Jana Pattynová Cloud Computing 2015, 8. prosince 2015 Cloud Computing Právní a regulační rámec
Cloud Computing: poznaná nutnost Ekonomické výhody cloudu jej činí každodenní realitou Cloudová řešení jsou zejména vhodná pro současnou globální ekonomiku Přes 84 % organizací ve Velké Británii nasadilo alespoň jednu cloudovou službu (Cloud Industry Forum, 2015) Rozvoj rychlého internetového připojení umožňuje využít více cloudových řešení
Dotazy zákazníků při přechodu do cloudu Mohu důvěřovat dodavateli cloudu? Budou má data v bezpečí? Neporuším pravidla ochrany osobních údajů? Jak se sektorová regulace dotýká cloudu?
Business MOHU model DŮVĚŘOVAT DODAVATELI Contract CLOUDU? Termination provisions (obchodní model a smlouva)
SPOLEHLIVÝ CLOUD Obchodní modely ve veřejném cloudu Cloud computing je komplexní služba, která posouvá vztah odběratele a dodavatele na úroveň strategického partnerství Invest in innovation & sell what you build Oracle Microsoft IBM SalesForce X Invest in innovation & monetize data Amazon Google
Smlouva o poskytování cloudu SPOLEHLIVÝ CLOUD POSKYTNUTÍ LICENCE G-cloud HOSTING* CLOUD COMPUTING * Rozsah služby / SLA / Ochrana dat
SPOLEHLIVÝ CLOUD Licenční smlouva Běžná licenční smlouva Jednorázové poskytnutí licence Cloud First Pevný počet licencí (Shared First) (uživatelů, produktů) Spojené státy Velká Británie Většinou nezahrnuje další Irsko služby Singapur Cloudová licence Možnost průběžné platby (pay as you go) Cloud if it makes sense Škálovatelnost založená na Austrálie změně počtu uživatelů a The Australian produktů Government and its agencies may choose Zahrnuje služby hostingu - SLA, cloud úprava based bezpečnosti services if they a právního demonstrate režimu value nakládání for money s údaji and adequate security
SPOLEHLIVÝ CLOUD Hosting Různý rozsah hostingových služeb Service) Cloud First (Shared First) One-to-many service SaaS (Software as a Spojené státy Velká Británie Irsko Singapur PaaS (Platform as a Service) IaaS (Infrastruc ture as a Service) Standardní technické řešení Standardní smlouva ( take it or leave it ) Prostor pro vyjednávání limitován z povahy služby
Doporučení pro smlouvy o poskytování cloudu Stanovisko pracovní skupiny zřízené podle článku 29 Bezpečnostní opatření, která musí poskytovatel cloudových služeb dodržet Podmínky vrácení dat uložených v cloudu v případě ukončení smlouvy z jakéhokoli důvodu Povinnost poskytovatele informovat zákazníka o změnách služby Povinnost poskytovatele informovat zákazníka o bezpečnostních rizicích a případném úniku dat Závazek důvěrnosti dat uložených v cloudu Povinnost poskytovatele poskytnout zákazníkovi seznam lokalit, kde budou data uložena Smlouvy o úrovni služeb (SLA) Smluvní pokuty za poskytování služby v rozporu s SLA Povinnost poskytovatele informovat zákazníka, pokud státní orgány vyžadují přístup k uloženým datům Obecná záruka poskytovatele, že jeho interní procesy zajišťují dostatečnou bezpečnost dat a jeho postupy jsou plně v souladu s použitelnými právními předpisy
Srovnávací studie Evropské komise Spojené státy Velká Británie Irsko Singapur SPOLEHLIVÝ CLOUD Srovnávací studii k zákonné a smluvní úpravě SLA v rámci EU Výslovná úprava cloudu či SLA je v EU mimořádně vzácná úprava např. na Slovensku ve výnosu Ministerstva financí Cloudové Cloud smlouvy First a SLA vychází ze zásady smluvní volnosti (Shared většina First) státu EU Dokument představuje (i) modelové SLA a (ii) checklist klíčových ujednání SLA
