Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 21.12.2011
Naslov: Uporaba storitev računalništva v oblaku
Številka: 0712-1/2011/3460
Vsebina: Moderne tehnologije
Pravni akt: Mnenje

Informacijski pooblaščenec je 6.12.2011 prejel vaš dopis v katerem navajate, da vodite zobozdravstveno ambulanto. Pri delu uporabljate e-koledar Google Calendar sinhroniziran preko protokola CalDav na desktop aplikacijo (Thunderbird Lightening). Podatki se pretakajo preko https strežnika. Za vpogled uporabljate uporabniško ime in geslo, ki je znano samo vam. Dostop do operacijskega sistema desktop aplikacije je možen s posebnim geslom. V prihodnje nameravate vključiti tudi Google Verifikacijski protokol (http://www.google.com/apps/intl/en/business/infrastructure_security.html) Kot ste navedli, imate na koledarju vpisano ime in priimek pacienta in datum obiska. Zanima vas, ali lahko uporabljate tovrstno komunikacijo in ali pri tem kršite zakonodajo o varstvu osebnih podatkov? In če jo, kako prilagoditi svoj e-koledar, da bo ustrezal zahtevam slovenske zakonodaje na tem področju?

Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke 1. odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1; ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 - ZUstS-A; ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Informacijski pooblaščenec je v konkretnem primeru mnenja, da uporabnik omenjene storitve e-koledarja trenutno ne razpolaga z zadostnim naborom informacij in zagotovil, da bi lahko izvedel ustrezno analizo tveganja glede možnih zlorab osebnih podatkov, ki bodo hranjeni in obdelovani v omenjeni rešitvi. Uporabnik tako med drugim ne ve, kje (vse) se bodo nahajali njegovi podatki, kdo in pod kakšnimi pogoji bo imel dostop do podatkov, ali in kako bodo podatki dokončno zbrisani.

Konkretno  storitev lahko uporabljate, če s ponudnikom (pogodbenim obdelovalcem osebnih podatkov) uredite pogodbeno obdelavo osebnih podatkov skladno z določbami 11. člena ZVOP-1, brez zadostnih informacij glede zavarovanja, ki ga nudi ponudnik te storitve, pa tvegate, da bo prišlo do kršitve določb o zavarovanju osebnih podatkov (14., 24. in 25. člen ZVOP-1), kar lahko pomeni vašo odgovornost za kršitev ZVOP-1 v primeru zlorabe osebnih podatkov (npr. razkritja, izgube, nepooblaščene seznanitve ipd). Informacijski pooblaščenec uporabnikom, ki s strani ponudnikov rešitev računalništva v oblaku ne prejmejo potrebnih informacij, s pomočjo katerih bi lahko (sami ali s pomočjo zaupanja vrednih tretjih strank) izvedli ali sprejeli ustrezne analize tveganja, do nadaljnjega ne more svetovati uporabe takšnih storitev.

Informacijski pooblaščenec opozarja, da dopustnost iznosa osebnih podatkov v tretje države ponudniku, ki je sprejel zaveze dogovora Varni pristan, še ne pomeni, da lahko upravljavec in pogodbeni obdelovalcev zanemarita dolžnosti glede zavarovanja osebnih podatkov in ureditve pogodbene obdelave osebnih podatkov, kot to zahteva ZVOP-1. Pri tem je Pooblaščenec mnenja, da predstavlja ustrezno ureditev pogodbenega odnosa tudi sklenitev t.i. standardnih pogodbenih klavzul (Standard Contractual Clauses oz. Model Contracts).

Informacijski pooblaščenec v splošnem glede storitev računalništva v oblaku  meni, da:

- morajo biti vloženi nadaljnji napori v raziskave, standardizacijske in certifikacijske sheme in prilagoditve zakonodajnega in regulativnega okvira za dvig stopnje zaupanja v storitve računalništva v oblaku;
- morajo upravljavci osebnih podatkov pred uporabo storitev računalništva v oblaku izvajati potrebne analize tveganja in presoje vplivov na zasebnost, po potrebi s pomočjo zaupanja vrednih tretjih strank;
 - morajo ponudniki storitev računalništva v oblaku zagotoviti večjo transparentnost svojih praks, predvsem pa zagotovil s področja informacijske varnosti;
 - morajo nadzorni organi na področju varstva osebnih podatkov in zasebnosti nadaljevati z oblikovanjem smernic in nudenjem strokovne pomoči deležnikom glede vprašanj varstva osebnih podatkov in zasebnosti;

Šele rezultati omenjenih aktivnosti bodo potencialnim uporabnikom omogočili potrebne informacije za sprejem informiranih odločitev glede uporabe storitev računalništva v oblaku, do takrat pa potencialni naročniki  z uporabo tovrstnih storitev sprejemajo določena tveganja, ki so pogosto pomanjkljivo analizirana.


