznesową;
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
ABA o usługach prawnych w chmurze
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
e) konieczność współpracy dostarczyciela usługi z instytucjami publicznymi
żądającymi dostępu do informacji (i ewentualną możliwość odmowy takiej
współpracy);
f) polityki zgłaszania użytkownikom incydentów bezpieczeństwa
informacyjnego;
g) niedostateczne szyfrowanie danych;
h) niejasne polityki w zakresie kontrolowania „własnych” danych przez
użytkownika usługi chmurowej;
i) konieczność istnienia polityk w zakresie niszczenia danych w momencie, gdy
użytkownik nie chce ich dalej przechowywać, lub gdy przenosi je do innej
lokalizacji;
j) problem – tym razem ściśle amerykański – dotyczący możliwości zatrzymania
danych bez odpowiedniego nakazu sądowego na podstawie anachronicznych
przepisów Electronic Communications Privacy Act („ECPA”) z 1986,
obejmującej m.in. tzw. Stored Communications Act.
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
„Położenie” danych ważne nie tylko dla Europy
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
”Compliance
Compliance is a multifaceted issue that can affect cloud computing in several
ways. One of the key compliance issues that the cloud presents is data location,
where the data is stored geographically. Because the government often
requires that public sector cloud data must reside in the continental U.S.,
cloud providers who operate globally are rapidly addressing this compliance
issue with concerted efforts to ensure that data remains local to the country in
which it belongs.
Other compliance issues center on federal laws and regulations such as
FISMA, the National Archives and Records Management Act (NARMA), and
even HIPAA or the Payment Card Industry Data Security Standard PCI DSS.”
D.Blankenhorn, V.Ristau, C.Beesley: Cloud Computing for Govies, DLT
Solutions, Herndon 2012, s. 51.
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Przewodnik Rady niemieckich rzeczników ochrony
prywatności
29 września 2011 rada niemieckich „landowych” rzeczników ochrony prywatności na temat
przetwarzania danych w chmurach obliczeniowych.
- Dostarczyciele chmur powinni zapewnić, że ich działania pozostają w zgodzie
w prawem ochrony danych osobowych
- Użytkownicy chmur mogą godzić się na przenoszenie słych usług do chmur, jeśli będą
„tam” mogli wykonywać swoje obowiązki jako administratorzy danych osobowych
(ADO) oraz tylko wtedy, gdy potwierdzili, że oferowany jest im odpowiedni poziom
ochrony danych i informacji.
- Poza zapewnieniem poufności, integralności i dostępności danych ADO muszą również
wziąć pod uwagę trudne do implementacji wymagania dotyczące kontroli,
transparentności i nadzoru nad przetwarzaniem danych.
- Uruchomienie usług w chmurach nie zwalnia ADO – a w szczególności jego władz – od
odpowiedzialności za sposób przetwarzania danych osobowych.
J.Budszus, H.-W.Heibey, R. Hillenbrand-Beck, S.Polenz, M.Seifert, M.Thiermann: Orientierungshilfe
– Cloud Computing. Version 1.0, Arbeitskreise Technik und Medien der Konferenz der
Datenschutzbeauftragten des Bundes und der Länder, wrzesień 2011
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Uwagi GAO nt. wprowadzania chmury przez
administrację amerykańską (lipiec 2012)
Government Accountability Office (GAO – w uproszczeniu odpowiednik
polskiego NIK) przygotował raport nt. rezultatów projektu Cloud First. Już w
podtytule raportu czytamy „osiągnęliśmy postęp, ale dalsze działania w chmurze
powinny być lepiej planowane”.
1. Zachowanie federalnych wymagań bezpieczeństwa.
2. Istniejące federalne wytyczne są albo niewystarczające, albo niekompletne.
3. Brak wiedzy i doświadczenia - “delivering cloud services without direct
knowledge of the technologies has been difficult”.
4. Potrzeba certyfikacji i akredytacji usługodawców.
5. Zapewnienie przenaszalności danych i interoperacyjności.
6. Przełamanie barier kulturowych w organizacji
7. Zamawianie usług na podstawie dotychczasowej konsumpcji.
Information Technology Reform. Progress Made but Future Cloud Computing Efforts Should be Better Planned .
Report to the Subcommittee on Federal Financial Management, Government Information, Federal Services, and
International Security, Committee on Homeland Security and Governmental Affairs United States Senate, GAO-
12-756, United States Government Accountability Office, lipiec 2012, http://www.gao.gov/products/GAO-12-
756,
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
FedRAMP - The Federal Risk and Authorization
Management Program
FedRAMP – prowadzony przez Office of Citizen Services and Innovative
Technology (OCSIT) – skierowany jest do całości administracji tak federalnej
jak i stanowej, a ma przygotowywane i wdrażane wspólnych ram
standaryzacyjnych dla oceny bezpieczeństwa, autoryzacji i stałego
monitorowania produktów i usług chmurowych. Celem FedRAMP jest
promowanie przyjmowania przez podmioty publiczne bezpiecznych rozwiązań
w zakresie usług chmurowych poprzez wykorzystanie istniejących już dobrych
praktyk i poprzez certyfikację istniejących rozwiązań. Prowadzić to powinno
do zwiększenia zaufania do zastosowanych przez administracje rozwiązań
przez przyjmowanie podstawowych standardów i akredytację działań na
podstawie oceny przeprowadzanej przez niezależną stronę trzecią. Powinno
również przyczynić się do tworzenia systemu stałego monitoringu używanych
rozwiązań.
http://www.gsa.gov/portal/category/102371.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
FedRAMP - The Federal Risk and Authorization
Management Program
Uznano, że niewskazana jest sytuacja, w której każda agencja prowadzi własną ocenę
ryzyka wprowadzanych usług chmurowych oraz zarządza usługami sama, niezależnie
od tego, że inne agencje w tym samym czasie dokonują takiej samej oceny ryzyka i
zmagają się z tymi samymi problemami zarządzania projektami. Takie rozwiązanie jest
nieskuteczne, niespójne, kosztowne i prowadzi do powielania działań. Jednocześnie
dostrzeżono, że takie rozproszone działania powodują, że ocena przedsięwzięć
podejmowana jest przede wszystkim przed ich rozpoczęciem, a dalsze działania nie
polegają na prowadzeniu stałego monitoringu zagrożeń.
Używanie FedRAMP jest obowiązkowe dla wszystkich agencji federalnych, a jedynym
wyjątkiem mogą być usługi przeznaczone dla pojedynczej agencji, realizowane w
prywatnej chmurze, w całości w infrastrukturze federalnej. Agencje zostały
zobowiązane do przekazania OCSIT pełnej informacji o usługach chmurowych
realizowanych przed powstaniem FedRAMP, które nie są zgodne z proponowanymi w
ramach tego projektu rozwiązaniami. Mają one zostać ocenione i, jeśli mają pozostać w
obecnej formie, przygotować należy szczególne uzasadnienie takiej decyzji. W ciągu
kolejnych dwóch lat nastąpi dostosowanie wszelkich usług do standardów FedRAMP.
http://www.gsa.gov/portal/category/102371.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Potrzeba mapowania przepływu danych
Określenie ról poszczególnych stron i stałe monitorowanie alokacji zasobów, którymi zarządzają
konkretni administratorzy danych i konkretni przetwarzający może odgrywać bardzo praktyczną
rolę. Brak monitorowania alokacji zbiorów może bowiem prowadzić do wyłączenia usług
wszystkich użytkowników w przypadku problemów dotyczących zaledwie jednego z nich.
