dostarczyciela usługi chmurowej i użytkownika chmury · administracji publicznej w modelu chmury (cloud computing) z książki: ... informatycznych administracji publicznej w celu

Zasady ochrony danych stosowane

przez dostarczyciela chmury,

dostarczyciela usługi chmurowej

i użytkownika chmury

Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych

Dr Wojciech R. Wiewiórowski

Materiał uzupełniający

na potrzeby konwersatorium

pt. „Dostęp – Wymiana –

Integracja.

Wykorzystanie różnych źródeł

informacji na potrzeby

zarządzania kryzysowego"

Warszawa 14 kwietnia 2014 r.

Nota:

Niniejsza prezentacja stanowi uzupełnienie materiałów

konwersatorium pt. „Dostęp – Wymiana – Integracja.

Wykorzystanie różnych źródeł informacji na potrzeby zarządzania kryzysowego"

zorganizowanego przez Instytut MikroMakro i Collegium Civitas

w Warszawie 14 kwietnia 2014 r.

Prezentację można kopiować i wykorzystywać w całości lub w części tylko pod warunkiem podania pełnej informacji o utworze w poniższym brzmieniu:

W.R.Wiewiórowski, „Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury”, WPiA Uniwersytet Gdański 2013 (wersja z 12 kwietnia 2014 r.)

----

W prezentacji wykorzystano publikację:

W. R. Wiewiórowski: Prawne aspekty udostępniania usług administracji publicznej w modelu chmury (cloud computing) z książki: G. Szpor [red.:] Internet - Cloud Computing, Przetwarzanie w chmurze,

C.H.Beck, Warszawa 2013, s. 83-120

© W.R.Wiewiórowski,

© M. Narojek dla Biura GIODO 2011

Motto dla chmury

Przetwarzanie w chmurze

D. C. Wyld: Moving to the Cloud: An Introduction the the Cloud Computing

in the Govenment, IBM Center for The Business of Government 2009, s. 10.

Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury


Przetwarzanie w chmurze

Definicja przetwarzania danych w chmurze obliczeniowej

przygotowana przez National Institute of Standards and Technology

(NIST)

“Cloud computing is a model for enabling ubiquitous, convenient,

on-demand network access to a shared pool of configurable

computing resources (e.g., networks, servers, storage, applications,

and services) that can be rapidly provisioned and released with

minimal management effort or service provider interaction. This

cloud model is composed of five essential characteristics, three

service models, and four deployment models.”

National Institute of Standards and Technology (NIST), Special Publication 800-

145, The NIST Definition of Cloud Computing, September 2011, Page 3.




Cechy modelu chmurowego (NIST) cz. 1

Pięć głównych cech chmurowego modelu przetwarzania to:

On-demand self-service – klienci chmury powinni mieć możliwość skorzystania z

usług w chmurze (np. obliczeniowych, pamięci i zasobów pamięci masowej),

używając mechanizmu samoobsługi (np. portal internetowy), tak żeby

nabywanie usług nie wymagało interwencji przez usługodawcę chmury,

Broad network access – chmura powinna być dostępna z każdego miejsca (jeśli

wymagane) na różnych urządzeniach, takich jak: smartfony, tablety, laptopy,

komputery stacjonarne oraz na wszystkich innych typach czytników,

istniejących obecnie lub w przyszłości,

Resource pooling – chmury powinny udostępniać pule współdzielonych zasobów,

które wykorzystywane są przez klientów chmury. Zasoby, takie jak: moc

obliczeniowa, pamięć, sieć i dysk, przydzielone są do klientów korzystających

z usług udostępnionej, wspólnej puli. Zasoby pobierane są z aktualnej

lokalizacji, a klienci nie są świadomi lokalizacji tych zasobów,

Tłumaczenie za: M.Ledwoch, Przegląd architektury Chmur Prywatnych , TechNet

Microsoft, 12.12.2012 (stan z 18.12.2012)

http://technet.microsoft.com/pl-pl/library/przeglad-architektury-chmur-prywatnych.aspx.




Cechy modelu chmurowego (NIST) cz. 2

Pięć głównych cech chmurowego modelu przetwarzania to:

(…)

Rapid elasticity - chmury powinny zapewnić szybkie zastrzeganie i uwolnienie

zasobów ze względu na zapotrzebowanie usług w chmurze. Powinno to

odbywać się automatycznie, bez konieczności ingerencji człowieka. Ponadto,

odbiorcy usługi chmury powinni odnosić wrażenie, że istnieje nieograniczona

pula zasobów – usługa jest w stanie spełnić wymagania dla dowolnego

scenariusza w przypadku użycia,

Metered Services – model chmury, określany jako „pay-as-you-go”, powinien

czasem umożliwiać ładowanie usług konsumenta chmury w oparciu o

rzeczywiste wykorzystanie zasobów chmury. Wykorzystanie zasobów jest

monitorowane, zgłaszane i kontrolowane przez dostarczyciela usług

chmurowych i politykę serwisu, które zapewniają przejrzystość rozliczeń,

zarówno z dostarczycielem usług chmurowych, jak i z konsumentem usług.

Tłumaczenie za: M.Ledwoch, Przegląd architektury Chmur Prywatnych , TechNet

Microsoft, 12.12.2012 (stan z 18.12.2012)





Modele przetwarzania w chmurze

• IaaS - Infrastructure as a Service (z ang. "infrastruktura jako

usługa") - w tym przypadku usługodawca zobowiązuje

się do dostarczenia infrastruktury informatycznej,

• PaaS - Platform as a Service (z ang. "platforma jako usługa")

- usługodawca udostępnia całe środowisko pracy,

• SaaS - Software as a Service (z ang. "oprogramowanie jako

usługa") - usługodawca udostępnia oprogramowanie,

użytkowane aplikacje są jedynie wynajmowane,




Quasi-modele przetwarzania w chmurze

• BaaS – Business as a Service

• CaaS – Communications as a Service – integracja komunikacji

głosowej, wizualne, chatów, komunikatorów itp.

• DaaS – Data as a Service – np. The Google® Geocoding APITM

• E …




Quasi-modele przetwarzania w chmurze



Źródło:

Wikipedia



• chmura publiczna

• chmura prywatna

• chmura wspólna

• chmura hybrydowa

• „stos chmur”



Chmury

dedykowane




M. Ferrar, M. Gray,

K. Craig-Wood: Data

Centre Migration,

G-Cloud and

Applications Store

Programme

Phase 2. Technical

Architecture

Workstrand Report ,

Cabinet Office,

Londyn, Maj 2010,

s. 7


Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury Przewidywania wobec chmur „rządowych”

1. Chmurowe usługi „rządowe” wystartują tak na poziomie centralnych jak

i lokalnym jako ostrożne i dokładnie obserwowane inicjatywy w najbliższych

latach.

2. Na poziomie centralnym nastąpi skoordynowane przejście do usług chmurowych

przy nieuniknionych sporach pomiędzy poszczególnymi urzędami.

3. Rocznie na świecie zdarzać się będą 2-3 incydenty grożące znaczącymi

zdarzeniami z zakresu bezpieczeństwa danych, wzbudzając ogromne

zainteresowanie mediów i wezwania do szerszej regulacji i kontroli nad

dostawcami chmur.

4. Rozwijać się będzie współpraca pomiędzy firmami chcącymi stać się

dostarczycielami chmur i agencjami rządowymi, a zakres danych i aplikacji

umieszczanych w chmurach znacznie przekroczy nasze dzisiejsze oczekiwania w

najbliższej dekadzie.

5. Sytuacja budżetowa wzmagać będzie nacisk na umieszczanie jak najszerszej gamy

usług w chmurach dedykowanych a nawet w chmurach publicznych , w związku

z wzrastającą tendencją do ousourcowania zadań i zasobów IT (hardware,

software, dane i wsparcie osobowe).

Na podstawie: D. C. Wyld: Moving to the Cloud: An Introduction the the Cloud Computing

in the Govenment, IBM Center for The Business of Government 2009, s. 7.

Zasady ochrony danych stosowane przez dostarczyciela chmury, dostarczyciela usługi chmurowej i użytkownika chmury Przewidywania wobec chmur „rządowych”

6. Wzrost znaczenia chmur zaznaczy się we wszystkich sektorach poczynając od

ochrony zdrowia i edukacji a na wojsku i obronie narodowej kończąc [PROBLEMATYCZNA TEZA]

7. Darmowa oferta chmurowa – wykraczająca nawet poza usługi email

i dzisiejsze aplikacje – stanie się ważną częścią portfolio większości urzędów.

8. Efektem ubocznym aktywności rządu w chmurach będzie przyspieszenie

procesów standaryzacji i zwiększanie interoperacyjnosci pomiędzy

dostawcami chmur.

9. W ciągu całej najbliższej dekady obserwować będziemy przyspieszenie

w zakresie rozwiązań prawnych związanych z chmurami, poczynając od

precedensowych sporów sądowych a kończąc na inicjatywach legislacyjnych

w kwestiach technologicznych i biznesowych oraz w zakresie ochrony

użytkowników usług.

10. „Demokratyzacja technologii”, którą przyniesie cloud computing wpłynie

znacząco na „jakość życia online”, rozwój gospodarki i innowacyjność

przynosząc zyski wszystkim

Na podstawie: D. C. Wyld: Moving to the Cloud: An Introduction the the Cloud

Computing in the Govenment, IBM Center for The Business of Government

2009, s. 7.


Polska chmura prywatna dla administracji publicznej

Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze

proponowany do umieszczenia na liście rezerwowej

2012-2015 Ministerstwo Administracji i Cyfryzacji / Centrum Projektów

Informatycznych

Projekt umożliwi realizację spójnej polityki wdrażania systemów zarządzania

dokumentami oraz standaryzację rozwiązań; pozwoli na wykorzystanie systemu

archiwizacji oraz zarządzania dokumentami w JST. Wprowadzenie chmury

obliczeniowej może przyczynić się do zmniejszenia ilości pracy wykonywanej

przez urzędników, obniżenie kosztów obsługi obywatela i kosztów działania

urzędu, w tym również ilości używanych dokumentów papierowych. Projekt

przełoży się na przebudowę, dostosowanie i wdrożenie zasobów i systemów

informatycznych administracji publicznej w celu ich usprawnienia i integracji.




Założenia Projektu

Celem przygotowywanego przez CPI projektu „Informatyzacja JST z zastosowaniem

technologii przetwarzania w chmurze” jest stworzenie nowego jakościowo rozwiązania o

charakterze chmury prywatnej przeznaczonego dla Jednostek Samorządu Terytorialnego.

(…) Projekt zakłada rozwój nowych i integrację już eksploatowanych przez JST systemów

teleinformatycznych, wykorzystując możliwości oferowane przez ePUAP. (…)

Eksploatacja i rozwój infrastruktury w horyzoncie, co najmniej do roku 2020 finansowana

byłaby ze środków budżetowych. Zasady partycypacji finansowej administracji centralnej i

JST w tym procesie, zostaną ustalone na etapie definiowania projektu wspólnie z JST.

Realne koszty utrzymania infrastruktury wspólnej będą uzależnione od wielu czynników,

tym niemniej definiując projekt założono, że koszt partycypacji JST będzie niższy niż

wydatki ponoszone przez JST na własną infrastrukturę.

Na podst. dokumentu Załącznik do ankiety „Jednostki Samorządu Terytorialnego

a prywatna chmura obliczeniowa” przygotowanej w ramach projektu „Informatyzacja JST

z zastosowaniem technologii przetwarzania w chmurze” – dokument elektroniczny:

http://chmura.cpi.gov.pl/images/zalacznik_ankieta_chmura.pdf (dokument z 25 września

2012 r., ostatnio sprawdzany 6 listopada 2012 r.)




http://chmura.cpi.gov.pl/images/zalacznik_ankieta_chmura.pdf











Polska chmura prywatna dla administracji

publicznej – wątpliwości GIODO

Pojawiają się jednak dwa podstawowe pytania:

1. Czy dostarczyciele chmury w modelu IaaS, będą również oferowali usługi

SaaS, a jeśli tak, to czy będą to usługi standardowe, w których decyzję

o funkcjonalnościach oprogramowania w SaaS (celach i sposobach jego

działania) decydować będzie dostarczyciel usługi chmurowej?

2. Czy gmina (powiat, województwo), decydując się na przyjęcie oferty usług

chmurowych, będzie decydowała jedynie o przekazaniu tam zasobów, dla

których sama jest administratorem danych osobowych, czy będzie de facto

zmuszać do takiego kroku jednostki komunalne, będące przecież często

samodzielnymi administratorami danych osobowych ?

Te dwa pytania należałoby uzupełnić trzecim, zapewne nieco prostszym:

3. Kto będzie podejmował ewentualne decyzje w imieniu dostarczycieli chmury

(jako administrator lub procesor) ? Minister właściwy ds. informatyzacji czy

Dyrektor CPI ? A może każdy z nich osobno ?


Dr Wojciech R. Wiewiórowski Wydział Prawa i Administracji,, Uniwersytet Gdański Generalny Inspektor Ochrony Dany Osobowych



Przy pierwszym pytaniu nawet pobieżna lektura ankiety zamieszczonej na stronie projektu

a skierowanej do jego ewentualnych użytkowników wskazuje, że twórcy „infrastruktury” mają

zamiar oferować w ramach niej klasyczne usługi przetwarzania danych osobowych w modelu

SaaS. Pytania dotyczą bowiem potencjalnego zainteresowania usługami obejmującymi m.in.

wysyłanie przesyłek SMS do mieszkańców, e-przedszkola i e-szkoły (w tym komunikacja z rodzicami

i umożliwienie im dostępu do informacji o płatnościach, wyżywieniu, obecności, a także wynikach w

nauce swoich dzieci), czy informowanie osoby zarejestrowanej w urzędzie pracy o aktualnych ofertach

odpowiadających jego profilowi zawodowemu. Gminy pytane są również o ewentualne korzystanie

z udostępnionych przez dostarczyciela usług w chmurze prywatnej programów typu ERP

(zaawansowane zarządzanie zasobami), SZD (zarządzanie dokumentami) i CRM (zarządzanie

relacjami z mieszkańcami). To oznaczać może, że rola MAiC i CPI nie będzie sprowadzać się do

przetwarzania „nie swoich” danych, ale przerodzi się w rolę administratora decydującego

o celach i sposobach przetwarzania danych z zasobów podmiotów całkowicie organizacyjnie od

nich niezależnych jakimi są jednostki samorządu terytorialnego wobec MAiC i CPI należących do

administracji rządowej. Problemy rozróżnienia administratora danych i procesora są tu bardzo

wyraźne, ale nie są typowe tylko dla relacji w administracji publicznej stąd też są w centrum prawnych

rozważań o chmurach od momentu pojawienia się tego fenomenu, a w rozważaniach wykorzystywane

są już wcześniejsze doświadczenia dotyczące innych modeli outsourcingu.

http://chmura.cpi.gov.pl.