Obrazložitev:

Vaše vprašanje se dotika kar nekaj pomembnih vidikov varstva osebnih podatkov in kljub temu, da so vaša vprašanja relativno enostavna, saj se dotikajo na videz enostavne aplikacije, za seboj potegnejo številna težka in odprta vprašanja glede varstva osebnih podatkov. Omenjeni spletni koledar namreč lahko uvrstimo med storitev računalništva v oblaku in sicer t.i. javne oblike računalništva v oblaku1, ki s seboj prav gotovo prinašajo določene prednosti, ob tem pa tudi specifična tveganja2.

Informacijski pooblaščenec uvodoma kratko podaja ugotovitve glede področne zakonodaje, ki pokriva vaše delovanje in konkretno zbirko osebnih podatkov. Glede na definicije osebnega podatka in zbirke osebnih podatkov po 6. člena ZVOP-1 namreč ne more biti dvoma, da ime in priimek pacienta in datum obiska predstavljajo osebne podatke, zbirka tovrstnih vpisov pa zbirko osebnih podatkov. Informacijski pooblaščenec po pregledu področne zakonodaje ugotavlja, da 15. člena Zakona o pacientovih pravicah (Ur.l. RS, št. 15/2008; ZPacP) opredeljuje t.i. čakalne sezname, in sicer 1. odstavek 15. člena določa, da izvajalci zdravstvenih storitev na primarni, sekundarni in terciarni ravni, razen za preglede pri izbranem osebnem zdravniku splošne medicine in pediatru oziroma pediatrinji, za vsako zdravstveno storitev v čakalnem seznamu posebej vodijo naslednje podatke:

1. zaporedna številka vpisa,
2. datum in ura vpisa,
3. osebno ime pacienta,
4. naslov in kontaktni podatki pacienta,
5. EMŠO pacienta,
6. ZZZS številka zavarovane osebe,
7. predvideni datum izvedbe zdravstvene storitve,
8. datum izvedene zdravstvene storitve,
9. šifra programa oziroma zdravstvene storitve,
10. stopnja nujnosti,
11. izvajalec, ki je pacienta uvrstil na čakalni seznam (šifra zdravstvenega delavca, šifra in drugi podatki o izvajalcu),
12. izvajalec, ki je zdravstveno storitev opravil (šifra zdravstvenega delavca, šifra in drugi podatki o izvajalcu).

Način vodenja čakalnih seznamov določa Pravilnik o najdaljših dopustnih čakalnih dobah za posamezne zdravstvene storitve in o vodenju čakalnih seznamov (Ur.l. RS, št. 63/2010; v nadaljevanju Pravilnik), ki pa se nanaša le na izvajalce zdravstvenih storitev v mreži javne zdravstvene dejavnosti. Po vedenju Pooblaščenca sorodne ureditve za zasebne izvajalce ni, zato so lahko določbe omenjenega Pravilnika le smiselno uporabne.

Seznam pacientov z imenom in priimkom ter datumom obiska tako predstavlja izvedeno zbirko osebnih podatkov iz zbirke čakalnega seznama, po predhodnih neobvezujočih mnenjih Pooblaščenca pa tovrstne zbirke niso sporne, dokler seveda ne pride do nedopustnih ravnanj, kot je uporaba osebnih podatkov za namene, ki niso skladni z namenom zbiranja, ravnanj, ki bi pomenile nižjo raven zavarovanja osebnih podatkov ali kakršnihkoli drugih ravnanj, ki bi bila v nasprotju z določbami ZVOP-1.

