EuroCloud vodič po področju računalništva v oblaku Slovenska zakonodaja, varovanje osebnih podatkov &skladnost Smernice Področje: Računalništvo v oblaku Slovenska zakonodaja, varovanje osebnih podatkov&skladnost Verzija: februar 2012
1/31 Vsebina 1. IZDAJATELJ 3 2. PREDGOVOR 4 3. UVOD 7 4. ZAKONSKE ZAHTEVE 8 5. GLAVNO VPRAŠANJE PRI IZBIRI PONUDNIKA RAČUNALNIŠTVA V OBLAKU 9 6. BISTVENE SESTAVINE POGODBE O OBDELOVANJU OSEBNIH PODATKOV 10 6.1 OBLIKA 6.2 PREDMET POGODBE 6.3 MEDNARODNO OBDELOVANJE PODATKOV (VKLJUČNO Z UPORABO TUJIH SREDSTEV IN PODOBDELOVALCEV) 6.4 ODGOVORNOST 6.5 PRAVICE UPORABNIKA DO NADZORA 6.6 ORGANIZACIJSKI, TEHNIČNI IN LOGIČNO-‐TEHNIČNI UKREPI IN POSTOPKI 6.7 VKLJUČEVANJE PODIZVAJALCEV (POGODBENIH PODOBDELOVALCEV) IN NJIHOV NADZOR 6.8 ROK VELJAVNOSTI IN VRAČANJE PODATKOV 10 10 7. PODROČNO IN PANOŽNE POSEBNOSTI 20 7.1 FINANČNE STORITVE 7.2 ZAKON O ELEKTRONSKIH KOMUNIKACIJAH 7.3 KNJIGOVODSTVENE ZAHTEVE 7.4 PRAVNE OBVEZNOSTI HRAMBE PODATKOV 7.5 OSEBE, KI JIH VEŽE URADNA IN POKLICNA MOLČEČNOST 20 21 23 24 24 8. KONTROLNI PREGLED – SKLADNOST Z ZAKONODAJO 25 8.1 SKLENITEV IN OBLIKA POGODBE 8.2 UČINKI ZA PODIZVAJALCA 8.3 ZARAČUNAVANJE 8.4 MOTNJE V DELOVANJU 8.5 PRENEHANJE POGODBE 8.6 INSOLVENTNOST PONUDNIKA 8.7 SKLADNOST 26 26 26 27 27 28 29 12 13 14 15 18 19 2/31 1. Izdajatelj Zavod e-‐Oblak Dimičeva ulica 13 1000 Ljubljana Slovenija e-‐mail: [email protected] Web: www.eurocloud.si Upravni odbor: Boštjan Mešič (Astec d.o.o.) Gregor Pipan (Xlab d.o.o.) Tone Stanovnik (Špica International d.o.o.) Dušan Zupančič (Gospodarska zbornica Slovenije) 3/31 2. Predgovor Dragi bralci, Inovacija je gonilo razvoja in ekonomske stabilnosti posamezne družbe, ki želi slediti najboljšim. V Sloveniji je v letu 2010 začel delovati Zavod e-‐Oblak kot kompetenčni center s področja računalništva v oblaku, v katerega je vključena večina slovenskih IT podjetij kot tudi vse tri slovenske univerze oz. njene posamezne članice in Inštitut Jožef Štefan. Zavod e-‐Oblak deluje v tesni povezavi s predstavniki gospodarstva, saj je bil ustanovljen v okviru Združenja za informatiko in telekomunikacijo (ZIT) na Gospodarski zbornici Slovenije. Kompetenčni center e-‐Oblak, katerega dolgoročna usmerjenost je predvsem v povezovanju, je član evropskega združenja EuroCloud Europe s sedežem v Parizu. Deluje kot eden izmed izvozno prebojnih kompetenčnih centrov v okviru združenja ZITex pri GZS in je vpet v mednarodne aktivnosti na področju računalništva v oblaku. Potenciala na tem področju so se v zadnjem času zavedla že tudi podjetja, saj jim ta način računalništva ponuja prenovo poslovanja in novih poslovnih razmislekov, kjer je možno najeti informacijske storitve in jih uporabljati od koderkoli, kadarkoli in s katerekoli naprave. Na nek način nam poslovni uporabniki pošiljajo signal: »Razmislite kako nam boste ponudili vašo IKT tehnologijo na način 100% dostopnost od koderkoli, kadarkoli, po predvidljivi ceni.« »Stari licenčni modeli postajajo preteklost. Prihaja prihodnost modela naročanja na IKT storitev (»subsription based« modelov), podobno kot danes naročamo elektriko v naša podjetja in domove. 