Коментари И Интервюта

Известни и неизвестни правни рискове в облака

CIO Media

Весела Кабатлийска
Радина Вакрилова

Един от най-известните политически цитати е на Доналд Ръмсфелд, бивш министър на отбраната на САЩ, относно „неизвестните неизвестни“. На пресконференция той казва:
„… както знаем, има известни известни. Това са нещата, които знаем, че знаем. Също така има известни неизвестни. Това са неща, които знаем, че не знаем. Но също има и неизвестни неизвестни. Това са нещата, които не знаем, че не знаем.“ 

Живеейки в ерата на информационните технологии и имайки достъп до огромен масив от всевъзможна информация, трудно можем да си представим, че все още има неизвестни неизвестни, и рядко си задаваме въпроси за тях. Оказва се обаче, че редица такива неизвестни фигурират именно в областта на компютърната сигурност.

Адвокат Весела Кабатлийска (ляво) и адвокат Радина Вакрилова са специалисти по трудово право и защита на личните данни в Адвокатско дружество „Динова, Русев и съдружници“

От гледна точка на доставчиците на облачни услуги, подобна неизвестност обикновено е най-съществената част от запазването на търговските тайни и иновационния характер на Облака.

От страна на ползвателите-клиенти на услугата обаче, тези неизвестни често водят до неизвестни и неподозирани правни рискове.

Ето защо считаме от особена важност да разкрием някои неизвестни и да подчертаем някои от най-известните рискове, свързани с ползването на облачни услуги.

РИСК (A): Нарушаване на защитата на личните данни 

     1. Кога е налице нужда от защита на лични данни в Облака?
Същността на облачните услуги предполага най-често предоставяне на лични данни на физически лица (служители, клиенти и др.) с цел съхранението и обработката на тези данни.

      2. Правни роли на участниците
Клиентът е основното задължено по закон лице при използване на облачни услуги за съхранение и/или обработване на лични данни, а именно заема ролята „администратор на лични данни“.

Доставчикът почти винаги е „обработващ“ лични данни, по смисъла на закона. Обработване на данни имаме винаги, когато за целите, за които са предоставени данните (например съхранение), Доставчикът и/или негови подизпълнители осъществяват достъп до тях (например за въвеждането им и сортирането им в търсачки).

Ако Доставчикът обаче обработва предоставените му данни за самостоятелни цели, различни от определените от Клиента, тогава той на собствено основание става администратор. В това си качество вече, Доставчикът носи пълна отговорност за законосъобразното обработване, съхранение и защита на данните.

       3. Отговорности
Клиентът-администратор е този, който по закон дължи спазване на всички правила за осигуряване необходимата защита на личните данни, които е получил.

Доставчикът-обработващ е изпълнител на Клиента, негов помощник при обработване, съхранение, унищожаване на данните.

Поради горното, Клиентът е законово задължен да определи как Доставчикът да предостави необходимата защита на данните.

В случаите, в които на Клиента му е отнета възможността да преговаря (например при прилагане на наложени от Доставчика общи условия) или няма достатъчно информация за получаваната услуга, съществува особено висок риск от нарушаване на правилата за защита на личните данни.

РИСК (Б): Неизвестна локация на сървъра = незаконосъобразен трансфер на данни

Идеята на Облаците е да съществуват някъде, но без да заемат необходимото за друго физическо пространство в офиса или в дома. Точно като истинските облаци – ако не си надигнем погледа към тях, може и никога да не разберем там ли са, или не.

За тези Облаци обаче, често се оказва, че е неясно къде физически се намират данните в даден момент от денонощието – в 10 часа те се намират в Германия, а в 11 часа – в САЩ или Южна Африка. Чии закони тогава властват над Облака и участниците в него?

Клиентът-администратор осъществява трансфер на лични данни винаги при предоставянето им към Доставчика на облачните услуги.

Доставчикът – обработващ трябва да предостави пълна информация на Клиента за начина, по който ще обработва данните, и най-вече относно физическата им локация.

Последното е от решаващо значение за Клиента, защото той като администратор, който трансферира лични данни, трябва да прецени каква процедура следва да инициира пред компетентния орган (в България това е КЗЛД) за законосъобразност на трансфера – разрешителна или уведомителна.

Обратно, ако Клиентът няма информация къде ще бъдат съхранявани и/или обработвани трансферираните от него в Облака данни, същият ще осъществи нарушение на законодателството, правейки незаконосъобразен трансфер.

Локацията на сървърите е от голямо значение за Клиента и данните му и поради друга причина. Определени държавни органи в някои държави извън ЕС имат широки правомощия и могат да получат достъп до съхраняваната информация, който Доставчикът не може да откаже. Такъв достъп обаче е незаконосъобразен според правните системи в ЕС.

РИСК (В): Споделени ресурси = намалена защита и конфликт на интереси за Клиентите на Облака

Отново в самата природа на Облака е заложен принципът на споделеност – много Клиенти използват едни и същи физически ресурси. От друга страна, често Доставчиците обединяват средства и усилия, за да предлагат конкурентни цени. Така, още по дефиниция, са заложени и големите рискове, свързани с намалена защита и възможни конфликти на интереси.

