Jana Pattynová Cloud Computing 2015, 8. prosince 2015
Cloud Computing Právní a regulační rámec
Cloud Computing: poznaná nutnost Ekonomické výhody cloudu jej činí každodenní realitou Cloudová řešení jsou zejména vhodná pro současnou globální ekonomiku Přes 84 % organizací ve Velké Británii nasadilo alespoň jednu cloudovou službu (Cloud Industry Forum, 2015) Rozvoj rychlého internetového připojení umožňuje využít více cloudových řešení
Dotazy zákazníků při přechodu do cloudu
Mohu důvěřovat dodavateli cloudu?
Budou má data v bezpečí?
Neporuším pravidla ochrany osobních údajů?
Jak se sektorová regulace dotýká cloudu?
MOHUmodel DŮVĚŘOVAT DODAVATELI • Business CLOUDU? • Contract – Termination provisions
(obchodní model a smlouva)
SPOLEHLIVÝ CLOUD
Obchodní modely ve veřejném cloudu Cloud computing je komplexní služba, která posouvá vztah odběratele a dodavatele na úroveň strategického partnerství
„Invest in innovation & sell what you build“ Oracle Microsoft IBM SalesForce
X
„Invest in innovation & monetize data “
Amazon Google
SPOLEHLIVÝ CLOUD
Smlouva o poskytování cloudu
POSKYTNUTÍ LICENCE
G-cloud
* Rozsah služby / SLA / Ochrana dat
HOSTING*
CLOUD COMPUTING
SPOLEHLIVÝ CLOUD
Licenční smlouva Běžná licenční smlouva
Cloudová licence
Jednorázové poskytnutí licence
Možnost průběžné platby (pay as you go)
„Cloud First“ Pevný počet licencí (Shared First)
(uživatelů, produktů)
Spojené státy Velká Británie Většinou nezahrnuje další Irsko služby Singapur
„Cloud if it makes sense“
Škálovatelnost založená na Austráliezměně počtu uživatelů a „The Australian produktů Government
and its agencies may choose Zahrnuje služby hostingu - SLA, cloudúprava based bezpečnosti services if they a právního demonstrate value for money režimu nakládání s údaji and adequate security“
SPOLEHLIVÝ CLOUD
Hosting Různý rozsah hostingových služeb SaaS PaaS (Software (Platform as a as a Service) Service) „Cloud First“ (Shared First)
IaaS (Infrastruc ture as a Service)
One-to-many service Spojené státy Velká Británie − Standardní technické řešení Irsko − Standardní Singapur smlouva (“take it or leave it”) − Prostor pro vyjednávání limitován z povahy služby
Doporučení pro smlouvy o poskytování cloudu Stanovisko pracovní skupiny zřízené podle článku 29 Bezpečnostní opatření, která musí poskytovatel cloudových služeb dodržet Podmínky vrácení dat uložených v cloudu v případě ukončení smlouvy z jakéhokoli důvodu Povinnost poskytovatele informovat zákazníka o změnách služby Povinnost poskytovatele informovat zákazníka o bezpečnostních rizicích a případném úniku dat
Závazek důvěrnosti dat uložených v cloudu Povinnost poskytovatele poskytnout zákazníkovi seznam lokalit, kde budou data uložena Smlouvy o úrovni služeb (SLA) Smluvní pokuty za poskytování služby v rozporu s SLA Povinnost poskytovatele informovat zákazníka, pokud státní orgány vyžadují přístup k uloženým datům Obecná záruka poskytovatele, že jeho interní procesy zajišťují dostatečnou bezpečnost dat a jeho postupy jsou plně v souladu s použitelnými právními předpisy
SPOLEHLIVÝ CLOUD
Srovnávací studie Evropské komise Srovnávací studii k zákonné a smluvní úpravě SLA v rámci EU Výslovná úprava cloudu či SLA je v EU mimořádně vzácná – úprava např. na Slovensku ve výnosu Ministerstva financí Cloudové a SLA vychází ze zásady smluvní „Cloudsmlouvy First“ (Shared First) volnosti – většina státu EU
Spojené státy Dokument představuje (i) modelové SLA Velká Británie (ii) „checklist“ klíčových ujednání SLA Irsko Singapur
a
SPOLEHLIVÝ CLOUD
Modelové cloud SLA & checklist
Model SLA
• Na základě údajů získaných z členských států EU v rámci studie Komise připravila modelovou SLA smlouvu pro cloudové služby • Technologicky neutrální, B2B orientovaná SLA využitelná mezinárodně pro SaaS, PaaS i IaaS