Sprawa komplikuje się znacznie bardziej, gdy próbujemy odpowiedzieć na drugie

z postawionych pytań. Z jednej strony wydaje się zupełnie oczywiste, że gmina (powiat,

województwo) mogą przenosić do przetwarzania w chmurach tylko te usługi, dla których same

są administratorem zbioru danych w nich wykorzystywanych. Z drugiej strony sugestia, że

w ramach wspólnej infrastruktury chmurowej mają być – decyzją gminy – przetwarzane dane

e-przedszkola i e-szkoły, w tym takie dany, które umożliwią komunikację z rodzicami i dostęp

tychże rodziców do informacji o płatnościach, wyżywieniu, obecności, a także wynikach

w nauce swoich dzieci, sugeruje, że twórcy projektu zakładają, że do wspólnej infrastruktury

trafiać będą dane, dla których administratorami są dyrektorzy szkół czy przedszkoli.

Wymaga to rozstrzygnięcia, kto będzie podejmował decyzję o skorzystaniu z usług chmurowych.

Oczywiście logiczne wydaje się, że decyzja będzie podejmowana na poziomie gminy,

a administratorzy danych nie będą mieli innego wyjścia jak podporządkowanie się jej.

Kto w takiej sytuacji będzie decydował o celach i sposobach przetwarzania? Dyrektor szkoły

lub przedszkola, jak wskazywałaby na to regulacja prawna? Gmina zamawiająca usługę

chmurową? A może jednak MAiC i CPI tworzące usługi i decydujące, jakich czynności

związanych z przetwarzaniem danych osobowych można przy ich pomocy dokonać i jak to

uczynić? Jeśli odpowiedź na to pytanie miała być inna niż, że jedynym administratorem danych

jest dyrektor szkoły lub przedszkola, to oczywiście należy od razu zapytać o podstawy prawne

takiego przetwarzania po stronie gminy, MAiC i CPI.




Zakłada się, że:

· Infrastruktura byłaby administrowana centralnie przez MAC / CPI.

· Właścicielem i administratorem danych byłyby JST.

· MAC / CPI odpowiadały by za rozwój infrastruktury i związanych z nią usług

administracji. Proces ten byłby nadzorowany przez Radę Użytkowników w skład, której

wchodziliby przedstawiciele JST uczestniczący w projekcie.

· Infrastruktura wspólna może objąć istniejące lub planowane moce obliczeniowe

znajdujące się w ośrodkach obliczeniowych administracji (zarówno centralnej jak

i samorządowej).

· Zasady wykorzystania przez JST usług infrastruktury wspólnej regulowałyby

każdorazowo umowy SLA zawierane pomiędzy MAC / CPI a JST.

· Infrastruktura wspólna (wraz z usługami) byłaby w pełni operacyjna najpóźniej w 2015 r.

Na podst. dokumentu Załącznik do ankiety „Jednostki Samorządu Terytorialnego

a prywatna chmura obliczeniowa” przygotowanej w ramach projektu „Informatyzacja JST

z zastosowaniem technologii przetwarzania w chmurze” – dokument elektroniczny:

http://chmura.cpi.gov.pl/images/zalacznik_ankieta_chmura.pdf (dokument z 25 września

2012 r., ostatnio sprawdzany 6 listopada 2012 r.)















CPI / MAC:

JST:

Eksploatacja usług

Udostępnianie swojej

infrastruktury

Ustalanie wymagań dla

rozwijanych usług

Udostępnianie usług

Rozwój infrastruktury

centralnej

Centralny rozwój usług i

infrastruktury Obszar strategiczny

Obszar infrastruktury

Obszar usług

Role w przedsięwzięciu

Wybrane slajdy z prezentacji: „ Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze.

Wprowadzenie do dyskusji warsztatowej”, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r.,

https://mac.gov.pl/wp-content/uploads/2013/03/Informatyzacja-JST-z-zastosowaniem-technologii-przetwarzania-w-

chmurze-cz2.pptx

• integracji systemu z centralnymi rejestrami państwowymi i systemami

ewidencyjnymi a także ogólnokrajowymi platformami usług elektronicznych

jak e-PUAP,

• funkcjonowania ośrodków obliczeniowych oraz centrum monitoringu i

zarządzania systemem (7/24),

• sprawnej i bezpiecznej łączności pomiędzy ośrodkami obliczeniowymi i

centrum,

• spójności tworzonych usług z Krajowymi Ramami Interoperacyjności,

• rozwoju usług o zasięgu ogólnokrajowym.

MAC / CPI odpowiadać będą za centralny aspekt rozwoju

infrastruktury i e-usług administracji, w szczególności za zapewnienie:

Założenia proponowanego modelu

Wybrane slajdy z prezentacji: „ Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze. Wprowadzenie

do dyskusji warsztatowej”, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r., https://mac.gov.pl/wp-

content/uploads/2013/03/Informatyzacja-JST-z-zastosowaniem-technologii-przetwarzania-w-chmurze-cz2.pptx

Infrastruktura i usługi rozwijane będą w oparciu o zasoby:

• zasoby znajdujące się już we władaniu MAC / CPI,

• pozyskane na drodze zamówień publicznych,

• centrów przetwarzania danych, które stworzyły jednostki

administracji zarówno samorządowej jak i centralnej.

Nadzór nad procesem rozwoju usług, w tym wyznaczanie

strategicznych kierunków rozwoju systemu, sprawować

będzie Rada Użytkowników złożona z przedstawicieli JST.





chmurze-cz2.pptx

• tworzenie nowych i rozwój istniejących usług w ustalonym zakresie (Rada Użytkowników),

• wsparcie użytkowników z JST w zakresie wykorzystania udostępnionej infrastruktury,

środowiska i usług do realizacji zadań własnych,

• zapewnienie świadczenia usług na ustalonym poziomie (SLA / OLA),

• zapewnienie funkcjonowania ośrodków obliczeniowych i łączącej je infrastruktury sieciowej

na ustalonym poziomie (SLA / OLA).

25

Na podstawie doświadczeń z dotychczasowej realizacji projektów przez

MSWiA / MAC jednostką odpowiedzialną za utrzymanie systemu w

działaniu i zapewnieniu jego rozwoju (przynajmniej w okresie trwałości)

projektu byłoby CPI, odpowiadające za:


Przyjęty model nie wyklucza:

•zamawiania określonych usług na drodze zamówień publicznych,

•budowania partnerstwa publiczno-prywatnego w obszarach nie objętych trwałością projektu,

•rozbudowy systemu z wykorzystaniem środków nowej perspektywy finansowej.

26

Formalną podstawą do współpracy pomiędzy MAC i JST będą zapisy tzw.

Linii Współpracy, która będzie porozumieniem pomiędzy MAC a JST

porządkującym współpracę pomiędzy wspomnianymi podmiotami w

kwestii budowy otwartego państwa i nowoczesnej e-administracji.

Linia Współpracy, 22 kwietnia 2013 roku


Zakłada się, że Jednostka Samorządu Terytorialnego korzystająca z usług

oraz Ministerstwo Administracji i Cyfryzacji podpiszą każdorazowo

Umowę, która sformalizuje obowiązki leżące:

•po stronie MAC oraz CPI jako operatora (zapewniającego świadczenie usług),

•po stronie JST jako usługobiorcy (korzystającego z usług) w tym finansowej

partycypacji w utrzymaniu systemu.

W przypadku wykorzystania zasobów JST we wspólnej infrastrukturze

podpisywana byłaby pomiędzy JST a MAC odrębna Umowa określająca

zasady finansowej rekompensaty przez MAC wykorzystania zasobów.

Wybrane slajdy z prezentacji: „

Informatyzacja JST z zastosowaniem

technologii przetwarzania w chmurze.

Wprowadzenie do dyskusji warsztatowej”,

Centrum Projektów Informatycznych,

Warszawa, 22 kwietnia 2013 r.,

Beneficjent (MAC)

Realizacja projektu i zapewnienie jego

działania (trwałość)

Wytyczanie ogólnych kierunków rozwoju

systemu

Integracja z centralnymi rejestrami i systemami

ewidencyjnymi

Operator

Świadczenie usług IaaS, PaaS, SaaS

Zapewnienie dostępności i rozbudowa infrastruktury (w szczególności o zasoby

własne JST)

Rozwój usług zgodnie z wytycznymi Beneficjenta i

Klienta

Klient (JST)

Eksploatacja usług IaaS, PaaS, SaaS

Zamawianie i zlecanie wykonania usług

Wytyczanie szczegółowych kierunków

rozwoju usług z punktu widzenia klientów

27



Wybrane slajdy z prezentacji: „

Informatyzacja JST z zastosowaniem

technologii przetwarzania w chmurze.

Wprowadzenie do dyskusji warsztatowej”,

Centrum Projektów Informatycznych,

Warszawa, 22 kwietnia 2013 r.,

https://mac.gov.pl/wp-

content/uploads/2013/03/Informatyzacja-

JST-z-zastosowaniem-technologii-

przetwarzania-w-chmurze-cz2.pptx

28

Pytania - model eksploatacji

Na obecnym etapie projektu zakładamy że CPI pełnić będzie rolę

„inicjalnego operatora systemu” czyli:

• zrealizuje projekt i doprowadzi do uruchomienia systemu,

• wypracuje wspólnie z JST plany rozwoju usług elektronicznych i infrastruktury,

• doprowadzi do podpisania porozumień z JST.

Pytanie jaki model współpracy MAC <> JST docelowo powinien

obowiązywać w kontekście utrzymania i rozwoju systemu:

• na etapie trwałości projektu,

• po zakończeniu trwałości projektu:

o utrzymanie dotychczasowego modelu,

o zmiana,

o a może komercjalizacja …


Pytania - porozumienia

Jak powinno wyglądać porozumienie pomiędzy MAC <> JST dotyczące

eksploatacji usług:

• umowa SLA czy OLA,

• niezależnie ze umawiające strony są jednostkami administracji jak zapewnić zgodnie z

ITIL „zapłatę za dobrze świadczoną usługę”,

• prawa i obowiązki Operatora,

• prawa i obowiązki JST.

Jak powinno wyglądać porozumienie pomiędzy MAC <> JST dotyczące

udostępnienia infrastruktury przez JST: to nie będzie proste odwrócenie

umowy o eksploatacji usług!




chmurze-cz2.pptx

Obszar Usługi

Przykładowe usługi dla JST

oferowane w ramach projektu

• użyczanie mocy obliczeniowej podmiotom

publicznym,

• hosting stron internetowych administracji

publicznej,

• internetowy backup,

• usługi telefonii IP i komunikacji natychmiastowej

wraz z centralną książką teleadresową

administracji.

Możliwe pola integracji z

systemami JST

Włączenie zasobów centrów obliczeniowych JST do

wspólnej jednolicie zarządzanej infrastruktury

teleinformatycznej całej administracji (tzw. grid

obliczeniowy administracji).

Pola możliwej integracji z

systemami centralnymi

Włączenie zasobów centrów obliczeniowych

administracji centralnej do wspólnej infrastruktury

teleinformatycznej całej administracji.

Usługi w modelu IaaS

Wybrane slajdy z prezentacji: „ Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze. Wprowadzenie do dyskusji

warsztatowej”, Centrum Projektów Informatycznych, Warszawa, 22 kwietnia 2013 r., https://mac.gov.pl/wp-


Obszar Usługi



• platforma szkoleń multimedialnych administracji,

• platforma konsultacji społecznych.

Możliwe pola integracji z systemami

JST

Integracja platform regionalnych oraz zintegrowanych

systemów JST na wspólnej infrastrukturze

teleinformatycznej.

Pola możliwej integracji z systemami

centralnymi

• pełna integracja z infrastrukturą Platformy ePUAP i

usług przez nią świadczonych,

• integracja z centralnymi platformami sektorowymi np.

CSIOZ.

Usługi w modelu PaaS




chmurze-cz2.pptx

Obszar Usługi



• punkt kontaktowy e-administracji publicznej,

• interaktywny konsultant prawny,

• …

Możliwe pola integracji z

systemami JST

• aplikacje bazujące / wykorzystujące platformę

ePUAP,

• aplikacje regionalnych platform i systemów

samorządowych zintegrowanych z Chmurą (w

modelu IaaS, PaaS).

Pola możliwej integracji z

systemami centralnymi

• aplikacje bazujące / wykorzystujące platformę

ePUAP,

• aplikacje centralnych platform sektorowych

zintegrowanych z Chmurą (w modelu IaaS, PaaS).

Usługi w modelu SaaS




Beneficjent (MAC)

Finansowanie funkcjonowania infrastruktury

Wytyczanie ogólnych kierunków rozwoju

infrastruktury

Integracja infrastruktury z zasobami centralnymi

Operator

Zapewnienie dostępności całości

infrastruktury

Rozbudowa infrastruktury (w

szczególności o zasoby własne JST)

Administrowanie centralne infrastrukturą

Klient (JST)

Udostępnianie infrastruktury

Zapewnienie rozwoju infrastruktury (na

poziomie lokalnym)

Administrowanie lokalne infrastrukturą

Role w przedsięwzięciu - infrastruktura





Europejska Agenda Cyfrowa

2.5.1. Zwiększenie wysiłków i efektywności

W 2010 r. Komisja przedstawi kompleksową strategię w dziedzinie badań

i innowacji pod nazwą „Unia innowacji”, która jest sztandarowym projektem

wdrażającym strategię Europa 202029. W oparciu o europejską strategię mającą

na celu ustanowienie wiodącej roli sektora TIK30, Europa musi zwiększyć,

ukierunkować oraz połączyć swoje inwestycje, aby zachować w tej dziedzinie

konkurencyjność, oraz musi nadal inwestować w badania wysokiego ryzyka,

w tym w interdyscyplinarne badania podstawowe.

Europa powinna również dążyć do osiągnięcia przewagi pod względem innowacji

w kluczowych obszarach poprzez wzmocnienie infrastruktur elektronicznych

i poprzez ukierunkowany rozwój klastrów innowacyjnych działających

w kluczowych dziedzinach. Należy rozwijać unijną strategię dotyczącą

wykorzystywania chmur obliczeniowych, szczególnie do celów administracji

i nauki.

Strategia powinna uwzględniać aspekty ekonomiczne, prawne

i instytucjonalne].




Stanowisko Komisji Europejskiej

Kwestię zmian w praktyce ochrony prywatności w związku z popularyzacją usług

cloud computingu poruszyła również Neelie Kroes – wice przewodnicząca

Komisji Europejskiej i Komisarz ds. Agendy Cyfrowej podczas konferencji « Les

Assises du Numérique » zorganizowanej na Uniwersytecie Paris-Dauphine

25 listopada 2010 r.

Stanowisko Unii:

- przetwarzanie danych w chmurze to nie tylko wyzwanie technologiczne;

- niebezpieczeństwo utraty kontroli nad przetwarzaniem danych w chmurze;

- tylko dalsze studia nad „privacy-by-design” i technologiami zwiększającymi

prywatność („privacy-enhancing technologies") połączone

z rozpozananiem różnic w implementacji europejskich zasad ochrony

danych osobowych w poszczególnych krajach członkowskich może nas

przybliżyć do rozwiązania prawnych i organizacyjnych problemów,

jakie cloud computing napotyka w Europie.





