Sigurnost osobnih i drugih osjetljivih podataka u cloudu - pravni pogled
-
Upload
goran-vojkovic-phd -
Category
Law
-
view
378 -
download
5
Transcript of Sigurnost osobnih i drugih osjetljivih podataka u cloudu - pravni pogled
SIGURNOST OSOBNIH I DRUGIH OSJETLJIVIH PODATAKA U CLOUDU - PRAVNI POGLEDDOC. DR. SC. GORAN VOJKOVIĆ, DIPL. IUR.FAKULTET PROMETNIH ZNANOSTIZAGREB
FSec 2016 2
CLOUD COMPUTING (ILI RAČUNALSTVO U OBLAKU)
"Cloud computing" by Sam Johnston - Created by Sam Johnston using OmniGroup's OmniGraffle and Inkscape (includes Computer.svg by Sasa Stefanovic).
FSec 2016 3
DEFINICIJA
• Računarstvo u oblaku (eng. Cloud computing) je tehnologija koja osigurava fleksibilan, od lokacije neovisan pristup računarskim resursima koji se brzo i neprimjetno alociraju i dealociraju prema potražnji. • Računarski resursi se apstrahijrau i obično virtrualiziraju,
i korisnicima se isporučuju u vidu usluga. • Naplaćivanje, kada je prisutno, obično je bazirano na
korištenju, često u srazmjeru s količinom uporabljenih resursa.
FSec 2016 4
A GDJE JE PROBLEM?
Distribuirana tehnologijaTeritorijalno ograničeni
propisiTko stvarno drži naše
podatke?
FSec 2016 5
DISTRIBUIRANA TEHNOLOGIJAMA NEMA BOLJEG!
FSec 2016 6
PET KLJUČNIH KARAKTERISTIKA
Široki mrežni pristup
Beza elastičnos
tOdmjerena usluga
Usluga na zahtjev
Udruživanje resursa
Carnet, Cloud Computing, CARNet, Zagreb 2010.
FSec 2016 7
PODSJETIMO SE! (I)
• Široki mrežni pristup (engl. Broad network access) predstavlja mogućnosti dostupne putem mreže kojima se pristupa koristeći standardne mehanizme.• Brza elastičnost (engl. Rapid elasticity) podrazumijeva
ubrzano i elastično pokretanje korisničkih mogućnosti, od strane cloud okruženja.• Cloud okruženje ima karakteristiku odmjerene usluge (engl.
Measured service) zato što sustavi u cloud okruženju automatski provjeravaju i optimiziraju uporabu resursa.
FSec 2016 8
PODSJETIMO SE! (II)
• Usluga na zahtjev korisnika (engl. On-demand self-service) označava karakteristiku cloud okruženja u kojoj korisnik može samostalno odabrati i pokrenuti određene računalne resurse. • Karakteristika udruživanja resursa (engl. Resource
pooling) označava spajanje računalnih resursa pružatelja usluga, kako bi se poslužili svi korisnici, koristeći model s više zakupljenih jedinica (engl. Multi-Tenant model).
FSec 2016 9
NO, KOLIKO JE TO SIGURNO?
• Koliko smo se oslonili na autorski zaštićene aplikacije i formate trećih kompanija?• Ili smo provjerili da je format postao „javno
dobro”, kao primjerice PDF/A?Da li možda imate još uvijek neku disketu s vašim radovima pisanim u ChiWriteru?
FSec 2016 10
TERITORIJALNO OGRANIČENI PROPISI – PRVI ASPEKTGRANICA NACIONALNE DRŽAVE JE GRANICA NJENE JURISDIKCIJE
FSec 2016 11
SAMO POGLEDAJMO EUROPU…
FSec 2016 12
ILI JOŠ GORE, DIO EUROPE S VLASTITIM PROPISIMA…
13
ILI NEGDJE GDJE SE ZAKON OPĆENITO DRUGAČIJE SHVAĆA…
FSec 2016
FSec 2016 14
NIŠTA BEZ SLA!
• Service-level agreement (SLA) is defined as an official commitment that prevails between a service provider and the customer. • Particular aspects of the service – scope,
quality, availability, responsibilities – are agreed between the service provider and the service user.
FSec 2016 15
JA IMAM SLA – SVE JE POKRIVENO UGOVOROM!• Koliko je ono milijuna spor?• Cijene međunarodnih arbitražnih sudova su
ogromne: za sporove do 10 milijuna dolara International Chamber of Commerce (ICC) uzima nešto preko 300.000 $.• Niže cijene nacionalnih arbitraža – pa pazite
da partner ima sjedište u pouzdanoj državi!
