Соблюдение основных принципов

Законность обработки персональных данных в облаке зависит от соблюдения основных принципов закона ЕС о защите данных, а именно: должна быть гарантирована прозрачность в отношении субъекта данных, спецификация и ограничения по цели должны быть соблюдены и персональные данные должны быть стерты, как только необходимость в них исчезает. Кроме того, должны быть приняты соответствующие технические и организационные меры для обеспечения адекватного уровня защиты данных и их безопасности.

Прозрачность Принцип прозрачности имеет ключевое значение для справедливой и законной обработки персональных данных. Директива 95/46/ЕС обязывает клиента предоставить информацию о предмете данных, с информацией о его идентичности и цели обработки. Клиент должен также предоставить любую дополнительную информацию, такую как на получатели или категорию получателей данных, которые могут также включать процессоры и субпроцессорыDirective 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Такая дополнительная информация необходима, чтобы гарантировать справедливое рассмотрение прав в отношении субъекта данных.

Прозрачность должна быть обеспечена также в отношениях между клиентом, поставщиком облака и субподрядчиками (если таковые имеются). Клиент способен только дать оценку законности обработки персональных данных в облаке, если поставщик информирует клиента обо всех соответствующих вопросах. Контроллер, рассматриваемый привлечение услуг облака, должен внимательно проверить условия оказания услуг облачных вычислений, оценить их с точки зрения защиты данных.

Прозрачность в облаке означает, что для клиента необходимо быть в курсе всех субподрядчиков предоставляющих содействие соответствующей услуги облака, а также расположение всех центров обработки данных (ЦОД), где персональные данные могут быть обработаны.

Если предоставление услуги требует установки программного обеспечения на системе клиента (например, подключаемые модули браузера), провайдер облака должен, как это предусмотрено надлежащей практикой, информировать клиента об этом обстоятельстве и, в частности, о его последствиях влияющих на защиту данных, с точки зрения безопасности. И наоборот, клиент должен поднять этот вопрос, если он не будет уверен в достаточной степени облачных услуг.

Определение и ограничение цели Принцип определения и ограничения цели требует, что личные данные должны быть собраны для определенных, явных и законных целей и не подвергались дополнительной обработке, расходящейся с этими целямиArticle 6(b) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Клиент должен определить цель обработки до момента самого сбора персональных данных и быть проинформированным о этом моменте. Клиент не должен передавать данные для других целей, которые не совместимы с оригинальными.

Кроме того, должно быть обеспечено, чтобы персональные данные не были (нелегально) обработаны для дальнейших целей поставщика облака или одного из его субподрядчиков. В типичном сценарии облако может легко включать большое количество субподрядчиков, поэтому риск обработки личных данных для дальнейших несовместимых целей должен быть оценен как достаточно высокий. Для минимизации данного риска, договор между поставщиком облака и клиентом должен включать технические и организационные меры по снижению этого риска и предоставлять гарантии для протоколирования и аудита соответствующих операций обработки персональных данных, которые выполняются поставщиком облака или субподрядчиками. Если законодательство о защите данных нарушено, штрафы на поставщика или субподрядчика должны быть наложены в соответствии с условиями договора.

Удаление данных В соответствии с Директивой 95/46/ЕС, персональные данные должны храниться в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это необходимо для целей, для которых данные были собраны или для которых они обрабатывалисьArticle 6(е) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Личные данные, которые больше не нужны, должны быть удалены или переведены в статус анонимных. Если эти данные не могут быть удалены из-за юридических правил хранения (например, налогового законодательства), доступ к этим личным данным должен быть заблокирован. Ответственность за удаление персональных данных, как только они перестают быть необходимыми в условиях спецификации и ограничения цели, возлагается на провайдера облачных вычислений.

Принцип стирания данных распространяется на персональные данные, независимо от того, хранятся на жестких дисках или других носителях (например, ленты с резервными копиями). Так как личные данные могут избыточно быть на разных серверах и в разных местах, поставщик должен обеспечить, чтобы каждый экземпляр стирался безвозвратно (т.е. предыдущие версии, временные файлы и даже фрагменты файла должны быть удалены).

Клиенты должны быть осведомлены о том, что данные журнала, содействующие контролю, например, хранения, модификации или уничтожения данных, могут также квалифицироваться, как персональные данные, связанные с человеком, который инициировал соответствующие операции обработки.

Безопасное стирание персональных данных требует, чтобы, либо носители должны быть уничтожены или размагничивается, либо личные данные удалялись эффективно через перезапись. Для перезаписи данных личного характера используются специальные программные средства, которые переписывают данные несколько раз и с использованием соответствующей признанной спецификацией.

Клиент должен убедиться, что облака провайдера обеспечивают безопасное стирание, в вышеуказанном смысле, и что контракт между поставщиком и клиентом содержит ясные указания по стиранию личной информации. То же самое относится и к контрактам между облачными провайдерами и субподрядчиков.

2.2.4.2 Договорные гарантии отношений «контроллер» — «процессор».

