“ози сайт използва бисквитки (cookies). јко желаете можете да научите повече тук. –азбрах

Ќовини  оментари
бр. 9, 2015

»звестни и неизвестни правни рискове в облака

»зключително важно е да разкрием н€кои неизвестни и да подчертаем н€кои от най-известните рискове, свързани с ползването на облачни услуги

от , 30 септември 2015 0 4940 прочитани€,

¬есела  абатлийска
–адина ¬акрилова

≈дин от най-известните политически цитати е на ƒоналд –ъмсфелд, бивш министър на отбраната на —јў, относно „неизвестните неизвестни“. Ќа пресконференци€ той казва:
„… както знаем, има известни известни. “ова са нещата, които знаем, че знаем. —ъщо така има известни неизвестни. “ова са неща, които знаем, че не знаем. Ќо също има и неизвестни неизвестни. “ова са нещата, които не знаем, че не знаем.“ 

∆ивеейки в ерата на информационните технологии и имайки достъп до огромен масив от всевъзможна информаци€, трудно можем да си представим, че все още има неизвестни неизвестни, и р€дко си задаваме въпроси за т€х. ќказва се обаче, че редица такива неизвестни фигурират именно в областта на компютърната сигурност.

ѕрочетете още: »нформационната сигурност - време за избор на противодействаща или превантивна стратеги€

јдвокат ¬есела  абатлийска (л€во) и адвокат –адина ¬акрилова са специалисти по трудово право и защита на личните данни в јдвокатско дружество „ƒинова, –усев и съдружници“

ќт гледна точка на доставчиците на облачни услуги, подобна неизвестност обикновено е най-съществената част от запазването на търговските тайни и иновационни€ характер на ќблака.

ќт страна на ползвателите-клиенти на услугата обаче, тези неизвестни често вод€т до неизвестни и неподозирани правни рискове.

≈то защо считаме от особена важност да разкрием н€кои неизвестни и да подчертаем н€кои от най-известните рискове, свързани с ползването на облачни услуги.

–»—  (A): Ќарушаване на защитата на личните данни 

     1.  ога е налице нужда от защита на лични данни в ќблака?
—ъщността на облачните услуги предполага най-често предостав€не на лични данни на физически лица (служители, клиенти и др.) с цел съхранението и обработката на тези данни.

      2. ѕравни роли на участниците
 лиентът е основното задължено по закон лице при използване на облачни услуги за съхранение и/или обработване на лични данни, а именно заема рол€та „администратор на лични данни“.

ƒоставчикът почти винаги е „обработващ“ лични данни, по смисъла на закона. ќбработване на данни имаме винаги, когато за целите, за които са предоставени данните (например съхранение), ƒоставчикът и/или негови подизпълнители осъществ€ват достъп до т€х (например за въвеждането им и сортирането им в търсачки).

јко ƒоставчикът обаче обработва предоставените му данни за самосто€телни цели, различни от определените от  лиента, тогава той на собствено основание става администратор. ¬ това си качество вече, ƒоставчикът носи пълна отговорност за законосъобразното обработване, съхранение и защита на данните.

       3. ќтговорности
 лиентът-администратор е този, който по закон дължи спазване на всички правила за осигур€ване необходимата защита на личните данни, които е получил.

ƒоставчикът-обработващ е изпълнител на  лиента, негов помощник при обработване, съхранение, унищожаване на данните.

ѕоради горното,  лиентът е законово задължен да определи как ƒоставчикът да предостави необходимата защита на данните.

¬ случаите, в които на  лиента му е отнета възможността да преговар€ (например при прилагане на наложени от ƒоставчика общи услови€) или н€ма достатъчно информаци€ за получаваната услуга, съществува особено висок риск от нарушаване на правилата за защита на личните данни.

–»—  (Ѕ): Ќеизвестна локаци€ на сървъра = незаконосъобразен трансфер на данни

»де€та на ќблаците е да съществуват н€къде, но без да заемат необходимото за друго физическо пространство в офиса или в дома. “очно като истинските облаци – ако не си надигнем погледа към т€х, може и никога да не разберем там ли са, или не.