Modelové cloud SLA & checklist SPOLEHLIVÝ CLOUD Model SLA Na základě údajů získaných z členských států EU v rámci studie Komise připravila modelovou SLA smlouvu pro cloudové služby Technologicky neutrální, B2B orientovaná SLA využitelná mezinárodně pro SaaS, PaaS i IaaS Checklist Seznam ujednání, která by si měl zákazník při vyjednávání SLA pro cloudové služby zkontrolovat Doplněk k modelové SLA nástroj na revizi SLA nabízeného poskytovatelem
CLOUD SLA CHECKLIST Does the SLA clearly identify the cloud service(s) to which it is linked? Is it clear whether the SLA is legally binding, or is it merely a nonbinding statement of targets? Does the SLA clearly list any exceptions to its applicability; i.e. does it describe what happens during scheduled maintenance, force majeure events, cybercrime attacks, etc.? Are remedies clearly defined? Is there a clear list of commitments that the CSP will undertake? Is it clear who measures compliance with the commitments? Is there a reporting or monitoring mechanism to evaluate compliance with the commitments on a continuous basis? Does the customer need to claim remedies in case of breaches, or will the CSP proactively offer the remedies? Is there is mechanism for resolving disputes, i.e. is there a way to address any disagreements on whether the SLA was complied with or not? Can the CSP unilaterally change the terms of the SLA? Is it clear what happens if the Services Agreement is terminated while the customer is still entitled to a remedy? Are the commitments of the SLA appropriate for your Services Agreement?
Business model Contract BUDOU MÁ DATA V BEZPEČÍ? Termination provisions
BEZPEČNOST DAT Budou má data v bezpečí? DŮVĚRNOST Bude poskytovatel využívat má data? Zákaz používání zákaznických dat poskytovatelem Zákaz zpřístupňovat data třetím osobám ZABEZPEČENÍ Budou má data zabezpečena proti neoprávněnému Cloud First (Shared přístupu? First) Spojené státy OSOBNÍ ÚDAJE Velká Británie (soulad Irsko s ochranou osobních Singapur údajů) ISO certifikáty, mezinárodní aliance Pouze data identifikující fyzické osoby (ve většině členských států EU) Jak zákazník (jakožto správce osobních údajů) tak poskytovatel (jakožto zpracovatel osobních údajů) musí zajistit soulad se zákonnými požadavky
Business NEPORUŠÍM model PRAVIDLA OCHRANY Contract OSOBNÍCH ÚDAJŮ? Termination provisions
Ochrana osobních údajů OCHRANA OSOBNÍCH ÚDAJŮ Regulováno na úrovni EU, platí pro uživatele z komerčního i veřejného sektoru Specifika některých zemí: více na http://pierstone.com/cloud-computing-in-theczech-republic/ Významní poskytovatelé zajišťují soulad s pravidly ochrany osobních údajů EU Poskytovatelé se mohou lišit v řešení přeshraničního předávání dat, nicméně jinak jsou režimy ochrany osobních údajů velice podobné Modelové klauzule EU poskytují vyšší standard ochrany dat, ale zákazník musí ověřit jejich správnou implementaci
Jak funguje předávání dat OCHRANA OSOBNÍCH ÚDAJŮ Zákazník = Správce Cloud First (Shared First) Spojené státy Velká Británie Irsko Singapur Poskytovatel služby Zpracovatelé = Cloud if it makes sense mimo EU Zpracovatel (*datová Austrálie centra v EU) The Australian Government and its agencies may choose cloud based services if they demonstrate value for money and adequate security Smlouva o zpracování osobních údajů technické a organizační prostředky
Transfer osobních údajů mimo EU OCHRANA OSOBNÍCH ÚDAJŮ Rozhodnutí Komise o standardních smluvních doložkách Stanovený smluvní obsah s pomocí kterého mohou být osobní údaje předávány mimo EU Safe Harbor 2? Cloud First (Shared First) Individuální souhlas Spojené státy Velká Británie Irsko Singapur Rozhodnutí Komise (Kanada) Závazná podniková pravidla