Ob uporabi storitev, ki sodijo v domeno računalništva v oblaku, kamor sodijo konkretne rešitve, ki jih navajate, neizogibno trčimo na vprašanja, ki se odpirajo glede uporabe tovrstnih rešitve. Vidiki varstva osebnih podatkov, ki se ob uporabi računalništva v oblaku najbolj izpostavljajo, pa so:

•    iznos osebnih podatkov v tretje države,
•    pogodbena obdelava osebnih podatkov in
•    zavarovanje osebnih podatkov.


Iznos osebnih podatkov iz držav EU (in držav, ki zagotavljajo podobno raven varstva osebnih podatkov) v tretje države je možen le pod določenimi pogoji, ki jih ZVOP-1 ureja v 2. poglavju (členi 63.-71.).

Po določbi 1. odstavka 63. člena ZVOP-1 je posredovanje osebnih podatkov, ki se obdelujejo ali se bodo obdelovali šele po opravljenem posredovanju v tretjo državo, dopustno v skladu z določbami tega zakona in pod pogojem, da državni nadzorni organ izda odločbo, da država, v katero se iznašajo, zagotavlja ustrezno raven varstva osebnih podatkov.
 
Po določbi 3. odstavka 63. člena ZVOP-1 pa omenjena odločba ni potrebna, če je tretja država na seznamu tistih držav iz 66. člena tega zakona, za katere je ugotovljeno, da delno zagotavljajo ustrezno raven varstva osebnih podatkov, če se posredujejo tisti osebni podatki in za tiste namene, za katere je ugotovljena ustrezna raven varstva. Med tovrstne primere držav, pri katerih je ugotovljeno delno ustrezno varstvo osebnih podatkov, na podlagi odločbe Pooblaščenca sodijo tudi ZDA, vendar le za tiste organizacije, ki so se zavezale dogovoru Varni pristan (angl. Safe Harbor). Evropski režim varstva osebnih podatkov se namreč precej razlikuje od režima ZDA, od koder prihaja nekaj največjih ponudnikov zunanjega računalništva v oblaku, nekateri medsebojni dogovori, kot je dogovor Varni pristan pa naj bi omogočili lažjo izmenjavo podatkov med tema različnima režimoma. Varni pristan omogoča upravljavcem osebnih podatkov, da svoje podatke posredujejo upravljavcem ali pogodbenim obdelovalcem iz ZDA (kot so npr. Google, Amazon ipd.), če so se ta podjetja zavezala k spoštovanju načel Varnega pristana. Več podrobnosti o dogovoru Varni pristan najdete na spletni strani Pooblaščenca:

www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/iznos-osebnih-podatkov-v-tretje-drzave/safe-harbor/

Informacijski pooblaščenec je glede dogovora Varni pristan na podlagi 2. alineje prvega odstavka 2. člena ZInfP ter četrtega odstavka 64. člena ZVOP-1 v upravni zadevi ugotavljanja ustrezne ravni varstva osebnih podatkov v Združenih državah Amerike, dne 26.11.2010 izdal odločbo št. 0601-2/2010/5. Odločba določa, da se za namene 63. člena ZVOP-1 šteje, da Združene države Amerike zagotavljajo ustrezno raven varstva osebnih podatkov v delu, ko gre za iznos osebnih podatkov organizacijam, ki delujejo po načelih varnega pristana, uveljavljenih v skladu z najpogosteje zastavljenimi vprašanji – FAQ, ki jih je 21. julija 2000 izdalo Ministrstvo za trgovino ZDA. V primeru iznosa podatkov v ZDA se po odločbi Evropske Komisije 2000/520/ES zavezanost organizacije načelom Varni pristan šteje kot zagotovilo, da organizacija ustrezno varuje osebne podatke. Organizacija iz ZDA se za pridobitev ugodnosti Varnega pristana samocertificira pri Ministrstvu za trgovino ZDA, kar pomeni, da se zaveže k spoštovanju načel Varnega pristana in to tudi javno razglasi v svojih politikah varnosti podatkov. Seznam organizacij, ki so se zavezale, da bodo osebne podatke obdelovale v skladu z načeli je objavljen na spletni strani Ministrstva za trgovino ZDA: www.export.gov/safeharbor/.