4/31 V domačem okolju smo se takšnemu principu že popolnoma prepustili. Nihče več ne razmišlja o svojem mail strežniku in podobnih tehnologijah, nihče doma ne razmišlja, da bi moral zato kupovati namensko strojno opremo ali plačevati licenco za uporabo programske opreme. Raje poiščemo kdo ima to IT storitev v svoji ponudbi računalništva v oblaku in to tam najamemo za določeno ceno ali jo za določen čas uporabljamo celo zastonj. Priložnosti uveljavljenih IT ponudnikov pa niso brez tveganja. Ali bodo zmožni to spremembo izpeljati, ali so dovolj kapitalsko močni, da investirajo v novo ponudbo v smislu izobraževanja internih kadrov, kupcev, spremembe internih procesov pa naj so programska hiša, telekomunikacijski operater, podatkovni center, distribucijski kanal, podjetje s področja komunikacij, vse to samo z namenom, da bodo postali novodobno podjetje na trgu internet ponudbe s pravim načinom razmišljanja (»mindsetom«) seveda. Postaviti se moramo izven svojih obstoječih okvirov in pogledati svoje poslovanje skozi oči novih generacij, ki gleda poslovanje danes skozi oči interneta, mobilnosti, sms-‐ov, online chatov, ki so njihovo dnevno orodje. V tem novem svetu računalništva v oblaku, ki se razvija v naši neposredni bližini, paralelno z obstoječimi IKT sistemi, ki jih imamo v lastnih podjetjih, moramo iznajti nove storitve, ne produktov, vsi skupaj se moramo naučiti kako postati ponudnik storitev, z zagotavljanjem tistega kar smo napisali v naših pogodbah o nivoju storitev (SLA) svojim novim kupcem, kupcu pa moramo seveda ponuditi zaupanja vredno storitev in popolno varnost, brez omejitev, skladno s pogoji, ki nam jih podaja zakonodajalec. Naprimer če želi ponudnik programske opreme postati ponudnik storitev, se lahko ozre po izkušnje k ponudniku telekomunikacijskih storitev. Popolnoma mora spremeniti konfiguracije svoje programske rešitve, zagotoviti mora podporo skladno s podpisano pogodbo o nivoju storitve, ki jo zagotavlja ponudnik storitve, ki je lahko ali sam ponudnik programske opreme ali pa njegovo programsko opremo ponuja končnemu uporabniku kakšen večji operater storitev v telekomunikacijski industriji, ki išče nove storitev za svoje uporabnike. 5/31 Ponudnik programske opreme mora zagotoviti popolnoma novo prodajno ekipo, nove marketinške pristope, nove partnerje, nov način proizvajanja svojih storitev, pričenjajo se mu dogajati novi finančni tokovi in končno se mu spreminja tudi struktura njegovega kapitala. In če pogledamo še malo bolj od daleč, kot po naključju se okoli nas praktično istočasno dogajajo tri krize, ki na pogled nimajo nič skupnega. Prva kriza je finančna kriza, ki zahteva od nas racionalizacijo na vseh področjih in ta je pravzaprav hkrati tudi gonilna sila za razvoj področja računalništva v oblaku. Denarja je bilo v preteklosti dovolj za financiranje v vse IT projekte, velikokrat tudi z denarjem s katerim sploh nismo razpolagali. Javni dolg se vedno bolj veča, tako da se bodo morale tudi države zamisliti kako racionalizirati stroške vezane na storitve javnega sektorja. Področje računalništva v oblaku je torej tudi v javnem sektorju pravi odgovor, tudi zaradi vprašanj povezanih z varovanjem okolja. In tu je še tretja kriza, ki se nam dogaja danes, kjer pa lahko s pomočjo konsolidacije tehnologij v oblaku ponudimo bistveno zmanjševanje onesnaževanja okolja. Ljubljana, Februar 2012 Dalibor Baškovč Direktor, Zavod e-‐Oblak Član upravnega odbora EuroCloud Europe 6/31 3. Uvod Področje varovanja informacij in skladnost na področju lokalne zakonodaje sta dve področji, ki izstopata