«а тези ќблаци обаче, често се оказва, че е не€сно къде физически се намират данните в даден момент от денонощието – в 10 часа те се намират в √ермани€, а в 11 часа – в —јў или ёжна јфрика. „ии закони тогава властват над ќблака и участниците в него?

 лиентът-администратор осъществ€ва трансфер на лични данни винаги при предостав€нето им към ƒоставчика на облачните услуги.

ƒоставчикът – обработващ тр€бва да предостави пълна информаци€ на  лиента за начина, по който ще обработва данните, и най-вече относно физическата им локаци€.

ѕоследното е от решаващо значение за  лиента, защото той като администратор, който трансферира лични данни, тр€бва да прецени каква процедура следва да инициира пред компетентни€ орган (в Ѕългари€ това е  «Ћƒ) за законосъобразност на трансфера – разрешителна или уведомителна.

ќбратно, ако  лиентът н€ма информаци€ къде ще бъдат съхран€вани и/или обработвани трансферираните от него в ќблака данни, същи€т ще осъществи нарушение на законодателството, правейки незаконосъобразен трансфер.

Ћокаци€та на сървърите е от гол€мо значение за  лиента и данните му и поради друга причина. ќпределени държавни органи в н€кои държави извън ≈— имат широки правомощи€ и могат да получат достъп до съхран€ваната информаци€, който ƒоставчикът не може да откаже. “акъв достъп обаче е незаконосъобразен според правните системи в ≈—.

–»—  (¬): —поделени ресурси = намалена защита и конфликт на интереси за  лиентите на ќблака

ќтново в самата природа на ќблака е заложен принципът на споделеност – много  лиенти използват едни и същи физически ресурси. ќт друга страна, често ƒоставчиците обедин€ват средства и усили€, за да предлагат конкурентни цени. “ака, още по дефиници€, са заложени и големите рискове, свързани с намалена защита и възможни конфликти на интереси.

ѕрактиката показва, че  лиенти са били способни да възстанов€т данни на други  лиенти, и то от м€сто, което се е предполагало, че е „ново“ хранилище. Ќ€кои са усп€вали да разкри€т чужди IP адреси. —лучвало се е и при търсене да се получи достъп до данни на друг  лиент.  ато към всичко това се добави възможността част от  лиентите на ќблака да са конкуренти, рискът от разкриване на ноу-хау или друга поверителна информаци€ за даден бизнес придобива особено гол€мо значение.

ѕрепоръка към  лиентите

ƒа се обърне внимание на видовете защити, прилагани в ќблака. ƒа се намер€т задоволителни отговори въпросите: как се идентифицира и по какъв начин се контролира достъпът до ќблака, шифрират ли се данните и как (често не е възможно данните да се запаз€т криптирани по време на обработка или трансфер, а само докато са в „покой“). ќт ключово значение е както нивото на достъп до ќблака от страна на служителите на  лиентите, така и на самите служители на ƒоставчика. “върде рисковано е да се делегира неограничен достъп или профили с най-широки привилегии на когото и да било от т€х. ƒобре е да се поинтересувате какъв е принципът на отчетност при ƒоставчика – как се регистрира вс€ка операци€ в ќблака.

ѕрепоръка към ƒоставчиците

 ато ц€ло, субективни€т фактор не тр€бва да се подцен€ва. ƒобра практика е ƒоставчикът да предупреди и инструктира  лиента за опасностите от изтичане на информаци€, ако се предостав€т права за достъп на широк кръг потребители. ћоже да се предвиди и задължително уведом€ване в случай на регистрирани от ƒоставчика нарушени€, злоупотреби и други проблеми, касаещи информаци€ на  лиента.

–»—  (√): ќпасност за конфиденциалността при използване на много подизпълнители

 онфиденциалността на информаци€та в ќблака най-често е застрашена от служителите и подизпълнителите на ƒоставчика.