To posledično pomeni, da je na podlagi 3. odst. 63. člena ZVOP-1 možen iznos osebnih podatkov organizacijam, ki delujejo po načelih Varnega pristana, posebna odločba Informacijskega pooblaščenca v tem primeru ni potrebna. Pooblaščenec pa vseeno opozarja, da vključenost pogodbenega obdelovalca v Varni pristan še ne pomeni, da pri iznosu in obdelavi osebnih podatkov ne bo prišlo do kršitev ZVOP-1, zato upravljavcem osebnih podatkov svetuje posebno previdnost zlasti pri odločanju o uporabi storitev računalništva v oblaku, saj morajo biti upoštevane določbe ZVOP-1 glede pogodbene obdelave osebnih podatkov (11. člen), posredovanja osebnih podatkov (22. člen) in določbe glede zavarovanja osebnih podatkov (14., 24. in 25. člen ZVOP-1).

Zakonodaja na področju varstva osebnih podatkov (tako Direktiva 95/46 kot ZVOP-1) seveda dopušča možnost, da upravljavec osebnih podatkov, torej tisti, ki je opredelil namen in sredstva obdelave, določena ravnanja z osebnimi podatki zaupa drugi osebi – pogodbenemu obdelovalcu; takrat govorimo o t.i. pogodbeni obdelavi osebnih podatkov. Med ta ravnanja lahko sodijo kakršnakoli dejanja, ki vključujejo osebne podatke – obdelava osebnih podatkov namreč pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov (zbiranje, vpis, urejanje, shranjevanje, spreminjanje, priklic, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje). Gre torej za dopustno prakso, pod pogojem, da so vzpostavljene določene varovalke, med njimi pa je bistveno to, da upravljavec osebnih podatkov lahko računa na določen nivo zavarovanja osebnih podatkov. ZVOP-1 tako v 11. členu določa, da sme zunanji izvajalec opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru naročnikovih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen. Medsebojne pravice in obveznosti morata urediti s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih, s katerimi bodo podatki zavarovani pred slučajnim ali namernim nepooblaščeno uničevanjem podatkov, njihovo spremembo ali izgubo ter nepooblaščeno obdelavo teh podatkov (24. člen ZVOP-1). 25. člen ZVOP-1 pa še določa, da so upravljavci osebnih podatkov in pogodbeni obdelovalci dolžni zagotoviti zavarovanje osebnih podatkov na način iz 24. člena tega zakona.

Zavarovanje osebnih podatkov je po določbi prvega odstavka 24. člena ZVOP-1 opredeljeno kot sklop organizacijskih, tehničnih in logično-tehničnih postopkov in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:

1.    varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
2.    varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
3.    preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih  sredstvih in omrežjih;
4.    zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
5.    omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

Opozarjamo še na določbo 2. odstavka 14. člena ZVOP-1, ki določa, da se pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.

Vključenost pogodbenika v dogovor Varni pristan naj bi zagotavljala, da pogodbenik zagotavlja ustrezno varovanje podatkov, pri čemer pa se postavlja vprašanje, ali mora kljub temu pogodbenik zagotoviti zavarovanje podatkov, ki bo skladno z zahtevami ZVOP-1. Primerjajmo dolžnosti, ki jo imata lokalni upravljavec in pogodbenik, ki ni iz tretje države. Če bi tako upravljavec iz Slovenije želel najeti pogodbenega obdelovalca iz Slovenije ali iz druge EU države, bi moral spoštovati zgoraj navedene zahteve ZVOP-1 glede pogodbene obdelave in zavarovanja osebnih podatkov (11., 14., 24. in 25. člen ZVOP-1) in neprimerno bi bilo, da bi bil pogodbeni obdelovalec iz tretje države (npr. iz ZDA) deležen manjših zahtev, kot so zahtevane od pogodbenih obdelovalcev iz EU/EGS. Pooblaščenec tako poudarja, da mora biti pogodbeni odnos urejen skladno z določbami 11. člena ZVOP-1. V zvezi s tem je Pooblaščenec mnenja, da predstavlja ustrezno ureditev pogodbenega odnosa tudi sklenitev t.i. standardnih pogodbenih klavzul (Standard Contractual Clauses oz. Model Contracts3). Poleg ureditve pogodbenega odnosa pa morata tako upravljavec kot pogodbeni obdelovalec zagotoviti ustrezno zavarovanje glede na zahteve 14., 24., in 25. člena ZVOP-1.

Zadržke Informacijskega pooblaščenca glede iznosa osebnih podatkov v tretje države v primerih računalništva v oblaku bomo poskusili predstaviti v nadaljevanju.