Практиката показва, че Клиенти са били способни да възстановят данни на други Клиенти, и то от място, което се е предполагало, че е „ново“ хранилище. Някои са успявали да разкрият чужди IP адреси. Случвало се е и при търсене да се получи достъп до данни на друг Клиент. Като към всичко това се добави възможността част от Клиентите на Облака да са конкуренти, рискът от разкриване на ноу-хау или друга поверителна информация за даден бизнес придобива особено голямо значение.

Препоръка към Клиентите

Да се обърне внимание на видовете защити, прилагани в Облака. Да се намерят задоволителни отговори въпросите: как се идентифицира и по какъв начин се контролира достъпът до Облака, шифрират ли се данните и как (често не е възможно данните да се запазят криптирани по време на обработка или трансфер, а само докато са в „покой“). От ключово значение е както нивото на достъп до Облака от страна на служителите на Клиентите, така и на самите служители на Доставчика. Твърде рисковано е да се делегира неограничен достъп или профили с най-широки привилегии на когото и да било от тях. Добре е да се поинтересувате какъв е принципът на отчетност при Доставчика – как се регистрира всяка операция в Облака.

Препоръка към Доставчиците

Като цяло, субективният фактор не трябва да се подценява. Добра практика е Доставчикът да предупреди и инструктира Клиента за опасностите от изтичане на информация, ако се предоставят права за достъп на широк кръг потребители. Може да се предвиди и задължително уведомяване в случай на регистрирани от Доставчика нарушения, злоупотреби и други проблеми, касаещи информация на Клиента.

РИСК (Г): Опасност за конфиденциалността при използване на много подизпълнители

Конфиденциалността на информацията в Облака най-често е застрашена от служителите и подизпълнителите на Доставчика.

Препоръка към Клиентите

Добре е в договора между Клиент и Доставчик да се съдържат клаузи за поверителност и неразкриване на съответната информация, както и клаузи, задължаващи Доставчика да предоставя списък на всички свои подизпълнители и промените в тях.

Препоръка към Доставчиците

Доставчикът трябва да е наясно с факта, че носи отговорност за действията на всеки от подизпълнителите си. Затова е препоръчително в договорите с подизпълнители да се съдържат същите клаузи като в договора с Клиента.

РИСК (Д): Невъзможност за заличаване на данни

Едно решение на Съда на Европейския съюз наскоро предизвика широк публичен интерес и дори даде началото на законодателни промени в целия ЕС. Става дума за делото на Испанската агенция за защита на личните данни срещу Google, по отношение на т.нар. „право да бъдеш забравен“. Тясно свързано с това решение е правото на лицата да бъдат заличени техни данни, когато законният срок за съхранението им е изтекъл.

Клиентът-администратор е задължен да пази личните данни за срок, не по-дълъг от необходимия за целите, за които са обработвани. Оказва се обаче, че заличаването на информацията в Облаците е доста чувствителна тема. Случвало се е данни да не могат да бъдат премахнати напълно, понеже така ще се унищожи диск, използван и от други Клиенти.

Препоръка към Клиентите

Още при сключване на договора между Клиент и Доставчик, този въпрос да бъде изрично уреден, като се гарантира ефективно заличаване на данните, когато настъпят основанията за това, без каквато и да е възможност за тяхното възстановяване.

РИСК (Е): Загубване на правото на собственост

Може би повечето Клиенти ще бъдат изненадани да научат, че често те не са еднолични титуляри на правото на собственост върху информацията, която са прехвърлили в Облака. Дори най-големите Доставчици нерядко включват клаузи в общите си условия, според които те придобиват право на собственост върху предадените им данни. По този начин си осигуряват по-добра позиция, в случай че се дискредитират данните (например при загуба, изтичане на информация, незаконен достъп на трети лица). Понякога пък Доставчиците продават бизнеса си, заедно с данните на Клиентите си, на лица, които може да са преки конкуренти на Клиента.

Проблемът има дори по-дълбоко изражение: правото на собственост е застрашено и от гледна точка на интелектуалната собственост, доколкото в Облаците често се създават оригинални произведения – приложения, нов софтуер и т.н.

Препоръка към Клиентите

Специални договорни клаузи следва да определят изрично собствеността в Облака. Клиентът трябва да се увери, че договорът зачита правата му на собственост, без да прави компромис с качеството на услугата.

Епилог

Разгледаните рискове са само част от правните рискове, които могат да съществуват при използването на облачни услуги. Предвид динамиката на този вид услуга, препоръчително е Клиентите винаги да правят задълбочен анализ на възможните рискове, преди да ги поемат, използвайки услугата. Това е от особено значение, както с оглед информационната им сигурност, така и предвид високия размер на санкциите, които могат да им бъдат наложени – до 100 000 лв.

Важно е да се отбележи, че идентифицирането на всички възможни рискове е от особено значение не само за Клиентите на облачни услуги, а и за техните Доставчици. Бързоразвиващият се и конкурентен пазар на тези услуги неминуемо в един момент ще даде предимство на Доставчиците, които предлагат услуга без или с най-малко рискове за Клиента й. В тази насока са и насочени усилията на Европейската комисия, обсъждала неведнъж проблемите, предмет на настоящото изложение.


X