SIGURNOST OSOBNIH I DRUGIH OSJETLJIVIH PODATAKA U CLOUDU - PRAVNI POGLEDDOC. DR. SC. GORAN VOJKOVIĆ, DIPL. IUR.FAKULTET PROMETNIH ZNANOSTIZAGREB

FSec 2016 2

CLOUD COMPUTING (ILI RAČUNALSTVO U OBLAKU)

"Cloud computing" by Sam Johnston - Created by Sam Johnston using OmniGroup's OmniGraffle and Inkscape (includes Computer.svg by Sasa Stefanovic).

FSec 2016 3

DEFINICIJA

• Računarstvo u oblaku (eng. Cloud computing) je tehnologija koja osigurava fleksibilan, od lokacije neovisan pristup računarskim resursima koji se brzo i neprimjetno alociraju i dealociraju prema potražnji. • Računarski resursi se apstrahijrau i obično virtrualiziraju,

i korisnicima se isporučuju u vidu usluga. • Naplaćivanje, kada je prisutno, obično je bazirano na

korištenju, često u srazmjeru s količinom uporabljenih resursa.

FSec 2016 4

A GDJE JE PROBLEM?

Distribuirana tehnologijaTeritorijalno ograničeni

propisiTko stvarno drži naše

podatke?

FSec 2016 5

DISTRIBUIRANA TEHNOLOGIJAMA NEMA BOLJEG!

FSec 2016 6

PET KLJUČNIH KARAKTERISTIKA

Široki mrežni pristup

Beza elastičnos

tOdmjerena usluga

Usluga na zahtjev

Udruživanje resursa

Carnet, Cloud Computing, CARNet, Zagreb 2010.

FSec 2016 7

PODSJETIMO SE! (I)

• Široki mrežni pristup (engl. Broad network access) predstavlja mogućnosti dostupne putem mreže kojima se pristupa koristeći standardne mehanizme.• Brza elastičnost (engl. Rapid elasticity) podrazumijeva

ubrzano i elastično pokretanje korisničkih mogućnosti, od strane cloud okruženja.• Cloud okruženje ima karakteristiku odmjerene usluge (engl.

Measured service) zato što sustavi u cloud okruženju automatski provjeravaju i optimiziraju uporabu resursa.

FSec 2016 8

PODSJETIMO SE! (II)

• Usluga na zahtjev korisnika (engl. On-demand self-service) označava karakteristiku cloud okruženja u kojoj korisnik može samostalno odabrati i pokrenuti određene računalne resurse. • Karakteristika udruživanja resursa (engl. Resource

pooling) označava spajanje računalnih resursa pružatelja usluga, kako bi se poslužili svi korisnici, koristeći model s više zakupljenih jedinica (engl. Multi-Tenant model).

FSec 2016 9

NO, KOLIKO JE TO SIGURNO?

• Koliko smo se oslonili na autorski zaštićene aplikacije i formate trećih kompanija?• Ili smo provjerili da je format postao „javno

dobro”, kao primjerice PDF/A?Da li možda imate još uvijek neku disketu s vašim radovima pisanim u ChiWriteru?

FSec 2016 10

TERITORIJALNO OGRANIČENI PROPISI – PRVI ASPEKTGRANICA NACIONALNE DRŽAVE JE GRANICA NJENE JURISDIKCIJE

FSec 2016 11

SAMO POGLEDAJMO EUROPU…

FSec 2016 12

ILI JOŠ GORE, DIO EUROPE S VLASTITIM PROPISIMA…

13

ILI NEGDJE GDJE SE ZAKON OPĆENITO DRUGAČIJE SHVAĆA…

FSec 2016

FSec 2016 14

NIŠTA BEZ SLA!

•  Service-level agreement (SLA) is defined as an official commitment that prevails between a service provider and the customer. • Particular aspects of the service – scope,

quality, availability, responsibilities – are agreed between the service provider and the service user.

FSec 2016 15

JA IMAM SLA – SVE JE POKRIVENO UGOVOROM!• Koliko je ono milijuna spor?• Cijene međunarodnih arbitražnih sudova su

ogromne: za sporove do 10 milijuna dolara International Chamber of Commerce (ICC) uzima nešto preko 300.000 $.• Niže cijene nacionalnih arbitraža – pa pazite

da partner ima sjedište u pouzdanoj državi!

FSec 2016 16

TERITORIJALNO OGRANIČENI PROPISI – DRUGI ASPEKTPOSEBAN PROBLEM KOD OSOBNIH PODATAKA

FSec 2016 17

KONVENCIJA 108 VIJEĆA EUROPE• Konvencija za zaštitu osoba glede automatizirane

obrade osobnih podataka i Dodatni protokol uz konvenciju za zaštitu osoba glede automatizirane obrade osobnih podataka u vezi nadzornih tijela i međunarodne razmjene podataka.• „Opened for signature in Strasbourg on 28 January

1981” (Dodatni protokol 2001.)• Poglavlje III. - Prekogranični protok podataka

FSec 2016 18

ŠTO KAŽE POGLAVLJE III?