Zadržki Informacijskega pooblaščenca izhajajo iz prepletajočih se vprašanj zavarovanja osebnih podatkov (informacijske varnosti), odnosov med naročnikom in ponudnikom (upravljavcem in obdelovalcem osebnih podatkov oziroma pogodbene obdelave) ter že omenjenih pogojev za iznos osebnih podatkov v tretje države.

Zavarovanje  osebnih podatkov oz. informacijska varnost je bistveni del in eno temeljnih načel vseh regulativnih aktov na področju varstva osebnih podatkov. Gre za postopke in ukrepe za varovanje celovitosti, zaupnosti in razpoložljivosti osebnih podatkov in s tem zelo pomemben del širšega koncepta varstva osebnih podatkov. Ali so naši podatki v oblaku bolje varovani ali ne, ni enostavno vprašanje in nanj ni dopustno pavšalno odgovoriti v smislu, da je nekaj, kar imamo sami pod nadzorom, tudi bolj varno. Kot poudarjajo nekateri avtorji gre predvsem za vprašanje zaupanja. Tako kot moramo zaupati operacijskemu sistemu, strojni opremi, programski opremi, moramo zaupati tudi ponudniku računalništva v oblaku – gre pravzaprav za podobno stvar in le za dodatnega ponudnika, ki ga moramo presojati z vidika zaupanja. Pri zunanjem izvajanju pa je vseeno ena pomembna razlika – če imaš računalniške zmogljivosti pod svojim nadzorom, lahko sam ali s pomočjo drugih poskrbiš za varnost s pomočjo drugih varnostnih mehanizmov (dokumente na svojem računalniku lahko npr. varuješ z varnostnimi kopijami, protivirusnimi programi, če recimo popolnoma na zaupaš posamezni rešitvi, npr. brskalniku ali operacijskem sistemu). Pri zunanjemu izvajalcu pa gre za zaupanje v celoti, kar ne vključuje le zaupanja v varnostne postopke in ukrepe, temveč gre tudi za zanesljivost, dostopnost in stanovitnost obratovanja. Pri lastnem izvajanju se namreč ne bojiš, da bo tvoja diskovna polja kupil neposredni tekmec, da bi moral čez noč plačati (več) za dostop do svojih podatkov in da boš podatke čez noč izgubil, če imaš ustrezne postopke varnostnega kopiranja. Ali  – oziroma kdaj – smo pri oblaku lahko v to prepričani?

Računalništvo v oblaku prinaša še več izzivov kot običajno zunanje izvajanje storitev oziroma v besedišču ZVOP-1 pogodbena obdelava osebnih podatkov. Klasični model, na kateremu temelji Direktiva o varstvu osebnih podatkov 95/46, kakor tudi ZVOP-1, gradi na principu upravljavca, ki je tisti, ki določa namene in sredstva za obdelavo osebnih podatkov, s tem pa naj bi imel popolno moč odločanja o tem, kdo, kdaj kako in za kakšen namen bo obdeloval osebne podatke in kako bodo osebni podatki pri tem zavarovani. Model računalništva v oblaku pa temu pristopu ne ustreza najbolj, saj se moramo vprašati, kdo dejansko določa in kdo lahko spreminja pogoje? Upravljavec ali pogodbeni obdelovalec? Težko verjamemo, da imajo lahko upravljavci, kot so občina, šola ali podjetje dovolj pogajalske moči, da bi lahko vplivali na pogoje uporabe storitev, ki jih določajo pogodbeni obdelovalci, torej ponudniki storitev računalništva v oblaku, kot so Google, Amazon ali Microsoft. Upravljavci osebnih podatkov lahko bolj ali manj le slepo zaupajo standardnim zagotovilom, ki se nahajajo v splošnih pogojih uporabe storitev, pri tem pa pogosto v resnici sploh ne dobijo odgovorov na osnovna vprašanja, kot so npr.:

•    Kje (vse) se bodo nahajali naši osebni podatki?
•    Ali se (sploh) izbrišejo in kako?
•    Kako so podatki varovani, ali (in kako) so kriptirani4?
•    Kdo vse bo imel dostop do naših podatkov in ali se bo dostope ustrezno nadzorovalo in sledilo?
•    …

Pri računalništvu v oblaku posebno težavo predstavlja zamegljena lokacija podatka, saj se lahko podatki v danem trenutku nahajajo v različnih podatkovnih centrih, v različnih državah in na različnih celinah, s tem pa so obstoječe varovalke glede iznosa osebnih podatkov v tretje države pod velikim vprašajem (zlasti ustreznost dogovora Varni pristan).