Там, где клиенты решили принять договор об оказании услуг облачных вычислений, контроллеры обязаны выбрать процессор, предоставляющий достаточные гарантии в отношении технических и организационных мер по обеспечению безопасности мер, проводить регулирование обработки, и должны обеспечивать соблюдение этих мерArticle 17(2) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Кроме того, они по закону обязаны подписать официальный контракт с поставщиком облачных сервисов, как указано в Директиве 95/46/ЕС. Согласно Директиве устанавливаются требования к договору или иному правовому акту, обязательно определяющего взаимосвязь между контроллером и процессором. В цели сохранения доказательств, часть договора или правового акта, касающегося защиты данных и требований к ней, а также касающегося технических и организационных мер должна быть в письменной или в другой эквивалентной формеArticle 17(3) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.

В договоре должны, как минимум, установить факт, что процессор должен конкретно следовать указаниям контроллера, и процессор должен осуществлять технические и организационные меры для адекватной защиты персональных данных.

Для обеспечения правовой определенности в договоре должны также быть изложены следующие вопросы:

• 1. Подробная информация о (степень и формы) инструкций клиента по отношению к поставщику, особенно в касательно применимых соглашений об уровне обслуживания (которая должна быть объективной измеримой) и соответствующих санкций (финансовых или иных, включая возможность подать в суд на поставщика в случае несоблюдения).
• 2. Спецификация мер безопасности: провайдер облака должен соответствовать всем требованиям, в зависимости от рисков, связанных с обработкой и характером данных, которые должны быть защищены. Имеет большое значение, какие конкретные технические и организационные меры указаны (такие меры будут разобраны ниже). Это рассматривается без ущерба при применении более жестких мер, если таковые могут быть предусмотрены национальным законодательством клиента.
• 3. Предмет и временные рамки облачных сервисов, предоставляемых провайдером облака; степень, характер и цели обработки персональных данных облачных услуг, а также типы обрабатываемых личных данных.
• 4. Необходимо указывать, какие условия для возвращения и разрушения (персональных) данных будут применяться. Кроме того, необходимо обеспечить, чтобы личные данные стирались безопасно и по просьбе клиента облака.
• 5. Включение пункта о конфиденциальности обязует соблюдение ее как провайдером на облаке, так и всех сотрудников сервиса облачных вычислений, которые смогут получить доступ к данным. Только уполномоченные лица могут получить доступ к данным.
• 6. Обязательство со стороны провайдера для поддержки клиента в содействии реализации прав субъектов данных для доступа, исправления или удаления своих данных.
• 7. В контракте должно быть конкретно установлено, что провайдер облака не имеет права сообщать данные третьим лицам, даже в целях хранения, если привлечение субподрядчиков не предусмотрено в договоре. В таких случаях, договор должен указать, что именно субподрядчикам может быть поручено на основе согласия, которые обычно задается контроллером в соответствии с четкими обязанностями процессора для информирования контроллера о любых планируемых изменениях в этой связи. За контроллером всегда сохранением возможность возразить против такого изменения или расторгнуть договор. В обязанности провайдера входит предоставление всей необходимой информации обо всех задействованных в процессе субподрядчиков (например, указать все в общественном цифрового регистре). Необходимо убедиться, что контракты между поставщиком облака и субподрядчиками отражают условия договора между клиентом облака и его провайдером (то есть, чтобы субпроцессоры исполняли те же договорные обязанности, что провайдер облака). В частности, необходима гарантия, что поставщик облака и все субподрядчики действуют только по поручению клиента облака. Вся цепочка ответственности должна быть предельно ясно отражена в договоре: сформулированы все обязательства, сформулированы международные переводы.
• 8. В случае любого нарушения данных, которое влияет на данные пользователя, провайдеру необходимо немедленно уведомлять клиента облака об этом.
• 9. В обязанность облачных сервисов входит предоставление списка мест, в которых данные могут быть обработаны.
• 10. Также в договоре должны быть изложены права контроллера по мониторингу процесса и соответствующие обязательства облачных сервисов к сотрудничеству в этом деле.
• 11. Следует установить в договоре, что поставщик облака должен сообщить клиенту о соответствующих изменениях, касающихся данных облачных сервисов, например, таких как осуществление внедрения дополнительных функций.
• 12. Договор должен предусматривать регистрацию и проверку соответствующих операций обработки персональных данных, которые выполняются поставщиком облака или субподрядчиком.
• 13. Уведомление клиента о любых юридически обязательных запросах, касательно раскрытия персональных данных правоохранительным органом, если иное не запрещено, например, запрет в соответствии с уголовным кодексом — сохранять конфиденциальность расследования правоохранительных органов.
• 14. Общие обязательства со стороны провайдера — дать гарантию того, что организация его внутренней обработки данных и механизмы (а также его субпроцессоров, если таковые имеются) соответствуют действующим национальным и международным правовым требованиям и стандартам.

В случае нарушений прав контроллером, любое лицо, потерпевшее ущерб в результате незаконной обработки, имеет право на получение компенсации от контроллера за нанесенный ущерб. Если процессоры используют данные для других целей или сообщают о них или используют их таким образом, что нарушают контракт, они также должны рассматриваться как контроллеры, и нести ответственность за нарушения, в которых они лично участвовали.

Следует отметить, что во многих случаях, провайдеры облачных сервисов предлагают стандартные услуги, и контракты для обработки персональных данных, которые клиенты должны подписать, излагаются в стандартной форме. Дисбаланс в условии договора между небольшим контроллером в отношении крупных поставщиков услуг не должен рассматриваться в качестве оправдания для контроллера при принятии положений и условий договора, которые не являются пунктами закона о защите данных.