Dobrym przykładem może być tu sytuacja, w której FBI w trakcie prowadzonego przez siebie
postępowania doprowadziła do czasowego zamknięcia całego centrum przetwarzania danych na
potrzeby chmury publicznej, gdyż musiała zabezpieczyć dowody dotyczące jednego
z użytkowników, a dostarczyciel chmury nie był w stanie określić, w których dokładnie zasobach
i kiedy przetwarzane były „należące” do tego użytkownika dane. Poszukiwanie igły w stogu
siana wymagało tym samym zabezpieczenia całości stogu i de facto odcięcie wszystkich
użytkowników chmury publicznej od ich zasobów i usług. Trudno ocenić straty wizerunkowe
dostarczyciela chmury. Ciekawe jednak, czy użytkownikom takiej „zasekwestrowanej” chmury
udałoby się dochodzenie odszkodowania cywilnego na podstawie zawartej z dostarczycielem
chmury umowy o usługi chmurowe.
A. Etengoff, Intel says 2015 will be the Cloud computing tipping point, TG Daily 7.3.2011
http://www.tgdaily.com/hardware-features/54501-intel-says-2015-will-be-the-cloud-computing-
tipping-point.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Informowanie o zdarzeniach bezpieczeństwa danych
(Data Breach Notification)
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Artykuł 31 Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu
1. W przypadku naruszenia ochrony danych osobowych, administrator zgłasza organowi
nadzorczemu takie naruszeniu bez nieuzasadnionej zwłoki i jeśli jest to możliwe, nie
później niż w ciągu 24 godzin od momentu dowiedzenia się o tym naruszeniu. Jeśli
organ nadzorczy nie zostanie zawiadomiony w ciągu 24 godzin, do zgłoszenia należy
dołączyć umotywowane wyjaśnienie.
2. Na mocy art. 26 ust. 2 lit. f) podmiot przetwarzający ostrzega i informuje administratora
niezwłocznie po stwierdzeniu naruszenia ochrony danych osobowych.
3. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:
a) opisywać charakter naruszenia ochrony danych osobowych, w tym podawać kategorie i
liczbę zainteresowanych podmiotów danych oraz kategorie i liczbę rekordów danych,
których dotyczy naruszenie;
b) podawać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego
punktu kontaktowego, w którym można uzyskać więcej informacji;
c) zalecać środki mające na celu zmniejszenie ewentualnych negatywnych skutków
naruszenia ochrony danych osobowych;
d) opisywać konsekwencje naruszenia ochrony danych;
e) opisywać środki proponowane lub podjęte przez administratora w celu zaradzenia
naruszeniu ochrony danych osobowych.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Informowanie o zdarzeniach bezpieczeństwa danych
w projekcie nowego rozporządzenia UE o ochronie danych
Artykuł 31 Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu
(…) 4. Administrator sporządza dokumentację dotyczącą wszelkich naruszeń ochrony
danych osobowych, obejmującą okoliczności naruszenia, jego skutki oraz podjęte
działania zaradcze. Dokumentacja ta musi umożliwiać organowi nadzorczemu
sprawdzenie zgodności z niniejszym artykułem. Dokumentacja zawiera wyłącznie
informacje niezbędne do realizacji powyższego celu.
5. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu
doprecyzowania kryteriów i wymogów dotyczących stwierdzenia naruszenia ochrony
danych osobowych, o którym mowa w ust. 1 i 2, oraz szczególnych okoliczności, w
których administrator i podmiot przetwarzający mają obowiązek zgłosić naruszenie
ochrony danych osobowych.
6. Komisja może ustanowić standardowe formularze zgłoszenia przekazywanego organowi
nadzorczemu, procedury mające zastosowanie do wymogu zgłoszenia, a także formę i
sposób prowadzenia dokumentacji, o której mowa w art. 4, w tym terminy usuwania
zawartych w niej informacji. Te akty wykonawcze przyjmuje się zgodnie z procedurą
sprawdzającą, o której mowa w art. 87 ust. 2.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Informowanie o zdarzeniach bezpieczeństwa danych
w projekcie nowego rozporządzenia UE o ochronie danych
Artykuł 32 Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych
1. Gdy istnieje prawdopodobieństwo, że naruszenie ochrony danych osobowych może
niekorzystnie wpłynąć na ochronę danych osobowych lub prywatność podmiotu
danych, administrator, po dokonaniu zgłoszenia, o którym mowa w art. 31, bez
nieuzasadnionej zwłoki informuje podmiot danych o naruszeniu ochrony danych
osobowych.
2. Zawiadomienie przekazane podmiotowi danych, o którym mowa w ust. 1, opisuje
charakter naruszenia ochrony danych osobowych i zawiera przynajmniej informacje i
zalecenia, o których mowa w art. 31 ust. 3 lit. b) i c).
3. Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych nie jest
wymagane, jeśli administrator wykaże, zgodnie z wymogami organu nadzorczego, że
wdrożył odpowiednie technologiczne środki ochrony oraz że środki te zostały
zastosowane do danych, których dotyczyło naruszenie ochrony danych osobowych.
Tego rodzaju technologiczne środki ochrony sprawiają, że dane stają się nieczytelne
dla każdego, kto nie jest uprawniony do dostępu do nich.
