„Poroka“ ali pogodba za storitve v oblaku S L A P OG ODBA BO R I S KOZL E V ČA R, P R AV NA P I SA RNA JK G RO U P G ZS - SUVI, 1 1 . 6.201 4 2014 KDO SMO SPECIALIZRANA PRAVNA PISARNA ZA IT PRAVO • Skupina pravnikov/odvetnikov s strastjo do informacijskih tehnologij • 2008 ustanovitev pravne pisarne JK Group • vizija • Internet, IT, telekomunikacije • 2013 vzpostavljanje EU mreže naprednih pravnih pisarn speciliziranih v IKT področje (Cyber Law Office) • 2014 odpiranje pisarne v Londonu • Komu pravno krijemo hrbet (internet posli, IT podjetja, telekomunikacijska podjetja, ISP providerji, telekomunikacijski regulatorji, družbe naročniki IT storitev) 2014 SLA • Kaj je SLA? • Kaj je PLA? • Kaj so pravne pogodbene določne? 2014 SMERNICE za pripravo SLA in PLA pogodb 2014 SLA 2014 SLA 2014 Glavna vprašanja pred podpisom • Kdo je lastnik podatkov (ima pravice na podatkih)? • Kje se (osebni) podatki (lahko) nahajajo? • Kako lahko dostopam do podatkov (up-time, prenos)? • Kdo ima dostop do podatkov (in pod kakšnimi pogoji)? • Kako so (osebni) podatki zavarovani? • Kaj se zgodi s podatki po izteku pogodbe? 2014 KJE SE PODATKI STRANKE (LAHKO) NAHAJAJO • Načeloma odgovornost uporabnika oblačnih storitev (ne izključno) • Iznos osebnih podatkov v tretje države (izven EEA): – Posebni pogoji (odločba IP, osebna privolitev posameznika) – Varni pristan (Safe Harbor) / Vzorčne klavzule EU (del pogodbe med ponudnikom in naročnikom), VENDAR dolžnost naročnika, da preveri zavarovanje OP pri ponudniku – Rešitev: podatkovni centri znotraj EU (MS: Irska, Nizozemska) 2014 KAKO SO (OSEBNI) PODATKI VAROVANI • Obveznosti naročnika v zvezi s pogodbeno obdelavo OP: – S posredovanjem podatkov v oblak se odgovornost za OP ne zmanjša, prej obratno • Zaveze, ki jih mora spoštovati ponudnik: – Sprejeta organizacijska in tehnična pravila in ukrepi za varstvo osebnih podatkov (od dostopa do in varovanja data centrov do politike dodeljevanja in spreminjanja gesel) 2014 KDAJ potrebujem pravnika za pravna vprašanja glede SLA? 2014 GLAVNE DILEME OBLAČNIH POGODB (ZA DOMA) Glavne dileme (za konkretno delo): • Lokacija podatkov • Regulacijske in zakonodajne zahteve • Varnost in zaupnost • Vsebinske določbe • Intelektualne pravice • Vpogledi tretjih strank 2014 LOKACIJA Zakonske omejitve: - Fizično hranjenje (nekatere države imajo restriktivne zahteve npr. EU) – ni neposredno - Pristojnost zakonodaje - Zahteve po 2. lokaciji - E-hramba ZVDAGA Zahteve in omejitve stranke - Še posebej pomembno pri multinacionalkah, državna uprava Davčne želje ponudnikov - Davčni stroškovni učinki - Zahteve regulatorjev 2014 ZAKONODAJNE IN REGULATORJEVE ZAHTEVE Podatki, ki jih ne smete izdati stranki: - npr.: nalog za prisluškovanje na GSM,… Ravnanje z občutljivimi podatki - posebne zahteve (osebni podatki, zdravstveni podatki,….) Zakonsko zahtevani podatki - določene panoge morajo hraniti določene podatke Zahteve za e-hrambo - ZVDAGA, E-arhiv, ETZ-ji, akreditacija Nivoji dostopa - določitev skupin uporabnikov z nivoji dostopa Lokacija podatkov in nadzor nad fizično lokacijo podatkov - tehnične zahteve določajo tudi zakonodaje Varen prenos podatkov - zahtevana inkripcija prenosa podatkov - velikokrat dolžnost ponudnika Dolžnost nadzora in ukrepanja nad nelegalnimi in neprimernimi aktivnostmi 2014 VARNOST IN KRIPTIRANJE Varnost - Varnostna politika je tehnični izziv - Odgovornost ponudnika je pravni izziv Varno kriptiranje podatkov - Zavarovanje prenosa - Zavarovanje podatkov na lokaciji - Zavarovanje identifikacije uporabnika - Kdo ima dostop do katerega nivoja - Tveganje varnosti povezave uporabnika (tveganje naročnika) - Zahteve zaradi nadzornih organov - Testiranje procedur (obveznost ali priporočilo?) Zavarovanje proti hekerskim napadom Zavarovanje proti višji sili Noben ponudnik ne more nuditi 100% varnosti 2014 VARNOST IN KRIPTIRANJE Kateri nivo inkripcije uporabiti? - Sicer je to tehnično vprašanje, v praksi pa lahko nastane velik problem, če zaradi napake ne moremo obnoviti podatkov Fizična varnost Varnost dostopa (firewall, enkripcija, pravice dostopa,…) - Nivoji dostopa - Dostop tretjih oseb (razvijalci, ostali) Varovanje digitalnih podatkov - Zakon nalaga ponudnikom in naročnikom postopke in aktivnosti za zagotavljanje za varnosti digitalnih podatkov 2014 VSEBINSKE DOLOČBE Termini nerazpoložljivosti - Kdaj se lahko izvajajo redna “vzdrževalna dela” (update posodobitev) - Izpadi internetne povezave (Kaj lahko garantirate, kaj je sprejemljivo za naročnika) - Obstajajo omejitve na določene platforme, aplikacije Možnost migracije med oblaki - Naročnik ni vezan na eno lokacijo - Je omogočeno prehajanje med ponudniki (kako je z dostopnostjo in obvezami za dostop do podatkov, v kakšni obliki se prenos/predaja naredi) Zahteve za vzpostavitev back-upa Zahteve po hranjenju podatkov - Naročnik ni vezan na eno lokacijo Je omogočeno prehajanje med ponudniki (kako je z dostopnostjo in obvezami za dostop do podatkov, v kakšni obliki se prenos/predaja naredi) - Poznate vse regulatorske zahteve, ki zadevajo izvajalca in naročnika? 2014 VSEBINSKE DOLOČBE Zadovoljivi nivoji storitve - Pasovna širina, izpadi, odzivni roki, podporne storitve,… Izključitev odgovornosti ob višji sili? - Za njo ponudnik običajno ne odgovarja, v praksi pa se pojavljajo različna tolmačenja kaj je višja sila - Kaj je ponudnik dolžan narediti? - Zunanji vzroki (lahko dodamo notranje) Čas in oblika hranjenja podatkov - Zakonske določbe - Davčna regulativa Varovanje občutljivih podatkov - Osebni podatki so v veliko državah posebej regulirani (zakonske zahteve, zahteve internih pravil naročnika) - Poslovne skrivnosti - Občutljivi podatki - Dokazna vrednost 2014 VSEBINSKE DOLOČBE Tveganje nekvalitetno opravljanja storitve - Dostopnost storitve (pogosto tveganje) - Kaj lahko naredimo v primeru, da ponudnik propade - ali ni odziven - Vključitev escrow ali kaj podobnega -… Kršitve varnosti - Kaj so glavna tveganja in kako jih opredelimo in kakšne so sankcije (npr. odškodninska odgovornost)? (razkritje poslovnih skrivnosti,…) 2014 …in kateri pravnik Vašemu oblaku krije hrbet? boris.kozlevcar@jkgroup.si 059091794 2014
© Copyright 2024