FSec 2016 16
TERITORIJALNO OGRANIČENI PROPISI – DRUGI ASPEKTPOSEBAN PROBLEM KOD OSOBNIH PODATAKA
FSec 2016 17
KONVENCIJA 108 VIJEĆA EUROPE• Konvencija za zaštitu osoba glede automatizirane
obrade osobnih podataka i Dodatni protokol uz konvenciju za zaštitu osoba glede automatizirane obrade osobnih podataka u vezi nadzornih tijela i međunarodne razmjene podataka.• „Opened for signature in Strasbourg on 28 January
1981” (Dodatni protokol 2001.)• Poglavlje III. - Prekogranični protok podataka
FSec 2016 18
ŠTO KAŽE POGLAVLJE III?
• Članak 12.:• Prekogranični protok osobnih podataka i unutarnje pravo
• 1. Odredbe koje slijede primjenjuju se na prijenos preko državnih granica, bilo kojim sredstvom, osobnih podataka koji su predmet automatizirane obrade ili su prikupljeni radi takve obrade.
• 2. Stranka ne može, isključivo u svrhu zaštite privatnosti, zabraniti ili podvrgnuti posebnom odobrenju prekogranični protok osobnih podataka usmjeren za područje druge stranke.
• Ali…
FSec 2016 19
ŠTO KAŽE POGLAVLJE III? (II)
• 3. Svaka je stranka, međutim, ovlaštena odstupiti od odredbe stavka 2.:• a. u onoj mjeri u kojoj njezino zakonodavstvo sadrži posebne propise za
određene kategorije osobnih podataka ili za automatizirane zbirke osobnih podataka zbog naravi tih podataka ili tih zbirki, osim ako propisi druge stranke pružaju jednaku zaštitu,
• b. kad se prijenos obavlja s njezina područja na područje države koja nije stranka preko područja druge stranke, kako bi se izbjeglo da se takvim prijenosima zaobiđe zakonodavstvo stranke navedene na početku ovoga stavka.
FSec 2016 20
ŠTO KAŽE POGLAVLJE III? (III)
• Članak 14.• Pomoć subjektima podataka čije je boravište u inozemstvu
• 1. Svaka stranka pruža pomoć svakoj osobi čije je boravište u inozemstvu u ostvarenju prava predviđenih njezinim unutarnjim pravom kojima se ostvaruju načela izložena u članku 8. ove Konvencije. (biti upoznat s postojanjem obrade, dobiti podatke, zatražiti brisanje i sl.)
• 2. Kad takva osoba boravi na području druge stranke, mora joj se omogućiti podnošenje zahtjeva posredovanjem tijela koje je ta stranka odredila.
FSec 2016 21
DIREKTIVA 95/46/EZ
• Članak 1.• Cilj Direktive• 1. U skladu s ovom Direktivom, države članice štite
temeljna prava i slobode fizičkih osoba, a posebno njihova prava na privatnost u vezi s obradom osobnih podataka.• 2. Države članice ne ograničavaju, ni zabranjuju slobodni
prijenos osobnih podataka između država članica iz razloga povezanih sa zaštitom osiguranom u stavku 1. ovog članka.
FSec 2016 22
DIREKTIVA 95/46/EZ (II)
• Podsjetimo se termina termini:• "nadzornik" znači fizička ili pravna osoba, javno
tijelo, agencija ili bilo koje drugo tijelo koje samo ili zajedno s drugima utvrđuje svrhu i načine obrade osobnih podataka; (…)• "obrađivač" znači fizička ili pravna osoba, javno
tijelo, agencija ili bilo koje drugo tijelo koje obrađuje osobne podatke u ime nadzornika;
FSec 2016 23
DIREKTIVA 95/46/EZ (III)
• Članak 17.• Sigurnost obrade
• 1. Države članice utvrđuju da nadzornik mora provoditi odgovarajuće tehničke i organizacijske mjere kako bi zaštitio osobne podatke od slučajnog ili nezakonitog uništavanja ili slučajnoga gubitka, izmjene, neovlaštenog otkrivanja ili pristupa, posebno kada obrada uključuje prijenos podataka putem mreže, (…)
• 2. Države članice utvrđuju da nadzornik mora, kada se obrada provodi u njegovo ime, izabrati obrađivača koji daje dovoljna jamstva u vezi mjera tehničke sigurnosti kojima je uređena obrada koju je potrebno izvršiti, te da osigura poštivanje tih mjera.
FSec 2016 24
DIREKTIVA 95/46/EZ (IV)
• POGLAVLJE IV. - PRIJENOS OSOBNIH PODATAKA TREĆIM ZEMLJAMA• Članak 25.• Načela• 1. Države članice osiguravaju da se prijenos osobnih podataka
koji se obrađuju ili koje je potrebno obraditi nakon prijenosa trećoj zemlji, može izvršiti jedino ako, ne dovodeći u pitanje nacionalne odredbe donesene u skladu s drugim odredbama ove Direktive, te treće zemlje osiguraju odgovarajuću razinu zaštite.