Ena od težav dogovora Varni pristan je v tem, da gre v bistvu za princip samo-regulacije, ki je nastal pred uveljavitvijo računalništva v oblaku in nekateri nadzorni organi za varstvo osebnih podatkov so mnenja, da pri računalništvu v oblaku to ne zadostuje in da bi ponudniki računalništva v oblaku – zaradi prej navedenih pomislekov z vidika zavarovanja podatkov – morali biti dolžni ponuditi močnejša zagotovila. Podobno stališče zagovarjajo tudi glede certifikacije SAS 70 Type II, ki so jo npr. opravili Amazon, Salesforce.com, Google in Microsoft, saj se izbor kontrol s strani naročnika in revizorja pogosto ščiti in redko objavlja ter se obenem lahko znatno razlikuje od primera do primera. Na pomen zavarovanja osebnih podatkov je zelo podrobno opozoril danski nadzorni organ za varstvo osebnih podatkov, ki predvsem zaradi teh pomislekov eni od danskih občin ni dovolil uporabe Google Apps5. V vašem konkretnem primeru poleg skrbi, da bodo podatki v e-ustrezno zavarovani ne gre namreč zanemariti možnosti, da tudi v vašem primeru poleg omejenih podatkov s časom začeli vpisovati tudi določene občutljive osebne podatke, kot so npr. načrtovani posegi pri določenih pacientih, s čimer bi takšen koledar vseboval tudi občutljive osebne podatke.

Posebno težavo predstavlja tudi problem drugih uporabnikov, t.i. multi-tenancy, saj je lahko naš sosed na strežniku tudi takšen, ki krši zakonodajo, s tem pa lahko pride težav vsaj pri razpoložljivosti oz. dostopnosti do podatkov v primerih preiskav. Pri preučevanju varstva zasebnosti ob iznosu podatkov v tretje države prav tako ne gre pozabiti na vprašanja dostopa do podatkov s strani tretjih oseb, ki lahko zakonito ali nezakonito prestrezajo podatke med uporabnikom in ponudnikom računalništva v oblaku. Pri tem gre lahko tako za državne organe (pri tem velja zlasti omeniti široka pooblastila, ki jih organom pregona v ZDA omogoča Patriot Act), kakor tudi za subjekte zasebnega prava, zato so ustrezna zagotovila toliko pomembnejša.


Kakšna naj bi bila potem ustrezna zagotovila? Nadzorni organ za varstvo osebnih podatkov v nemški zvezni deželi Schleswig-Holstein (ULD) navaja dve možnosti. Prva je uporaba t.i. zavezujočih poslovnih pravil (angl. Binding Corporate Rules-BCR), gre pa za formalizirane politike oziroma dogovore s strani določene korporacije glede spoštovanja EU načel varstva osebnih podatkov, te dogovore pa mora potrditi nadzorni organ za varstvo osebnih podatkov iz ene ali več držav EU. EU je pri tem razvila tudi postopek t.i. vzajemnega potrjevanja BCR, pri katerem samo potrjevanje prevzame ena od držav članic, njeno presojo pa potem ostale članice zgolj sprejmejo oziroma potrdijo. BCR so postale precej pogost mehanizem za iznos osebnih podatkov pri multinacionalkah (npr. kadrovskih podatkov, podatkov o naročnikih) iz EU v tretje države, trenutno pa se preučuje možnosti posebne prilagoditev tega mehanizma za pogodbene obdelovalce (t.i. processor BCRs).

Druga možnost pa je neodvisno zunanje certificiranje s strani ustrezno usposobljenih organizacij ali združenj, katerih cilj je oblikovati standarde in smernice za varno računalništvo v oblaku. Med možne ukrepe sodi tudi certificiranje rešitev v smislu pridobitve potrdila oziroma certifikata ter razvoj specifičnih standardov v okviru informacijske varnosti, npr. v okviru mednarodnih standardizacijskih organizacij, kot so ISO ali BSI. Na tem področju trenutno potekajo številne aktivnosti in v prihodnosti lahko pričakujemo tudi določene rezultate.