4. Bez uszczerbku dla obowiązku administratora w zakresie zawiadomienia podmiotu
danych o naruszeniu ochrony danych osobowych, jeśli administrator nie zawiadomił
wcześniej podmiotu danych o naruszeniu ochrony danych osobowych, organ
nadzorczy może tego od niego zażądać, jeśli stwierdzi możliwość wystąpienia
niekorzystnych skutków naruszenia.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Informowanie o zdarzeniach bezpieczeństwa danych
w projekcie nowego rozporządzenia UE o ochronie danych
Wątpliwości skandynawskich rzeczników co do
chmur w usługach publicznych
Szwedzki organ ochrony danych (Datainspektionen) uznał, że brak jasności w podziale
obowiązków wynikających z umowy prowadzi do niebezpieczeństwa, że administrator danych
osobowych nie będzie pewny czy wypełnia wskazania szwedzkiej ustawy o ochronie danych
osobowych. Zwrócił uwagę na fakt, że siła uprawnień administratora i procesora w umowach
o usługi chmurowe rozkłada się zupełnie inaczej niż w zwykłych umowach o powierzenie
przetwarzania danych, mimo że użytkownik – w tym przypadku gmina – pozostaje nadal
w pełni odpowiedzialna za przetwarzanie danych w chmurze. W tej sytuacji wybór prawa
właściwego odgrywa szczególną rolę w zapewnieniu bezpieczeństwa danych z punktu widzenia
administratora danych, a zawarta w ocenianej umowie klauzula zezwalająca na jednostronną
zmianę warunków umownych przez dostarczyciela usług chmurowych musi zostać
z umowy wyeliminowana. Organ ochrony danych zwrócił uwagę, że dla każdego podmiotu –
a w szczególności dla podmiotu wykonującego zadania publiczne – taka klauzula powinna być
sygnałem ostrzegawczym, że rola administratora danych osobowych zostaje wyraźnie
ograniczona, a różnica pomiędzy administratorem a procesorem może zostać rozmyta. Im
większą pozostawi się swobodę procesorowi w wyborze podprzetwarzających, tym większe jest
prawdopodobieństwo, że administrator danych osobowych utraci kontrolę nad przetwarzaniem
danych. W tej sytuacji niezbędne jest przeprowadzenie prawidłowej oceny wpływu
przedsięwzięcia na ochronę prywatności (privacy impact assessment - PIA) oraz stworzenie
poradnika dla urzędników administracji publicznej, jak używać rozwiązań chmurowych.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Wątpliwości skandynawskich rzeczników co do
chmur w usługach publicznych
Również duński organ ochrony danych osobowych (Datatilsynet ) w swej odpowiedzi na
pytania skierowane przez miasto Odense zwrócił uwagę na problemy jakie administracja
publiczna napotyka przy wykorzystaniu usług chmurowych. Ponieważ zaś problem
dotyczył usług Google Apps – bardzo popularnych również w Polsce – warto zwrócić
uwagę na tą opinię. Odense zwróciło się do Datatilsynet o opinię co do możliwości
zastosowania usługi Google Apps celem wdrożenia wirtualnej obsługi biurowej. Produkt
miał być zastosowany w szkołach i – obok innych funkcjonalności – miał obsługiwać
zbiory wrażliwych danych osobowych dotyczących zdrowia, problemów społecznych
i innych spraw prywatnych uczniów. Zdając sobie sprawę z tego, że jednostki komunalne
Odense podlegają nie tylko ogólnym przepisom o ochronie danych osobowych, ale również
szczegółowym wymaganiom wynikającym z duńskich aktów wykonawczych, Datatilsynet
rozpoczęło inspekcję proponowanych rozwiązań Google Apps. Mimo, że duński organ
ochrony dnaych zajmował zawsze bardzo otwarte i postępowe stanowisko wobec
innowacyjnych rozwiązań teleinformatycznych – w tym wobec usług chmurowych, tym
razem uznał, że używanie Google Apps jest niewskazane przy przetwarzaniu
wrażliwych lub objętych tajemnicami prawnie chronionymi dotyczących uczniów.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Wątpliwości skandynawskich rzeczników co do
chmur w usługach publicznych
Znalazł ku temu pięć podstawowych przyczyn:
1. niewystarczające zabezpieczenia umowne – powoływanie się na polityki
prywatności Google tam, gdzie wymagane powinny być instrukcje ze strony
gminy jako użytkownika;
2. niemożność zapewnienia przez Odense, że przetwarzający realizuje
w praktyce środki bezpieczeństwa, do których stosowania zobowiązał się
umownie; uznano tak mimo że Google uznawało, że jest audytowane przez
niezależny wyspecjalizowany podmiot, na podstawie standardu SAS 70 Type
II audit;
3. nieprzeprowadzenie prawidłowej oceny ryzyka przedsięwzięcia;
4. niewypełnienie wymagań duńskiego rozporządzenia technicznego przede
wszystkim w zakresie: usuwania danych osobowych, szyfrowania,
niewystarczającego raportowania nieudanych logowań i niewystarczających
dzienników użytkowania);
5. możliwość przekazania danych poza obszar Europejski Obszar
Gospodarczy (EOG).
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dekalog chmuroluba 1
Podmiot decydujący się na przekazanie choćby części swoich zasobów do chmury
musi zobowiązać dostarczyciela usługi chmurowej do przekazania
pełnej informacji o wszystkich fizycznych lokalizacjach serwerów,
na których przetwarzane są lub mogą być przetwarzane dane.
Informacja o zmianie lokalizacji powinna być przekazywana uztkownikowi
z rozsądnym wyprzedzeniem,
tak by podmiot ten mógł rozważyć nie tylko wymagania wynikające
z zasad ochrony danych osobowych
ale również z zasad ochrony tajemnic prawnie chronionych
oraz ewentualnych wymagań co do infrastruktury krytycznej Państwa.
Wymaganie to dotyczy tym samym nie tylko przekazywania zasobów do tak
zwanych państw trzecich w rozumieniu przepisów o ochronie danych osobowych,
ale również do przekazywania zasobów do państw należących do EOG,
a nawet do konkretnych centrów przetwarzania danych.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dekalog chmuroluba 2
Dostarczyciel usługi chmurowej powinien umożliwić
użytkownikowi pełny dostęp do dokumentacji
dotyczącej zasad bezpieczeństwa
oraz środków technicznych
przyjmowanych w poszczególnych centrach przetwarzania danych.
Informacja taka stanowi oczywiście tajemnicę przedsiębiorcy
dostarczającego usługi chmurowe,
jest jednak niezbędna dla zapewnienia bezpieczeństwa usług.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dekalog chmuroluba 3
Dostarczyciel usługi chmurowej jest zobowiązany przekazać
pełną informację dotyczącą podwykonawców
i współpracujących instytucji,
mających udział w realizacji usługi chmurowej.
Przekazana informacja powinna umożliwić użytkownikowi
ocenę wszystkich podwykonawców
w „stosie chmur” oraz umożliwić
mu ocenę roli każdego z tych podmiotów
jako przetwarzającego dane osobowe.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dekalog chmuroluba 4
Każdy z podwykonawców
traktowany jako podprzetwarzający dane osobowe
powinien być związany takimi samymi
klauzulami umownymi
jak dostarczyciel usług chmurowych.
Dostarczyciel usług chmurowych powinien zaś
zarządzać całym łańcuchem podwykonawców
i ich uprawnieniami zgodnie
z instrukcjami przekazanymi przez użytkownika.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dekalog chmuroluba 5
Użytkownik
będący podmiotem wykonującym zadania publiczne
powinien pozostawać
wyłącznym administratorem danych osobowych
przekazanych do chmury.
Niedopuszczalna jest sytuacja,
w której jakikolwiek dostarczyciel chmury
– nawet jeśli sam jest podmiotem publicznym –
decydowałby o celach i sposobach przetwarzania danych
niezależnie od instrukcji
ze strony administratora danych osobowych.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dekalog chmuroluba 6
Dostarczyciel usługi chmurowej jest zobowiązany
informować użytkownika o wszelkich
zobowiązaniach publicznych
w stosunku do policji i organów ścigania oraz służ specjalnych
w zakresie przekazywania im dostępu do danych
zamieszczonych w chmurze przez użytkownika.
Odmowa przekazania takich informacji powinna stanowić
przeszkodę dla realizacji usługi chmurowej u danego dostarczyciela.
Wymaganie to dotyczy oczywiście również wszystkich podwykonawców
w „stosie chmur”.