Checklist
• Seznam ujednání, která by si měl zákazník při vyjednávání SLA pro cloudové služby zkontrolovat • Doplněk k modelové SLA – nástroj na revizi SLA nabízeného poskytovatelem
CLOUD SLA CHECKLIST Does the SLA clearly identify the cloud service(s) to which it is linked? Is it clear whether the SLA is legally binding, or is it merely a nonbinding statement of targets? Does the SLA clearly list any exceptions to its applicability; i.e. does it describe what happens during scheduled maintenance, force majeure events, cybercrime attacks, etc.? Are remedies clearly defined? Is there a clear list of commitments that the CSP will undertake? Is it clear who measures compliance with the commitments? Is there a reporting or monitoring mechanism to evaluate compliance with the commitments on a continuous basis? Does the customer need to claim remedies in case of breaches, or will the CSP proactively offer the remedies? Is there is mechanism for resolving disputes, i.e. is there a way to address any disagreements on whether the SLA was complied with or not? Can the CSP unilaterally change the terms of the SLA? Is it clear what happens if the Services Agreement is terminated while the customer is still entitled to a remedy? Are the commitments of the SLA appropriate for your Services Agreement?
• Business model BUDOU MÁ DATA V BEZPEČÍ? • Contract
– Termination provisions
BEZPEČNOST DAT
Budou má data v bezpečí? DŮVĚRNOST Bude poskytovatel využívat má data?
Zákaz používání zákaznických dat poskytovatelem Zákaz zpřístupňovat data třetím osobám
ZABEZPEČENÍ Budou má data zabezpečena proti neoprávněnému „Cloud First“ přístupu? (Shared First)
ISO certifikáty, mezinárodní aliance
Spojené státy Velká Británie (soulad Irskos ochranou osobních údajů) Singapur
Pouze data identifikující fyzické osoby (ve většině členských států EU) Jak zákazník (jakožto správce osobních údajů) tak poskytovatel (jakožto zpracovatel osobních údajů) musí zajistit soulad se zákonnými požadavky
OSOBNÍ ÚDAJE
NEPORUŠÍM • Business model PRAVIDLA OCHRANY • Contract OSOBNÍCH ÚDAJŮ? – Termination provisions
OCHRANA OSOBNÍCH ÚDAJŮ
Ochrana osobních údajů Regulováno na úrovni EU, platí pro uživatele z komerčního i veřejného sektoru
• Specifika některých zemí: více na http://pierstone.com/cloud-computing-in-theczech-republic/
Významní poskytovatelé zajišťují soulad s pravidly ochrany osobních údajů EU
• Poskytovatelé se mohou lišit v řešení přeshraničního předávání dat, nicméně jinak jsou režimy ochrany osobních údajů velice podobné • Modelové klauzule EU poskytují vyšší standard ochrany dat, ale zákazník musí ověřit jejich správnou implementaci
OCHRANA OSOBNÍCH ÚDAJŮ
Jak funguje předávání dat
Zákazník = „Cloud Správce First“ (Shared First) Spojené státy Velká Británie Irsko Singapur
Poskytovatel služby Zpracovatelé = mimo EU „Cloud if it makes sense“ Zpracovatel (*datováAustrálie centra „The Australian Government v EU) and its agencies may choose cloud based services if they demonstrate value for money and adequate security“ Smlouva o zpracování osobních údajů – technické a organizační prostředky
OCHRANA OSOBNÍCH ÚDAJŮ
Transfer osobních údajů mimo EU Rozhodnutí Komise o standardních smluvních doložkách
Safe Harbor 2? „Cloud First“ Individuální souhlas (Shared First) Spojené státy Rozhodnutí Komise Velká Británie (Kanada) Irsko Singapur Závazná podniková
pravidla
Stanovený smluvní obsah s pomocí kterého mohou být osobní údaje předávány mimo EU
OCHRANA OSOBNÍCH ÚDAJŮ
Safe Harbor 2: lepší cesta Rozhodnutí SDEU v případě Schrems Politický nástroj k urychlení vyjednávání o „Safe Harbor 2“?