po pomembnosti na področju računalništva v oblaku, saj izjemno vplivata tako na ponudnika storitev računlništva v oblaku kot tudi uporabnike. V nadljevanju vam zato podajamo smernice, ki jih je smiselno pri srečevanju z omenjenim področjem poznati, preden se odločimo za uporabo enega od ponudnikov. Teme, obravnavane v spodnjem zapisu se dotikajo omenjenih storitev s posebnim poudarkom na pogojih, pod katerimi se sklepajo pogodbna razmerja med ponudnikom in uporabnikom, varovanju podatkov in informacij, pogodbeno določenih nivojev storitev. 7/31 4. Zakonske zahteve Glavno skrb glede skladnosti z zakonodajo v zvezi z računalništvom v oblaku vzbuja varstvo podatkov. V smernicah se zato posebej obravnavajo vprašanja, ki izhajajo iz pogodbenih razmerij med uporabnikom in ponudnikom. Smernice za varstvo podatkov postanejo relevantne, ko govorimo o osebnih podatkih, kot so podatki o stranki ali podatki o zaposlenih. Upoštevati je potrebno dejstvo, da je pojem osebni podatek v Zakonu o varstvu osebnih podatkov (ZVOP-‐1) definiran zelo široko. Osebni podatek je tako katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko v kateri je izražen. V praksi bo tako le malo aplikacij, ki ne bodo ali vsaj delno ne bodo obdelovale osebnih podatkov uporabnika. Pogodbena vprašanja (za katere veljajo določbe civilnega prava), ki se nanašajo na SaaS (software as a service) storitve in urejajo raven storitve, omejitev odgovornosti in pogoje za prenehanje ali odstop od pogodbe, v tem projektnem načrtu oz. smernicah niso zajete. Te smernice so namenjene izpolnjevanju zahtev glede varstva podatkov (11. člen ZVOP-‐1) in določanju vsebine pogodbenega razmerja med ponudniki SaaS storitev (računalništvo v oblaku) in njihovimi strankami. Smernice se v glavnem nanašajo na specifična vprašanja v zvezi z zaščito podatkov na področju računalništva v oblaku in ponujajo različne pristope k skladnosti obdelovanja osebnih podatkov, ki je značilen za računalništvo v oblaku, z zakonodajo. Uvodoma je potrebno upoštevati sledeče: v Stranka ostaja odgovorna za zakonito obdelovanje podatkov znotraj delovnega okvira uporabe računalništva v oblaku v smislu 11. člena ZVOP-‐1. Stranka lahko uporablja omenjeno storitev le za obdelavo osebnih podatkov v obsegu in za namen, za katerega je pridobila dovoljenje, in sicer pred uporabo teh storitev. Uporabnik, in s tem tudi stranka je v zvezi z uporabo storitve računalništva v oblaku odgovorna za zakonito obdelovanje podatkov (11. člen ZVOP-‐1) 8/31 v Sklenitev Pogodbe o obdelovanju osebnih podatkov, ki pri posredovanju podatkov predstavlja osnovo glede varstva podatkov, je potrebna tudi v obdobju, ko se storitev le preizkuša. A se podpisu takšne pogodbe v poizkusnem obdobju lahko izognemo, in sicer tako da v fazi testiranja ne uporabimo resničnih podatkov. v Organi držav članic Evropskega Unije in Evropskega gospodarskega prostora, pristojni za varstvo osebnih podatkov, storitev računalništva v oblaku in rešitve SaaS storitev obravnavajo kritično. Predvsem smatrajo kot problematična vprašanja, ki se pojavljajo v zvezi z izvajanjem nadzora in navodil uporabnika, postopkov in ukrepov za varovanje podatkov, kakor tudi lokacije pogodbenega obdelovalca ter posluževanja možnosti pogodbenega podobdelovanja v središčih zunaj Evropske unije oziroma Evropskega gospodarske prostora. Kljub vsemu omenjeni organi pristojni za varstvo osebnih podatkov uporabe računalništva v oblaku in storitve SaaS ne zavračajo v celoti. Smernice ponujajo praktične rešitve, ki se nanašajo na problematična vprašanja v zvezi z varstvom podatkov in ki jih avtorji tega besedila smatrajo kot ustrezne. 