ѕрепоръка към  лиентите

ƒобре е в договора между  лиент и ƒоставчик да се съдържат клаузи за поверителност и неразкриване на съответната информаци€, както и клаузи, задължаващи ƒоставчика да предостав€ списък на всички свои подизпълнители и промените в т€х.

ѕрепоръка към ƒоставчиците

ƒоставчикът тр€бва да е на€сно с факта, че носи отговорност за действи€та на всеки от подизпълнителите си. «атова е препоръчително в договорите с подизпълнители да се съдържат същите клаузи като в договора с  лиента.

–»—  (ƒ): Ќевъзможност за заличаване на данни

≈дно решение на —ъда на ≈вропейски€ съюз наскоро предизвика широк публичен интерес и дори даде началото на законодателни промени в цели€ ≈—. —тава дума за делото на »спанската агенци€ за защита на личните данни срещу Google, по отношение на т.нар. „право да бъдеш забравен“. “€сно свързано с това решение е правото на лицата да бъдат заличени техни данни, когато законни€т срок за съхранението им е изтекъл.

 лиентът-администратор е задължен да пази личните данни за срок, не по-дълъг от необходими€ за целите, за които са обработвани. ќказва се обаче, че заличаването на информаци€та в ќблаците е доста чувствителна тема. —лучвало се е данни да не могат да бъдат премахнати напълно, понеже така ще се унищожи диск, използван и от други  лиенти.

ѕрепоръка към  лиентите

ќще при сключване на договора между  лиент и ƒоставчик, този въпрос да бъде изрично уреден, като се гарантира ефективно заличаване на данните, когато настъп€т основани€та за това, без каквато и да е възможност за т€хното възстанов€ване.

–»—  (≈): «агубване на правото на собственост

ћоже би повечето  лиенти ще бъдат изненадани да научат, че често те не са еднолични титул€ри на правото на собственост върху информаци€та, ко€то са прехвърлили в ќблака. ƒори най-големите ƒоставчици нер€дко включват клаузи в общите си услови€, според които те придобиват право на собственост върху предадените им данни. ѕо този начин си осигур€ват по-добра позици€, в случай че се дискредитират данните (например при загуба, изтичане на информаци€, незаконен достъп на трети лица). ѕон€кога пък ƒоставчиците продават бизнеса си, заедно с данните на  лиентите си, на лица, които може да са преки конкуренти на  лиента.

ѕроблемът има дори по-дълбоко изражение: правото на собственост е застрашено и от гледна точка на интелектуалната собственост, доколкото в ќблаците често се създават оригинални произведени€ – приложени€, нов софтуер и т.н.

ѕрепоръка към  лиентите

—пециални договорни клаузи следва да определ€т изрично собствеността в ќблака.  лиентът тр€бва да се увери, че договорът зачита правата му на собственост, без да прави компромис с качеството на услугата.

≈пилог

–азгледаните рискове са само част от правните рискове, които могат да съществуват при използването на облачни услуги. ѕредвид динамиката на този вид услуга, препоръчително е  лиентите винаги да прав€т задълбочен анализ на възможните рискове, преди да ги поемат, използвайки услугата. “ова е от особено значение, както с оглед информационната им сигурност, така и предвид високи€ размер на санкциите, които могат да им бъдат наложени – до 100 000 лв.

¬ажно е да се отбележи, че идентифицирането на всички възможни рискове е от особено значение не само за  лиентите на облачни услуги, а и за техните ƒоставчици. Ѕързоразвиващи€т се и конкурентен пазар на тези услуги неминуемо в един момент ще даде предимство на ƒоставчиците, които предлагат услуга без или с най-малко рискове за  лиента й. ¬ тази насока са и насочени усили€та на ≈вропейската комиси€, обсъждала неведнъж проблемите, предмет на насто€щото изложение.

 ќћ≈Ќ“ј–» ќ“  

ѕолезни страници
    «а нас | јудитори€ | –еклама |  онтакти | ќбщи услови€ | ƒеклараци€ за поверителност | ѕолитика за бисквитки |
    ƒействителни собственици на насто€щото издание са »во √еоргиев ѕрокопиев и “еодор »ванов «ахов