Stanowisko Unii cd.:

- w świetle oczekiwania ze strony Komisji, że Europa stanie się wolnym rynkiem

umożliwiającym swobodną a zarazem bezpieczną wymianę danych

osobowych, stanowisko Komisji wobec samego modelu będzie

„cloud-friendly”.

- takie poparcie uzyskać mogą jedynie takie chmury, które będą w jasny i silny

sposób wspierać ochronę danych osobowych.

- rola samoregulacji w zakresie przetwrazania danych w chmurze obliczeniowej

- drogą do budowania sprawnego i zaufanego rynku przetwarzania danych

w chmurze mogą być tak działania samoregulacyjne podejmowane przez

grupy przedsiębiorców jak i wiążące reguły korporacyjne ("binding

corporate rules") ustanawiane przez dostarczycieli chmury.





- polemika z najczęstszymi zarzutami kierowanymi wobec instytucji

wspólnotowych w zakresie ochrony prywatności przy przetwarzaniu

w chmurach

- Komisja nie godzi się ani z zarzutami protekcjonizmu i wspierania operatorów

europejskich ani z zarzutami hamowania rozwoju nowoczesnego modelu

biznesowego w Europie

- Komisja gra tą samą rolę jaką już wcześniej instytucje europejskie odgrywały

np. na rynku motoryzacyjnym, gdzie narzucały zasady bezpieczeństwa

(pasy, poduszki powietrzne) co też początkowo odbierane było jako

obstrukcja wolnej konkurencji a dziś uważane jest za słusznie

wymuszony krok w dobrym kierunku, który w końcu doprowadził do

sytuacji w której bezpieczeństwo jazdy i wyniki testów wypadkowych

stały się same w sobie ważnym elementami konkurencji między

producentami, przy okazji wpływając na coraz większą ochronę kierowcy

i pasażerów.




Strategia UE w zakresie chmur

KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO,

RADY, EUROPEJSKIEGO KOMITETU EKONOMICZNO-

SPOŁECZNEGO I KOMITETU REGIONÓW

Wykorzystanie potencjału chmury obliczeniowej w Europie

27.9.2012 r.

COM(2012) 529 final

{SWD(2012) 271 final}

http://ec.europa.eu/information_society/activities/cloudcomputing/

docs/com/com_cloud.pdf



http://ec.europa.eu/information_society/activities/cloudcomputing/docs/com/com_cloud.pdf




• Sprzęt jest własnością dostawcy usług w chmurze obliczeniowej, a nie użytkownika, który

uzyskuje dostęp do chmury za pośrednictwem internetu.

• Wykorzystanie sprzętu jest dynamicznie zoptymalizowane za pomocą seci komputerów, tak że

użytkownik w zasadzie nie musi znać dokładnej lokalizacji danych lub procesów, ani wiedzieć,

który sprzęt w danym momencie faktycznie obsługuje tego użytkownika, chociaż może to mieć

istotne znaczenie dla mających zastosowanie ram prawnych.

• Dostawcy usług w modelu chmury często przenoszą dane i aplikacje użytkowników w celu

optymalnego wykorzystania dostępnego sprzętu.

• Znajdujący się w innej lokalizacji sprzęt służy do przechowywania i przetwarzania danych oraz

ich udostępniania, np. za pośrednictwem aplikacji.

• Organizacje i osoby prywatne mogą mieć dostęp do ich zawartości i korzystać z ich

oprogramowania, kiedykolwiek i gdziekolwiek jest im to potrzebne.

• Na strukturę chmury składa się kilka poziomów: sprzęt, oprogramowanie pośredniczące lub

platforma i oprogramowanie użytkowe. Normalizacja ma zasadnicze znaczenie, zwłaszcza na

poziomie oprogramowania pośredniczącego, ponieważ pozwala ono dostawcom dotrzeć do

szeregu rozmaitych potencjalnych klientów, a użytkownikom daje możliwości wyboru;

• Użytkownicy zwykle płacą za to, z czego korzystają, unikając dużych stałych kosztów

początkowych, związanych z samodzielną konfiguracją i eksploatacją zaawansowanego sprzętu

komputerowego.

• Jednocześnie użytkownicy mogą bardzo łatwo zmienić liczbę urządzeń, z których korzystają (np.

zwiększyć pojemność pamięci online w ciągu kilki sekund kilkoma kliknięciami myszką).



Komisja Europejska podejmie trzy konkretne działania sprzyjające przyjęciu chmury obliczeniowej:

(1) Działanie 1: uporządkowanie dużej ilości różnych norm;

(2) Działanie 2: bezpieczne i uczciwe warunki umowne

(3) Działanie 3: utworzenie Europejskiego partnerstwa na rzecz chmur obliczeniowych

w celu wspierania innowacji i wzrostu przez sektor publiczny.

Działanie 1 – uporządkowanie dużej ilości różnych norm

Komisja będzie:

• propagować wiarygodne i rzetelne usługi w modelu chmury powierzając Europejskiemu

Instytutowi Norm Telekomunikacyjnych (ETSI) koordynację działań z zainteresowanymi

stronami na przejrzystych i otwartych zasadach w celu szczegółowego ustalenia do 2013 r.

niezbędnych norm (między innymi dotyczących bezpieczeństwa, interoperacyjności, przenoszenia

danych i odwracalności danych).

• zwiększać zaufanie do usług w chmurze obliczeniowej usług poprzez uznanie na szczeblu UE

specyfikacji technicznych w dziedzinie ICT służących ochronie danych osobowych zgodnie

z nowym rozporządzeniem w sprawie normalizacji europejskiej.

• wspierać z pomocą ENISA i innych właściwych organów rozwój obejmujących całą UE

dobrowolnych systemów certyfikacji w zakresie chmury obliczeniowej (w tym w odniesieniu

do ochrony danych) oraz ustanowi wykaz takich systemów do 2014 r.;

• podejmie działania w celu rozwiązania kwestii dotyczących wyzwań w zakresie ochrony środowiska

w związku ze zwiększonym korzystaniem z chmury obliczeniowej, ustalając do 2014 r. wspólnie

z branżą jednolite parametry dla zużycia energii i emisji dwutlenku węgla w odniesieniu do usług

w modelu chmury obliczeniowej.



Działanie 1 – uporządkowanie dużej ilości różnych norm

ETSI uruchomiło inicjatywę Cloud Standards Coordination

(CSC) otwartą dla wszystkich uczestników rynku.

Po analizie głównych aspektów standaryzacji chmur

przygotowano raport końcowy, który opublikowano

7 listopada 2013 r.. W raporcie przedstawiono:

- definicję ról w chmurze;

- opis i klasyfikacja ponad 100 przypadków praktycznych;

- listę ok. 20 organizacji zajmujących się standaryzacją

rozwiązań chmurowych;

- wybór ok. 150 dokumentów, standardów, specyfikacji,

raportów i białych ksiąg;

- klasyfikację działań, które powinni podejmować

dostarczyciele i użytkownicy chmury w trakcie

całego procesu życiowego usługi;

W oparciu o to przygotowano konkluzje, dotyczące statusu

normalizacji chmur w obecnej chwili, obejmujące wskazania

ogólne (np. fragmentacja) i wskazania szczegółowe w zakresie interoperacyjności, bezpieczeństwa,

prywatności oraz umów Service Level Agreements (SLA).





Główne wskazania raportu:

- Wbrew pozorom normalizacja w zakresie chmur – mimo, że jest chaotyczna –

zachowuje zaskakującą spójność i w żaden sposób nie może być określana jako

„dżungla standardów”.

- Choć dziś nie widzimy, by standardy te bardzo popularne, zakłada się,

że sytuacja znacząco zmieni się w ciągu półtora roku. Pomóc w tym może

tworzenie wspólnych – maszynowo czytanych – słowników i formalnych definicji.

- Wskazano znaczące luki w normalizacji chmur.

-Za duże wyzwanie uznano uporządkowanie środowiska prawnego dla chmur

tak na poziomie krajowym jak i międzynarodowym.





Działanie 2: bezpieczne i uczciwe warunki umowne

Do końca 2013 Komisja:

• opracuje we współpracy z zainteresowanymi stronami wzorzec umowny dla umów

o gwarantowanym poziomie usług w chmurze obliczeniowej zawieranych między dostawcami

usług w chmurze i profesjonalnymi użytkownikami takich usług, uwzględniając unijny dorobek

prawny w tej dziedzinie;

• zaproponuje konsumentom i małym firmom europejski wzorzec umowny w odniesieniu do tych

kwestii, które wchodzą w zakres wniosku w sprawie wspólnych europejskich przepisów

dotyczących sprzedaży;

• zleci powołanej w tym celu grupie ekspertów, do której należeć będą także przedstawiciele branży,

ustalenie przed końcem 2013 r. bezpiecznych i uczciwych warunków umów dla konsumentów i

małych przedsiębiorstw, oraz, przy pomocy instrumentu opartego na podobnym fakultatywnym

podejściu, dla tych kwestii związanych z usługami w chmurze obliczeniowej, które wychodzą

poza zakres wspólnych europejskich przepisów dotyczących sprzedaży;

• będzie wspierać uczestnictwo Europy w światowym rozwoju chmury obliczeniowej: dokonując

przeglądu standardowych klauzul umownych, które mają zastosowanie do przekazywania

danych osobowych do państw trzecich, i dostosowując je zgodnie z potrzebami do usług w

modelu chmury, oraz wzywając krajowe organy ochrony danych do zatwierdzenia wiążących

reguł korporacyjnych dla dostawców usług w chmurze obliczeniowej;

• będzie współpracować z przedstawicielami branży na rzecz wypracowania kodeksu postępowania dla

dostawców usług w modelu chmury, aby wspierać jednolite stosowanie przepisów dotyczących

ochrony danych. Kodeks taki może zostać przedłożony do zatwierdzenia grupie roboczej

powołanej na mocy art. 29 w celu zapewnienia pewności prawa i spójności między tym

kodeksem postępowania i prawem UE.




Grupa przemysłowa ds. schematów certyfikacyjnych dla chmury

(The Cloud Select Industry Group on Certification Schemes)

Grupa przemysłowa ds. kodeksów postępowania

(The Cloud Select Industry Group on Code of Conduct)

Grupa ekspercka ds. umów o przetwarzanie w chmurze

(Expert Group on Cloud Computing Contracts - E02922)

Wsparcie dla Komisji w identyfikacji bezpiecznych i sprawiedliwych klauzul i warunków umownych

dla chmurowych usług skierowanych do konsumentów i do małych przedsiębiorstw. Grupa

powinna brać pod uwagę istniejące praktyki rynkowe oraz odpowiednie przepisy dotyczące

ochrony danych osobowych.

30 członków

- Eksperci powołani indywidualniein

- Reprezentanci dostarczycieli usług sieciowych

- Reprezentanci użytkowników usług chmurowych

- Prawnicy i akademicy

- Eksperci w zakresie prawa ochrony danych osobowych







Bowden Caspar ,

Di Cesare Giuseppe ,

Gawroński Maciej, Helberger Natali ,

Kits Peter ,

Litwiński Pawel , Luís Neto Galvão

Meents Jan Geert

Palmigiano Alessandro

Roques-Bonnet

Marie-Charlotte

Walden Ian

Wolfgram Susanna

Yanguaz Gomez Roberto

Bartoli Emmanuelle

Cassiers Donatien

De Silva Sam

Ariba S.A. France - przedsiębiorstwo - Francja

BEUC - stowarzyszenie europejskie

BEUC - data protection - stowarzyszenie europejskie

Cloudwatt - przedsiębiorstwo - Francja

Council of Bars of Law Societies of Europe (CCBE)

- stowarzyszenie europejskie (adwokaci i radcy

prawni)

Euro Cloud Polska - stowarzyszenie - Polska

European CIO Association - stowarzyszenie europejskie

German Bar Association (DAV) - stowarzyszenie –

Niemcy (adwokaci)

ICTrecht - przedsiębiorstwo - Holandia

OVH SAS - przedsiębiorstwo - Francja

Skyscape - przedsiębiorstwo - Wielka Brytania

Telecom Italia – przedsiębiorstwo - Włochy

UEAPME - stowarzyszenie europejskie

University Politecnico of Milan – środowisko

akademickie - Włochy


http://ec.europa.eu/transparency/regexpert/index.cfm?do=memberDetail.memberDetail&memberID=47663&orig=group

































































‘CCBE Guidelines on the Use

of Cloud Computing Services

by Lawyers’

Conseil des barreaux européens,

Bruksela, 7 września 2012 r.



Działanie 3 – promowanie wspólnej wiodącej roli sektora publicznego poprzez Europejskie

partnerstwo na rzecz chmur obliczeniowych

W tym roku Komisja powoła Europejskie partnerstwo na rzecz chmur obliczeniowych, które ma pełnić

rolę organizacji patronackiej dla podobnych inicjatyw na poziomie państw członkowskich. Partnerstwo

to pozwoli na współpracę między ekspertami z branży i użytkownikami z sektora publicznego w celu

wypracowania w otwarty i w pełni przejrzysty sposób wspólnych wymogów obowiązujących przy

zamówieniach publicznych dotyczących chmury obliczeniowej. Partnerstwo nie ma na celu utworzenia

fizycznej infrastruktury chmury obliczeniowej Ma ono natomiast poprzez wprowadzenie wymogów

obowiązujących przy zamówieniach publicznych, których stosowanie w całej UE będzie promowane

przez uczestniczące państwa członkowskie i organy publiczne, przyczynić się do tego, żeby oferta

handlowa w Europie była dostosowana do europejskich potrzeb. Partnerstwo znacząco przyczyni się

również do uniknięcia rozdrobnienia i zadba o to, aby korzystanie z chmury publicznej było

interoperacyjne i bezpieczne, a także bardziej ekologiczne oraz w pełni zgodne z przepisami unijnymi,

np. w dziedzinie ochrony danych i bezpieczeństwa. Partnerstwo pod kierownictwem Rady Sterującej

będzie obejmowało uczestniczące organy publiczne współpracujące z konsorcjami przemysłowymi w

celu wdrożenia przedkomercyjnych zamówień publicznych. Celem jest:

• określenie wymogów sektora publicznego dotyczących chmur obliczeniowych; opracowanie

specyfikacji dla zamówień w obszarze technologii informatycznych i zlecenie opracowania

wzorcowych modeli wdrażania w celu wykazania zgodności i wydajności;

• prowadzenie działań zmierzających do wspólnego zamawiania usług w chmurze przez organy

publiczne w oparciu o nowe wspólne wymagania użytkowników;

• określenie i wdrożenie dalszych działań wymagających koordynacji z zainteresowanymi stronami,

zgodnie z niniejszym dokumentem.



Stanowisko Polski wobec Strategii

Mając na uwadze obiektywne trendy w rozwoju usług przetwarzania w chmurze obliczeniowej oraz

mając na uwadze tworzenie na obszarze UE jednolitego rynku tego typu usług, Rząd Rzeczypospolitej

Polskiej popiera inicjatywę Komisji Europejskiej mającą na celu uregulowanie funkcjonowania rynku

w przedmiotowym zakresie.