5. Glavno vprašanje pri izbiri ponudnika računalništva v oblaku Stranka mora ponudnika storitve izbrati skrbno, ter zagotoviti, da ponudnik storitve pred začetkom obdelave osebnih podatkov prevzame, spoštuje in izvaja dogovorjene ter ustrezne organizacijske, tehnične in logično–tehnične postopke in ukrepe. V praksi to pomeni, da mora uporabnik storitve, preden je pogodba podpisana preveriti ali je ponudnik registriran za opravljanje takšne dejavnosti. Prav tako ima uporabnik storitve pravico in dolžnost pogodbenega obdelovalca nadzirati in preverjati ali ta izvaja v pogodbi dogovorjene ukrepe in postopke. Pogodba o obdelovanju osebnih podatkov, mora biti sklenjena tudi, ko se storitev računalništva v oblaku le preizkuša v kolikor se pri testiranju uporabijo resnični podatki. Stranka mora pogodbenega obdelovalca skrbno izbrati. Ko je pogodba sklenjena, pa mora stranka redno prevarjati ali pogodbeni obdelovalec na ustrezen način zagotavlja potrebne organizacijske, tehnične in logično-‐tehnične postopke in ukrepe. 9/31 6. Bistvene sestavine Pogodbe o obdelovanju osebnih podatkov 6.1 Oblika Pogodba je veljavna v kolikor je sklenjena v pisni obliki. V praksi se to lahko izvede tako, da pogodbo obe stranki lastnoročno podpišeta, lahko pa se pri sklenitvi pogodbe uporabi tudi kvalificirani elektronski podpis. V kolikor stroga merila za kvalificirani elektronski podpis niso izpolnjena se lahko na zahtevo stranke, brez nepotrebnega odlašanja, pošlje pogodbo, podpisano s strani pooblaščene osebe ponudnika, ki je identična tisti sklenjeni s pomočjo spleta. Lahko se določi tudi, da pravice in obveznosti (npr. plačilo pristojbin), ki izhajajo iz pogodbe ostanejo v veljavi, ne glede na to ali je pogodba sklenjena v pisni obliki. Pogodbo o obdelovanju osebnih podatkov je potrebno skleniti v pisni obliki, ter lastnoročno podpisati, lahko pa se pogodba sklene tudi v elektronski obliki s pomočjo elektronskega kvalificiranega podpisa. 6.2 Predmet pogodbe Vrsta storitve je lahko le na grobo opisana, medtem ko morajo biti ravnanja v zvezi z obdelavo osebnih podatkov v pogodbi natančno opredeljena (npr. gostovanje, uporaba, vzdrževanje in vzpostavitev spletnega dostopa do določene aplikacije, prenos podatkov). Kadar gre za osebne podatke je potrebno storitev natančneje opisati: Zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, delovanje, vzdrževanje, dostop in, prenos podatkov, itd. V zvezi s pripravo na sklenitev pogodbe je potrebno ugotoviti in Prilagajanje: Ali se odvija določiti katere vrste osebnih podatkov lahko pogodbeni obdelovalec pred ali po prenosu osebnih obdeluje in določiti namen obdelave osebnih podatkov ter natančen podatkov? obseg pravic, ki jih pogodbeni obdelovalec s to pogodbo pridobi (11. člen ZVOP-‐1). V kolikor je v funkcionalnem opisu ali v splošnih informacijah Ali se obdelujo osebni podatki ponudnika o varstvu podatkov določeno katere vrste podatkov in in kako? način, kako se posamezni podatki obdelujejo znotraj delovnega procesa določene aplikacije, se v pogodbi lahko sklicujemo na 10/31