Tretjo možnost ponujajo potekajoče raziskave na področju posebnih kriptirano varovanih domen znotraj ponudnikov računalništva v oblaku6 in raziskave na področju homomorfne enkripcije7.

Glede na vse navedeno Informacijski pooblaščenec priporoča, da se pred odločitvijo o iznosu osebnih podatkov v »oblak« izvedejo temeljite analize tveganj in da občutljivih osebnih podatkov, kot so zdravstveni podatki, in vseh ostalih osebnih podatkov z višjo stopnjo tveganja, do uveljavitve trdnih varovalk upravljavci ne iznašajo v oblak. Ne gre namreč pozabiti, da je upravljavec osebnih podatkov primarno tisti, ki nosi odgovornost za zlorabe osebnih podatkov, zato mora biti trdno prepričan, da tudi njegovi pogodbeni obdelovalci oziroma ponudniki storitev in rešitev, ki jih uporablja, lahko ponudijo takšna zagotovila. Dopustnost iznosa osebnih podatkov v tretje države ponudniku, ki je sprejel zaveze dogovora Varni pristan, namreč še ne pomeni, da lahko upravljavec zanemari dolžnosti glede zavarovanja osebnih podatkov in ureditve pogodbene obdelave osebnih podatkov, kot to zahteva ZVOP-1. Ponudnik kakršne koli storitve, ki naročniku ne zmore ponuditi zadovoljivih odgovorov in zagotovil glede tega, kako bodo zavarovani naročnikovi podatki, bi moral pri naročniku, ki zna pravilno oceniti tveganja v povezavi s svojimi podatki, vzbuditi določeno mero previdnosti in zadržanosti. Naročnik oziroma upravljavec osebnih podatkov je kot rečeno tisti, ki mora izvesti analizo tveganja in sprejeti odločitev, ali bo zaupal določenemu ponudniku, ali ne. Informacijski pooblaščenec je mnenja, da številni ponudniki storitev računalništva v oblaku potencialnim uporabnikom trenutno večinoma ne ponudijo zadostnih informacij za izvedbo ustreznih analiz tveganja in da je treba vzpostaviti mehanizme, ki bodo omogočali ločevanje zaupanja vrednih ponudnikov računalništva v oblaku od tistih tveganih. Do takrat Informacijski pooblaščenec vsem potencialnim uporabnikom svetuje posebno previdnost, pri občutljivih osebnih podatkih pa v tem trenutku odsvetujemo iznos le-teh v javne oblike računalništva v oblaku.


Informacijski pooblaščenec:
Nataša Pirc Musar, univ.dipl.prav.,
pooblaščenka

 

 


_________________________________________________________________________________


1 Glede definicij računalništva v oblaku glej npr. Institute of Standards and Technology (NIST), Special Publication 800-145, The NIST Definition of Cloud Computing, september 2011.

2 Več o tem v publikacijah ENISA: Cloud Computing – Benefits, risks and recommendations for information security, november 2009 (dostopno na: http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment).

3 Več na spletni strani Evropske komisije: http://ec.europa.eu/justice/policies/privacy/modelcontracts/index_en.htm.

4 Tu je treba poudariti, da gre tudi v situacijah, ko pogodbeni obdelovalec sploh ne ve, na koga se podatki nanašajo (npr. nudi zgolj storitev gostovanja prostora za hrambo podatkov), za obdelavo osebnih podatkov. Še več – tudi če upravljavec osebnih podatkov svoje podatke hrani pri zunanjemu ponudniku hrambe in na njegovih diskovnih zmogljivostih hrani svoje podatke v kriptirani, zunanjemu ponudniku hrambe neberljivi obliki, tudi takrat gre za hrambo osebnih podatkov, s tem pa za obdelavo osebnih podatkov in zakonske dolžnosti tako naročnika kot ponudnika storitve.

5 http://www.datatilsynet.dk/english/processing-of-sensitive-personal-data-in-a-cloud-solution/

6 Glej npr. »Sealed Cloud - a novel approach to defend insider attacks«,  http://uniscon.de/pdf/Sealed_Cloud_Jaeger_Monitzer.pdf.

7 http://en.wikipedia.org/wiki/Homomorphic_encryption