Jeśli użytkownik podejmie decyzję, że może godzić się na taki dostęp do danych
instytucji publicznych (krajowych lub zagranicznych),
dostarczyciel usługi chmurowej powinien niezwłocznie informować użytkownika
o wszystkich wnioskach o udostępnienie danych z jego zasobu.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dekalog chmuroluba 7
Dostarczyciel usługi chmurowej
powinien określić wspólnie z użytkownikiem
zasady przeszukiwania, retencji i usuwania
danych dostarczonych przez użytkownika.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dekalog chmuroluba 8
Dostarczyciel usługi chmurowej
powinien być zobowiązany do raportowania
wszystkich incydentów bezpieczeństwa danych,
ze szczególnym uwzględnieniem tych,
które dotyczyć mogą danych osobowych
przetwarzanych przez podmiot publiczny w chmurze.
Powinien również udzielić użytkownikowi wszelkiej
możliwej pomocy przy zwalczaniu skutków takich
incydentów bezpieczeństwa.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dekalog chmuroluba 9
Użytkownik powinien
w procesie negocjacji umowy
z dostarczycielem usługi chmurowej
ustalić, jakie zasady wyłączenia
lub ograniczenia odpowiedzialności
dostarczyciela usługi mogą być zastosowane
przy realizacji usługi.
Powinno to w szczególności dotyczyć wyłączeń,
o których mowa w dyrektywie o handlu elektronicznym,
czyli mere conduit, cachingu i przede wszystkim hostingu.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Dekalog chmuroluba 10
Użytkownik musi wszelkimi środkami
unikać przywiązania
do pojedynczego dostarczyciela usług chmurowych
i jego rozwiązań technicznych.
Interoperacyjność i przenaszalność danych
jest podstawą dla uniknięcia
„syndromu jednego dostawcy”,
który musi niekorzystnie wpływać na całość realizacji usługi
chmurowej
Na podst.: B. Segalis, Cloud Computing Legal Risk and Liability, InfoLawGroup 2011,
prezentacja s. 21-30.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Privacy Impact Assessment
Jeśli wszystkie organy ochrony danych osobowych zalecają, by przeprowadzać privacy
impast assessment (PIA) dla każdej z usług chmurowych, spróbujmy zastanowić się na
czym miałby polegać taki proces. Używając pojęć z projektu ogólnego rozporządzenia
o bezpieczeństwie danych, można powiedzieć, że przetwarzanie danych w chmurze
uznaje się z zasady za operacje stwarzające szczególne ryzyko dla praw i wolności
podmiotów danych z racji swego charakteru. Oznacza to, że tak administrator danych
osobowych jak podmiot przetwarzający powinny przeprowadzić ocenę skutków
przewidywanych operacji przetwarzania w zakresie ochrony danych osobowych.
Ocena taka powinna obejmować przynajmniej ogólny opis przewidywanych operacji
przetwarzania, ocenę ryzyk dla praw i wolności podmiotów danych, środki przewidywane
w celu sprostania ryzykom, gwarancje, środki i mechanizmy bezpieczeństwa mające
zagwarantować ochronę danych osobowych oraz wykazać zgodność z niniejszym
rozporządzeniem, uwzględniając prawa i słuszne interesy podmiotów danych i innych
zainteresowanych osób.
Przygotowując ocenę administrator powinien zwrócić się o opinie do podmiotów danych
lub ich przedstawicieli. Proponowany przepis Artykułu 33 ust. 5 rozporządzenia nie
zwalnia organu lub podmiotu publicznego z przeprowadzenia takiej oceny. Przy ocenie
usługi chmurowej nie chodzi bowiem o ocenę meritum przetwarzania, ale o ocenę
przydatność narzędzi modelu chmurowego i efektów ubocznych ich użycia.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Privacy Impact Assessment
Rezolucja Madrycka, Międzynarodowe Standardy Ochrony Prywatności
przyjęta przez Międzynarodową Konferencję Rzeczników Ochrony Danych
i Prywatności w dniu 6.11.2009 r.
Zachęta do przeprowadzania oceny wpływu przedsięwzięcia na ochronę
prywatności. Koncepcja ta została również wpisana do projektu ogólnego
rozporządzenia o ochronie danych i znalazła swoje odzwierciedlenie
w dokumentach Grupy Art. 29 (np. w zakresie RFID).
Amerykańska Federalna Komisja Handlu zobowiązała niektóre firmy internetowe
(np. Google i Facebook) do regularnego przeprowadzania PIA przez kolejnych
20 lat. Mimo, że silny polityczny nacisk na przeprowadzanie PIA, szczególnie tam
gdzie mowa o zbieraniu danych biometrycznych, danych o stanie zdrowia
lub danych związanych z bezpieczeństwem wewnętrznym, jest zauważalny
w administracji amerykańskiej, australijskiej, kanadyjskiej czy nowozelandzkiej,
w Europie idea PIA wciąż nie jest traktowana jako obowiązkowy składnik działań
administracji publicznej.
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Privacy Impact Assessment
Jedynym krajem Europy, w którym PIA jest wyraźnie zalecany dla administracji
publicznej jest Wielka Brytania. Brytyjski odpowiednik GIODO (Information
Commissioner`s Office) już w 2007 r. przygotował przewodnik dla podmiotów
przeprowadzających taką ocenę. Istniejące dzisiaj schematy PIA nie odnoszą się
wprost do usług chmurowych lecz zadawane w nich pytania dotyczące oceny
ryzyka oraz proponowane środki zapobieżenia zagrożeniom mogą być z równym
powodzeniem wykorzystywane w usługach chmurowych. Najnowsze opracowanie
w tej sprawie w odniesieniu do chmur to: Information Commissioners' Office,
Guidance on the use of cloud computing. Version:1.1, Wilmslow październik 2012.
Polska administracja publiczna wciąż nie dorobiła się generalnych wskazań co do
oceny wpływu jej przedsięwzięć na ochronę prywatności . Zakładając, że takie
przewodniki powinny powstać w najbliższych latach, warto uwzględnić w nich
szczególne zagrożenia jakie mogą wynikać z przenoszenia usług publicznych do
chmur. Z pewnością wskazania co do oceny wpływu przedsięwzięcia będą
jednocześnie obejmowały zagadnienia przetwarzania w chmurach oraz Service
Oriented Architecture (SOA) .
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Podstawy PIA na przykładzie zaleceń
dla australijskiej administracji publicznej
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Podstawy PIA na przykładzie zaleceń
dla australijskiej administracji publicznej
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
1. Has your agency established a policy or procedure for deciding when it will be
appropriate to use cloud computing services?
Does the policy or procedure address the following?
• will the proposal involve the storage or processing of personal information?
• if so, is an assessment of the ability of a cloud solution to provide adequate protection to
the personal information required?
• if sensitive personal information is involved, what extra measures might be required?
• what type of cloud service provider will be appropriate? (e.g. private, public or
community)
2. Has your agency decided what it will use cloud service infrastructure for?
• just storing
• just processing
• both storing and processing
3. Has your agency developed a contract with the cloud service provider that is consistent
with (…) the Privacy Act?
How will your agency ensure that the contract’s requirements are being met?
Podstawy PIA na przykładzie zaleceń
dla australijskiej administracji publicznej
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
4. Has your agency considered what specific terms should be included in
the contract to complement the general requirement under s 95B to adhere to the
Information Privacy Principles?