(…) Rząd RP będzie aktywnie uczestniczył w procesie uzgadniania wniosku w sprawie rozporządzenia

ws. ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym

przepływem takich danych (…). Rząd Rzeczypospolitej Polskiej oczekuje również

uwzględnienia rozwoju technologii przetwarzania w chmurze w przygotowywanej przez Komisję

Europejską strategii na rzecz bezpieczeństwa informacji. Jednocześnie Rząd Rzeczypospolitej Polskiej

wspiera działania podejmowane w dotychczasowych ramach prawnych ochrony danych osobowych

w UE mające na celu zapewnienie odpowiedniej ochrony danych przetwarzanych w chmurze

obliczeniowej. W szczególności Rząd RP popiera stanowisko Komisji Europejskiej, stanowiące, że

opinia Grupy Roboczej powołanej na mocy art. 29 dyrektywy 95/46/WE z dnia 1 lipca 2012 r.

o przetwarzaniu danych w chmurze WP 196 powinna stanowić „wytyczne dla prac organów krajowych

i przedsiębiorstw, zapewniając maksymalną jawność i pewność prawa na podstawie istniejących ram

prawnych.”

Stanowisko Rządu RP dot. komunikatu „Wykorzystanie potencjału chmury obliczeniowej

w Europie” przyjęte przez Komitet ds. Europejskich RM 9 listopada 2012 r.




Stanowisko Polski wobec Strategii

Rząd Rzeczypospolitej Polskiej od dłuższego czasu rozważa możliwość zastosowania

chmury obliczeniowej do rozwiązania problemu z ciągłym, coraz szybszym wzrostem

zapotrzebowania na moc obliczeniową systemów teleinformatycznych. Wynika to

z przekonania, że zastosowanie chmury obliczeniowej we wszystkich działach gospodarki

znacznie obniży zapotrzebowanie na rozbudowę i modernizację infrastruktury

teleinformatycznej. Przykład może stanowić przygotowywany przez Ministerstwo

Administracji i Cyfryzacji razem z Centrum Projektów Informatycznych projekt o nazwie

„Informatyzacja Jednostek Samorządu Terenowego (JST) z zastosowaniem technologii

przetwarzania w chmurze”. Celem ogólnym tego projektu jest stworzenie jakościowo

nowego rozwiązania dla JST umożliwiającego świadczenie obywatelowi i przedsiębiorcy

nowych, zintegrowanych usług elektronicznej administracji, zbudowanych w oparciu

o jednolitą infrastrukturę teleinformatyczną o charakterze prywatnej chmury obliczeniowej.

Stanowisko Rządu RP dot. komunikatu „Wykorzystanie potencjału chmury

obliczeniowej w Europie” przyjęte przez Komitet ds. Europejskich RM 9 listopada

2012 r.




Zagrożenia dostrzegane przez doktrynę • Uczestnicy gry rynkowej oraz ich konsultanci nie mają fachowej i praktycznej

wiedzy, brak im również doświadczenia w kontakcie z chmurą;

• Nierówność w zakresie wiedzy i doświadczenia;

• Brak wspólnej rozwiniętej i utrwalonej terminologii;

• Zastosowane dotąd rozwiązania technologiczne nie są wystarczajaco sprawdzone;

• Ogromna ilość gromadzonych i przetwarzanych danych;

• Transgraniczność i globalizacja rozwiązań;

• Brak transparentności przetwarzania danych, procedur i praktyk po stronie

procesora, w szczególności brak wiedzy od podwykonawcach procesów i ich

procedurach;

• Brak transparentności ogranicza możliwość przeprowadzenia analizy ryzyk;

• Brak transparentności ogranicza możliwość kontroli przetwarzania;

• Dostarczyciele usług chmurowych są pod presją zwrotu kosztów inwestycji;

• Użytkownicy chmur są pod presją zmniejszania kosztów

• Niskie ceny są powiązane z akceptacją umów adhezyjnych.




• Błędy wynikające zazwyczaj z braku zrozumienia, trudności komunikacyjnych i

niejasnych klauzul umownych;

• Incydenty bezpieczeństwa informacji takie jak naruszenie tajemnic prawnie

chronionych, integralności i dostępności danych (w tym danych osobowych);

• Przesyłanie danych osobowych do tzw. państw trzecich nie zapewniających

odpowiedniego poziomu ochrony;

• Łamanie prawa i zasad ochrony danych osobowych;

• Administrator danych osobowych narażony jest na nieznane mu zagrożenia;

• Administrator danych osobowych akceptuje standardowe klauzule w umowach

dostarczonych przez dostarczyciela usług chmurowych włączają w to sytuacje, gdy

procesor może zmieniać sposób przetwarzania danych;

• Dostarczyciele usług chmurowych i ich podwykonawcy używają danych osobowych

dostarczonych przez użytkownika do innych celów bez wiedzy administratora

danych osobowych;

• Rozliczalność i odpowiedzialność rozmywa się w łańcuchu podwykonawców;

• Brak możliwości kontroli dokonywanej przez administratora danych osobowych lub

jego przedstawiciela;

• Organy ochrony danych nie mają możliwości dokonywania inspekcji

systemów chmurowych.



Zagrożenia dostrzegane przez doktrynę


Kwestie prawne

• Większość obecnie zauważanych problemów z cloud computingiem może zostać

rozwiązana w umowach zawartych po poprawnie toczonych negocjacjach.

• Trudno określić jeden rodzaj umowy, który najlepiej będzie służył obsłudze usług w

chmurach .

• Z ostrożnością podchodzić do klauzul standardowych dla dotychczasowych umów

o usługi w sieci (np. hosting)

• Szczególnie dużo uwagi należy poświęcać zagadnieniom praw i obowiązków związanych

z : zawiadamianiem o złamaniu zasad bezpieczeństwa, transferowi danych,

pochodnemu przetwarzaniu danych, zmianom w kontroli, dostępowi do danych

przez organy śledcze

D. Catteddu, G. Hogben, Cloud Computing. Benefits, risks and recommendations for

information security, European Network and Information Security Agency (ENISA),

listopad 2009




Rekomendacje ze strony rzeczników ochrony prywatności

Opinia 5/2012 Grupy Art 29 z 1 lipca 2012 r.

http://www.giodo.gov.pl/1520111/id_art/4760/j/pl/

Memorandum Sopockie

Międzynarodowej Grupy Roboczej ds. Ochrony Danych w Telekomunikacji

(tzw. Grupy Berlińskiej)

http://www.giodo.gov.pl/plik/id_p/2689/j/pl/



http://www.giodo.gov.pl/1520111/id_art/4760/j/pl/

http://www.giodo.gov.pl/plik/id_p/2689/j/pl/



Zabezpieczenia umowne relacji „administrator” – „przetwarzający”

W celu zapewnienia pewności prawnej umowa powinna przewidywać następujące kwestie:

1. Szczegółowe informacje na temat (zakresu i rodzajów) instrukcji klienta powinny być

zapewnione dostawcy, ze szczególnym odniesieniem do mających zastosowanie umów

o gwarantowanym poziomie usług (ang. SLA) (które powinny być obiektywne i wymierne)

oraz do właściwych sankcji (finansowych lub innych, obejmujących możliwość pozwania

dostawcy w przypadku nie zapewnienia zgodności).

2. Określenie środków bezpieczeństwa, z którymi dostawca usługi w chmurze musi zapewnić

zgodność, w zależności od zagrożeń związanych z przetwarzaniem i charakterem danych,

które mają być chronione. Bardzo ważne jest, aby określić konkretne środki techniczne i

organizacyjne, takie jak te wymienione w punkcie 3.4.3 poniżej. Jest to bez szkody dla

zastosowania bardziej rygorystycznych środków, o ile takie istnieją, które mogą być

przewidziane prawem krajowym klienta.

3. Przedmiot i ramy czasowe usługi w chmurze, która ma być świadczona przez dostawcę

usługi w chmurze, zakres, sposób i cel przetwarzania danych osobowych przez dostawcę

usługi w chmurze, jak również rodzaje przetwarzanych danych osobowych.

4. Określenie warunków zwrotu danych (osobowych) lub zniszczenia danych po zakończeniu

realizacji usługi. Ponadto należy zapewnić, aby dane osobowe usunąć bezpiecznie na wniosek

klienta usługi w chmurze.

5. Zawarcie klauzuli poufności, wiążącej zarówno dostawcę usługi w chmurze, jak i wszelkich

jego pracowników, które mogą mieć możliwość dostępu do danych. Tylko upoważnione

osoby mogą mieć dostęp danych.



6. Obowiązek po stronie dostawcy do wspierania klienta w ułatwianiu realizacji praw osoby,

której dane dotyczą, do dostępu do swoich danych, ich poprawienia lub usunięcia.

7. Umowa powinna wyraźnie stanowić, że dostawca usługi w chmurze nie może

przekazywać danych stronom trzecim, nawet w celach zatrzymania, chyba że umowa

przewiduje zaangażowanie podmiotów, którym podpowierzona zostanie realizacja

usługi. Umowa powinna określać, że podprzetwarzających można zaangażować tylko na

podstawie zgody, której może generalnie udzielić administrator zgodnie z wyraźnym

obowiązkiem nałożonym na przetwarzającego dotyczącym informowania administratora o

wszelkich planowanych zmianach w tym zakresie, przy czym administrator zachowuje przez

cały czas możliwość wyrażenia sprzeciwu wobec takich zmian lub do zakończenia umowy.

Powinien istnieć wyraźny obowiązek, aby dostawca usługi w chmurze wskazał wszystkie

podmioty, którym podpowierzono realizację usługi (np. w publicznym rejestrze cyfrowym).

Należy zapewnić, aby umowy między dostawcą usługi w chmurze a podmiotem, któremu

podpowierzono jej realizację, odzwierciedlały postanowienia umowy między klientem

chmury a dostawcą chmury (tj. podprzetwarzający podlegają takim samym obowiązkom

umownym jak dostawca usługi w chmurze). W szczególności należy zagwarantować, że

zarówno dostawca usługi w chmurze, jak i wszystkie podmioty, którym podpowierzono

realizację, będą działać tylko na podstawie instrukcji pochodzących od klienta usługi w

chmurze. Jak wyjaśniono w rozdziale dotyczącym powierzonego przetwarzania, łańcuch

odpowiedzialności powinien być wyraźnie określony w umowie. Po stronie przetwarzającego

należy ustanowić obowiązek regulowania transgranicznego przekazywania danych, na

przykład poprzez podpisanie umów z podprzetwarzającymi, na podstawie standardowych

klauzul umownych 2010/87/UE.



8. Wyjaśnienie zobowiązań dostawcy usługi w chmurze dotyczących zawiadamiania klienta

usługi w chmurze w przypadku wszelkich naruszeń ochrony danych, które mają wpływ

na dane klienta usługi w chmurze.

9. Obowiązek dostawcy usługi w chmurze dotyczący wskazania listy lokalizacji, w których

dane mogą być przetwarzane.

10. Prawa administratora do monitorowania oraz odpowiadającemu temu zobowiązania

dostawcy usługi w chmurze do współpracy.

11. Należy określić w umowie, że dostawca usługi w chmurze musi poinformować klienta

o istotnych zmianach dotyczących określonej usługi w chmurze, takich jak wdrożenie

dodatkowych funkcji.

12. Umowa powinna przewidywać rejestrowanie i kontrolowanie istotnych operacji

przetwarzania danych osobowych, które są dokonywane przez dostawcę usługi w chmurze

lub podmioty, którym podpowierzono ich realizację.

13. Zawiadamianie klienta usługi w chmurze o każdym prawnie wiążącym wniosku o

udostępnienie danych osobowych przez organ egzekwowania prawa, o ile nie jest to

zakazane w inny sposób, na przykład poprzez zakaz na mocy prawa karnego do zachowania

poufności śledztwa dotyczącego egzekwowania prawa.

14. Podobny obowiązek po stronie dostawcy, aby zapewnił, że jego wewnętrzne ustalenia w

zakresie organizacji i przetwarzania danych (oraz ustalenia jego podprzetwarzających, o ile

tacy są) będą zgodne z właściwymi krajowymi i międzynarodowymi wymogami prawnymi i

standardami.



Środki techniczne i organizacyjne w zakresie ochrony danych i bezpieczeństwa danych

Dostępność - Zapewnienie dostępności oznacza zapewnienie w odpowiednim czasie

niezawodnego dostępu do danych osobowych.

Integralność - fakt, że dane są prawdzie i nie zostały złośliwie lub przypadkowo

zmienione podczas przetwarzania, przechowywania lub przekazywania. Pojęcie

integralności można rozszerzyć na systemy informatyczne i wymagać, aby

przetwarzanie danych osobowych w tych systemach pozostało niezmienione.

Poufność - W środowisku cloud computingu szyfrowanie może znacznie przyczynić się do

poufności danych osobowych, jeżeli będzie stosowane prawidłowo, choć nie

anonimizuje danych nieodwracalnie.

Przejrzystość

Odizolowanie (ograniczenie celu)

Możliwość interwencji

Możliwość przenoszenia danych

Rozliczalność - możliwość ustalenia, co podmiot robił w określonym momencie

w przeszłości i w jaki sposób. W dziedzinie ochrony danych termin ten często

przyjmuje szersze znaczenie i opisuje możliwość pokazania przez strony, że podjęły

odpowiednie kroki w celu zapewnienia, że zasady ochrony danych zostaną wdrożone.



Zastrzeżenia w sprawie bezpieczeństwa chmur.

The FISA Amendments Act of 2008

Zmiany do Foreign Intelligence Surveillance Act z 1978

H.R. 6304, uchwalony przez Kongres USA 10 lipca 2008 r.

• Dopuszcza by rząd nie przechowywał wyników przeszukiwań sieci, ale nakazuje

i przetrzymywać dane przez 10 lat.

• Chroni telekomy przed postępowaniami w sprawie „przeszłej lub przyszłej

współpracy’ z federalnymi organami scigania w sprawach związanych z

terroryzmem

• Znosi wymaganie szczegółowego opisywania natury przechowywanej przez służby

informacji jeśli „istnieje uzasadnione przekonanie”, że cel znajduje się poza

terytorium USA

• Czas podsłuchu bez nakazu został wydłużony z 48 godz. Do 7 dni

• Wymaga nakazu podsłuchiwania Amerykanów zagranicą (ale tylko Amerykanów)

Podsumowując Poprawka do FISA z 2008 r. zezwala na kontrolę danych bez nakazu

sadowego jeśli dane „znajdują się” poza USA i nie dotyczą obywateli USA



http://hdl.loc.gov/loc.uscongress/legislation.110hr6304

Analiza ryzyka przetwarzania danych w chmurach.

Przykładowe wzory

T.Haeberlen, D.Liveri, M.Lakka,

Good Practice Guide for securely

deploying Governmental Clouds,

ENISA, Bruksela, Listopad 2013



Przykładowe wzory

Creating Effective Cloud Computing

Contracts for the Federal Government

Best Practices for Acquiring IT as a

Service,

US CIO Council,

Chief Aquisition Officers Council,

Federal Cloud Computing Committee,

Waszyngton luty 2012



Przykładowe wzory

Council CIO, Proposed Security

Assessment & Authorization for U.S.

