Kot glavna načela pri obdelovanju osebnih podatkov v računalništvu v oblaku je skupina opredelila dostopnost, celovitost, zaupnost, transparentnost, izolacijo posameznih zbirk osebnih podatkov, poseganje v podatke, odgovornost in prenosljivost. Ta načela so v mnenju opisana na straneh 10 do 17. Resen problem po mnenju skupine predstavlja pomanjkanje nadzora in transparentnosti s strani naročnika o delovanju obdelovalca, saj naročnik lahko prevzame odgovornost le, če se zaveda tveganj in nevarnosti. Tako vidi skupina kot najvarnejši ukrep pogodbo med strankama, ki mora natančno določiti in razdeliti obveznost spoštovati pravila varstva podatkov ter odgovornost.
Glavna odgovornost je na naročniku, saj on določa namen obdelovanja, vendar pa mora ponudnik zagotoviti pisne dokaze o primernih in učinkovitih ukrepih za pravilno izvajanje pravil o varstvu podatkov. Delovna skupina tako predlaga, naj vsebina pogodbe o uporabi računalništva v oblaku vsebuje rešitve naslednjih vprašanj: natančne informacije naročnika o obdelovanju podatkov, ki vključujejo obseg, način in namen obdelovanja ter lastnost podatkov; natančne specifikacije varnostnih ukrepov pri obdelovanju osebnih podatkov; pogoje za vrnitev ali uničenje podatkov po izteku ali prekinitvi pogodbe; zaupnost; obveznost ponudnika, da sodeluje z naročnikom pri vseh zahtevah za dostop do podatkov posameznega subjekta; možnost razkritja podatkov tretjim osebam le z izključnim privoljenjem naročnika; razdelitev odgovornosti v primeru kršitve podatkov z navedenimi kaznimi; pravna sredstva.
Skupina predlaga tudi vključitev seznama lokacij, kjer se podatki lahko obdelujejo in določila o prenosu podatkov izven evropskega ekonomskega prostora (države s primerljivo ureditvijo varstva podatkov kot EU ali ponudnik, ki je sprejel potrebne ukrepe). Pri prenosu podatkov so koristna tudi zavezujoča poslovna pravila (BCR; za večnacionalna podjetja, ki jih je izoblikovala Skupina Člen 29). Ta pravila omogočajo večnacionalnim podjetjem in podjetjem s tujimi partnerji čezmejni prenos osebnih podatkov v skladu z zakonodajo EU. Varuh oz. organ za varstvo podatkov mora ta pravila potrditi v vsaki državi članici v kateri jih bo podjetje uporabljalo. V EU obstaja vzajemni proces priznavanja teh pravil.
Pravice intelektualne lastnine v oblaku
V zvezi z intelektualnimi pravicami pri računalništvu v oblaku pa se pojavljajo vprašanja:
1. Licence tretjih oseb - omejitve v licencah tretjih oseb glede programske opreme ali druge patentirane tehnologije, ki določajo kako ali kje se določen predmet licence lahko uporablja, kar pa je lahko v nasprotju z razdeljeno oz. večkratno pristojnostjo veliko "oblačnih" storitev. Licenca lahko že izrecno izključuje uporabo v oblakih, običajno pa takih izrecnih določb ni, so pa krajevne omejitve uporabe, npr. le v Sloveniji, ipd. Take določbe so lahko pri storitvah v oblaku, ki so lahko v drugi državi ali več državah, problematične. Omejitve hkratnih uporab licenc tudi lahko povzročajo težave naročniku "oblaka". Ponudniki in naročniki morajo biti pozorni na licence, ki jih pošljejo v oblak, ob tem pa je dobro, da obvestijo o morebitnih omejitvah vse zainteresirane stranke. Koristno se je tudi zavarovati za primere delovanja preko licenc od vseh strank, ki ponujajo licenčne storitve.
2. Odgovornost za vsebino - gre za vprašanje obsega odgovornosti naročnika in ponudnika za pravice intelektualne lastnine v vsebinah, ki jih uporabniki naložijo v oblak. Glavno vprašanje je, ali ponudnik storitev (ki je v tem primeru lahko ponudnik ali naročnik) pozna sporno vsebino. So pa pogoji odgovornosti kršitve intelektualnih pravic določeni v nacionalnih zakonodajah. Poleg jasne določitve pogojev za nalaganje zaščitenih vsebin, mora imeti ponudnik primerne in sorazmerne ukrepe za nadzor, dostop in odstranitev vsebin v primeru obvestil o kršitvah oz. pri zaznavi kršitev.
3. Razkritje - pri ponudnikih imamo različne načine, kako ravnajo s podatki naročnika. Nekateri podatke razkrijejo le sodišču, drugi gredo po poti, da jih ne veže nobena zaupnost in je na naročniku, da zavaruje svoje podatke. Tako je zopet na naročniku, da v pogodbo vključi določbe o zaupnosti in razpolaganju s podatki ali najde ponudnika, ki ima implementirano tako politiko.
Še en problem, ki se pojavlja v zvezi PIL, pa so novonastale pravice, ki so posledica operacij in delovanja storitev v oblaku. Vsaka stranka ima interes, da zadrži take pravice kot lastne. Ponudnik po eni strani lahko nadzoruje podatke naročnika za namene zaračunavanja, po drugi pa ne sme rudariti podatkov naročnika za lastne tržne storitve (in obratno). Sicer tudi v oblaku veljajo avtomatične pravice, ki nudijo zaščito kot npr. avtorska pravica, pravice podatkovnih baz in poslovne skrivnosti. Vendar pa se nacionalne zakonodaje razlikujejo po definicijah posameznih pojmov, kot npr. kaj je delo po predpisih o PIL, kaj obsega pravica podatkovne baze ipd.
Predhodno je koristno preveriti oz. urediti možnosti prenosa oz. ohranitve podatkov ob prenehanju ali prekinitvi pogodbe ali izbire prava in pristojnosti v primeru spora. Poleg tega je koristno preveriti splošne pogoje ponudnikov "oblačnih" storitev in kje vse ti ponudniki sploh so in izbrati najbolj primernega za lastne potrebe.
Zanimivo je tudi sporočilo Evropske komisije z naslovom Sprostitev zmožnosti računalništva v oblaku.
Pripravil: Miha Jesenko
Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala IUS-INFO.
