Kako pripraviti pogodbo za storitve v oblaku

„Poroka“ ali
pogodba za
storitve v oblaku
S L A P OG ODBA
BO R I S KOZL E V ČA R, P R AV NA P I SA RNA JK G RO U P
G ZS - SUVI, 1 1 . 6.201 4
2014
KDO SMO
SPECIALIZRANA PRAVNA PISARNA
ZA IT PRAVO
• Skupina pravnikov/odvetnikov s strastjo do informacijskih tehnologij
• 2008 ustanovitev pravne pisarne JK Group
• vizija
• Internet, IT, telekomunikacije
• 2013 vzpostavljanje EU mreže naprednih pravnih pisarn speciliziranih v IKT področje
(Cyber Law Office)
• 2014 odpiranje pisarne v Londonu
• Komu pravno krijemo hrbet (internet posli, IT podjetja, telekomunikacijska podjetja, ISP
providerji, telekomunikacijski regulatorji, družbe naročniki IT storitev)
2014
SLA
• Kaj je SLA?
• Kaj je PLA?
• Kaj so pravne pogodbene določne?
2014
SMERNICE za pripravo SLA in PLA
pogodb
2014
SLA
2014
SLA
2014
Glavna vprašanja pred podpisom
•
Kdo je lastnik podatkov (ima pravice na podatkih)?
•
Kje se (osebni) podatki (lahko) nahajajo?
•
Kako lahko dostopam do podatkov (up-time, prenos)?
•
Kdo ima dostop do podatkov (in pod kakšnimi pogoji)?
•
Kako so (osebni) podatki zavarovani?
•
Kaj se zgodi s podatki po izteku pogodbe?
2014
KJE SE PODATKI STRANKE (LAHKO)
NAHAJAJO
• Načeloma odgovornost uporabnika oblačnih storitev (ne izključno)
• Iznos osebnih podatkov v tretje države (izven EEA):
–
Posebni pogoji (odločba IP, osebna privolitev posameznika)
–
Varni pristan (Safe Harbor) / Vzorčne klavzule EU (del pogodbe med ponudnikom
in naročnikom), VENDAR dolžnost naročnika, da preveri zavarovanje OP pri
ponudniku
–
Rešitev: podatkovni centri znotraj EU (MS: Irska, Nizozemska)
2014
KAKO SO (OSEBNI) PODATKI
VAROVANI
•
Obveznosti naročnika v zvezi s pogodbeno obdelavo OP:
–
S posredovanjem podatkov v oblak se odgovornost za OP ne zmanjša, prej
obratno
•
Zaveze, ki jih mora spoštovati ponudnik:
–
Sprejeta organizacijska in tehnična pravila in ukrepi za varstvo osebnih podatkov
(od dostopa do in varovanja data centrov do politike dodeljevanja in spreminjanja
gesel)
2014
KDAJ potrebujem pravnika za
pravna vprašanja glede SLA?
2014
GLAVNE DILEME OBLAČNIH
POGODB (ZA DOMA)
Glavne dileme (za konkretno delo):
• Lokacija podatkov
• Regulacijske in zakonodajne zahteve
• Varnost in zaupnost
• Vsebinske določbe
• Intelektualne pravice
• Vpogledi tretjih strank
2014
LOKACIJA
Zakonske omejitve:
- Fizično hranjenje (nekatere države imajo restriktivne zahteve npr. EU) – ni
neposredno
- Pristojnost zakonodaje
- Zahteve po 2. lokaciji
- E-hramba ZVDAGA
Zahteve in omejitve stranke
- Še posebej pomembno pri multinacionalkah, državna uprava
Davčne želje ponudnikov
- Davčni stroškovni učinki
- Zahteve regulatorjev
2014
ZAKONODAJNE IN
REGULATORJEVE ZAHTEVE
Podatki, ki jih ne smete izdati stranki:
- npr.: nalog za prisluškovanje na GSM,…
Ravnanje z občutljivimi podatki
- posebne zahteve (osebni podatki, zdravstveni podatki,….)