• (…)
FSec 2016 25
DIREKTIVA 95/46/EZ (VII)
• Komisija može, utvrditi da treća zemlja temeljem domaćeg zakonodavstva ili međunarodnih obveza koje je preuzela, osigurava odgovarajuću razinu zaštite, za zaštitu privatnog života i osnovnih sloboda i prava pojedinaca – Zaključak o prikladnosti.• Zaključak Europske komisije o prikladnosti ima obvezujući
učinak.• Zaključak Komisije može imati različiti opseg – za neke države
biti općenit, ali za druge države omogućavati samo razmjenu osobnih podataka kod međunarodnih letova.
FSec 2016 26
TKO STVARNO DRŽI NAŠE PODATKE?
FSec 2016 27
NE, U IRSKOJ JE SAMO SJEDIŠTE ZA EUROPU (NISKI POREZI)!
FSec 2016 28
GDJE JE TAJ OBLAK?
FSec 2016 29
ŠTO AKO NETKO ZLORABI NAŠE PODATKE?• Kaznena odgovornost podrazumijeva biće
kaznenog djela, skup obilježja za postojanje kaznenog djela predviđenih zakonom; opis kaznenog djela s kojima se u zakonu, apstraktno, obilježuje neko ljudsko ponašanje kao kriminalno.
• Izvor: http://proleksis.lzmk.hr/3736/
FSec 2016 30
UJEDNAČAVANJE KAZNENIH ZAKONODAVSTAVA• Veliki iskorak:
Convention on Cybercrime Vijeća Europe• Ukupno 49
ratifikacija – velik dio svijeta i dalje nema ujednačeno zakonodavstvo
FSec 2016 31
PRINCIP „SIGURNE LUKE” – SJEDINJENE DRŽAVE• While the United States and the EU share the goal of enhancing
privacy protection for their citizens, the United States takes a different approach to privacy from that taken by the EU. • In order to bridge these differences in approach and provide a
streamlined means for U.S. organizations to comply with the Directive, the U.S. Department of Commerce in consultation with the European Commission developed a "safe harbor" framework and this website to provide the information an organization would need to evaluate – and then join – the U.S.-EU Safe Harbor program. (izvor: export.gov)
FSec 2016 32
ŠTO SE DOGODILO SA „SIGURNOM LUKOM SAD”KADA JE LJUBAV PRESTALA…
FSec 2016 33
UPUTA ZA USA KOMPANIJE KOJE ŽELE NA POPIS:• If your organization decides to join:
• Bring your organization's policies and practices into compliance with the requirements outlined in Helpful Hints on Self-Certifying Compliance with the U.S.-EU Safe Harbor Framework.
• Review the Information Required for Self-Certification.• Complete and submit the Certification Form.
• Upon receipt of your organization’s self-certification submission and corresponding processing fee, the submission will be reviewed for completeness. If and when the submission is deemed complete, it will be posted to the U.S.-EU Safe Harbor List, available on this website.
FSec 2016 34
„SIGURNA LUKA” – IZVAN SNAGE
FSec 2016 35
NEKI PRIMJERI IZ PRAKSE
FSec 2016 36
NA POVJERENJE?
• Google Drive:• Is my organization compliant with the European Commission
Directive on Data Protection if we use Google Apps?• Google adheres to the U.S. Safe Harbor Privacy Principles of
Notice, Choice, Onward Transfer, Security, Data Integrity, Access and Enforcement, and is registered with the U.S. Department of Commerce’s Safe Harbor Program.
• Generally, an organization must decide whether its use of Google Apps is compliant with any regulations it may be subject to.
FSec 2016 37
SMJEŠTAJ U EU-ČLANICI
• CloudMe:• „Security and privacy of our customers data is a
top priority for us. CloudMe in contrast to most cloud storage companies, run and operate our own data center and hardware. • All located in the country of Sweden, within the
European Union and protected by strong EU privacy laws.”
FSec 2016 38
KRIPTIRANJE PODATAKA NA RAZINI KLIJENTA• SpiderOak:• Zero Knowledge means we know nothing about
the encrypted data you store on our servers. • This unique design means nothing leaves your
computer until after it is encrypted and is never decrypted until it is unlocked with your password on your computer.
FSec 2016 39
I NE ZABORAVITE…
• Većina projekata traži da se po završetku istog podaci vrate vlasnicima podataka.• Nuditelji cloud usluga u pravilu – još neko
vrijeme čuvaju vaše podatke.• Jeste li sigurni da su ih i nakon tog vremena
izbrisali?
FSec 2016 40
ZAKLJUČNO…
• Postojeći pravni okvir rađen je prije razdoblja brzog Interneta i cloud okruženja.• Potrebna je nova regulacija koja će uzeti u obzir:
• Cloud okruženje za rad• Cloud okruženje za spremanje podataka• Odgovornost za podatke koji se nalaze u nekoliko država.• Pitanja nadzora i moguće zloporabe komunikacijskih kanala (npr.
dvije osobe u Hrvatskoj komuniciraju preko stranog mail servera).• Nadzor nad reklamama i ponudama cloud usluga.• Američko-europski trgovinski sporazum.
FSec 2016 41
HVALA NA PAŽ[email protected]