Some specific matters that could be addressed in the contract include requirements
relating to:
• data breach notification
• the location of information
• access to information by agency staff
• audits
5. If personal information is to be disclosed to a cloud service provider, has your
agency determined how that disclosure will be authorised?
• express permission from individuals
• individuals are notified in privacy notice/terms and conditions
• by legislative provisions
Podstawy PIA na przykładzie zaleceń
dla australijskiej administracji publicznej
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
6. If you are intending to use an off-shore cloud service provider, do you know where their
head office is located? What are the privacy implications?
7. Does your agency know where the data will be stored; keeping in mind the possibility it
may be across different countries or continents? What are the Privacy implications?
8. Keeping in mind privacy law reform, has your agency determined that there is data
protection or privacy legislation in place in relevant foreign jurisdictions that, at a
minimum, meets the requirements in the Privacy Act?
Is the relevant law enforceable?
9. Has your agency determined how the personal information will be kept separate from
other organisations’ data housed in the cloud service provider’s infrastructure?
10. Has your agency determined how employees of the cloud service provider will be
prevented from unauthorised access to the data?
Has your agency decided how it will control a cloud service provider passing personal
information onto unauthorised third party organisations or using it for purposes other than
those it was originally collected for?
Podstawy PIA na przykładzie zaleceń
dla australijskiej administracji publicznej
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
11. Has your agency determined how it will monitor the cloud service provider’s
use and management of the agency’s information?
12. Has your agency determined the controls (for example, encryption) that will
be in place to ensure the security of personal information as it travels between here
and possible overseas cloud data storage location?
13. If an Australian citizen requests access or alteration to their personal
information, has your agency put in place appropriate controls so that all copies
can be retrieved and amended easily?
Has your agency put in place arrangements to ensure that where an individual
requests an amendment to their personal information and this request is not agreed
to, it will be possible to attach a statement provided by the individual regarding the
requested amendment to the record?
Podstawy PIA na przykładzie zaleceń
dla australijskiej administracji publicznej
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
14. Has your agency ensured that the cloud service provider will hold the personal
information only as long as your agency needs it?
Has your agency specified how the cloud service provider will manage their
backup regime?
Has your agency specified how personal information that is no longer needed is to
be destroyed or de-identified?
15. Has your agency determined what happens at the conclusion of the contract
with the cloud service provider?
Will information be able to be retrieved or destroyed (including all backups where
appropriate) in compliance with the Privacy Act and associated legislation?
Podstawy PIA na przykładzie zaleceń
dla amerykańskiej administracji federalnej
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Creating Effective Cloud Computing
Contracts for the Federal Government
Best Practices for Acquiring IT as a
Service,
US CIO Council,
Chief Aquisition Officers Council,
Federal Cloud Computing Committee,
Waszyngton luty 2012
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
General Questions
1. Who is actively involved in negotiating and reviewing the agency’s contract and
ancillary Service Level Agreement for cloud services?
a. Contracting Officer/Procurement? Chief Information Officer? General
Counsel? FOIA staff? Records Officer? Privacy Officer? E-Discovery
Counsel? Cybersecurity personnel?
b. What is the process for developing the agency’s needs criteria and
evaluating the cloud provider proposal and post-award performance?
2. Are the unique operational aspects of the cloud computing environment
addressed in the acquisition plan required by FAR Part 7? In particular, in
terms of the written acquisition plan format described in FAR Section 7.105,
how are technical, schedule and cost risks addressed, and has any test and
evaluation program and Government Furnished Information (GFI) to be
considered?
Podstawy PIA na przykładzie zaleceń
dla amerykańskiej administracji federalnej
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
General Questions
3. Based on market research conducted in accordance with FAR Part 10, does the
acquisition plan contemplate use of a system integrator in addition to a
Cloud Service Provider (CSP)? Will the CSP be a subcontractor to the
system integrator, or will the CSP have a direct contractual relationship with
the agency?
4. Is there a clear statement in the contract for cloud services that all data is owned
by the agency?
5. Can the cloud provider access or use the agency’s information in the cloud?
6. How is the agency’s data handled both at rest and in motion in the cloud?
7. Who has access to the agency’s data, both in its live and backup state?
Podstawy PIA na przykładzie zaleceń
dla amerykańskiej administracji federalnej
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
General Questions
8. In the cloud, what geographic boundaries apply to data at rest and what
boundaries are traversed by data in motion?
9. Where are the cloud servers that will store agency data physically located?
Can the provider certify where the data is located at any one point in time?
10. How will the cloud provider meet regulatory compliance requirements
applicable to the USG, [including but not limited to the Privacy Act, the
Federal Information Management and Security Act (FISMA), the Paperwork
Reduction Act, the Federal Records Act, the Freedom of Information Act
(FOIA), the Trade Secrets Act and related guidance and authorities]?
Podstawy PIA na przykładzie zaleceń
dla amerykańskiej administracji federalnej
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
11. What is the potential termination liability that would result from application of the
contract clauses associated with FAR Part 49 Termination of Contracts?
12. How is the migration of agency data upon contract termination or completion
addressed?
13. How is agency data destroyed? (e.g. upon request? Periodically?)
a. Methodology used? (e.g. remove data pointer or overwritten in accordance with USG
security standards)
b. How does the cloud provider segregate data? If encryption schemes are used have the
design of those schemes been tested for efficacy?
14. If the cloud provider or reseller agreement incorporates “URLs” into the terms, which
policies and terms are being incorporated into the agreement? (URLs are not static and
change over time)
a. What notice is provided to the agency if URLs/policies change? Remedies for agency if
new policies or URLs are not acceptable?
Podstawy PIA na przykładzie zaleceń
dla amerykańskiej administracji federalnej
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
15. What remedies are being agreed to for breach or violations of the agreement?
Litigation? Mediation? Waiver of right to sue?
a. Are choice of law and jurisdiction provisions in the agreement appropriate? (e.g. has the
agency unknowingly subjected itself and USG to the jurisdiction of a state or foreign
court)
16. Is the agency indemnifying the cloud provider in violation of the Anti-Deficiency Act?
a. What rights is the agency waiving, if any?
b. What limitations of liability, whether direct or indirect, is the agency granting?
c. How does the Force Majeure clause deal with the action of Federal agencies other than
the customer agency?
17. Can the agency manage content in the cloud with its own tools or only through
contractor resources?
18. How are upgrades and maintenance (hardware and software) handled? (e.g. who
conducts these activities? How often? And how is the USG advised of findings?)
Podstawy PIA na przykładzie zaleceń
dla amerykańskiej administracji federalnej
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
19. How are asset availability, compatibility, software updates and hardware refreshes
addressed?
a. What does the agreement say about estimated outage time the cloud provider foresees for
standard hardware and software updates and the cloud provider’s estimated response
time should an emergency take the system off line?
20. What responsibility does the cloud provider have for assuring proper patching and
versioning control?
a. What language is in the agreement specifically requiring the cloud provider to take on
this responsibility?
21. Is there a discussion of how the cloud provider will continue to maintain or otherwise
support the agency’s data in a designated format to ensure that the data remains
accessible/readable over the life of the data?