• Članak 12.:• Prekogranični protok osobnih podataka i unutarnje pravo

• 1. Odredbe koje slijede primjenjuju se na prijenos preko državnih granica, bilo kojim sredstvom, osobnih podataka koji su predmet automatizirane obrade ili su prikupljeni radi takve obrade.

• 2. Stranka ne može, isključivo u svrhu zaštite privatnosti, zabraniti ili podvrgnuti posebnom odobrenju prekogranični protok osobnih podataka usmjeren za područje druge stranke.

• Ali…

FSec 2016 19

ŠTO KAŽE POGLAVLJE III? (II)

• 3. Svaka je stranka, međutim, ovlaštena odstupiti od odredbe stavka 2.:• a. u onoj mjeri u kojoj njezino zakonodavstvo sadrži posebne propise za

određene kategorije osobnih podataka ili za automatizirane zbirke osobnih podataka zbog naravi tih podataka ili tih zbirki, osim ako propisi druge stranke pružaju jednaku zaštitu,

• b. kad se prijenos obavlja s njezina područja na područje države koja nije stranka preko područja druge stranke, kako bi se izbjeglo da se takvim prijenosima zaobiđe zakonodavstvo stranke navedene na početku ovoga stavka.

FSec 2016 20

ŠTO KAŽE POGLAVLJE III? (III)

• Članak 14.• Pomoć subjektima podataka čije je boravište u inozemstvu

• 1. Svaka stranka pruža pomoć svakoj osobi čije je boravište u inozemstvu u ostvarenju prava predviđenih njezinim unutarnjim pravom kojima se ostvaruju načela izložena u članku 8. ove Konvencije. (biti upoznat s postojanjem obrade, dobiti podatke, zatražiti brisanje i sl.)

• 2. Kad takva osoba boravi na području druge stranke, mora joj se omogućiti podnošenje zahtjeva posredovanjem tijela koje je ta stranka odredila.

FSec 2016 21

DIREKTIVA 95/46/EZ

• Članak 1.• Cilj Direktive• 1. U skladu s ovom Direktivom, države članice štite

temeljna prava i slobode fizičkih osoba, a posebno njihova prava na privatnost u vezi s obradom osobnih podataka.• 2. Države članice ne ograničavaju, ni zabranjuju slobodni

prijenos osobnih podataka između država članica iz razloga povezanih sa zaštitom osiguranom u stavku 1. ovog članka.

FSec 2016 22

DIREKTIVA 95/46/EZ (II)

• Podsjetimo se termina termini:• "nadzornik" znači fizička ili pravna osoba, javno

tijelo, agencija ili bilo koje drugo tijelo koje samo ili zajedno s drugima utvrđuje svrhu i načine obrade osobnih podataka; (…)• "obrađivač" znači fizička ili pravna osoba, javno

tijelo, agencija ili bilo koje drugo tijelo koje obrađuje osobne podatke u ime nadzornika;

FSec 2016 23

DIREKTIVA 95/46/EZ (III)

• Članak 17.• Sigurnost obrade

• 1. Države članice utvrđuju da nadzornik mora provoditi odgovarajuće tehničke i organizacijske mjere kako bi zaštitio osobne podatke od slučajnog ili nezakonitog uništavanja ili slučajnoga gubitka, izmjene, neovlaštenog otkrivanja ili pristupa, posebno kada obrada uključuje prijenos podataka putem mreže, (…)

• 2. Države članice utvrđuju da nadzornik mora, kada se obrada provodi u njegovo ime, izabrati obrađivača koji daje dovoljna jamstva u vezi mjera tehničke sigurnosti kojima je uređena obrada koju je potrebno izvršiti, te da osigura poštivanje tih mjera.

FSec 2016 24

DIREKTIVA 95/46/EZ (IV)

• POGLAVLJE IV. - PRIJENOS OSOBNIH PODATAKA TREĆIM ZEMLJAMA•  Članak 25.•  Načela•  1. Države članice osiguravaju da se prijenos osobnih podataka

koji se obrađuju ili koje je potrebno obraditi nakon prijenosa trećoj zemlji, može izvršiti jedino ako, ne dovodeći u pitanje nacionalne odredbe donesene u skladu s drugim odredbama ove Direktive, te treće zemlje osiguraju odgovarajuću razinu zaštite.

• (…)

FSec 2016 25

DIREKTIVA 95/46/EZ (VII)

• Komisija može, utvrditi da treća zemlja temeljem domaćeg zakonodavstva ili međunarodnih obveza koje je preuzela, osigurava odgovarajuću razinu zaštite, za zaštitu privatnog života i osnovnih sloboda i prava pojedinaca – Zaključak o prikladnosti.• Zaključak Europske komisije o prikladnosti ima obvezujući

učinak.• Zaključak Komisije može imati različiti opseg – za neke države

biti općenit, ali za druge države omogućavati samo razmjenu osobnih podataka kod međunarodnih letova.