Zakonsko zahtevani podatki
- določene panoge morajo hraniti določene podatke
Zahteve za e-hrambo
- ZVDAGA, E-arhiv, ETZ-ji, akreditacija
Nivoji dostopa
- določitev skupin uporabnikov z nivoji dostopa
Lokacija podatkov in nadzor nad fizično lokacijo podatkov
- tehnične zahteve določajo tudi zakonodaje
Varen prenos podatkov
- zahtevana inkripcija prenosa podatkov
- velikokrat dolžnost ponudnika
Dolžnost nadzora in ukrepanja nad nelegalnimi in neprimernimi aktivnostmi
2014
VARNOST IN KRIPTIRANJE
Varnost
- Varnostna politika je tehnični izziv
- Odgovornost ponudnika je pravni izziv
Varno kriptiranje podatkov
- Zavarovanje prenosa
- Zavarovanje podatkov na lokaciji
- Zavarovanje identifikacije uporabnika
- Kdo ima dostop do katerega nivoja
- Tveganje varnosti povezave uporabnika (tveganje naročnika)
- Zahteve zaradi nadzornih organov
- Testiranje procedur (obveznost ali priporočilo?)
Zavarovanje proti hekerskim napadom
Zavarovanje proti višji sili
Noben ponudnik ne more nuditi 100% varnosti
2014
VARNOST IN KRIPTIRANJE
Kateri nivo inkripcije uporabiti?
- Sicer je to tehnično vprašanje, v praksi pa lahko nastane velik problem, če zaradi napake ne moremo
obnoviti podatkov
Fizična varnost
Varnost dostopa (firewall, enkripcija, pravice dostopa,…)
- Nivoji dostopa
- Dostop tretjih oseb (razvijalci, ostali)
Varovanje digitalnih podatkov
- Zakon nalaga ponudnikom in naročnikom postopke in aktivnosti za zagotavljanje za varnosti
digitalnih podatkov
2014
VSEBINSKE DOLOČBE
Termini nerazpoložljivosti
- Kdaj se lahko izvajajo redna “vzdrževalna dela” (update posodobitev)
- Izpadi internetne povezave (Kaj lahko garantirate, kaj je sprejemljivo za naročnika)
- Obstajajo omejitve na določene platforme, aplikacije
Možnost migracije med oblaki
- Naročnik ni vezan na eno lokacijo
- Je omogočeno prehajanje med ponudniki (kako je z dostopnostjo in obvezami za dostop do podatkov,
v kakšni obliki se prenos/predaja naredi)
Zahteve za vzpostavitev back-upa
Zahteve po hranjenju podatkov
- Naročnik ni vezan na eno lokacijo Je omogočeno prehajanje med ponudniki (kako je z dostopnostjo
in obvezami za dostop do podatkov, v kakšni obliki se prenos/predaja naredi)
- Poznate vse regulatorske zahteve, ki zadevajo izvajalca in naročnika?
2014
VSEBINSKE DOLOČBE
Zadovoljivi nivoji storitve
- Pasovna širina, izpadi, odzivni roki, podporne storitve,…
Izključitev odgovornosti ob višji sili?
- Za njo ponudnik običajno ne odgovarja, v praksi pa se pojavljajo različna tolmačenja kaj je višja sila
- Kaj je ponudnik dolžan narediti?
- Zunanji vzroki (lahko dodamo notranje)
Čas in oblika hranjenja podatkov
- Zakonske določbe
- Davčna regulativa
Varovanje občutljivih podatkov
- Osebni podatki so v veliko državah posebej regulirani (zakonske zahteve, zahteve internih pravil naročnika)
- Poslovne skrivnosti
- Občutljivi podatki
- Dokazna vrednost
2014
VSEBINSKE DOLOČBE
Tveganje nekvalitetno opravljanja storitve
- Dostopnost storitve (pogosto tveganje)
- Kaj lahko naredimo v primeru, da ponudnik propade
- ali ni odziven
- Vključitev escrow ali kaj podobnega
-…
Kršitve varnosti
- Kaj so glavna tveganja in kako jih opredelimo in kakšne so sankcije (npr. odškodninska odgovornost)?
(razkritje poslovnih skrivnosti,…)
2014
…in kateri pravnik Vašemu oblaku
krije hrbet?
[email protected]
059091794
2014