Government Cloud Computin. Draft

version 0.96, US CIO, listopad 2010



Przykładowe wzory

D. Catteddu, G. Hogben, Cloud

Computing. Benefits, risks and

recommendations for information

security, European Network and

Information Security Agency (ENISA),

listopad 2009



Przykładowe wzory

Department of Finance and

Deregulation: Cloud Computing

Strategic Direction Paper.

Opportunities and applicability

for use by the Australian

Government, Australian

Government, kwiecień 2011



Przykładowe wzory

J.Budszus, H.-W.Heibey, R.

Hillenbrand-Beck, S.Polenz,

M.Seifert, M.Thiermann:

Orientierungshilfe – Cloud

Computing. Version 1.0,

Arbeitskreise Technik und

Medien der Konferenz der

Datenschutzbeauftragten des

Bundes und der Länder

wrzesień 2011



Przykładowe wzory

P. De Hert, D. Kloza, D. Wright,

(red.:)

Recommendations for a privacy

impact assessment framework for

the European Union,

PIAF for European Commission –

DG Justice, listopad 2012.



Przykładowe wzory

D. Bigo, G. Boulet, C. Bowden, S.

Carrera, J. Jeandesboz, A. Scherrer,

Fighting cyber crime and protecting

privacy in the cloud. Study,

Parlament Europejski, Bruksela

listopad 2012



Przykładowe wzory

Information Commissioners' Office,

Guidance on the use of cloud

computing. Version: 1.1, Wilmslow

październik 2012.



Przykładowe wzory

Sample System Privacy Impact Assessments

Samples of U.S. Department of Health and Human Services privacy impact assessments for

systems that collect personally identifiable information.

• Administration for Children and Families Privacy Impact Assessments (PDF - 170KB)

• Agency for Healthcare Research and Quality Privacy Impact Assessments (PDF -

460KB)

• Administration on Aging Privacy Impact Assessments (PDF - 25KB)

• Centers for Disease Control & Prevention Privacy Impact Assessments (PDF - 8.69MB)

• Centers for Medicare & Medicaid Services Privacy Impact Assessments (PDF - 1.24MB)

• Food & Drug Administration Privacy Impact Assessments (PDF - 896KB)

• Health Resources & Services Administration Privacy Impact Assessments (PDF -

580KB)

• Indian Health Service Privacy Impact Assessments (PDF - 82KB)

• National Institutes of Health Privacy Impact Assessments (PDF - 7.38MB)

• Office of the Inspector General Privacy Impact Assessments (PDF - 117KB)

• Office of the Secretary Privacy Impact Assessments (PDF - 1.33MB)

• Substance Abuse and Mental Health Services Administration Privacy Impact

Assessments (PDF - 166KB)


http://www.hhs.gov/pia/acf_pia_summaries_fy12_q1.pdf

http://www.hhs.gov/pia/ahrq_pia_summaries_fy12_q2.pdf

http://www.hhs.gov/pia/aoa_pia_summaries_fy12_q1.pdf

http://www.hhs.gov/pia/cdc_pia_summaries_fy12_q2.pdf

http://www.hhs.gov/pia/cms_pia_summaries_fy12_q1.pdf

http://www.hhs.gov/pia/fda_pia_summaries_fy12_q2.pdf

http://www.hhs.gov/pia/hrsa_pia_summaries_fy12_q2.pdf

http://www.hhs.gov/pia/ihs_pia_summaries_fy12_q1.pdf

http://www.hhs.gov/pia/nih_pia_summaries_fy12_q2.pdf

http://www.hhs.gov/pia/oig_pia_summaries_fy12_q1.pdf

http://www.hhs.gov/pia/os_pia_summaries_fy12_q2.pdf

http://www.hhs.gov/pia/samhsa_pia_summaries_fy12_q1.pdf

http://www.hhs.gov/pia/samhsa_pia_summaries_fy12_q1.pdf

Zalecenia dla amerykańskich chmur rządowych

Information Technology Reform.

Progress Made but Future Cloud

Computing Efforts Should be Better

Planned . Report to the Subcommittee

on Federal Financial Management,

Government Information, Federal

Services, and International Security,

Committee on Homeland Security and

Governmental Affairs United States

Senate, GAO-12-756, United States

Government Accountability Office,

lipiec 2012,

http://www.gao.gov/products/GAO-12-

756


American Bar Association

o usługach prawnych w chmurze


American Bar Association

o usługach prawnych w chmurze


Lista amerykańskich prawniczych kodeksów etycznych, które

przewidują zasady dotyczące chmur http://www.americanbar.org/groups/departments_offices/legal_technology_res

ources/resources/charts_fyis/cloud-ethics-chart.html

Można tam znaleźć takie postanowienia – przykład z Massachusetts:

"Consistent with its prior opinions, the Committee further believes

that the Lawyer remains bound to follow an express instruction

from his client that the client's confidential information not be

stored or transmitted by means of the Internet, and that he should

refrain from storing or transmitting particularly sensitive client

information by means of the Internet without first seeking and

obtaining the client's express consent to do so"


http://www.americanbar.org/groups/departments_offices/legal_technology_resources/resources/charts_fyis/cloud-ethics-chart.html







ABA o usługach prawnych w chmurze


20 września 2010 r. Grupa Robocza ds. Wpływu Nowych Technologii Komisji ds. Etyki

ABA wydała dokument pt. “Issues Paper Concerning Client Confidentiality and

Lawyers’ Use of Technology”. Uznając z nim, że cloud computing budzi „uzasadnione

obawy i możliwe wątpliwości co do potencjalnej kradzieży, utraty lub ujawnienia

informacji objętych tajemnicą” ABA zwraca uwagę na:

a) możliwość nieuprawnionego dostępu poprzez Internet do informacji klienta objętych

tajemnicą przez dostarczyciela usług chmurowych lub jego podwykonawców oraz

przez podmioty zewnętrzne (np. hakerów);

b) fakt przechowywania informacji na serwerach w krajach, które mają słabszą prawną

ochronę informacji przechowywanej elektronicznie, co może być szczególnie

problematyczne w działach rynku podlegających daleko idącej regulacji jeśli chodzi o

utrzymywanie takiej informacji przez cały cykl jej życia;

c) kłopoty dostarczyciela usługi z tworzeniem kopii zapasowych danych;

d) możliwość dostępu do danych korporacyjnych przy użyciu łatwo dostępnego

oprogramowania w przypadku, gdy korporacja zakończy współpracę z

dostarczycielem chmury lub usługi chmurowej, lub gdy ten zakończy działalność

biznesową;


ABA o usługach prawnych w chmurze


e) konieczność współpracy dostarczyciela usługi z instytucjami publicznymi

żądającymi dostępu do informacji (i ewentualną możliwość odmowy takiej

współpracy);

f) polityki zgłaszania użytkownikom incydentów bezpieczeństwa

informacyjnego;

g) niedostateczne szyfrowanie danych;

h) niejasne polityki w zakresie kontrolowania „własnych” danych przez

użytkownika usługi chmurowej;

i) konieczność istnienia polityk w zakresie niszczenia danych w momencie, gdy

użytkownik nie chce ich dalej przechowywać, lub gdy przenosi je do innej

lokalizacji;

j) problem – tym razem ściśle amerykański – dotyczący możliwości zatrzymania

danych bez odpowiedniego nakazu sądowego na podstawie anachronicznych

przepisów Electronic Communications Privacy Act („ECPA”) z 1986,

obejmującej m.in. tzw. Stored Communications Act.


„Położenie” danych ważne nie tylko dla Europy


”Compliance

Compliance is a multifaceted issue that can affect cloud computing in several

ways. One of the key compliance issues that the cloud presents is data location,

where the data is stored geographically. Because the government often

requires that public sector cloud data must reside in the continental U.S.,

cloud providers who operate globally are rapidly addressing this compliance

issue with concerted efforts to ensure that data remains local to the country in

which it belongs.

Other compliance issues center on federal laws and regulations such as

FISMA, the National Archives and Records Management Act (NARMA), and

even HIPAA or the Payment Card Industry Data Security Standard PCI DSS.”

D.Blankenhorn, V.Ristau, C.Beesley: Cloud Computing for Govies, DLT

Solutions, Herndon 2012, s. 51.


Przewodnik Rady niemieckich rzeczników ochrony

prywatności

29 września 2011 rada niemieckich „landowych” rzeczników ochrony prywatności na temat

przetwarzania danych w chmurach obliczeniowych.

- Dostarczyciele chmur powinni zapewnić, że ich działania pozostają w zgodzie

w prawem ochrony danych osobowych

- Użytkownicy chmur mogą godzić się na przenoszenie słych usług do chmur, jeśli będą

„tam” mogli wykonywać swoje obowiązki jako administratorzy danych osobowych

(ADO) oraz tylko wtedy, gdy potwierdzili, że oferowany jest im odpowiedni poziom

ochrony danych i informacji.

- Poza zapewnieniem poufności, integralności i dostępności danych ADO muszą również

wziąć pod uwagę trudne do implementacji wymagania dotyczące kontroli,

transparentności i nadzoru nad przetwarzaniem danych.

- Uruchomienie usług w chmurach nie zwalnia ADO – a w szczególności jego władz – od

odpowiedzialności za sposób przetwarzania danych osobowych.

J.Budszus, H.-W.Heibey, R. Hillenbrand-Beck, S.Polenz, M.Seifert, M.Thiermann: Orientierungshilfe

– Cloud Computing. Version 1.0, Arbeitskreise Technik und Medien der Konferenz der

Datenschutzbeauftragten des Bundes und der Länder, wrzesień 2011



Uwagi GAO nt. wprowadzania chmury przez

administrację amerykańską (lipiec 2012)

Government Accountability Office (GAO – w uproszczeniu odpowiednik

polskiego NIK) przygotował raport nt. rezultatów projektu Cloud First. Już w

podtytule raportu czytamy „osiągnęliśmy postęp, ale dalsze działania w chmurze

powinny być lepiej planowane”.

1. Zachowanie federalnych wymagań bezpieczeństwa.

2. Istniejące federalne wytyczne są albo niewystarczające, albo niekompletne.

3. Brak wiedzy i doświadczenia - “delivering cloud services without direct

knowledge of the technologies has been difficult”.

4. Potrzeba certyfikacji i akredytacji usługodawców.

5. Zapewnienie przenaszalności danych i interoperacyjności.

6. Przełamanie barier kulturowych w organizacji

7. Zamawianie usług na podstawie dotychczasowej konsumpcji.

Information Technology Reform. Progress Made but Future Cloud Computing Efforts Should be Better Planned .

Report to the Subcommittee on Federal Financial Management, Government Information, Federal Services, and

International Security, Committee on Homeland Security and Governmental Affairs United States Senate, GAO-

12-756, United States Government Accountability Office, lipiec 2012, http://www.gao.gov/products/GAO-12-

756,


FedRAMP - The Federal Risk and Authorization

Management Program

FedRAMP – prowadzony przez Office of Citizen Services and Innovative

Technology (OCSIT) – skierowany jest do całości administracji tak federalnej

jak i stanowej, a ma przygotowywane i wdrażane wspólnych ram

standaryzacyjnych dla oceny bezpieczeństwa, autoryzacji i stałego

monitorowania produktów i usług chmurowych. Celem FedRAMP jest

promowanie przyjmowania przez podmioty publiczne bezpiecznych rozwiązań

w zakresie usług chmurowych poprzez wykorzystanie istniejących już dobrych

praktyk i poprzez certyfikację istniejących rozwiązań. Prowadzić to powinno

do zwiększenia zaufania do zastosowanych przez administracje rozwiązań

przez przyjmowanie podstawowych standardów i akredytację działań na

podstawie oceny przeprowadzanej przez niezależną stronę trzecią. Powinno

również przyczynić się do tworzenia systemu stałego monitoringu używanych

rozwiązań.

http://www.gsa.gov/portal/category/102371.



FedRAMP - The Federal Risk and Authorization

Management Program

Uznano, że niewskazana jest sytuacja, w której każda agencja prowadzi własną ocenę

ryzyka wprowadzanych usług chmurowych oraz zarządza usługami sama, niezależnie

od tego, że inne agencje w tym samym czasie dokonują takiej samej oceny ryzyka i

zmagają się z tymi samymi problemami zarządzania projektami. Takie rozwiązanie jest

nieskuteczne, niespójne, kosztowne i prowadzi do powielania działań. Jednocześnie

dostrzeżono, że takie rozproszone działania powodują, że ocena przedsięwzięć

podejmowana jest przede wszystkim przed ich rozpoczęciem, a dalsze działania nie

polegają na prowadzeniu stałego monitoringu zagrożeń.

Używanie FedRAMP jest obowiązkowe dla wszystkich agencji federalnych, a jedynym

wyjątkiem mogą być usługi przeznaczone dla pojedynczej agencji, realizowane w

prywatnej chmurze, w całości w infrastrukturze federalnej. Agencje zostały

zobowiązane do przekazania OCSIT pełnej informacji o usługach chmurowych

realizowanych przed powstaniem FedRAMP, które nie są zgodne z proponowanymi w

ramach tego projektu rozwiązaniami. Mają one zostać ocenione i, jeśli mają pozostać w

obecnej formie, przygotować należy szczególne uzasadnienie takiej decyzji. W ciągu

kolejnych dwóch lat nastąpi dostosowanie wszelkich usług do standardów FedRAMP.

http://www.gsa.gov/portal/category/102371.



Potrzeba mapowania przepływu danych

Określenie ról poszczególnych stron i stałe monitorowanie alokacji zasobów, którymi zarządzają

konkretni administratorzy danych i konkretni przetwarzający może odgrywać bardzo praktyczną

rolę. Brak monitorowania alokacji zbiorów może bowiem prowadzić do wyłączenia usług

wszystkich użytkowników w przypadku problemów dotyczących zaledwie jednego z nich.

Dobrym przykładem może być tu sytuacja, w której FBI w trakcie prowadzonego przez siebie

postępowania doprowadziła do czasowego zamknięcia całego centrum przetwarzania danych na

potrzeby chmury publicznej, gdyż musiała zabezpieczyć dowody dotyczące jednego

z użytkowników, a dostarczyciel chmury nie był w stanie określić, w których dokładnie zasobach

i kiedy przetwarzane były „należące” do tego użytkownika dane. Poszukiwanie igły w stogu

siana wymagało tym samym zabezpieczenia całości stogu i de facto odcięcie wszystkich

użytkowników chmury publicznej od ich zasobów i usług. Trudno ocenić straty wizerunkowe

dostarczyciela chmury. Ciekawe jednak, czy użytkownikom takiej „zasekwestrowanej” chmury

udałoby się dochodzenie odszkodowania cywilnego na podstawie zawartej z dostarczycielem

chmury umowy o usługi chmurowe.

A. Etengoff, Intel says 2015 will be the Cloud computing tipping point, TG Daily 7.3.2011

http://www.tgdaily.com/hardware-features/54501-intel-says-2015-will-be-the-cloud-computing-

tipping-point.