FSec 2016 26

TKO STVARNO DRŽI NAŠE PODATKE?

FSec 2016 27

NE, U IRSKOJ JE SAMO SJEDIŠTE ZA EUROPU (NISKI POREZI)!

FSec 2016 28

GDJE JE TAJ OBLAK?

FSec 2016 29

ŠTO AKO NETKO ZLORABI NAŠE PODATKE?• Kaznena odgovornost podrazumijeva biće

kaznenog djela, skup obilježja za postojanje kaznenog djela predviđenih zakonom; opis kaznenog djela s kojima se u zakonu, apstraktno, obilježuje neko ljudsko ponašanje kao kriminalno.

• Izvor: http://proleksis.lzmk.hr/3736/

FSec 2016 30

UJEDNAČAVANJE KAZNENIH ZAKONODAVSTAVA• Veliki iskorak:

Convention on Cybercrime Vijeća Europe• Ukupno 49

ratifikacija – velik dio svijeta i dalje nema ujednačeno zakonodavstvo

FSec 2016 31

PRINCIP „SIGURNE LUKE” – SJEDINJENE DRŽAVE• While the United States and the EU share the goal of enhancing

privacy protection for their citizens, the United States takes a different approach to privacy from that taken by the EU. • In order to bridge these differences in approach and provide a

streamlined means for U.S. organizations to comply with the Directive, the U.S. Department of Commerce in consultation with the European Commission developed a "safe harbor" framework and this website to provide the information an organization would need to evaluate – and then join – the U.S.-EU Safe Harbor program. (izvor: export.gov)

FSec 2016 32

ŠTO SE DOGODILO SA „SIGURNOM LUKOM SAD”KADA JE LJUBAV PRESTALA…

FSec 2016 33

UPUTA ZA USA KOMPANIJE KOJE ŽELE NA POPIS:• If your organization decides to join:

• Bring your organization's policies and practices into compliance with the requirements outlined in Helpful Hints on Self-Certifying Compliance with the U.S.-EU Safe Harbor Framework.

• Review the Information Required for Self-Certification.• Complete and submit the Certification Form.

• Upon receipt of your organization’s self-certification submission and corresponding processing fee, the submission will be reviewed for completeness. If and when the submission is deemed complete, it will be posted to the U.S.-EU Safe Harbor List, available on this website.

FSec 2016 34

„SIGURNA LUKA” – IZVAN SNAGE

FSec 2016 35

NEKI PRIMJERI IZ PRAKSE

FSec 2016 36

NA POVJERENJE?

• Google Drive:• Is my organization compliant with the European Commission

Directive on Data Protection if we use Google Apps?• Google adheres to the U.S. Safe Harbor Privacy Principles of

Notice, Choice, Onward Transfer, Security, Data Integrity, Access and Enforcement, and is registered with the U.S. Department of Commerce’s Safe Harbor Program.

• Generally, an organization must decide whether its use of Google Apps is compliant with any regulations it may be subject to.

FSec 2016 37

SMJEŠTAJ U EU-ČLANICI

• CloudMe:• „Security and privacy of our customers data is a

top priority for us. CloudMe in contrast to most cloud storage companies, run and operate our own data center and hardware. • All located in the country of Sweden, within the

European Union and protected by strong EU privacy laws.”

FSec 2016 38

KRIPTIRANJE PODATAKA NA RAZINI KLIJENTA• SpiderOak:• Zero Knowledge means we know nothing about

the encrypted data you store on our servers. • This unique design means nothing leaves your

computer until after it is encrypted and is never decrypted until it is unlocked with your password on your computer.

FSec 2016 39

I NE ZABORAVITE…

• Većina projekata traži da se po završetku istog podaci vrate vlasnicima podataka.• Nuditelji cloud usluga u pravilu – još neko

vrijeme čuvaju vaše podatke.• Jeste li sigurni da su ih i nakon tog vremena

izbrisali?

FSec 2016 40

ZAKLJUČNO…

• Postojeći pravni okvir rađen je prije razdoblja brzog Interneta i cloud okruženja.• Potrebna je nova regulacija koja će uzeti u obzir:

• Cloud okruženje za rad• Cloud okruženje za spremanje podataka• Odgovornost za podatke koji se nalaze u nekoliko država.• Pitanja nadzora i moguće zloporabe komunikacijskih kanala (npr.

dvije osobe u Hrvatskoj komuniciraju preko stranog mail servera).• Nadzor nad reklamama i ponudama cloud usluga.• Američko-europski trgovinski sporazum.

FSec 2016 41

HVALA NA PAŽNJI!goran.vojkovic@fpz.hr