Podstawy PIA na przykładzie zaleceń
dla amerykańskiej administracji federalnej
Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych
Wybrana bibliografia (1)
2013 BSA Global Cloud Computing Scorecard. A Clear Path to Progress, BSA, Waszyngton-Singapur-
Londyn, Marzec 2013
M. Armbrust, A. Fox, R. Griffith, A. D. Joseph, R. H. Katz, A. Konwinski, G. Lee, D. A. Patterson, A.
Rabkin, I. Stoica, M. Zaharia, Above the Clouds: A Berkeley View of Cloud Computing, University of
California at Berkeley, Technical Report No. UCB/EECS-2009-28, Berkeley 2009,
http://www.eecs.berkeley.edu/Pubs/TechRpts/2009/EECS-2009-28.pdf.
Australian Government Policy and Risk management guidelines for the storage and processing of
Australian Government information in outsourced or offshore ICT arrangements, Business Law
Branch Attorney-General’s Department, Barton lipiec 2013
http://www.protectivesecurity.gov.au/informationsecurity/Documents/PolicyandRiskmanagementguide
linesforthestorageandprocessingofAusGovinfoinoutsourcedoroffshoreICTarrangements.pdf
L. Badger, D. Bernstein, R. Bohn, F. de Vaulx, M. Hogan, J. Mao, J. Messina, K. Mills, A. Sokol, J. Tong,
F. Whiteside, D. Leaf , US Government Cloud Computing Technology Roadmap. Volume I. High-
Priority Requirements to Further USG Agency Cloud Computing Adoption, NIST Cloud Computing
Program Information Technology Laboratory 2011.
P. Balboni, F. Fontana: Cloud computing: A guide to evaluate and negotiate cloud service agreements in
the light of the actual European legal framework , "Przegląd Prawa Technologii Informacyjnych. ICT
Law Review” Nr 1 z 2013 r. s. 12-17.
D. Bigo, G. Boulet, C. Bowden, S. Carrera, J. Jeandesboz, A. Scherrer, Fighting cyber crime and
protecting privacy in the cloud. Study, Parlament Europejski, Bruksela listopad 2012.
N. Black, Cloud Computing for Lawyers, ABA Law Practice Management Section, Chicago 2012
D.Blankenhorn, V.Ristau, C.Beesley: Cloud Computing for Govies, DLT Solutions, Herndon 2012.
Wybrana bibliografia (2)
L. Badger, T. Grance, R .Patt-Corner, J .Voas, Draft Cloud Computing Synopsis and Recommendations.
Recommendations of the National Institute of Standards and Technology, Computer Security Division
Information Technology Laboratory National Institute of Standards and Technology Gaithersburg,
2011.
M. Borgmann, T. Hahn, M. Herfert, T. Kunz, M. Richter, U. Viebeg, S. Vow´e, On the Security of Cloud
Storage Services, Fraunhofer Institute for Secure Information Technology SIT, Darmstadt 2012.
G. Bianco, Cloud computing i problemy ochrony prywatności w świetle włoskiej ustawy zasadniczej [w:]
G. Szpor [red.:] Internet - Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s.
49-56.
D. Bigo, G. Boulet, C. Bowden, S. Carrera, J. Jeandesboz, A. Scherrer, Fighting cyber crime and
protecting privacy in the cloud - Study, DG Internal Policies, Bruksela 2012
C. Bowden, Privacy and surveillance on the Internet What happened, and what to expect next…,
Panoptykon – Internet at the Crossroads. Warsaw September 20th, 2011, prezentacja dostępna pod
adresem:
http://wolnyinternet.panoptykon.org/sites/default/files/internet_surveillance_caspar_bowden.pdf.
N. Black: Cloud Computing for Lawyers, American Bar Association Law Practice Management section,
Chicago, luty 2012.
R. Blaha, R. Marko, A. Zellhofer, H. Liebel: Rechtsfragen des Cloud Computing, Medien und Recht,
Wiedeń 2011.
J.Budszus, H.-W.Heibey, R. Hillenbrand-Beck, S.Polenz, M.Seifert, M.Thiermann: Orientierungshilfe –
Cloud Computing. Version 1.0, Arbeitskreise Technik und Medien der Konferenz der
Datenschutzbeauftragten des Bundes und der Länder, wrzesień 2011.
Wybrana bibliografia (3)
D. Catteddu, G. Hogben, Cloud Computing. Benefits, risks and recommendations for information security,
European Network and Information Security Agency (ENISA), listopad 2009 .
D. Catteddu: Security & Resilience in Governmental Clouds. Making an informed decision, European
Network and Information Security Agency (ENISA), styczeń 2011.
Cavoukian, Privacy in the Clouds. A White Paper on Privacy and Digital Identity: Implications for the
Internet, Information and Privacy Commissioner, Ontario, Toronto 2007.
Cavoukian [red.]: Modelling Cloud Computing Architecture Without Compromising Privacy: A Privacy by
Design Approach, NEC & Information and Privacy Commissioner, Ontario, Toronto 2010 .
Cavoukian [red.]: Applied Privacy by Design. Privacy Risk Management, Information and Privacy
Commissioner, Ontario, Toronto 2010 .
W. Cellary, S. Strykowski: e-government based on cloud computing and service-oriented architecture
[w:] T.Janowski, J.Davies: ICEGOV'09 Proceedings of the 3rd International Conference on Theory
and Practice of Electronic Governance, ACM Press 2009 .
Cloud Computing and the Law for Senior Management and Policy Makers, JISC Legal, 2011
http://www.jisclegal.ac.uk/ManageContent/ManageContent/tabid/243/ID/2139/User-Guide-Cloud-
Computing-and-the-Law-for-Senior-Management-and-Policy-Makers-31082011.aspx.
R. Cohen: Introducing government as a service: A way for governments around the globe to offer
enabling technical services to their population. ”Cloud Computing Journal”, 29 maja 2009.
D. A. Couillard, Defogging the Cloud - Applying Fourth Amendment Principles to Evolving Privacy
Expectations in Cloud Computing, Minnesota Law Review, Vol. 93 2009, s. 2207-2208
http://www2.tech.purdue.edu/cit/Courses/cit556/readings/Couillard_MLR.pdf.
Wybrana bibliografia (4)
Conseil des barreaux européens, CCBE Guidelines on the Use of Cloud Computing Services by Lawyers,
Conseil des barreaux européens, Bruksela, 7 września 2012 r.
Council CIO, Proposed Security Assessment & Authorization for U.S. Government Cloud Computing.
Draft version 0.96, US CIO, Waszyngton listopad 2010.
Creating Effective Cloud Computing Contracts for the Federal Government Best Practices for Acquiring
IT as a Service, US CIO Council, Chief Aquisition Officers Council, Federal Cloud Computing
Committee, Waszyngton luty 2012.
P. De Filippi, S. McCarthy, Cloud Computing: Legal Issues in Centralized Architectures [w:] A.Cerrillo-i-
Martínez, M. Peguera, I. Peña-López, M. Vilasau Solana (red.:) Neutralidad de la red y otros retos
para el futuro de Internet. Actas del VII Congreso Internacional Internet, Derecho y Política.
Universitat Oberta de Catalunya, Barcelona, 11-12 de julio de 2011, Huygens Editorial, Barcelona
2011.