Informowanie o zdarzeniach bezpieczeństwa danych

(Data Breach Notification)


Artykuł 31 Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu

1. W przypadku naruszenia ochrony danych osobowych, administrator zgłasza organowi

nadzorczemu takie naruszeniu bez nieuzasadnionej zwłoki i jeśli jest to możliwe, nie

później niż w ciągu 24 godzin od momentu dowiedzenia się o tym naruszeniu. Jeśli

organ nadzorczy nie zostanie zawiadomiony w ciągu 24 godzin, do zgłoszenia należy

dołączyć umotywowane wyjaśnienie.

2. Na mocy art. 26 ust. 2 lit. f) podmiot przetwarzający ostrzega i informuje administratora

niezwłocznie po stwierdzeniu naruszenia ochrony danych osobowych.

3. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:

a) opisywać charakter naruszenia ochrony danych osobowych, w tym podawać kategorie i

liczbę zainteresowanych podmiotów danych oraz kategorie i liczbę rekordów danych,

których dotyczy naruszenie;

b) podawać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego

punktu kontaktowego, w którym można uzyskać więcej informacji;

c) zalecać środki mające na celu zmniejszenie ewentualnych negatywnych skutków

naruszenia ochrony danych osobowych;

d) opisywać konsekwencje naruszenia ochrony danych;

e) opisywać środki proponowane lub podjęte przez administratora w celu zaradzenia

naruszeniu ochrony danych osobowych.




w projekcie nowego rozporządzenia UE o ochronie danych

Artykuł 31 Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu

(…) 4. Administrator sporządza dokumentację dotyczącą wszelkich naruszeń ochrony

danych osobowych, obejmującą okoliczności naruszenia, jego skutki oraz podjęte

działania zaradcze. Dokumentacja ta musi umożliwiać organowi nadzorczemu

sprawdzenie zgodności z niniejszym artykułem. Dokumentacja zawiera wyłącznie

informacje niezbędne do realizacji powyższego celu.

5. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu

doprecyzowania kryteriów i wymogów dotyczących stwierdzenia naruszenia ochrony

danych osobowych, o którym mowa w ust. 1 i 2, oraz szczególnych okoliczności, w

których administrator i podmiot przetwarzający mają obowiązek zgłosić naruszenie

ochrony danych osobowych.

6. Komisja może ustanowić standardowe formularze zgłoszenia przekazywanego organowi

nadzorczemu, procedury mające zastosowanie do wymogu zgłoszenia, a także formę i

sposób prowadzenia dokumentacji, o której mowa w art. 4, w tym terminy usuwania

zawartych w niej informacji. Te akty wykonawcze przyjmuje się zgodnie z procedurą

sprawdzającą, o której mowa w art. 87 ust. 2.





Artykuł 32 Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych

1. Gdy istnieje prawdopodobieństwo, że naruszenie ochrony danych osobowych może

niekorzystnie wpłynąć na ochronę danych osobowych lub prywatność podmiotu

danych, administrator, po dokonaniu zgłoszenia, o którym mowa w art. 31, bez

nieuzasadnionej zwłoki informuje podmiot danych o naruszeniu ochrony danych

osobowych.

2. Zawiadomienie przekazane podmiotowi danych, o którym mowa w ust. 1, opisuje

charakter naruszenia ochrony danych osobowych i zawiera przynajmniej informacje i

zalecenia, o których mowa w art. 31 ust. 3 lit. b) i c).

3. Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych nie jest

wymagane, jeśli administrator wykaże, zgodnie z wymogami organu nadzorczego, że

wdrożył odpowiednie technologiczne środki ochrony oraz że środki te zostały

zastosowane do danych, których dotyczyło naruszenie ochrony danych osobowych.

Tego rodzaju technologiczne środki ochrony sprawiają, że dane stają się nieczytelne

dla każdego, kto nie jest uprawniony do dostępu do nich.

4. Bez uszczerbku dla obowiązku administratora w zakresie zawiadomienia podmiotu

danych o naruszeniu ochrony danych osobowych, jeśli administrator nie zawiadomił

wcześniej podmiotu danych o naruszeniu ochrony danych osobowych, organ

nadzorczy może tego od niego zażądać, jeśli stwierdzi możliwość wystąpienia

niekorzystnych skutków naruszenia.




Wątpliwości skandynawskich rzeczników co do

chmur w usługach publicznych

Szwedzki organ ochrony danych (Datainspektionen) uznał, że brak jasności w podziale

obowiązków wynikających z umowy prowadzi do niebezpieczeństwa, że administrator danych

osobowych nie będzie pewny czy wypełnia wskazania szwedzkiej ustawy o ochronie danych

osobowych. Zwrócił uwagę na fakt, że siła uprawnień administratora i procesora w umowach

o usługi chmurowe rozkłada się zupełnie inaczej niż w zwykłych umowach o powierzenie

przetwarzania danych, mimo że użytkownik – w tym przypadku gmina – pozostaje nadal

w pełni odpowiedzialna za przetwarzanie danych w chmurze. W tej sytuacji wybór prawa

właściwego odgrywa szczególną rolę w zapewnieniu bezpieczeństwa danych z punktu widzenia

administratora danych, a zawarta w ocenianej umowie klauzula zezwalająca na jednostronną

zmianę warunków umownych przez dostarczyciela usług chmurowych musi zostać

z umowy wyeliminowana. Organ ochrony danych zwrócił uwagę, że dla każdego podmiotu –

a w szczególności dla podmiotu wykonującego zadania publiczne – taka klauzula powinna być

sygnałem ostrzegawczym, że rola administratora danych osobowych zostaje wyraźnie

ograniczona, a różnica pomiędzy administratorem a procesorem może zostać rozmyta. Im

większą pozostawi się swobodę procesorowi w wyborze podprzetwarzających, tym większe jest

prawdopodobieństwo, że administrator danych osobowych utraci kontrolę nad przetwarzaniem

danych. W tej sytuacji niezbędne jest przeprowadzenie prawidłowej oceny wpływu

przedsięwzięcia na ochronę prywatności (privacy impact assessment - PIA) oraz stworzenie

poradnika dla urzędników administracji publicznej, jak używać rozwiązań chmurowych.





Również duński organ ochrony danych osobowych (Datatilsynet ) w swej odpowiedzi na

pytania skierowane przez miasto Odense zwrócił uwagę na problemy jakie administracja

publiczna napotyka przy wykorzystaniu usług chmurowych. Ponieważ zaś problem

dotyczył usług Google Apps – bardzo popularnych również w Polsce – warto zwrócić

uwagę na tą opinię. Odense zwróciło się do Datatilsynet o opinię co do możliwości

zastosowania usługi Google Apps celem wdrożenia wirtualnej obsługi biurowej. Produkt

miał być zastosowany w szkołach i – obok innych funkcjonalności – miał obsługiwać

zbiory wrażliwych danych osobowych dotyczących zdrowia, problemów społecznych

i innych spraw prywatnych uczniów. Zdając sobie sprawę z tego, że jednostki komunalne

Odense podlegają nie tylko ogólnym przepisom o ochronie danych osobowych, ale również

szczegółowym wymaganiom wynikającym z duńskich aktów wykonawczych, Datatilsynet

rozpoczęło inspekcję proponowanych rozwiązań Google Apps. Mimo, że duński organ

ochrony dnaych zajmował zawsze bardzo otwarte i postępowe stanowisko wobec

innowacyjnych rozwiązań teleinformatycznych – w tym wobec usług chmurowych, tym

razem uznał, że używanie Google Apps jest niewskazane przy przetwarzaniu

wrażliwych lub objętych tajemnicami prawnie chronionymi dotyczących uczniów.





Znalazł ku temu pięć podstawowych przyczyn:

1. niewystarczające zabezpieczenia umowne – powoływanie się na polityki

prywatności Google tam, gdzie wymagane powinny być instrukcje ze strony

gminy jako użytkownika;

2. niemożność zapewnienia przez Odense, że przetwarzający realizuje

w praktyce środki bezpieczeństwa, do których stosowania zobowiązał się

umownie; uznano tak mimo że Google uznawało, że jest audytowane przez

niezależny wyspecjalizowany podmiot, na podstawie standardu SAS 70 Type

II audit;

3. nieprzeprowadzenie prawidłowej oceny ryzyka przedsięwzięcia;

4. niewypełnienie wymagań duńskiego rozporządzenia technicznego przede

wszystkim w zakresie: usuwania danych osobowych, szyfrowania,

niewystarczającego raportowania nieudanych logowań i niewystarczających

dzienników użytkowania);

5. możliwość przekazania danych poza obszar Europejski Obszar

Gospodarczy (EOG).



Dekalog chmuroluba 1

Podmiot decydujący się na przekazanie choćby części swoich zasobów do chmury

musi zobowiązać dostarczyciela usługi chmurowej do przekazania

pełnej informacji o wszystkich fizycznych lokalizacjach serwerów,

na których przetwarzane są lub mogą być przetwarzane dane.

Informacja o zmianie lokalizacji powinna być przekazywana uztkownikowi

z rozsądnym wyprzedzeniem,

tak by podmiot ten mógł rozważyć nie tylko wymagania wynikające

z zasad ochrony danych osobowych

ale również z zasad ochrony tajemnic prawnie chronionych

oraz ewentualnych wymagań co do infrastruktury krytycznej Państwa.

Wymaganie to dotyczy tym samym nie tylko przekazywania zasobów do tak

zwanych państw trzecich w rozumieniu przepisów o ochronie danych osobowych,

ale również do przekazywania zasobów do państw należących do EOG,

a nawet do konkretnych centrów przetwarzania danych.




Dostarczyciel usługi chmurowej powinien umożliwić

użytkownikowi pełny dostęp do dokumentacji

dotyczącej zasad bezpieczeństwa

oraz środków technicznych

przyjmowanych w poszczególnych centrach przetwarzania danych.

Informacja taka stanowi oczywiście tajemnicę przedsiębiorcy

dostarczającego usługi chmurowe,

jest jednak niezbędna dla zapewnienia bezpieczeństwa usług.




Dostarczyciel usługi chmurowej jest zobowiązany przekazać

pełną informację dotyczącą podwykonawców

i współpracujących instytucji,

mających udział w realizacji usługi chmurowej.

Przekazana informacja powinna umożliwić użytkownikowi

ocenę wszystkich podwykonawców

w „stosie chmur” oraz umożliwić

mu ocenę roli każdego z tych podmiotów

jako przetwarzającego dane osobowe.




Każdy z podwykonawców

traktowany jako podprzetwarzający dane osobowe

powinien być związany takimi samymi

klauzulami umownymi

jak dostarczyciel usług chmurowych.

Dostarczyciel usług chmurowych powinien zaś

zarządzać całym łańcuchem podwykonawców

i ich uprawnieniami zgodnie

z instrukcjami przekazanymi przez użytkownika.




Użytkownik

będący podmiotem wykonującym zadania publiczne

powinien pozostawać

wyłącznym administratorem danych osobowych

przekazanych do chmury.

Niedopuszczalna jest sytuacja,

w której jakikolwiek dostarczyciel chmury

– nawet jeśli sam jest podmiotem publicznym –

decydowałby o celach i sposobach przetwarzania danych

niezależnie od instrukcji

ze strony administratora danych osobowych.




Dostarczyciel usługi chmurowej jest zobowiązany

informować użytkownika o wszelkich

zobowiązaniach publicznych

w stosunku do policji i organów ścigania oraz służ specjalnych

w zakresie przekazywania im dostępu do danych

zamieszczonych w chmurze przez użytkownika.

Odmowa przekazania takich informacji powinna stanowić

przeszkodę dla realizacji usługi chmurowej u danego dostarczyciela.

Wymaganie to dotyczy oczywiście również wszystkich podwykonawców

w „stosie chmur”.

Jeśli użytkownik podejmie decyzję, że może godzić się na taki dostęp do danych

instytucji publicznych (krajowych lub zagranicznych),

dostarczyciel usługi chmurowej powinien niezwłocznie informować użytkownika

o wszystkich wnioskach o udostępnienie danych z jego zasobu.




Dostarczyciel usługi chmurowej

powinien określić wspólnie z użytkownikiem

zasady przeszukiwania, retencji i usuwania

danych dostarczonych przez użytkownika.




Dostarczyciel usługi chmurowej

powinien być zobowiązany do raportowania

wszystkich incydentów bezpieczeństwa danych,

ze szczególnym uwzględnieniem tych,

które dotyczyć mogą danych osobowych

przetwarzanych przez podmiot publiczny w chmurze.

Powinien również udzielić użytkownikowi wszelkiej

możliwej pomocy przy zwalczaniu skutków takich

incydentów bezpieczeństwa.




Użytkownik powinien

w procesie negocjacji umowy

z dostarczycielem usługi chmurowej

ustalić, jakie zasady wyłączenia

lub ograniczenia odpowiedzialności

dostarczyciela usługi mogą być zastosowane

przy realizacji usługi.

Powinno to w szczególności dotyczyć wyłączeń,

o których mowa w dyrektywie o handlu elektronicznym,

czyli mere conduit, cachingu i przede wszystkim hostingu.




Użytkownik musi wszelkimi środkami

unikać przywiązania

do pojedynczego dostarczyciela usług chmurowych

i jego rozwiązań technicznych.

Interoperacyjność i przenaszalność danych

jest podstawą dla uniknięcia

„syndromu jednego dostawcy”,

który musi niekorzystnie wpływać na całość realizacji usługi

chmurowej

Na podst.: B. Segalis, Cloud Computing Legal Risk and Liability, InfoLawGroup 2011,

prezentacja s. 21-30.



Privacy Impact Assessment

Jeśli wszystkie organy ochrony danych osobowych zalecają, by przeprowadzać privacy

impast assessment (PIA) dla każdej z usług chmurowych, spróbujmy zastanowić się na

czym miałby polegać taki proces. Używając pojęć z projektu ogólnego rozporządzenia

o bezpieczeństwie danych, można powiedzieć, że przetwarzanie danych w chmurze

uznaje się z zasady za operacje stwarzające szczególne ryzyko dla praw i wolności

podmiotów danych z racji swego charakteru. Oznacza to, że tak administrator danych

osobowych jak podmiot przetwarzający powinny przeprowadzić ocenę skutków

przewidywanych operacji przetwarzania w zakresie ochrony danych osobowych.

Ocena taka powinna obejmować przynajmniej ogólny opis przewidywanych operacji

przetwarzania, ocenę ryzyk dla praw i wolności podmiotów danych, środki przewidywane

w celu sprostania ryzykom, gwarancje, środki i mechanizmy bezpieczeństwa mające

zagwarantować ochronę danych osobowych oraz wykazać zgodność z niniejszym

rozporządzeniem, uwzględniając prawa i słuszne interesy podmiotów danych i innych

zainteresowanych osób.

Przygotowując ocenę administrator powinien zwrócić się o opinie do podmiotów danych

lub ich przedstawicieli. Proponowany przepis Artykułu 33 ust. 5 rozporządzenia nie

zwalnia organu lub podmiotu publicznego z przeprowadzenia takiej oceny. Przy ocenie

usługi chmurowej nie chodzi bowiem o ocenę meritum przetwarzania, ale o ocenę

przydatność narzędzi modelu chmurowego i efektów ubocznych ich użycia.