„Cloud if it makes sense“ Nový a lepší „Cloud First“ „Safe Harbor 2“: (Shared First)
Austrálie „The Australian Government Požaduje po amerických zákonodárcích přijmout Spojené státy and its agencies may choose opatření, která poskytnou dostatečné záruky ochrany Velká Británie based osobních údajů pro subjektycloud údajů EU services if they Irsko value money Singapur Předpokládá se, že dohoda demonstrate bude uzavřena doforkonce r. and adequate security“ 2016
• Business model SEKTOROVÁ REGULACE CLOUDU? • Contract – Termination provisions
BEZPEČNOST DAT
Finanční sektor
Regulace na úrovni EU
MIFID I & II, CRD IV, CRR, Solvency II (účinnost od 1.1.2016)
Obecné požadavky na outsourcing
„Cloud First“ (Shared First) Vyhláška ČNB
č. 163/2014 Sb. Spojené státy
Příloha č. 7 Velká Británie Irsko Singapur
„Cloud if it makes sense“ Požadavky na outsourcing nad rámec práva EU Austrálie Podrobné lokální požadavkyGovernment na smluvní rámec, některé „The Australian standardní produkty veřejného cloudu jsou schopné and its agencies may choose požadavky splnit
cloud based services if they demonstrate value for money and adequate security“
BEZPEČNOST DAT
Zdravotnický sektor Citlivé údaje
„Cloud First“ (Shared First) Zdravotnická
dokumentace Spojené státy
Velká Británie Irsko Singapur
V ČR nejsou žádné dodatečné požadavky, které by bránily nasazení cloudových technologií V některých zemích (např. Německo) jsou významná omezení předávání citlivých údajů do zahraničí
Zdravotnická zařízení souhlas pacienta zpracovávat „Cloud if it mají makes sense“ údaje v rámci zdravotnické dokumentace ze zákona
Austrálie není výslovně upraven Režim outsourcingu
Australian Government Zákon č.„The 372/2011 Sb., o zdravotních službách + vyhláška č. 98/2012 zdravotnické dokumentaci andSb., its oagencies may choose Např. požadavky na zabezpečení, zákaz dodatečné cloud based services they modifikace zápisů, životnost zápisu,ifbezpečnostní kopie atd. demonstrate value for money and adequate security“
• Business model • Contract ZÁVĚREČNÉ SHRNUTÍ – Termination provisions
ZÁVĚŘEČNÉ SHRNUTÍ
Klíčové body Mohu důvěřovat svému dodavateli? Zákazník musí rozumět obchodnímu modelu poskytovatele a smluvním ujednáním ve smlouvě uzavřené s poskytovatelem. Budou má data v bezpečí? Ochrana dat je zajištěna smluvně prostřednictvím povinností důvěrnosti dat a prostřednictvím technických bezpečnostních prostředků (osvědčení datových center nezávislými certifikáty, např. ISO certifikace).
ZÁVĚŘEČNÉ SHRNUTÍ
Klíčové body Neporuším pravidla ochrany osobních údajů? Stejná pravidla na ochranu osobních údajů platí pro zákazníky z komerčního a veřejného sektoru. Většina renomovaných poskytovatelů soulad s EU legislativou zajišťuje. Modelové klauzule poskytují vyšší standard ochrany dat než Safe Harbor, nicméně zákazník musí ověřit jejich správnou implementaci. Jak se sektorová regulace dotýká cloudu? Zákazníci některých sektorů (finanční sektor, zdravotnictví) musí zajistit dodržení zvláštních pravidel sektorové regulace, které se vztahují ke cloudovým službám (outsourcingu).
Vedoucí kancelář v oblasti práva technologií ve střední a východní Evropě.
Spolu s kancelářemi v Londýně, Bruselu a Moskvě jeden z největších právních týmů zaměřených specifické aspekty práva TMT v Evropě.
Ve střední a východní Evropě jsme poskytovali poradenství na největších M&A, litigačních a outsourcingových projektech v TMT sektoru.
Pro více informací: www.pierstone.com
Kontakt Jana Pattynová Na Příkopě 9 110 00 Praha 1 +420 777 738 040
[email protected]