Safe Harbor 2: lepší cesta OCHRANA OSOBNÍCH ÚDAJŮ Rozhodnutí SDEU v případě Schrems Politický nástroj k urychlení vyjednávání o Safe Harbor 2? Nový a lepší Safe Harbor 2 : Cloud First (Shared First) Cloud if it makes sense Austrálie The Australian Government and its agencies may choose cloud based services if they demonstrate value for money and adequate security Požaduje Spojené státy po amerických zákonodárcích přijmout opatření, Velká Británie která poskytnou dostatečné záruky ochrany osobních Irsko údajů pro subjekty údajů EU Předpokládá Singapur se, že dohoda bude uzavřena do konce r. 2016
Business SEKTOROVÁ model REGULACE CLOUDU? Contract Termination provisions
BEZPEČNOST DAT Finanční sektor Regulace na úrovni EU MIFID I & II, CRD IV, CRR, Solvency II (účinnost od 1.1.2016) Obecné požadavky na outsourcing Cloud First Vyhláška (Shared First) ČNB č. 163/2014 Spojené státy Sb. Velká Příloha Británie č. 7 Irsko Singapur Cloud if it makes sense Austrálie The Australian Government and its agencies may choose cloud based services if they demonstrate value for money and adequate security Požadavky na outsourcing nad rámec práva EU Podrobné lokální požadavky na smluvní rámec, některé standardní produkty veřejného cloudu jsou schopné požadavky splnit
BEZPEČNOST DAT Zdravotnický sektor Citlivé údaje V ČR nejsou žádné dodatečné požadavky, které by bránily nasazení cloudových technologií V některých zemích (např. Německo) jsou významná omezení předávání citlivých údajů do zahraničí Cloud First Zdravotnická (Shared First) dokumentace Spojené státy Velká Británie Irsko Singapur Cloud if it makes sense Zdravotnická zařízení mají souhlas pacienta zpracovávat údaje v rámci zdravotnické dokumentace ze zákona Austrálie The Australian Government and its agencies may choose cloud based services if they demonstrate value for money and adequate security Režim outsourcingu není výslovně upraven Zákon č. 372/2011 Sb., o zdravotních službách + vyhláška č. 98/2012 Sb., o zdravotnické dokumentaci Např. požadavky na zabezpečení, zákaz dodatečné modifikace zápisů, životnost zápisu, bezpečnostní kopie atd.
Business model Contract ZÁVĚREČNÉ SHRNUTÍ Termination provisions
Klíčové body Mohu důvěřovat svému dodavateli? Zákazník musí rozumět obchodnímu modelu poskytovatele a smluvním ujednáním ve smlouvě uzavřené s poskytovatelem. Budou má data v bezpečí? ZÁVĚŘEČNÉ SHRNUTÍ Ochrana dat je zajištěna smluvně prostřednictvím povinností důvěrnosti dat a prostřednictvím technických bezpečnostních prostředků (osvědčení datových center nezávislými certifikáty, např. ISO certifikace).
Klíčové body Neporuším pravidla ochrany osobních údajů? Stejná pravidla na ochranu osobních údajů platí pro zákazníky z komerčního a veřejného sektoru. Většina renomovaných poskytovatelů soulad s EU legislativou zajišťuje. Modelové klauzule poskytují vyšší standard ochrany dat než Safe Harbor, nicméně zákazník musí ověřit jejich správnou implementaci. Jak se sektorová regulace dotýká cloudu? ZÁVĚŘEČNÉ SHRNUTÍ Zákazníci některých sektorů (finanční sektor, zdravotnictví) musí zajistit dodržení zvláštních pravidel sektorové regulace, které se vztahují ke cloudovým službám (outsourcingu).
Vedoucí kancelář v oblasti práva technologií ve střední a východní Evropě. Spolu s kancelářemi v Londýně, Bruselu a Moskvě jeden z největších právních týmů zaměřených specifické aspekty práva TMT v Evropě. Ve střední a východní Evropě jsme poskytovali poradenství na největších M&A, litigačních a outsourcingových projektech v TMT sektoru. Pro více informací: www.pierstone.com Kontakt Jana Pattynová Na Příkopě 9 110 00 Praha 1 +420 777 738 040 jana.pattynova@pierstone.com