Rezolucja Madrycka, Międzynarodowe Standardy Ochrony Prywatności

przyjęta przez Międzynarodową Konferencję Rzeczników Ochrony Danych

i Prywatności w dniu 6.11.2009 r.

Zachęta do przeprowadzania oceny wpływu przedsięwzięcia na ochronę

prywatności. Koncepcja ta została również wpisana do projektu ogólnego

rozporządzenia o ochronie danych i znalazła swoje odzwierciedlenie

w dokumentach Grupy Art. 29 (np. w zakresie RFID).

Amerykańska Federalna Komisja Handlu zobowiązała niektóre firmy internetowe

(np. Google i Facebook) do regularnego przeprowadzania PIA przez kolejnych

20 lat. Mimo, że silny polityczny nacisk na przeprowadzanie PIA, szczególnie tam

gdzie mowa o zbieraniu danych biometrycznych, danych o stanie zdrowia

lub danych związanych z bezpieczeństwem wewnętrznym, jest zauważalny

w administracji amerykańskiej, australijskiej, kanadyjskiej czy nowozelandzkiej,

w Europie idea PIA wciąż nie jest traktowana jako obowiązkowy składnik działań

administracji publicznej.




Jedynym krajem Europy, w którym PIA jest wyraźnie zalecany dla administracji

publicznej jest Wielka Brytania. Brytyjski odpowiednik GIODO (Information

Commissioner`s Office) już w 2007 r. przygotował przewodnik dla podmiotów

przeprowadzających taką ocenę. Istniejące dzisiaj schematy PIA nie odnoszą się

wprost do usług chmurowych lecz zadawane w nich pytania dotyczące oceny

ryzyka oraz proponowane środki zapobieżenia zagrożeniom mogą być z równym

powodzeniem wykorzystywane w usługach chmurowych. Najnowsze opracowanie

w tej sprawie w odniesieniu do chmur to: Information Commissioners' Office,

Guidance on the use of cloud computing. Version:1.1, Wilmslow październik 2012.

Polska administracja publiczna wciąż nie dorobiła się generalnych wskazań co do

oceny wpływu jej przedsięwzięć na ochronę prywatności . Zakładając, że takie

przewodniki powinny powstać w najbliższych latach, warto uwzględnić w nich

szczególne zagrożenia jakie mogą wynikać z przenoszenia usług publicznych do

chmur. Z pewnością wskazania co do oceny wpływu przedsięwzięcia będą

jednocześnie obejmowały zagadnienia przetwarzania w chmurach oraz Service

Oriented Architecture (SOA) .



Podstawy PIA na przykładzie zaleceń

dla australijskiej administracji publicznej






1. Has your agency established a policy or procedure for deciding when it will be

appropriate to use cloud computing services?

Does the policy or procedure address the following?

• will the proposal involve the storage or processing of personal information?

• if so, is an assessment of the ability of a cloud solution to provide adequate protection to

the personal information required?

• if sensitive personal information is involved, what extra measures might be required?

• what type of cloud service provider will be appropriate? (e.g. private, public or

community)

2. Has your agency decided what it will use cloud service infrastructure for?

• just storing

• just processing

• both storing and processing

3. Has your agency developed a contract with the cloud service provider that is consistent

with (…) the Privacy Act?

How will your agency ensure that the contract’s requirements are being met?




4. Has your agency considered what specific terms should be included in

the contract to complement the general requirement under s 95B to adhere to the

Information Privacy Principles?

Some specific matters that could be addressed in the contract include requirements

relating to:

• data breach notification

• the location of information

• access to information by agency staff

• audits

5. If personal information is to be disclosed to a cloud service provider, has your

agency determined how that disclosure will be authorised?

• express permission from individuals

• individuals are notified in privacy notice/terms and conditions

• by legislative provisions




6. If you are intending to use an off-shore cloud service provider, do you know where their

head office is located? What are the privacy implications?

7. Does your agency know where the data will be stored; keeping in mind the possibility it

may be across different countries or continents? What are the Privacy implications?

8. Keeping in mind privacy law reform, has your agency determined that there is data

protection or privacy legislation in place in relevant foreign jurisdictions that, at a

minimum, meets the requirements in the Privacy Act?

Is the relevant law enforceable?

9. Has your agency determined how the personal information will be kept separate from

other organisations’ data housed in the cloud service provider’s infrastructure?

10. Has your agency determined how employees of the cloud service provider will be

prevented from unauthorised access to the data?

Has your agency decided how it will control a cloud service provider passing personal

information onto unauthorised third party organisations or using it for purposes other than

those it was originally collected for?




11. Has your agency determined how it will monitor the cloud service provider’s

use and management of the agency’s information?

12. Has your agency determined the controls (for example, encryption) that will

be in place to ensure the security of personal information as it travels between here

and possible overseas cloud data storage location?

13. If an Australian citizen requests access or alteration to their personal

information, has your agency put in place appropriate controls so that all copies

can be retrieved and amended easily?

Has your agency put in place arrangements to ensure that where an individual

requests an amendment to their personal information and this request is not agreed

to, it will be possible to attach a statement provided by the individual regarding the

requested amendment to the record?




14. Has your agency ensured that the cloud service provider will hold the personal

information only as long as your agency needs it?

Has your agency specified how the cloud service provider will manage their

backup regime?

Has your agency specified how personal information that is no longer needed is to

be destroyed or de-identified?

15. Has your agency determined what happens at the conclusion of the contract

with the cloud service provider?

Will information be able to be retrieved or destroyed (including all backups where

appropriate) in compliance with the Privacy Act and associated legislation?


dla amerykańskiej administracji federalnej


Creating Effective Cloud Computing

Contracts for the Federal Government

Best Practices for Acquiring IT as a

Service,

US CIO Council,

Chief Aquisition Officers Council,

Federal Cloud Computing Committee,

Waszyngton luty 2012



General Questions

1. Who is actively involved in negotiating and reviewing the agency’s contract and

ancillary Service Level Agreement for cloud services?

a. Contracting Officer/Procurement? Chief Information Officer? General

Counsel? FOIA staff? Records Officer? Privacy Officer? E-Discovery

Counsel? Cybersecurity personnel?

b. What is the process for developing the agency’s needs criteria and

evaluating the cloud provider proposal and post-award performance?

2. Are the unique operational aspects of the cloud computing environment

addressed in the acquisition plan required by FAR Part 7? In particular, in

terms of the written acquisition plan format described in FAR Section 7.105,

how are technical, schedule and cost risks addressed, and has any test and

evaluation program and Government Furnished Information (GFI) to be

considered?





General Questions

3. Based on market research conducted in accordance with FAR Part 10, does the

acquisition plan contemplate use of a system integrator in addition to a

Cloud Service Provider (CSP)? Will the CSP be a subcontractor to the

system integrator, or will the CSP have a direct contractual relationship with

the agency?

4. Is there a clear statement in the contract for cloud services that all data is owned

by the agency?

5. Can the cloud provider access or use the agency’s information in the cloud?

6. How is the agency’s data handled both at rest and in motion in the cloud?

7. Who has access to the agency’s data, both in its live and backup state?





General Questions

8. In the cloud, what geographic boundaries apply to data at rest and what

boundaries are traversed by data in motion?

9. Where are the cloud servers that will store agency data physically located?

Can the provider certify where the data is located at any one point in time?

10. How will the cloud provider meet regulatory compliance requirements

applicable to the USG, [including but not limited to the Privacy Act, the

Federal Information Management and Security Act (FISMA), the Paperwork

Reduction Act, the Federal Records Act, the Freedom of Information Act

(FOIA), the Trade Secrets Act and related guidance and authorities]?




11. What is the potential termination liability that would result from application of the

contract clauses associated with FAR Part 49 Termination of Contracts?

12. How is the migration of agency data upon contract termination or completion

addressed?

13. How is agency data destroyed? (e.g. upon request? Periodically?)

a. Methodology used? (e.g. remove data pointer or overwritten in accordance with USG

security standards)

b. How does the cloud provider segregate data? If encryption schemes are used have the

design of those schemes been tested for efficacy?

14. If the cloud provider or reseller agreement incorporates “URLs” into the terms, which

policies and terms are being incorporated into the agreement? (URLs are not static and

change over time)

a. What notice is provided to the agency if URLs/policies change? Remedies for agency if

new policies or URLs are not acceptable?




15. What remedies are being agreed to for breach or violations of the agreement?

Litigation? Mediation? Waiver of right to sue?

a. Are choice of law and jurisdiction provisions in the agreement appropriate? (e.g. has the

agency unknowingly subjected itself and USG to the jurisdiction of a state or foreign

court)

16. Is the agency indemnifying the cloud provider in violation of the Anti-Deficiency Act?

a. What rights is the agency waiving, if any?

b. What limitations of liability, whether direct or indirect, is the agency granting?

c. How does the Force Majeure clause deal with the action of Federal agencies other than

the customer agency?

17. Can the agency manage content in the cloud with its own tools or only through

contractor resources?

18. How are upgrades and maintenance (hardware and software) handled? (e.g. who

conducts these activities? How often? And how is the USG advised of findings?)




19. How are asset availability, compatibility, software updates and hardware refreshes

addressed?

a. What does the agreement say about estimated outage time the cloud provider foresees for

standard hardware and software updates and the cloud provider’s estimated response

time should an emergency take the system off line?

20. What responsibility does the cloud provider have for assuring proper patching and

versioning control?

a. What language is in the agreement specifically requiring the cloud provider to take on

this responsibility?

21. Is there a discussion of how the cloud provider will continue to maintain or otherwise

support the agency’s data in a designated format to ensure that the data remains

accessible/readable over the life of the data?




Wybrana bibliografia (1)

2013 BSA Global Cloud Computing Scorecard. A Clear Path to Progress, BSA, Waszyngton-Singapur-

Londyn, Marzec 2013

M. Armbrust, A. Fox, R. Griffith, A. D. Joseph, R. H. Katz, A. Konwinski, G. Lee, D. A. Patterson, A.

Rabkin, I. Stoica, M. Zaharia, Above the Clouds: A Berkeley View of Cloud Computing, University of

California at Berkeley, Technical Report No. UCB/EECS-2009-28, Berkeley 2009,

http://www.eecs.berkeley.edu/Pubs/TechRpts/2009/EECS-2009-28.pdf.

Australian Government Policy and Risk management guidelines for the storage and processing of

Australian Government information in outsourced or offshore ICT arrangements, Business Law

Branch Attorney-General’s Department, Barton lipiec 2013

http://www.protectivesecurity.gov.au/informationsecurity/Documents/PolicyandRiskmanagementguide

linesforthestorageandprocessingofAusGovinfoinoutsourcedoroffshoreICTarrangements.pdf

L. Badger, D. Bernstein, R. Bohn, F. de Vaulx, M. Hogan, J. Mao, J. Messina, K. Mills, A. Sokol, J. Tong,

F. Whiteside, D. Leaf , US Government Cloud Computing Technology Roadmap. Volume I. High-

Priority Requirements to Further USG Agency Cloud Computing Adoption, NIST Cloud Computing

Program Information Technology Laboratory 2011.

P. Balboni, F. Fontana: Cloud computing: A guide to evaluate and negotiate cloud service agreements in

the light of the actual European legal framework , "Przegląd Prawa Technologii Informacyjnych. ICT

Law Review” Nr 1 z 2013 r. s. 12-17.

D. Bigo, G. Boulet, C. Bowden, S. Carrera, J. Jeandesboz, A. Scherrer, Fighting cyber crime and

protecting privacy in the cloud. Study, Parlament Europejski, Bruksela listopad 2012.

N. Black, Cloud Computing for Lawyers, ABA Law Practice Management Section, Chicago 2012

D.Blankenhorn, V.Ristau, C.Beesley: Cloud Computing for Govies, DLT Solutions, Herndon 2012.


L. Badger, T. Grance, R .Patt-Corner, J .Voas, Draft Cloud Computing Synopsis and Recommendations.

Recommendations of the National Institute of Standards and Technology, Computer Security Division

Information Technology Laboratory National Institute of Standards and Technology Gaithersburg,

2011.

M. Borgmann, T. Hahn, M. Herfert, T. Kunz, M. Richter, U. Viebeg, S. Vow´e, On the Security of Cloud

Storage Services, Fraunhofer Institute for Secure Information Technology SIT, Darmstadt 2012.

G. Bianco, Cloud computing i problemy ochrony prywatności w świetle włoskiej ustawy zasadniczej [w:]

G. Szpor [red.:] Internet - Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s.

49-56.

D. Bigo, G. Boulet, C. Bowden, S. Carrera, J. Jeandesboz, A. Scherrer, Fighting cyber crime and

protecting privacy in the cloud - Study, DG Internal Policies, Bruksela 2012

C. Bowden, Privacy and surveillance on the Internet What happened, and what to expect next…,

Panoptykon – Internet at the Crossroads. Warsaw September 20th, 2011, prezentacja dostępna pod

adresem:

http://wolnyinternet.panoptykon.org/sites/default/files/internet_surveillance_caspar_bowden.pdf.

N. Black: Cloud Computing for Lawyers, American Bar Association Law Practice Management section,

Chicago, luty 2012.

R. Blaha, R. Marko, A. Zellhofer, H. Liebel: Rechtsfragen des Cloud Computing, Medien und Recht,

Wiedeń 2011.

J.Budszus, H.-W.Heibey, R. Hillenbrand-Beck, S.Polenz, M.Seifert, M.Thiermann: Orientierungshilfe –

Cloud Computing. Version 1.0, Arbeitskreise Technik und Medien der Konferenz der

Datenschutzbeauftragten des Bundes und der Länder, wrzesień 2011.


D. Catteddu, G. Hogben, Cloud Computing. Benefits, risks and recommendations for information security,

European Network and Information Security Agency (ENISA), listopad 2009 .

D. Catteddu: Security & Resilience in Governmental Clouds. Making an informed decision, European

Network and Information Security Agency (ENISA), styczeń 2011.

Cavoukian, Privacy in the Clouds. A White Paper on Privacy and Digital Identity: Implications for the

Internet, Information and Privacy Commissioner, Ontario, Toronto 2007.

Cavoukian [red.]: Modelling Cloud Computing Architecture Without Compromising Privacy: A Privacy by

Design Approach, NEC & Information and Privacy Commissioner, Ontario, Toronto 2010 .

Cavoukian [red.]: Applied Privacy by Design. Privacy Risk Management, Information and Privacy

Commissioner, Ontario, Toronto 2010 .

W. Cellary, S. Strykowski: e-government based on cloud computing and service-oriented architecture

[w:] T.Janowski, J.Davies: ICEGOV'09 Proceedings of the 3rd International Conference on Theory

and Practice of Electronic Governance, ACM Press 2009 .

Cloud Computing and the Law for Senior Management and Policy Makers, JISC Legal, 2011

http://www.jisclegal.ac.uk/ManageContent/ManageContent/tabid/243/ID/2139/User-Guide-Cloud-

Computing-and-the-Law-for-Senior-Management-and-Policy-Makers-31082011.aspx.

R. Cohen: Introducing government as a service: A way for governments around the globe to offer

enabling technical services to their population. ”Cloud Computing Journal”, 29 maja 2009.