Department of Finance and Deregulation: Cloud Computing Strategic Direction Paper. Opportunities and
applicability for use by the Australian Government, Australian Government, Canbera kwiecień 2011.
K. Dobrzeniecki, Konflikty wartości konstytucyjnych związane z funkcjonowaniem internetu. Kazus
przetwarzania danych w chmurze [w:] G. Szpor [red.:] Internet - Cloud computing. Przetwarzanie w
chmurze, C.H.Beck, Warszawa 2013, s. 39-48.
M. Ferrar, M. Gray, K. Craig-Wood: Data Centre Migration, G-Cloud and Applications Store Programme
Phase 2. Technical Architecture Workstrand Report, Cabinet Office, Londyn, maj 2010.
Federal Financial Institutions Examination Council, Outsourced Cloud Computing, FFIEC, lipiec 2012.
Wybrana bibliografia (5)
Fischer, Ochrona prywatności i wykorzystanie instrumentów samoregulacji w modelu cloud
computing w związku z zagrożeniami związanymi z przetwarzaniem danych [w:] G. Szpor
[red.:] Internet - Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013,
s. 213-230.
T. L. Forsheit, Cloud Computing and Legal Ethics – Recent Perspective from the American Bar
Association, the New York State Bar Association, and the State Bar of California, AIPLA Mid-
Winter Institute Home 2011.
M. Gawroński (red.:) Cloud Computing w Sektorze Finansowym Regulacje i Standardy, Forum
Technologii Bankowych Związku Banków Polskich, Warszawa 2011 .
R. Gellman, Privacy in the Clouds: Risks to Privacy and Confidentiality from Cloud Computing,
World Privacy Forum, luty 2009 .
Government Cloud Computing. Scalable and Secure, Agile and Afordable , ”On The Frontlines”,
Vol 2, nr 7, październik 2010.
S. Guilloteau, V. Mauree, Privacy in Cloud Computing.ITU-T Technology Watch Report, ITU,
Genewa marzec 2012. www.itu.int/techwatch
T.Haeberlen, D.Liveri, M.Lakka, Good Practice Guide for securely deploying Governmental Clouds,
ENISA, Bruksela, Listopad 2013
R.Harms, M.Yamartino: The Economics of the Cloud for EU Public Sector, Microsoft, październik
2010.
G. Hogben, M. Dekker, Procure Secure: A guide to monitoring of security service levels in cloud
contracts, European Network and Information Security Agency (ENISA), Heraklion 2012.
Wybrana bibliografia (6)
V. Homburg, Understanding E-government. Information systems In public administration, Routledge,
Oxon 2008, s. 67-71.
P. Hustinx: Opinion of the European Data Protection Supervisor on Promoting Trust in the Information
Society by Fostering Data Protection and Privacy, EDPS & Komisja Europejska 2010 .
Information Commissioners' Office, Guidance on the use of cloud computing. Version: 1.1, Wilmslow
październik 2012.
Information Technology Reform. Progress Made but Future Cloud Computing Efforts Should be Better
Planned . Report to the Subcommittee on Federal Financial Management, Government Information,
Federal Services, and International Security, Committee on Homeland Security and Governmental
Affairs United States Senate, GAO-12-756, United States Government Accountability Office, lipiec
2012, http://www.gao.gov/products/GAO-12-756 .
McClure, Cloud Shopping Made Easy, "On The Frontlines. Government Cloud Computing" Vol. 3 Nr 4
2011.
W. Jansen, T. Grance: Guidelines on Security and Privacy in Public Cloud Computing. NIST Special
Publication, Computer Security Division Information Technology Laboratory National Institute of
Standards and Technology, grudzień 2011.
K. L. Jackson, Government Cloud Computing, Norfolk, Dataline LLC 2009.
Kenny, T. Gordon, Cloud computing issues for legal practices, Law Society Journal Vol. 50, Nr 5.
W.Kuan Hon, Ch.Millard, I.Walden: The problem of ‘personal data’ in cloud computing: what information
is regulated? The cloud of unknowing, International Data Privacy Law 2011/1.
W.Kuan Hon, Ch.Millard, I.Walden: Who is Responsible for 'Personal Data' in Cloud Computing?
Wybrana bibliografia (7)
The Cloud of Unknowing, Part 2, Queen Mary University of London, School of Law - Centre for
Commercial Law Studies 2011.
W. Kuan Hon, Ch. Millard, Data Export in Cloud Computing. How can Personal Data be Transferred
outside the EEA? The Cloud of Unknowing, Part 4, Queen Mary University of London, School of Law
Legal Studies Research Paper No 85/2011, Londyn 2011.
J. Kurek, Prawne uwarunkowania świadczenia usług w chmurze w obrocie konsumenckim [w:] G. Szpor
[red.:] Internet - Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s. 153-170.
M. Kutyłowski, Technologie bezpieczeństwa dla przetwarzania w chmurze [w:] G. Szpor [red.:] Internet -
Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s. 3-12
M. Ledwoch, Przegląd architektury Chmur Prywatnych , TechNet Microsoft, 12.12.2012
http://technet.microsoft.com/pl-pl/library/przeglad-architektury-chmur-prywatnych.aspx.
R. Lew-Starowicz, Zagrożenia dzieci w chmurach i ich przezwyciężanie [w:] G. Szpor [red.:] Internet -
Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s. 189-198.
Linnér, Denmark - The cloud is brought down to earth, Linklaters Technology, Media &
Telecommunications News, 17.3.2011,
http://www.linklaters.com/Publications/Publication1403Newsletter/TMT_Newsletter_March_2011/Pa
ges/04_Denmark_Cloud_Brought_Down_Earth.aspx.
T. Mather, S.Kumaraswamy, S. Latiff : Cloud Security and Privacy. An Enterprise Perspective on Risk and
Compliance, O’Reilly 2009.
W. Maxwell, Ch. Wolf, A Global Reality: Governmental Access to Data in the Cloud. A comparative
analysis of ten international jurisdictions, Hogan Lovells, Paryż - Waszyngton 2012,
http://cryptome.org/2012/07/gov-spy-cloud.pdf.
Wybrana bibliografia (8)
D. McClure, C. Coleman, Providing A Helping Hand "On The Frontlines. Government Cloud Computing"
Vol. 3 Nr 6 2012.
P. Mell, T. Grance: The NIST Definition of Cloud Computing (Draft) Recommendations of the National
Institute of Standards and Technology, Computer Security Division Information Technology
Laboratory National Institute of Standards and Technology, styczeń 2011.
Ch. Millard, Cloud Computing Law, OUP Oxford, paźdź. 2013.
R. Miralles, Cloud computing y protección de datos, IDP: Revista de Internet, Derecho y Política Nr 11 z
2010 r.
Monarcha-Matlak, Karta praw klientów chmury [w:] G. Szpor [red.:] Internet - Cloud computing.
Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s. 171-188.
N. Moreno, Joint Data Controllership in outsourcing and cloud computing, Privacy Law & Business
United Kingdom Report, Nr 64 z 2012 r. s. 13-15.