D. A. Couillard, Defogging the Cloud - Applying Fourth Amendment Principles to Evolving Privacy

Expectations in Cloud Computing, Minnesota Law Review, Vol. 93 2009, s. 2207-2208

http://www2.tech.purdue.edu/cit/Courses/cit556/readings/Couillard_MLR.pdf.

http://www2.tech.purdue.edu/cit/Courses/cit556/readings/Couillard_MLR.pdf


Conseil des barreaux européens, CCBE Guidelines on the Use of Cloud Computing Services by Lawyers,

Conseil des barreaux européens, Bruksela, 7 września 2012 r.

Council CIO, Proposed Security Assessment & Authorization for U.S. Government Cloud Computing.

Draft version 0.96, US CIO, Waszyngton listopad 2010.

Creating Effective Cloud Computing Contracts for the Federal Government Best Practices for Acquiring

IT as a Service, US CIO Council, Chief Aquisition Officers Council, Federal Cloud Computing

Committee, Waszyngton luty 2012.

P. De Filippi, S. McCarthy, Cloud Computing: Legal Issues in Centralized Architectures [w:] A.Cerrillo-i-

Martínez, M. Peguera, I. Peña-López, M. Vilasau Solana (red.:) Neutralidad de la red y otros retos

para el futuro de Internet. Actas del VII Congreso Internacional Internet, Derecho y Política.

Universitat Oberta de Catalunya, Barcelona, 11-12 de julio de 2011, Huygens Editorial, Barcelona

2011.

Department of Finance and Deregulation: Cloud Computing Strategic Direction Paper. Opportunities and

applicability for use by the Australian Government, Australian Government, Canbera kwiecień 2011.

K. Dobrzeniecki, Konflikty wartości konstytucyjnych związane z funkcjonowaniem internetu. Kazus

przetwarzania danych w chmurze [w:] G. Szpor [red.:] Internet - Cloud computing. Przetwarzanie w

chmurze, C.H.Beck, Warszawa 2013, s. 39-48.

M. Ferrar, M. Gray, K. Craig-Wood: Data Centre Migration, G-Cloud and Applications Store Programme

Phase 2. Technical Architecture Workstrand Report, Cabinet Office, Londyn, maj 2010.

Federal Financial Institutions Examination Council, Outsourced Cloud Computing, FFIEC, lipiec 2012.


Fischer, Ochrona prywatności i wykorzystanie instrumentów samoregulacji w modelu cloud

computing w związku z zagrożeniami związanymi z przetwarzaniem danych [w:] G. Szpor

[red.:] Internet - Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013,

s. 213-230.

T. L. Forsheit, Cloud Computing and Legal Ethics – Recent Perspective from the American Bar

Association, the New York State Bar Association, and the State Bar of California, AIPLA Mid-

Winter Institute Home 2011.

M. Gawroński (red.:) Cloud Computing w Sektorze Finansowym Regulacje i Standardy, Forum

Technologii Bankowych Związku Banków Polskich, Warszawa 2011 .

R. Gellman, Privacy in the Clouds: Risks to Privacy and Confidentiality from Cloud Computing,

World Privacy Forum, luty 2009 .

Government Cloud Computing. Scalable and Secure, Agile and Afordable , ”On The Frontlines”,

Vol 2, nr 7, październik 2010.

S. Guilloteau, V. Mauree, Privacy in Cloud Computing.ITU-T Technology Watch Report, ITU,

Genewa marzec 2012. www.itu.int/techwatch

T.Haeberlen, D.Liveri, M.Lakka, Good Practice Guide for securely deploying Governmental Clouds,

ENISA, Bruksela, Listopad 2013

R.Harms, M.Yamartino: The Economics of the Cloud for EU Public Sector, Microsoft, październik

2010.

G. Hogben, M. Dekker, Procure Secure: A guide to monitoring of security service levels in cloud

contracts, European Network and Information Security Agency (ENISA), Heraklion 2012.


V. Homburg, Understanding E-government. Information systems In public administration, Routledge,

Oxon 2008, s. 67-71.

P. Hustinx: Opinion of the European Data Protection Supervisor on Promoting Trust in the Information

Society by Fostering Data Protection and Privacy, EDPS & Komisja Europejska 2010 .

Information Commissioners' Office, Guidance on the use of cloud computing. Version: 1.1, Wilmslow

październik 2012.

Information Technology Reform. Progress Made but Future Cloud Computing Efforts Should be Better

Planned . Report to the Subcommittee on Federal Financial Management, Government Information,

Federal Services, and International Security, Committee on Homeland Security and Governmental

Affairs United States Senate, GAO-12-756, United States Government Accountability Office, lipiec

2012, http://www.gao.gov/products/GAO-12-756 .

McClure, Cloud Shopping Made Easy, "On The Frontlines. Government Cloud Computing" Vol. 3 Nr 4

2011.

W. Jansen, T. Grance: Guidelines on Security and Privacy in Public Cloud Computing. NIST Special

Publication, Computer Security Division Information Technology Laboratory National Institute of

Standards and Technology, grudzień 2011.

K. L. Jackson, Government Cloud Computing, Norfolk, Dataline LLC 2009.

Kenny, T. Gordon, Cloud computing issues for legal practices, Law Society Journal Vol. 50, Nr 5.

W.Kuan Hon, Ch.Millard, I.Walden: The problem of ‘personal data’ in cloud computing: what information

is regulated? The cloud of unknowing, International Data Privacy Law 2011/1.

W.Kuan Hon, Ch.Millard, I.Walden: Who is Responsible for 'Personal Data' in Cloud Computing?


The Cloud of Unknowing, Part 2, Queen Mary University of London, School of Law - Centre for

Commercial Law Studies 2011.

W. Kuan Hon, Ch. Millard, Data Export in Cloud Computing. How can Personal Data be Transferred

outside the EEA? The Cloud of Unknowing, Part 4, Queen Mary University of London, School of Law

Legal Studies Research Paper No 85/2011, Londyn 2011.

J. Kurek, Prawne uwarunkowania świadczenia usług w chmurze w obrocie konsumenckim [w:] G. Szpor

[red.:] Internet - Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s. 153-170.

M. Kutyłowski, Technologie bezpieczeństwa dla przetwarzania w chmurze [w:] G. Szpor [red.:] Internet -

Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s. 3-12

M. Ledwoch, Przegląd architektury Chmur Prywatnych , TechNet Microsoft, 12.12.2012


R. Lew-Starowicz, Zagrożenia dzieci w chmurach i ich przezwyciężanie [w:] G. Szpor [red.:] Internet -

Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s. 189-198.

Linnér, Denmark - The cloud is brought down to earth, Linklaters Technology, Media &

Telecommunications News, 17.3.2011,

http://www.linklaters.com/Publications/Publication1403Newsletter/TMT_Newsletter_March_2011/Pa

ges/04_Denmark_Cloud_Brought_Down_Earth.aspx.

T. Mather, S.Kumaraswamy, S. Latiff : Cloud Security and Privacy. An Enterprise Perspective on Risk and

Compliance, O’Reilly 2009.

W. Maxwell, Ch. Wolf, A Global Reality: Governmental Access to Data in the Cloud. A comparative

analysis of ten international jurisdictions, Hogan Lovells, Paryż - Waszyngton 2012,

http://cryptome.org/2012/07/gov-spy-cloud.pdf.


D. McClure, C. Coleman, Providing A Helping Hand "On The Frontlines. Government Cloud Computing"

Vol. 3 Nr 6 2012.

P. Mell, T. Grance: The NIST Definition of Cloud Computing (Draft) Recommendations of the National

Institute of Standards and Technology, Computer Security Division Information Technology

Laboratory National Institute of Standards and Technology, styczeń 2011.

Ch. Millard, Cloud Computing Law, OUP Oxford, paźdź. 2013.

R. Miralles, Cloud computing y protección de datos, IDP: Revista de Internet, Derecho y Política Nr 11 z

2010 r.

Monarcha-Matlak, Karta praw klientów chmury [w:] G. Szpor [red.:] Internet - Cloud computing.

Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s. 171-188.

N. Moreno, Joint Data Controllership in outsourcing and cloud computing, Privacy Law & Business

United Kingdom Report, Nr 64 z 2012 r. s. 13-15.

S. Nwankwo: Privacy Impact Assessment Model for Deploying e-Health Applications in Cloud

Transformations: Legal and Ethical Perspective, Göttingen International Colloquium on IT and Law,

Getynga 2012, www.uni-goettingen.de/de/412550.html

M. Oetzel, S. Spiekermann, Privacy-by-Design Through Systematic Privacy Impact Assessment – A Design

Science Approach, ECIS - Conference Proceedings, 2012.

Osterwalder, Cloud computing. Przetwarzanie na dużą skalę i bezpieczeństwo [w:] G. Szpor [red.:]

Internet - Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s. 13-24.

S. Pearson: Taking Account of Privacy when Designing Cloud Computing Services, HP Laboratories

HPL-2009-54, marzec 2009.


R.C. Picker: Competition And Privacy In Web 2.0 And The Cloud, Northwestern University Law Review

Colloquy Vol. 103:1.

Proposed Security Assessment & Authorization for U.S. Government Cloud Computing. Draft version

0.96, US CIO, Waszyngton 2010.

Ch.Reed: Information Ownership in the Cloud [w:] G.Teixeira, A.S.Carvalho [red.:] Os 10 Anos de

Investigaçao, Almadina 2010, s.135-159W.J. Robison, Free at What Cost?: Cloud Computing Privacy

Under the Stored Communications Act, “Georgetown Law Journal”, Vol. 98, Nr 4, 2010.

J. Reidenberg, N. C. Russell, J. Kovnot, T. B. Norton, R. Cloutier, D. Alvarado, Privacy and Cloud

Computing in Public Schools, Center on Law and Information Policy. Book 2. Fordham, Nowy Jork

grudzień 2013 r. http://ir.lawnet.fordham.edu/clip/2

W. J. Robison, Free at What Cost? Cloud Computing Privacy Under the Stored Communications Act, 1196

The Georgetown Law Journal, Vol. 98 z 2010 r, s. 1212-1223.

N. Robinson, L. Valeri, J. Cave, T. Starkey, H. Graux, S. Creese, P. Hopkins, The Cloud: Understanding

the Security, Privacy and Trust Challenges. Final Report, Directorate-General Information Society

and Media, European Commission, Bruksela 2010.

M. Sakowska-Baryła, Cloud computing a autonomia informacyjna jednostki [w:] G. Szpor [red.:] Internet

- Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s. 143-152.

Shaping Govenment Clouds. Government Cloud Computing, ”On The Frontlines”, 3 zima 2010.

L. Schubert, K. Jeffery, B. Neidecker-Lutz, The Future of Cloud Computing Opportunities for European

Cloud Computing Beyond 2010. , Komisja Wspólnot Europejskich, DG Społeczeństwo Informacyjne i

Media, Bruksela 2010.

Segalis, Cloud Computing Legal Risk and Liability, InfoLawGroup 2011 .


Siewicz, Prywatność w serwisach społecznościowych. Nowe wyzwania dla ruchu wolnego

oprogramowania [w:] G. Szpor, W. R. Wiewiórowski [red:] Internet. Prawno-informatyczne problemy

sieci, portali i e-usług, C.H.Beck, Warszawa 2012.

R. M. Stallman, What Does That Server Really Serve? Boston Review, 18.3.2010 r.; elektroniczna wersja

tego artykułu jest również dostępna w języku polskim pod adresem

http://www.gnu.org/philosophy/who-does-that-server-really-serve.html jako R. Stallman, Komu tak na

prawdę służy ten serwer? GNU.org.

J. B. Svantesson, Data protection in cloud computing – The Swedish perspective, Computer Law &

Security Review, Vol. 28, Nr 4 z 2012 r.

B. Szafrański, Czy cyfrowa chmura zmieni fundament działalności władzy publicznej? [w:] G. Szpor

[red.:] Internet - Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s. 67-82.

M. Świerczyński, Cloud computing a zasady CLIP dotyczące własności intelektualnej [w:] G. Szpor [red.:]

Internet - Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s. 201-212.

M. Świtała, Dopuszczalność przetwarzania elektronicznej dokumentacji medycznej w chmurze [w:] G.

Szpor [red.:] Internet - Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s.

131-142.

G. Szpor, Prawne aspekty dostępności chmur [w:] G. Szpor [red.:] Internet - Cloud computing.


G. Szpor [red.:] Internet - Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013.

R. M. Thompson II: Cloud Computing: Constitutional and Statutory Privacy Protections, Congressional

Research Service 7-5700, Waszyngton Marzec 2013


Trzos, Włoska administracja i sądy wobec chmury [w:] G. Szpor [red.:] Internet - Cloud computing.


V. Varma, Cloud Computing for E-Governance. A white paper, International Institute of Information

Technology, Hajdarabad 2010.

Vaile, K. Kalinich, P. Fair, A. Lawrence: Data Sovereignty and the Cloud: A Board and Executive Officer’s

Guide - Technical, legal and risk governance issues around data hosting and jurisdiction, Cyberspace

Law and Policy Centre - UNSW Faculty of Law, Sydney lipiec 2013

Vincent, K.Crooks, Cloud Computing in 2013 - What legal commitments can you expect from your

provider? Shelston IP, Marzec 2013 http://www.shelstonip.com/case_study.asp?cid=13

Walden: Ensuring Competition in the Clouds: The Role of Competition Law, Queen Mary University of

London, School of Law 2011.

Walden: Accessing Data in the Cloud: The Long Arm of the Law Enforcement Agent, Research Paper No.

74/2011, Queen Mary University of London, School of Law 2011.

T. Weichert: Cloud Computing und Datenschutz .Cloud Computing aus datenschutzrechtlicher Sicht . 4.

Österreichischer IT-Rechtstag INFOLAW, 18.06.2010

Z. Whittaker, Microsoft admits Patriot Act can access EU-based cloud data, ZDNet, 28.6.2011

http://www.zdnet.com/blog/igeneration/microsoft-admits-patriot-act-can-access-eu-based-cloud-

data/11225.

W. R. Wiewiórowski, Privacy and the Liability of Intermediary Service Provider in the Clouds. E-

Governmental Aspects [w:] F. Zombor [red:] International Data Protection Conference 2011, Magyar

Kozlony Lap-Es Konyvkiado, Budapeszt 2011.


W. R. Wiewiórowski, Prawne aspekty udostępniania usług administracji publicznej w modelu chmury [w:]

G. Szpor [red.:] Internet - Cloud computing. Przetwarzanie w chmurze, C.H.Beck, Warszawa 2013, s.

83-120.

D. C. Wyld: Moving to the Cloud: An Introduction the the Cloud Computing in the Govenment, IBM

Center for The Business of Government 2009.

Zgajewski (red.:) Cloud computing w sektorze finansowym. Raport Forum Technologii Bankowych przy

Związku Banków Polskich, Forum Technologii Bankowych ZBP, Warszawa 2013.

dr Wojciech R. Wiewiórowski

ul. J.Bażyńskiego 6, pok 1032

80-952 Gdańsk

+48-58-523 29 76

[email protected]


I tym optymistycznym akcentem

kończąc

zachęcam do dyskusji