S. Nwankwo: Privacy Impact Assessment Model for Deploying e-Health Applications in Cloud
Transformations: Legal and Ethical Perspective, Göttingen International Colloquium on IT and Law,
Getynga 2012, www.uni-goettingen.de/de/412550.html
M. Oetzel, S. Spiekermann, Privacy-by-Design Through Systematic Privacy Impact Assessment – A Design
Science Approach, ECIS - Conference Proceedings, 2012.
Osterwalder, Cloud computing. Przetwarzanie na dużą skalę i bezpieczeństwo [w:] G. Szpor [red.:]
Internet - Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s. 13-24.
S. Pearson: Taking Account of Privacy when Designing Cloud Computing Services, HP Laboratories
HPL-2009-54, marzec 2009.
Wybrana bibliografia (9)
R.C. Picker: Competition And Privacy In Web 2.0 And The Cloud, Northwestern University Law Review
Colloquy Vol. 103:1.
Proposed Security Assessment & Authorization for U.S. Government Cloud Computing. Draft version
0.96, US CIO, Waszyngton 2010.
Ch.Reed: Information Ownership in the Cloud [w:] G.Teixeira, A.S.Carvalho [red.:] Os 10 Anos de
Investigaçao, Almadina 2010, s.135-159W.J. Robison, Free at What Cost?: Cloud Computing Privacy
Under the Stored Communications Act, “Georgetown Law Journal”, Vol. 98, Nr 4, 2010.
J. Reidenberg, N. C. Russell, J. Kovnot, T. B. Norton, R. Cloutier, D. Alvarado, Privacy and Cloud
Computing in Public Schools, Center on Law and Information Policy. Book 2. Fordham, Nowy Jork
grudzień 2013 r. http://ir.lawnet.fordham.edu/clip/2
W. J. Robison, Free at What Cost? Cloud Computing Privacy Under the Stored Communications Act, 1196
The Georgetown Law Journal, Vol. 98 z 2010 r, s. 1212-1223.
N. Robinson, L. Valeri, J. Cave, T. Starkey, H. Graux, S. Creese, P. Hopkins, The Cloud: Understanding
the Security, Privacy and Trust Challenges. Final Report, Directorate-General Information Society
and Media, European Commission, Bruksela 2010.
M. Sakowska-Baryła, Cloud computing a autonomia informacyjna jednostki [w:] G. Szpor [red.:] Internet
- Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s. 143-152.
Shaping Govenment Clouds. Government Cloud Computing, ”On The Frontlines”, 3 zima 2010.
L. Schubert, K. Jeffery, B. Neidecker-Lutz, The Future of Cloud Computing Opportunities for European
Cloud Computing Beyond 2010. , Komisja Wspólnot Europejskich, DG Społeczeństwo Informacyjne i
Media, Bruksela 2010.
Segalis, Cloud Computing Legal Risk and Liability, InfoLawGroup 2011 .
Wybrana bibliografia (10)
Siewicz, Prywatność w serwisach społecznościowych. Nowe wyzwania dla ruchu wolnego
oprogramowania [w:] G. Szpor, W. R. Wiewiórowski [red:] Internet. Prawno-informatyczne problemy
sieci, portali i e-usług, C.H.Beck, Warszawa 2012.
R. M. Stallman, What Does That Server Really Serve? Boston Review, 18.3.2010 r.; elektroniczna wersja
tego artykułu jest również dostępna w języku polskim pod adresem
http://www.gnu.org/philosophy/who-does-that-server-really-serve.html jako R. Stallman, Komu tak na
prawdę służy ten serwer? GNU.org.
J. B. Svantesson, Data protection in cloud computing – The Swedish perspective, Computer Law &
Security Review, Vol. 28, Nr 4 z 2012 r.
B. Szafrański, Czy cyfrowa chmura zmieni fundament działalności władzy publicznej? [w:] G. Szpor
[red.:] Internet - Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s. 67-82.
M. Świerczyński, Cloud computing a zasady CLIP dotyczące własności intelektualnej [w:] G. Szpor [red.:]
Internet - Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s. 201-212.
M. Świtała, Dopuszczalność przetwarzania elektronicznej dokumentacji medycznej w chmurze [w:] G.
Szpor [red.:] Internet - Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s.
131-142.
G. Szpor, Prawne aspekty dostępności chmur [w:] G. Szpor [red.:] Internet - Cloud computing.
Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s. 231-255.
G. Szpor [red.:] Internet - Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013.
R. M. Thompson II: Cloud Computing: Constitutional and Statutory Privacy Protections, Congressional
Research Service 7-5700, Waszyngton Marzec 2013
Wybrana bibliografia (11)
Trzos, Włoska administracja i sądy wobec chmury [w:] G. Szpor [red.:] Internet - Cloud computing.
Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s. 121-130.
V. Varma, Cloud Computing for E-Governance. A white paper, International Institute of Information
Technology, Hajdarabad 2010.
Vaile, K. Kalinich, P. Fair, A. Lawrence: Data Sovereignty and the Cloud: A Board and Executive Officer’s
Guide - Technical, legal and risk governance issues around data hosting and jurisdiction, Cyberspace
Law and Policy Centre - UNSW Faculty of Law, Sydney lipiec 2013
Vincent, K.Crooks, Cloud Computing in 2013 - What legal commitments can you expect from your
provider? Shelston IP, Marzec 2013 http://www.shelstonip.com/case_study.asp?cid=13
Walden: Ensuring Competition in the Clouds: The Role of Competition Law, Queen Mary University of
London, School of Law 2011.
Walden: Accessing Data in the Cloud: The Long Arm of the Law Enforcement Agent, Research Paper No.
74/2011, Queen Mary University of London, School of Law 2011.
T. Weichert: Cloud Computing und Datenschutz .Cloud Computing aus datenschutzrechtlicher Sicht . 4.
Österreichischer IT-Rechtstag INFOLAW, 18.06.2010
Z. Whittaker, Microsoft admits Patriot Act can access EU-based cloud data, ZDNet, 28.6.2011
http://www.zdnet.com/blog/igeneration/microsoft-admits-patriot-act-can-access-eu-based-cloud-
data/11225.
W. R. Wiewiórowski, Privacy and the Liability of Intermediary Service Provider in the Clouds. E-
Governmental Aspects [w:] F. Zombor [red:] International Data Protection Conference 2011, Magyar
Kozlony Lap-Es Konyvkiado, Budapeszt 2011.
Wybrana bibliografia (12)
W. R. Wiewiórowski, Prawne aspekty udostępniania usług administracji publicznej w modelu chmury [w:]
G. Szpor [red.:] Internet - Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s.
83-120.
D. C. Wyld: Moving to the Cloud: An Introduction the the Cloud Computing in the Govenment, IBM
Center for The Business of Government 2009.
Zgajewski (red.:) Cloud computing w sektorze finansowym. Raport Forum Technologii Bankowych przy
Związku Banków Polskich, Forum Technologii Bankowych ZBP, Warszawa 2013.
dr Wojciech R. Wiewiórowski
ul. J.Bażyńskiego 6, pok 1032
80-952 Gdańsk
+48-58-523 29 76
Dr Wojciech R. Wiewiórowski
I tym optymistycznym akcentem
kończąc
zachęcam do dyskusji
Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury
Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych