SECURITATEA INFORMAȚIEI – consilier juridic BOGOS Octavian

0
75

La sfârsitul anilor 50 unul din inițiatorii ciberneticii, Norbert Viner, a definit informația ca fiind “conținutul recepționat din lumea exterioară în cadrul procesului de adaptare la aceasta  a lumii și sa se adapteze perceptiei  noastre”. Procesul de recepție și de utilizare a informației reprezintă  procesul de adaptare la lumea din exterior și a vieții noastre în cadrul acestui mediu”. În această definiție pentru prima data se pune în discuție problema prin care informațiile sunt primite incomplete de către individ, dintr-o parte, și necesitatea protecției informațiilor de la numeroși factori externi de pe altă parte. Informația este un important produs al producției sociale, care este în mod constant  completată si extinsă. Astăzi este poate cel mai important produs în relațiile economice, atât interne cât și la nivel internațional. La nivel internațional, s-a format un sistem de opinii cu privire la informații ca o resursă valoroasă a mijloacelor de existență ale societății, având o importanță de nivel social.

În conformitate cu juristii britanici (Li, Martin, Heida), într-o economie de piață informația este percepută ca o marfă și acțiuni ca primirea, păstrarea, predarea și utilizarea trebuie să respecte legile relațiilor marfă – bani. Fiecare proprietar are dreptul să-și protejeze propriile interese și să apere informația corespunzătoare, primind în același timp o libertate corespunzătoare în afaceri. Dreptul asupra ocrotirii confidențialității reprezintă limitarea instituțiilor statului asupra vieții economice a întreprindrilor și apărarea intereselor prin colaborarea cu alte subiecte din piață

Scopul principal al informației este de a furniza întreprinderii un avantaj economic în competiția economică.

În condițiile pieței și ale concurenței apar un set de probleme în legătură cu asigurarea  securității și protecției nu numai a persoanelor fizice și juridice, a proprietății lor, dar, de asemenea, a informației având o valoare comercială, alte informații, în special cu privire la rezultatele activității intelectuale: secrete, secrete oficiale, etc.

Utilitatea informației este că aceasta creează condiții favorabile pentru a lua decizii în mod operativ, de a găsi o soluție și de a avea un rezultat eficient.

La rândul său, utilitatea informației (în special cea comercială) depinde de comunicarea în timp util  persoanei juridice/interesate. De exemplu, din cauza întârzierii de a avea acces la o informatie utila se rateaza ocazia de a încheia o tranzacție profitabilă. Drept rezultat, se pierde timpul pretios și astfel informația își pierde din utilitate.

Criteriile privind utilitatea și actualitatea sunt strâns interconectate și interdependente cu criteriul fiabilității estimate a informațiilor. Informaţii înșelătoare/false sau neactuale reduc la zero efectul oportunității și utilității entității lor aparent de afaceri.

Valoarea unei informatii este un indicator complex al calității sale, stând la baza luării unei decizii într-un domeniu concret. De aici rezultă și valoarea comercială a informației – un indicator esențial în luarea deciziilor în activitatea comercială.

Valoarea informației este compusă din următoarele elemente – o sursa sigură, de actualitate, completă și nu în ultimul rând să fie utilă și la timp adusă la cunoștință.

Cu cât mai multe informații confidențiale sunt încarcate pe diverse tehnici de calcul și cu cât mai des facem schimb cu colegii, prietenii, membrii ai familiei, cu atât mai mult crește posibilitatea unei accesări ilegale de terțe personae.

Există două tipuri de amenințări a securității informațiilor. Și anume amenințarea artificială și una naturală.

Respectiv, cele artificale sunt impărțite în cele:

a). neintenționate

b). și cele săvârșite cu intenție.

–           Amenințările neintenționate sunt considerate a fi acte comise de oameni din cauza unei lipsei de atenție adecvate, a unei lipsei de intreținere corespunzătoare a sistemelor/echipamentelor, sau a unor cunoștințe precare în domeniu.

Exemple de tipuri de amenințări neintenționate includ instalați inutile de software care nu este necesar pentru locul de muncă. Pe viitor, aceste produse în exces poate provoca o defecțiune. Vă pot cita, de asemenea, exemplul unei caracteristici umane, ca o curiozitate. Acțiune Ruptă din ignoranță nu sunt dăunătoare, dar poate provoca daune. Acest tip de amenințare este dificil de anticipat și de control

–           Amenințările intenționale sunt considerate o amenințarile, care vizează în mod deliberat la distrugerea fizică.

Exemple de acest tip de amenințări includ atacuri asupra sistemelor informatice, interne și externe. De multe ori, protecția internă a sistemului de informații plătesc mult mai puțină atenție decât protecția externă. Istoria cunoaște cazuri de mai multe milioane de dolari pierderi în companii mari, din cauza pirateriei informatice interne și a furtului de date.

In prevenirea diferetelor categorii de accidente putem folosi un complex de măsuri procedural, fizice, logistice și juridice.

Securitatea fizică, “reprezintă un nivel exterior al securității și constă în prevenirea, detectarea și limitarea accesului direct asupra bunurilor, valorilor și informațiilor” .

Securitatea logistică, “reprezintă totalitatea metodelor ce asigură controlul accesului la resursele și serviciile sistemului”.

Securitatea juridică, este nivelul alcatuit dintr-o colecție de legi naționale și internațional care reglementează actul de violare a nivelelor de securitate fizică și logică și stabilește sancțiunile pentru aceste acte”.

In tratarea noțiunii securității informației este important de a clarifica și de a nu o confunda cu securitatea informatică. Un domeniu mai vast și mai tehnic, dar din care face parte securitatea informației.

Lucrul în reţea şi conectarea la internet induc şi ele riscuri suplimentare, de acces neautorizat la date sau chiar fraudă.

Dezvoltarea tehnologică a fost acompaniată şi de soluţii de securitate, în acest sens producătorii de echipamente şi aplicaţii incluzând metode tehnice de protecţie din ce în ce mai performante. Totuşi, în timp ce în domeniul tehnologiilor informaţionale schimbarea este exponenţială, componenta umană rămâne neschimbată. Asigurarea securităţii informaţiilor nu se poate realiza exclusiv prin măsuri tehnice, fiind în principal o problemă umană. Majoritatea incidentelor de securitate sunt generate de o gestiune şi organizare necorespunzătoare, şi mai puţin din cauza unei deficienţe a mecanismelor de securitate.

Este important ca organizaţiile să conştientizeze riscurile asociate cu utilizarea tehnologiei şi gestionarea informaţiilor şi să abordeze pozitiv acest subiect printr-o conştientizare în rândul angajaţilor a importanţei securităţii informaţiilor, înţelegerea tipologiei ameninţărilor, riscurilor şi vulnerabilităţilor specifice mediilor informatizate şi aplicarea practicilor de control.

Pentru a ușura stabilirea unor procedure în sensul îmbunătățirii măsurilor organizatorice s-a cerut o reglementare la nivelul international, astfel, Organizaţia Internaţională pentru Standardizare (ISO) împreuna cu Comisia Internaţională Electrotehnică (IEC) alcătuiesc un forum specializat pentru standardizare. Organismele naţionale care sunt membre ale ISO şi IEC participă la dezvoltarea standardelor internaţionale prin intermediul comitetelor tehnice. Statele Unite ale Americii, prin Institutul Naţional de Standardizare, ocupă poziţia de Secretar, 24 de ţări au statut de Participanţi (Brazilia, Franţa, Regatul Unit al Marii Britanii, Coreea, Cehia, Germania, Danemarca, Belgia, Portugalia, Japonia, Olanda, Irlanda, Norvegia, Africa de Sud, Australia, Canada, Finlanda, Suedia, Slovenia, Elveţia, Noua Zeelandă şi Italia) şi alte 40 de ţări au statut de Observatori.

Prin activitatea susţinuta de Ministerul Comunicaţiilor şi Tehnologiei Informaţiei (MCTI) de adoptare la nivel naţional a standardelor europene şi internaţionale recunoscute, standardul ISO/IEC 17799 – “Tehnologia Informaţiei – Cod de bună practică pentru managementul securităţii informaţiei” a fost adoptat şi în România de către Asociaţia de Standardizare din România (ASRO), din toamna anului 2004. Standardul este recunoscut în rezoluţiile Consiliului Europei, implementarea acestuia la nivelul organizaţiilor fiind opţională In legislatia din Romania exista o seria destul de larga a interpretarii si definirii informatiei cat si a celor elemente ce pot constitui securitatea informatiei.

Unele măsuri în special cele privind integritatea si disponibilitatea au fost preluate și de Ordonanta privind protectia consumatorilor la incheierea si executarea contractelor la distanta. Textul Ordonantei Guvernului 130/2000 cu modificarile aduse prin Legea 51/2003, Legea 365/2002, Legea 363/2007 si OUG 174/2008, prevede în cadrul Art. 3., alin 2

Informatiile prevazute la alin. (1), al caror scop comercial trebuie sa rezulte fara echivoc, vor fi comunicate in mod clar, usor de inteles de catre consumator, prin orice mijloc adaptat tehnicii de comunicatie la distanta utilizate, tinandu-se seama de principiile de buna practica comerciala in tranzactii si de principiile care guverneaza protectia minorilor si a altor persoane lipsite de capacitate de exercitiu, precum si de principiile referitoare la bunele moravuri.”

O mai argă aplicare a normelor privind confidențialitatea, integritatea și disponibilitatea informatiilor se regasesște de exemplu în Legislatia privind documente electronice, și anume:

  • Legea semnăturii electronice – 455 / 2001 – Publicat în Monitorul Oficial nr 429/2001

o          Norme tehnice și metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică – HG 1259/2001, modificat prin HG 2303/2004

o          Ordinul Ministrului Comunicațiilor și Societății Informaționale nr.473/2009 privind procedura de acordare, suspendare și retragere a deciziei de acreditare a furnizorilor de servicii de certificare

  • Legea privind marca temporalăa nr. 451/2004 Publicat în Monitorul Oficial, Partea I nr. 1021

o          Ordinul Ministrului Comunicațiilor și Societății Informaționale  nr. 492/2009 din 15/06/2009 privind normele tehnice și metodologice pentru aplicarea Legii nr. 451/2004 privind marca temporală

  • Lege privind regimul juridic al activității electronice notariale – 589/2004 Publicată în Monitorul Oficial numarul 1227/20 decembrie 2004

o          Ordinul Ministrului Comunicațiilor și Societății Informaționale nr. 500/2009 privind Normele tehnice și metodologice pentru aplicarea Legii nr. 589/2004 privind regimul juridic al activității electronice notariale

  • Lege privind arhivarea documentelor în forma electronică 135/2007 – Publicată în Monitorul Oficial nr. 345 din 22 Mai 2007

o          Ordinul Ministrului Comunicațiilor și Societății Informaționale nr. 493/2009 privind Normele tehnice și metodologice pentru aplicarea pentru aplicarea Legii nr. 135/2007 privind arhivarea documentelor în formă electronică

  • Legea nr.148/2012 privind înregistrarea operațiunilor comerciale prin mijloace electronice

Cu titlu de exemplu:

a). Legea nr. 455 din 18 iulie 2001 privind semnătura electronică

Publicată în Monitorul Oficial, Partea I nr. 429 din 31 iulie 2001

Art. 13 (2) O data cu efectuarea notificarii prevazute la alin. (1) furnizorii de servicii de certificare au obligatia de a comunica autoritatii de reglementare si supraveghere specializate in domeniu toate informatiile referitoare la procedurile de securitate si de certificare utilizate, precum si orice alte informatii cerute de autoritatea de reglementare si supraveghere specializata in domeniu.

Art. 15. – (1) Persoanele fizice care presteaza, conform legii, in nume propriu servicii de certificare, precum si personalul angajat al furnizorului de servicii de certificare, persoana fizica sau juridica, sunt obligate sa pastreze secretul informatiilor incredintate in cadrul activitatii lor profesionale, cu exceptia celor in legatura cu care titularul certificatului accepta sa fie publicate sau comunicate tertilor.

       (3) Nu constituie divulgare a secretului profesional comunicarea de informatii catre o autoritate publica, atunci cand aceasta actioneaza in exercitarea si in limitele competentelor sale legale.

 Art. 16. –    (2) Furnizorii de servicii de certificare nu pot colecta date cu caracter personal decat de la persoana care solicita un certificat sau, cu consimtamantul expres al acesteia, de la terti. Colectarea se face doar in masura in care aceste informatii sunt necesare in vederea eliberarii si conservarii certificatului. Datele pot fi colectate si utilizate in alte scopuri doar cu consimtamantul expres al persoanei care solicita certificatul.

b). Legislatie privind dreptul de autor

  • Legea privind dreptul de autor si drepturile conexe cu modificarile aduse pina in aprilie 2011

o          Lege nr. 329 din 14 iulie 2006 privind aprobarea Ordonantei de urgenta a Guvernului nr. 123/2005 pentru modificarea si completarea Legii nr. 8/1996 privind dreptul de autor si drepturile conexe

o          Ordonanta de Urgenta nr. 123 din 1 septembrie 2005 pentru modificarea si completarea Legii nr. 8/1996 privind dreptul de autor si drepturile conexe

o          Legea nr. 285 din 23 iunie 2004 pentru modificarea si completarea Legii nr. 8/1996 privind dreptul de autor si drepturile conexe

o          Legea 8/1996 privind dreptul de autor si drepturile conexe ( versiunea in vigoare pina la 30 Iulie 2004 )

o          Decret 321 din 18 Iunie 1956 privind dreptul de autor – valabil pina la data de 14 martie 1996

  • Ordonanta Guvernului nr. 25/2006 privind intarirea capacitatii administrative a Oficiului Roman pentru Drepturile de Autor – Republicat in Monitorul Oficial nr. 657 din 18.09.2008 – cu modificarile aduse prin OUG nr. 43/2010

o          Ordonanta Guvernului nr. 25/2006 privind intarirea capacitatii administrative a Oficiului Roman pentru Drepturile de Autor – varianta initiala

o          Legea 364/2006 pentru aprobarea Ordonantei Guvernului nr. 25/2006

privind intarirea capacitatii administrative a Oficiului Roman

pentru Drepturile de Autor

  • Metodologia privind stabilirea remuneratiilor cuvenite titularilor drepturilor conexe pentru comunicarea publica a fonogramelor de comert prin intermediul serviciilor online sau mobile, publicata in Monitorul Oficial nr.691 din 29 septembrie 2011
  • Metodologia privind stabilirea remuneratiilor cuvenite titularilor de drepturi patrimoniale de autor de opere muzicale pentru reproducerea si/sau comunicarea publica a operelor muzicale prin servicii online sau mobile publicata in Monitorul Oficial nr. 273 din 27 Aprilie 2010
  • Protocol din 10/04/2009 privind Lista suporturilor si aparatelor pentru care se datoreaza remuneratia compensatorie pentru copia privata pentru operele reproduse dupa inregistrari sonore sau audiovizuale, precum si cuantumul acestei remuneratii, publicat in Monitorul Oficial, Partea I nr. 316 din 13/05/2009
  • Metodologia pentru utilizarea operelor muzicale ca tonuri de apel pentru telefoanele mobile si drepturile patrimoniale cuvenite titularilor drepturilor de autor publicata in Monitorul Oficial nr. 58 / 18 Ianuarie 2005
  • Legea 533/2004 pentru modificarea si completarea Ordonantei Guvernului nr. 51/1997 privind operatiunile de leasing si societatile de leasing publicata in Monitorul Oficial nr. 1 135 / 1 decembrie 2004 ( Legea leasingului pentru software )

Legea nr 8/1996 privind dreptul de autor si drepturile conexe CAPITOLUL III Masuri de protectie, proceduri si sanctiuni Sectiunea 1 Masuri tehnice de protectie si informatii privind regimul drepturilor Art. 138^5

 (1) Autorul unei opere, artistul interpret sau executant, producatorul de fonograme ori de inregistrari audiovizuale, organismul de radiodifuziune sau de televiziune si fabricantul de baza de date pot sa instituie masuri tehnice de protectie a drepturilor recunoscute prin prezenta lege.

 (2) Prin masuri tehnice, in sensul prezentei legi, se intelege utilizarea oricarei tehnologii, a unui dispozitiv sau a unei componente care, in cadrul functionarii sale normale, este destinata sa impiedice sau sa limiteze actele care nu sunt autorizate de titularii drepturilor recunoscute prin prezenta lege.

 (3) Masurile tehnice sunt considerate eficiente atunci cand utilizarea unei opere sau a oricarui alt obiect al protectiei este controlata de catre titularul de drepturi prin aplicarea unui cod de acces sau a unui procedeu de protectie, precum criptarea, codarea, bruierea sau orice transformare a operei ori a altui obiect al protectiei sau printr-un mecanism de control al copierii, daca masurile indeplinesc obiectivul de asigurare a protectiei.

 (4) Titularii de drepturi care au instituit masuri tehnice de protectie au obligatia de a pune la dispozitie beneficiarilor exceptiilor prevazute la art. 33 alin. (1) lit. a), c) si e), art. 33 alin. (2) lit. d) si e) si la art. 38 mijloacele necesare pentru accesul legal la opera sau la oricare alt obiect al protectiei. Totodata acestia au dreptul sa limiteze numarul copiilor realizate in conditiile de mai sus.

 (5) Dispozitiile alin. (4) nu se aplica in cazul operelor protejate puse la dispozitia publicului, conform clauzelor contractuale convenite intre parti, astfel incat membrii publicului sa poata avea acces la acestea in orice loc si in orice moment ales, in mod individual.

 Art. 138^6

 (1) Titularii drepturilor recunoscute prin prezenta lege pot sa furnizeze, in format electronic, asociat unei opere sau oricarui alt obiect al protectiei sau in contextul comunicarii publice a acestora, informatii privind regimul drepturilor. (2) Prin informatii privind regimul drepturilor, in sensul prezentei legi, se intelege orice informatie furnizata de titularii de drepturi care permite identificarea operei sau a oricarui alt obiect al protectiei prin prezenta lege, a autorului sau a altui titular de drepturi, precum si conditiile si modalitatile de utilizare a operei sau a oricarui alt obiect al protectiei, precum si orice numar sau cod reprezentand aceste informatii. 

Ca reper în stabilirea unei definiții privind informația invoc prevederile Legii nr 182/2002, republicată, care defineste in mod expres informația și anume:

Art. 15.

In sensul prezentei legi, următorii termeni se definesc astfel:

  1. a) informații – orice documente, date, obiecte sau activități, indiferent de suport, formă, mod de exprimare sau de punere în circulație;

Iar în ceea ce priveste măsurile de securitate a informației, legea prevede o seria de noțiuni, pre care le definește în funcție de procedurile aplicate și/sau importanța utilizării informației (la nivelul instituțiilor de stat sau de către mediul privat). Pentru mediul privat reținem doar o mențiune prevăzută de art 15 litera e) informații secrete de serviciu – informațiile a căror divulgare este de natură să determine prejudicii unei persoane juridice de drept public sau privat”.

Astfel, tinând cont de noțiunile prezentate a securității informației și interacțiunea tot mai accentuată cu dezvoltarea tehnologiei, stabilim un set de elemente fundamentale pe care se bazează securitatea informației și anume: confidențialitatea, integritatea și disponibilitatea.

In ceea ce priveste Confidențialitatea, folisim cea mai uzuală defniție, prin care

aceasta se referă la protecția împotriva accesului neautorizat și a devulgării informației către indivizi sau sisteme neautorizate.

Din punct de vedere al nivelului de clasificare, prezentăm, în continuare, modul de definire a trei categorii de documente/date/informaţii:

a).documente „confidenţiale”,

b). de „uz intern”

c). documente „neconfidenţiale”.

Caracteristicile acestora sunt:

  • informaţii confidenţiale” – informaţii, date, materiale a căror divulgare neautorizată este de natură să producă daune organizaţiei;
  • informaţii de uz intern” – informaţii, date, materiale a căror divulgare înafara companiei trebuie autorizată, divulgarea neautorizată este de natură să producă daune organizaţiei;
  • informaţii neconfidenţiale” – informaţii, date, materiale a căror divulgare neautorizată nu produce daune organizaţiei.

Informațiile pot fi accesate, utilizate, copiate sau puse doar la dispoziția persoanelor autorizate, și doar atunci cand este o nevoie reală de aceasta.

Integritatea  se referă la protecția împotriva modificării sau distrugerii sistemelor, rețelelor și informațiilor confidențiale sau nu.

Disponibilitatea se referă la faptul că informația, sistemele de calcul utilizate pentru prelucrarea informației sau oricare alte procedure (electronice și/sau manuale), si metodele de asigurare a securității utilizate pentru protejarea informațiilor sunt disponibile toate și funcționează toate corect atunci când este necesară informația.

Rămâne la alegerea mediului privat și a fiecărei persoanei juridice în parte să-și stabilească propriile norme, definiții și reglementări în ceea ce privește securitatea informației.

Pentru a avea o siguranță în colectarea, prelucrarea și păstrarea informațiilor secrete, o persoana juridică trebuie să – și asume o seria de proceduri și norme, care să poată garanta partenerilor de afaceri, de exemplu siguranța datelor asupra cărora s-a convenit de a fi confidențiale.

Setul de norme, care asigură securitatea informațiilor de către o persoană juridică, este format din adoptarea următoarelor procedure/reguli:

  1. regului privind lucrul cu informaţiile confidenţiale;
  2. reguli privind asigurarea securitatii informaționale în procesul exploatării tehnicii de calcul;
  3. reguli pentru asigurarea securităţii prelucrărilor datelor cu caracter personal.

Reguli privind lucrul cu informații confidențiale

Regulile privind lucrul cu informații confidențiale au ca scop stabilirea unor norme de conduită pentru asigurarea unui nivel satisfăcător de protecţie a informațiilor confidențiale prelucrate de către o societate. Sunt stabilite principalele reguli şi cerinţe privind crearea, marcarea, evidenţa, păstrarea, prelucrarea, transportarea, transmiterea, distrugerea informaţiilor cu acces limitat în scopul protecţiei corespunzătoare.

Organizaţia trebuie să stabilească responsabilităţi pentru gestionarea documentelor clasificate în condiţii de siguranţă.

La redactarea documentelor ce conţin informaţii clasificate se vor respecta următoarele reguli:

  • menţionarea, în antet, a organizaţiei emitente, a numărului şi a datei înregistrării, a nivelului de clasificare şi, dacă este cazul, a numărului de exemplare şi a destinatarului;
  • numerele de înregistrare se înscriu pe toate exemplarele documentului şi pe anexele acestora;
  • la începutul sau la sfârşitul documentului se înscriu în clar, după caz, numele şi prenumele emitentului, funcţia, urmate de semnătura acestuia şi, dacă este cazul, ştampila organizaţiei;
  • înscrierea, pe fiecare pagină a documentului, a nivelului de clasificare atribuit acestuia;
  • pe fiecare pagină a documentului ce conţine informaţii clasificate se înscrie numărul curent al paginii, urmat de numărul total al acestora.

Informaţiile clasificate vor fi marcate, inscripţionate şi gestionate numai de către persoane autorizate corespunzător nivelului de clasificare a acestora.

Reguli privind asigurarea securitatii informaționale în procesul exploatării tehnicii de calcul

Reguli privind asigurarea securității informaționale în procesul exploatării tehnicii de calcul se referă la asigurarea integrităţii, confidenţialităţii şi disponibilităţii informaţiei in procesul gestionării și exploatării tehnicii de calcul în cadrul societății și sunt destinate pentru utilizarea de către angajații Societății, inclusiv  angajații societăților subcontratante, având un caracter obligatoriu.

În ceea ce privește informațiile considerate confidențiale de către o persoană terță, “Reguli privind asigurarea securității informaționale în procesul exploatării tehnicii” se aplică pe partea care nu contravine actelor normative ale deținătorului de drept și convențiilor bilaterale cu acesta. Clauza de confidențialitate recomandată în relațiile cu terțele peroane juridice/publice este formulată în felul următor:

« oricare și toate informațiile legate de activitatea celeilalte Părți și/ sau oricare și toate informațiile legate de indeplinirea obiectului Contractului, care nu sunt cunoscute în mod general publicului, inclusiv, dar fără a se limita la, condiții financiare, active și patrimoniu,  planuri de afaceri, identitatea partenerilor, informații, evidențe ale activității, rapoarte de piață, rapoarte pregatite in baza prezentului contract, planuri, schite, evidențe ale angajaților, regulamente interne și manuale, politici și proceduri de desfășurare a activității, informații legate de procedurile, tehnologiile sau teoriile și orice alte informații care ar putea fi dezvăluite de către o Parte către cealaltă Parte sau la care uneia dintre Părți i se poate acorda accesul de către cealaltă Parte în conformitate cu prezentul Contract, sau care sunt generate ca rezultat a sau în legătura cu obiectul Contractului, care nu sunt disponibile publicului larg».

În funcție de complexitatea contractului se pot după caz utiliza următoarele cluze în completare la cluza de mai sus, și anume:

Părțile se obligă să primească și să păstreze confidențialitatea asupra Informațiilor Confidențiale. Fără a limita în niciun fel dispozițiile anterioare, Părțile se obligă și sunt de acord:

– să protejeze Informațiile Confidențiale împotriva folosirii, publicării sau dezvăluirii neautorizate;

– să nu folosească Informațiile Confidențiale, cu excepția îndeplinirii obligațiilor stabilite prin prezentul Contract;

– sa nu furnizeze, publice, dezvaluie, transfere sau sa foloseasca in alt mod, direct sau indirect, in orice maniera, Informatiile Confidentiale, cu exceptia autorizarii exprese a celeilalte Parti in concordanta cu prevederile acestui articol;

– să nu folosească nicio Informație Confidențială pentru a concura în mod neloial sau a obține avantaje nemeritate față de cealaltă Parte în orice activitate comercială care poate fi asemănătoare cu activitatea comercială desfășurată de către cealaltă Parte în legătura cu prezentul Contract;

– să limiteze accesul la Informațiile Confidențiale acelor angajați, persoanelor de control sau celor de conducere și subordonați care nu au nevoie de asemenea acces pentru a-și îndeplini obligațiile prevăzute prin prezentul Contract;

– să garanteze faptul că orice persoana căreia i se acordă acces la Informații Confidențiale va fi informată asupra faptului că îi este strict interzisă utilizarea, publicarea sau dezvăluirea, sau permiterea altor persoane să utilizeze, în interes propriu sau în detrimentul celeilalte Părți, oricare dintre Informațiile Confidențiale, și la cerere să transmită un exemplar al unui acord scris în acest sens semnat de către persoanele respective;

– să respecte oricare alte măsuri de securitate rezonabile, solicitate în scris de către o Parte.”

Obligațiile de confidențialitate enunțate nu se vor aplica Informației Confidențiale care:

– este, sau devine ulterior, de notorietate publică, altfel decât prin încălcarea dispozițiilor prezentului Contract; sau

– este în posesia unei Părți având dreptul de dezvăluire anterior primirii de la cealaltă Parte, după cum este evidențiat în documente scrise; sau

– este primită de o Parte în mod independent de la o terță persoană, fără restricții cu privire la dezvăluire.”

Nu în ultimul rând se impune și stabilirea unei durate. De regulă este utilizată formula  „Obligațille de confidențialitate enumerate potrivit art……. de mai sus sunt nelimitate în timp”. Pentru a pune în concordanța oblgația de confidențialitate cu timpul păstrării este necesar ca părțile să definească cât mai exact care sunt informațiile confidențiale, atât la semnarea contractului dar și în cursul derulării și executării.

Prin intermediul prezentelor “Reguli privind asigurarea securității informaționale în procesul exploatării tehnicii” Societatea își rezervă dreptul de a deține controlul utilizării activelor informaționale date în utilizare angajaților Societății, inclusiv angajații societăților subcontractante care își asumă aceste regului, de a iniția acțiunea în justiție a infractorilor și aplicarea sancțiunilor pe cale disciplinară, administrativă, penală sau civilă conform legislației în vigoare.

Organizarea securităţii nu se limitează doar la personalul intern, trebuie avute în vedere şi riscurile induse de terţi sau subcontractori care au acces la sistemul informaţional. În momentul transmiterii către terțe persoane (persoane juridice private sau publice) se va ține cont de un set de clauze care să prevadă respectarea normelor de securitate informațională respectarea și aplicarea regulamentelor interne a societății, organizarea unor norme și proceduri specifice activității fiecarui contract în parte ce vor asigura menținerea unui grad satisfăcător a securității informaționale.

Regulile privind asigurarea securității informaționale în procesul exploatării tehnicii stabilesc și accesul la echipamentele de prelucrare a informaţiilor organizației de către terţe părţi. Care trebuie să se facă sub supraveghere. Pentru accesul terţilor, este necesară o evaluare a riscului care ar trebui să fie efectuată pentru a stabili implicaţiile de securitate şi cerinţele de control. Măsurile de protecție trebuie să fie puse de acord şi incluse într-un contract cu terţele părţi. De asemenea în acordurile/contractele de externalizare trebui să se abordeze riscurile, controalele și procedurile de securitate pentru sistemele informatice, rețelele şi / sau echipamentele de birou.

Reguli pentru asigurarea securităţii prelucrărilor datelor cu caracter personal

Regulile pentru asigurarea securităţii prelucrărilor datelor cu caracter personalare au ca scop stabilirea unor norme de conduită pentru asigurarea unui nivel satisfăcător de protecţie a datelor cu caracter personal prelucrate de către societatea denumita “operator”. Normele de conduită stabilesc exercitarea drepturilor şi obligaţiilor pe care societatea le are în domeniul protecţiei persoanelor în privinţa datelor cu caracter personal, în relaţiile societatii cu salariatii, clienti, cu alte societati comerciale, precum şi cu alte persoane fizice sau juridice.

Societatea/Persoana juridica este obligata sa respecte dreptul la viaţă intimă, familială şi privată, prelucrarea datelor cu caracter personal desfăşurându-se în conformitate cu prevederile legale în vigoare Legea nr. 677/2001. In aplicarea prevederilor legale, PJ., garanteaza  ca datele cu caracter personal vor fi:

  1. a) prelucrate cu bună-credinţă şi în conformitate cu dispoziţiile legale în vigoare;
  2. b) colectate exclusiv în scopuri determinate, explicite şi legitime;
  3. c) adecvate, pertinente şi neexcesive prin raportare la scopul în care sunt colectate şi ulterior prelucrate;
  4. d) exacte şi, dacă este cazul, actualizate; în acest scop se vor lua măsurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate şi pentru care vor fi ulterior prelucrate, să fie şterse sau rectificate;
  5. e) stocate într-o formă care să permită identificarea persoanelor vizate strict pe durata necesară realizării scopurilor în care datele sunt colectate şi în care vor fi ulterior prelucrate; Stocarea datelor pe o durată mai mare decât cea menţionată, în scopuri statistice, de cercetare istorică sau ştiinţifică, se va face cu respectarea garanţiilor privind prelucrarea datelor cu caracter personal, prevăzute în normele care reglementează aceste domenii, şi numai pentru perioada necesară realizării acestor scopuri.

Avand in vedere cele de mai sus scopul prezentei lucrari consta in cercetarea masurilor de siguranta a informatiilor puse la dispozitie de catre o societate si/sau a clientilor/partenerilor atat in cadrul contractelor, pagini web dar si in cadrul comunicatiilor electronice (e-mail s.a.).

În ceea ce privește informația ne referim în mod direct la metodele și procedurile privind securitatea informațională, care conform prevederilor Noului Cod Civil și anume Art. 3 se referă la aplicarea generală, în sensul că ele se aplică şi raporturilor dintre profesionişti, precum şi raporturilor dintre aceştia şi orice alte subiecte de drept civil. Totodată art. 3 prin alin. (2) noul C. civ. introduce termenul nou de „profesionist„, cu un sens ceva mai larg, ca fiind cel care exploatează o întreprindere.

În acest sens, un profesionist, trebuie să țină cont de confidențialitatea informațiilor atât la momentul negocierii unui contract cât și în timpul derulării și nu în ultimul rând și după finalizarea lui.

În primul rând Profesionistul trebuie să se asigure de faptul că, atunci când în cadrul negocierilor dezvălui celeilalte părți anumite informații confidențiale, aceasta respectă confidențialitatea lor.

Cand o informație confidențială este comunicată de către o parte în cursul negocierilor, cealaltă parte este ținută să nu o divulge și să nu o folosească în interes propriu, indiferent dacă se încheie sau nu contractul. Încălcarea acestei obligații atrage răspunderea părții în culpă.- Art. 1.184  Codul Civil – Confidențialitate în negocierile contractuale

În acest sens, Profesionistul incheia cu partea respectivă un angajament de confidențialitate, chiar înainte de a începe negocierile. Pentru a fi eficient, acest angajament trebuie să conțină:

  1. Informațiile considerate a fi confidențiale (ex. previziuni financiar-contabile, proiecte, alte parteneriate, etc);
  2. În ce modalitate vor fi folosite informațiile confidentiale;
  3. Modalitatea în care pot fi totuși dezvăluite (ex. când sunt solicitate pe cale legală de către instituții ale statului, etc);
  4. Sancțiunile care se aplică în cazul nerespectării angajamentului (ex. plata de daune interese).

Acest angajament constituie contract între părți și se va constitui în anexă la contractul principal a cărei negociere se face. Încheierea unui angajament/contract în momentul negocierii este foarte greu de pus în practică, din cauza relațiilor comerciale între profesionisti, de ritmul activității economice și de multe alte aspecte mai mult sau mai puțin importante.

Atunci când nu s-a încheiat un astfel de angajament, precum și ori de câte ori este necesar, părțile pot să prevadă în contract o clauză de confidențialitate.

Cu excepția articolului 1.184 menționat mai sus, Codul Civil nu reglementează expres clauza de confidențialitate.  Așadar, negocierea ei și inserarea acesteia în contract este lasată la latitudinea părților.

Această obligație subzistă și în situația în care părțile nu finalizează negocierea printr-un contract, ci doar avansează cererea de ofertă, sau ofertă și discuția ulterioară pe latura ofertei, după caz, fără a se încheia propriu-zis contractual generator de efecte juridice.

Astfel trebuie facută deosebirea între ce informații sunt confidențiale în momentul negocierii și când începe acel moment, de a păstra confidențialitatea.

În momentul negocierii este important de a face anunțul asupra informațiilor confidențiale, faptul că discuțiile sunt protejate de confidențialitatea datelor și că nu există permesiunea divulgării către terți.

În cazul încălcării caracterului confidențial al negocierilor între părți, atrage răspunderea părții în culpă, intră sub egida răspunderi civile delictuale, find obligatoriu să fie îndeplinite condițile Art.1,349 și urmatorul din NCC.

Un rol important în ceea ce privește intenția de a negocia, în care se trimite oferta unui public nedeterminat, îl ocupă Art. 1.189 NCC .  Nu pot fi reținute ca informații confidențiale, oferta sau intenția de a negocia alin (1). Valoarea unei informații confidențiale o putem reține în situația în care este expres prevăzută de lege, din uzanțe ori, în mod neîndoielnic din imprejurări (alin 2).

De exemplu, o situație prevăzută de lege ete reprezentată de situațile în care sunt dezvăluite informațiile ce fac obiectul unor drepturi de proprietate intelectuală, Lega nr.84/1988. Lege care oferă o protecție suplimentară celei privind răspunderii civile delictuale, prin articolul care stipulează protejarea drepturilor de proprietate intelectuală.

Sistemul de schimb de mesaje electronice (e-mail-uri)

Conturile din sistemele unei Societăți de poștă electronică, sau din oricare alt sistem pentru schimbul de mesaje electronice se acordă angajaților exclusiv pentru aducerea la indeplinire a sarcinilor de producție/servicii, prevăzute în fișele de post ale acestora.

Pe dispozitivele staționare și mobile care aparțin Societății, conturile din sistemele terțe de schimb de mesaje electronice se utilizează cu responsabilitate și doar cu acordul emis în baza cererii de către un Specialist/responsabil de Securitate Informațională și/sau conducătorul Societăți.

Pe dispozitivele personale permise a fi utilizate în activitatea de producție, conturile din sistemele terțe de schimb de mesaje electronice se pot utiliza fără acordul Specialistului de Securitate Informațională, cu condiția ca acestea să nu fie utilizate pentru transferul de mesaje referitoare la activitatea de producție.

Este interzisă configurarea redirecționării automate dintre conturile din sistemele Societății pentru schimbul de mesaje electronice și cele din sistemele terțe de schimb de mesaje electronice.

Comunicațiile prin intermediul sistemelor Societății de schimb de mesaje electronice, precum și prin intermediul sistemelor terțe de schimb de mesaje electronice, trebuie tratate de către angajați ca schimb de afaceri și se realizează cu respectarea normelor legislative și etice.

În cazul expedierii unui mesaj electronic, angajatul este obligat să verifice corectitudinea adreselor destinatarilor, iar în cazul transmiterii de informații confidențiale (așa cum sunt definite în cadrul Regulamentului privind lucrul cu informaţiile confidenţiale din cadrul Societății și/sau contracte, acorduri) care aparțin Societății, precum și în cazul transmiterii de informații incredințate acestuia de către un titular legal, angajatul trebuie să verifice absența în rândul beneficiarilor a persoanelor și societăților care nu au Acorduri sau contracte de confidențialitate în vigoare, care să conțină clauze privind confidențialitatea.

În cazul expedierii de informații confidențiale angajatul trebuie să specifice Serviciului de securitate informațională prezența unui canal protejat de comunicație, iar în cazul inexistenței unui astfel de canal să utilizeze mijloacele de protecție criptografică existente în societate și de partea destinatarului, iar în cazul absenței unor astfel de mijloace – să trimită informațiile confidențiale sub forma de fișier arhivat protejat prin parolă, în conformitate cu cerințele privind protecția cu ajutorul parolelor.

Este interzisă expedierea de mesaje electronice al căror conținut încalcă restricțiile legislative și normele de etică a Societății.

Este interzisă expedierea de mesaje electronice, ale caror semnături conțin link-uri la paginile personale de internet ale angajaților sau la conturile acestora de pe paginile de socializare.

Se recomandă ca semnătura atașată mesajului electronic expediat să fie completată cu un text de insoțire, care să amintească destinatarilor faptul că nu trebuie să redistribuie informațiile conținute în acestă fără autorizarea din partea expeditorului.

Este interzisă expedierea neautorizată de mesaje electronice cu conținut publicitar.

Este interzisă expedierea de mesaje electronice în numele contului altei persoane.

Este interzisă deschiderea mesajelor electronice primite și a fișierelor anexate acestora, precum și navigarea pe link-urile conținute în acesteă, în absența increderii în credibilitatea și autenticitatea expeditorului, sau dacă mesajul este neobișnuit pentru expeditorul menționat în acesta.

Protecția cu ajutorul parolelor

Utilizarea parolelor personale, rezistente la decriptare și selecție, păstrate în secret față de alte persoane, reprezintă cel mai important mijloc de protecție impotriva accesului neautorizat la resursele informaționale și mijloacele de prelucrare a acestora.

Angajații sunt obligați să modifice imediat propriile parole după prima utilizare a contului, în cazul resetării parolei uitate, în cazul în care suspectează compromiterea parolei, precum și la expirarea a 3 (trei) luni de la schimbarea precedenta a parolei.

În crearea unei combinații a parolei angajații trebuie să respecte următoarele cerințe:

         Lungimea parolei să fie de minimum 8 caractere;

         Parola include litere scrise cu majuscule și litere mici, cifre și simboluri speciale (<, >, =, *, #, $, %, ?, & s.a.m.d.);

         Parola nu conține o simplă succesiune de caractere („Qwerty”, „AaBbCc” s.a.m.d.), informații personale (data nașterii copilului, marca autoturismului, numărul telefonului de serviciu ș.a.m.d.) sau un cuvânt semnificativ;

         Parola nu este formată după parola anterioara urmând un algoritm simplu (de exemplu, „LFcont-1”  „LFcont-2”);

         Parola nu coincide cu parola utilizată de către angajat în alte conturi, deci în viața cotidiană și în rețelele de socializare.

Este interzisă comunicarea parolei către alte persoane, cu excepția cazurilor în care parola se transmite angajatului înlocuitor, după convenirea acestui lucru cu șeful direct al acestuia. Responsabilitatea pentru utilizarea neautorizată a contului revine șefului care și-a dat acordul pentru divulgarea (transmiterea) parolei. După întoarcerea angajatului care a divulgat parola, acesta este obligat să o modifice la prima utilizare a contului.

Este interzisă introducerea parolei proprii în câmpul vizual al altor persoane, precum și în cazul în care formularea de solicitare privind introducerea parolei diferă de cea obișnuită.

Se interzice salvarea propriei parole în fișiere text sau utilizarea opțiunii de memorare automată a parolei în memoria dispozitivului.

În cazul înregistrării parolelor pe suport material, acesta trebuie supus tuturor normelor stipulate pentru utilizarea suporturilor de informații confidențiale.

Se interzice întreprinderea de acțiuni orientate spre obținerea și utilizarea parolelor altor persoane.

Înainte de expedierea parolei uitate pentru propriul cont, angajatul trebuie să ia legătura cu serviciul de asistență tehnică; dacă este necesară expedierea parolei către alt angajat, șeful acestuia trebuie să se adreseze subunității de securitate informațională.

Angajații trebuie să informeze despre toate cazurile de compromitere a parolelor, despre primirea unor propuneri de divulgare a parolei proprii, precum și despre incidentele de securitate informatică.

În cazurile permise de transfer către alta persoană a unui fișier arhivat cu parola, parola de deschidere a acestui fisier trebuie trimisă utilizând alt canal de transmitere.

Utilizarea parolelor conturilor administrative și tehnologice se stabilește prin instrucțiuni.

Informațiile confidențiale pot face obiectul unui contract de muncă

Proprietarul de informații confidențiale este întotdeauna angajatorul și lucrătorul, acesta din urmă nu are doar informații despre sine (date personale), ci în virtutea unui contract de muncă poate păstra secrete de productie și alte secrete/informatii.

Codul Muncii utiliează anumite noțiuni în ceea ce privește securitatea informației, dar nu le definește într-un fel cât mai exact. În același timp, este clar, că o condiție a contractului individual de muncă, securitatea informației trebui să fie definită cât mai clar posibil, ținând cont nu în ultimul rând de specificul activității. În caz contrar, nu are nici un efect juridic, să introduci o obligație și să ceri să fie respectata de către salariat.

Un factor important în prezentarea elementelor definitorii a securității informațiilor în cadrul unei societăți este reprezentată de relațiile între Societate și Angajat.

În ceea ce privește protejarea informațiilor în relația cu angajații proprii, un prim instrument al companiei, prin care se pot acoperi breșele de securitate, este reprezentat de contractul individual de muncă. Clauzele de protecție a informației cuprinse într-un astfel de contract pot varia de la unele generale și neînsoțite de sancțiuni, până la clauze extrem de specifice, pentru întărirea cărora sunt prevăzute și diverse sancțiuni, în funcție de poziția angajatului în companie și de drepturile acestuia de acces la informații.

Pe lângă clauzele înserate în contractele de muncă, care pot fi modelate ușor în funcție de angajatul căruia i se adresează, o companie mai poate stabili limitele de acces și utilizare a informației, precum și sancțiunile aferente încălcării acestora prin intermediul Regulamentului Intern sau a politicilor interne. Regulamentul Intern este un instrument comun, aplicabil oricărui tip de business, care însă se modifică mai des decăt contractul de muncă și ale cărui modificari sunt aduse la cunoștința angajaților, fără să implice acceptarea expresă a acestora de angajați. Politicile interne sunt utilizate in special de companii mai mari, multinaționale al căror set de valori se stabilește la nivel central. În cadrul acestui set, prevederile cu privire la securitatea informațiilor pot fi incluse în politici adiacente (politica departamentului informatic sau politica departamentelor juridic sau de resurse umane), dar pot face și obiectul unei politici de sine stătătoare. Aceste politici nu stabilesc sancțiuni personale, de cele mai multe ori urmând a fi completate cu prevederile legale aplicabile, însă descriu în amănunt conduita așteptată de la angajat.

Cu titlu de exemplu, o situație sensibilă este cea a incetării colaborării cu un angajat la inițiativa angajatorului, de cele mai multe ori prin desființarea postului acestuia. Este destul de suprinzător faptul că multe companii se lasă intimidate de foștii angajați pe baza argumentului că începând cu momentul concedierii sau chiar anterior acestuia, le-a fost restricționat accesul la computer, telefon sau la anumite zone din cadrul companiei. Având în vedere că raporturile de muncă urmează să înceteze, angajatul poate fi chiar scutit de obligația de a se prezenta la locul de muncă, angajatorul achitându-i însă toate drepturile de natură salarială până la data încetării efective a raporturilor de muncă. Chiar în cazul în care există o ingrădire a accesului la muncă, angajatul va trebui să demonstreze un prejudiciu adus de o astfel de restricționare. Așa cum a demonstrat practica, angajatul va avea dificultăși în a demonstra existența unui prejudiciu și, prin urmare, sunt puține situațiile în care angajatorul ar putea fi obligat în instanță la plata unor daune.

În cele din urmă, o sursă frecventă de acces la informațiile sensibile ale unei companii este reprezentată de colaborarea cu diverși furnizori. De multe ori, pentru a presta serviciile la care se obligă contractual, furnizorilor li se facilitează accesul la diverse informaii de tipul bazelor de date (clienți, furnizori, prețuri, etc.), iar la momentul întreruperii relațiilor contractuale sau chiar pe parcursul desfășurării acestora, compania nu are control asupra modului de utilizare și diseminare. Din nou, în zona de prevenție, contractele incheiate cu aceștia trebuie să includă clauze care să acopere protecția acestor informații. Pentru astfel de cazuri, sancțiunile contractuale trebuie gândite astfel încât să acopere un eventual prejudiciu, dar și să descurajeze partenerul contractual de la a utiliza informațiile obținute în alte scopuri decât cele contractuale, precum și pentru a-l determina să asigure protecția eficientă a acestora.

Astfel, concentrându-ne asupra Codului muncii, ne oprim asupra următoarelor elemente, și anume; secretele de serviciu; clauza de confidențialitate;

Secretul de serviciu este o obligație a salariatului prevăzută  la art. 39 alin. 2 lit. f) și vizează informații, date generale sau documente care nu sunt destinate publicității și nu pot fi divulgate, fiindcă ar aduce atingere intereselor profesionale ale angajatorului.

Obligația respectării secretului de serviciu revine tuturor salariaților, la nivelul angajatorului.

Spre deosebire de secretul de serviciu, clauza de confidențialitate este aplicabilă doar anumitor angajați, și reprezintă o clauză asupra căreia părțile convin.

Prin clauza de confidențialitate, angajatorul stabilește exclusiv acele informații și date cu caracter confidențial, care nu pot fi divulgate.

Clauza de confidențialitate este reglementată în mod distinct, în cuprinsul art. 26 din Codul muncii. Potrivit acestui articol, prin clauza de confidenţialitate părţile convin ca, pe toată durata contractului individual de muncă dar şi după încetarea acestuia, să nu transmită date sau informaţii de care au luat cunoştinţă în timpul executării contractului, în condiţiile stabilite în regulamentele interne, în contractele colective de muncă sau în contractele individuale de muncă.

Nerespectarea acestei clauze de către oricare dintre părţi atrage obligarea celui în culpă la plata de daune-interese.

Astfel, secretul de serviciu vizeaza acele informatii si date generale care trebuie respectate la nivelul unui angajator de toti salariatii, iar clauza de confidentialitate vizeaza o sfera mai larga de informatii decat cea avuta in vedere prin secretul de serviciu si este aplicabila doar anumitor salariati.

Angajatorul are libertatea dar și obligația stabilirii în mod concret a datelor și informațiilor care au caracter de secret de serviciu, și inserarea acestora în Regulamentul intern al organizației. Conținutul Regulamentului se comunică salariaților, care vor avea obligația generală de respectare a prevederilor respective, obligație ce poate fi stipulată în contractul individual de muncă al fiecărui angajat.

În cazul în care, prin natura activității desfășurate,  salariatul  are acces la anumite informații, diferite de cele cuprinse în regulamentul intern ca secret de serviciu, acele informații vor fi introduse  în contractul individual de muncă al salariatului, ca informații ce fac obiectul unei clauze de confidențialitate.

Ca atare, clauza de confidențialitate și secretul de serviciu se completează din punct de vedere legislativ, fără a se exclude reciproc.

Reglementarea clauzei de confidenţialitate se justifică prin aceea că părţile, cu ocazia încheierii şi apoi a executării contractului, iau cunoştinţă despre date şi informaţii provenind de la fiecare dintre ele, iar unele dintre acestea au, evident, un caracter confidenţial. De altfel, în art. 17 alin. (7) din acelaşi Cod, se prevede că, referitor la informaţiile furnizate salariatului, prealabil încheierii contractului individual de muncă, între părţi poate interveni un contract de confidenţialitate.

Sancţiunea care se aplică în caz de nerespectare a obligaţiei asumate de oricare dintre părţi constă în plata de daune-interese. Aceasta presupune ca cel vătămat (angajatorul sau salariatul) să sesizeze instanţa competentă, să probeze existenţa clauzei, lezarea dreptului său şi producerea pagubei. Desigur că încălcarea obligaţiei asumate prin contractul individual de muncă poate determina şi răspunderea disciplinară a salariatului vinovat.

Mai mult, din redactarea art. 26 alin. (1) din Cod rezultă că inserarea clauzei în contract produce efecte pentru ambele părţi, inclusiv pentru angajator, conform art. 40 alin. (2) lit. i) „să asigure confidenţialitatea datelor cu caracter personal ale salariaţilor”.

Însă așa cum a fost reținut în doctrină în sens restrâns și expres, obligația de confidențialitate reprezintă tot o obligație a salariatului de a respecta secretul de serviciu, de unde rezultă că trebuie făcută distincția între obligația de confidențialitate incidentă – cu caracter limitat – sub forma obligației de a respecta secretul de serviciu și clauza de confidențialitate. Mai mult, spre deosebire de secretul de serviciu care trebuie respectat doar pe durata valabilității contractului individual de muncă, clauza de confidențialitate poate să producă efecte și după încetarea contractului individual de muncă, care spre deosebire de clauza de neconcurență, trebuie obligatoriu să preexiste acestui moment (pe parcursul executării respectivului contract).

În ceea ce privește integritatea și disponibilitatea, ar trebui să observăm că datorită unei dezvoltări tot mai accentuate a tehnologiei, în prezent, capătă un rol tot mai important noțiunea de „Cloud”(nor).

O modalitate de stocare de date (cum ar fi fișiere text, fotografii și fișiere video) și de software pe computere aflate la distanță pe care utilizatorii le accesează pe internet utilizând orice dispozitiv doresc. Această metodă este mai rapidă, mai ieftină, mai flexibilă. Tocmai din aceste puncte de vedere, disponibilitatea informațiilor, în prezent este una din cele mai eficiente.

Noțiunea de Cloud este completată de un suport tehnologic (computere aflate la distanță pe care utilizatorii le accesează pe internet utilizând orice dispozitiv doresc), datorită acestor elemente se utilizează și noțiunea de „Cloud computing”.

Cloud computing-ul presupune, în fond, stocarea de informaţii într-un spaţiu virtual unic, denumit “nor”. Tocmai de aceea un exemplu bun de nor este cel folosit de serviciile de e-mail: conţinutul căsuţei poştale a fiecărui utilizator este stocat într-un spaţiu virtual, spaţiu la care utilizatorul are acces de oriunde din lume, prin intermediul oricărui tip de gadget conectat la internet.

Comisia Europeană a precizat că cloud computingul poate fi înţeles ca „stocarea, procesarea și utilizarea de date pe computere aflate la distanță și accesate prin intermediul internetului.

Comisia a notat următoarele elemente definitorii pentru cloud computing:

„-hardware-ul (computere, dispozitive de stocare) este deținut de furnizorul de servicii de cloud computing, nu de utilizatorul care interacționează cu acesta prin internet;

-utilizarea hardware-ului este optimizată dinamic printr-o rețea de computere, astfel încât locația exactă a datelor sau a proceselor, precum și informațiile privind partea din hardware care deservește un utilizator la un moment dat nu trebuie, în principiu, să-l privească pe utilizator, chiar dacă aceste elemente pot avea o influență semnificativă asupra cadrului legal aplicabil; furnizorii de servicii de cloud deplasează adesea sarcinile de lucru ale propriilor utilizatori (de exemplu, de la un computer la altul sau de la un centru de date la altul) pentru a optimiza utilizarea hardware-ului disponibil; hardware-ul la distanță stochează și procesează datele și le pune la dispoziție, de exemplu, prin intermediul aplicațiilor (astfel încât o companie să poată utiliza resursele sale de cloud computing exact în același mod în care consumatorii își folosesc conturile de webmail); organizațiile și persoanele fizice își pot accesa conținutul și își pot utiliza software-ul atunci când și unde au nevoie, de ex. pe computere desktop, laptopuri, tablete și smartphone-uri; o configurație de cloud este formată din mai multe niveluri: hardware, middleware sau platformă și software aplicativ. standardizarea este importantă în special la nivelul intermediar, deoarece le permite dezvoltatorilor să se adreseze unui evantai larg de clienți potențiali și le oferă utilizatorilor posibilitatea de a alege; în principiu, utilizatorii plătesc în funcție de utilizare, evitând costurile inițiale și fixe ridicate pe care le presupun configurarea și exploatarea unor echipamente informatice sofisticate;

utilizatorii pot modifica foarte ușor volumul de hardware utilizat (de exemplu, adăugarea de noi capacități de stocare online se poate efectua în câteva secunde, cu câteva clicuri de mouse”.

Serviciile cloud se încadrează în trei mari categorii:

Infrastructure as a Service (IaaS) costă în utilizarea de servere, stocare, sau infrastructură de rețea printr-o conexiune la internet. IaaS este forma de cloud computing cea mai complexă tehnic, care oferă clientului infrastructură pentru dezvoltarea, rularea, și stocarea aplicațiilor sau datelor în medii cloud. Exemplele includ Amazon Web Services, Windows Server, ferme de randare în cloud, etc.;

Platform as a Service (PaaS) constă în proiectarea, dezvoltarea, testarea, implementarea și găzduirea aplicațiilor pe platforme web (dezvoltare aplicații). Example în acest sens sunt Google App Engine, Windows Azure, Facebook Developers;

Software as a Service (Saas) foloseşte un browser web ca platformă de la care rulează aplicații și servicii web-based. Aceasta este cea mai cunoscută formă de servicii cloud pentru utilizatorul obişnuit, exemple fiind multiple: rețele sociale (Facebook, Twitter, LinkedIn), platforme de blogging (Blogger, WordPress), servicii webmail (Gmail, Yahoo, Outlook.com), portaluri de internet banking, platforme de plăți online (PayPal), platforme de servicii HR (Workday, Concur Expense, Concur Travel), platforme de productivitate (HiTask, BaseCamp), aplicații de management client (SalesForce), camere de date virtuale, suite de software de productivitate cum sunt Microsoft Office 365, Adobe Air, etc.

Uneori tipurile de mai sus sunt combinate (layered), de exemplu aplicaţia Skydox (SaaS) pentru colaborare de documente este dezvoltată pe Engine Yard (PaaS) care foloseşte Amazon Web Services (IaaS).

În funcție de tipul de modul de funcționare, mediile cloud pot fi clasificate după cum urmează:

Cloud-ul public – este un tip de cloud care este disponibil la contractare pentru publicul larg, fiind deținut și operat de către un terț furnizor de cloud. Se cuvine menționat faptul că a fi „public” nu înseamnă că informațiile deținute sunt distribuite către public, ci mai degrabă că tipul de serviciu cloud este, în general, pus la dispoziția publicului pentru contractare. Acest tip de cloud este cel care care se face în general referire atunci când vorbim de cloud computing.

Cloud-ul hibrid – datele sau aplicațiile sunt portabile și permit conectarea între cloudul public şi cel privat. Scenariul de cloud hibrid poate fi o soluție bună pentru entitățile care au cerințe speciale în anumite domenii, astfel că trebuie să îmbine avantajele cloudului public cu ale celui privat. De exemplu, clienții pot beneficia de aplicații găzduite în cloudul public, dar cu stocarea locală a informației.

Cloud-ul privat – este un tip de cloud găzduit pentru sau de către o singură entitate într-o rețea privată, cel mai adesea exploatat intern, în cadrul căruia doar cei din cadrul entității respective pot partaja resursele. În realitate, acest mod de operare nu reprezintă propriu-zis cloud, astfel că multe dintre aspectele analizate atunci când vorbim de servicii de cloud computing nu se aplică scenariului de cloud privat.

Cadrul normativ

Cloud computing-ul nu beneficiază de o reglementare proprie, nici în România şi nici în Uniunea Europeană. Cadrul juridic relevant pentru tratamentul datelor folosite în mediul cloud constă în actele normative generale în domeniul prelucrării datelor cu caracter personal:

  • Directiva 95/46/CE privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, care a fost implementată în dreptul român prin legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  • Directiva 95/46/CE și Legea nr. 677/2001 se aplică atât în cazul în care operatorul este stabilit în Uniunea Europeană, cât și în cazul în care operatorul este stabilit înafara ei dar utilizează un echipament situat în Uniune pentru prelucrarea datelor cu caracter personal (de exemplu, centre de date, servere, etc);
  • Directiva 2002/58/CE privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice, implementată în dreptul român prin legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.

Reglementări secundare emise de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, cum este Decizia nr. 132/2011 privind condiţiile prelucrării codului numeric personal şi a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală

Acte emise de alte autorităţi în domenii specifice, cum este cazul Regulamentului BNR nr. 5/2013;

Avize si opinii interpretative emise de Grupul de lucru Art. 29, între care cele mai importante în contextul cloud computing sunt Avizul nr. 05/2012 privind „cloud computing”, Avizul nr. 1/2010 privind conceptele de „operator” și „persoană împuternicită”, şi Avizul nr. 4/2007 privind conceptul de date cu caracter personal.

Diverse instituţii şi autorităţi la nivel european au emis ghiduri proprii în domeniul cloud computing, menite să ajute potenţialii beneficiari să îşi înţeleagă drepturile şi obligaţiile care le revin, precum şi să ofere unele linii ajutătoare în alegerea unui furnizor de cloud computing. Asemenea ghiduri includ:

„Guidelines On The Use Of Cloud Computing Services By Lawyers” emis de Consiliul Barourilor Europene (CCBE)[9];

„Guidance on the use of cloud computing”, ghidul emis de autoritatea competentă din Marea Britanie[10];

„Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing”, rezoluţia comună a autorităţiilor federale din Germania[11];

„How to Protect Your Data Without Falling From a Cloud”, ghidul emis de autoritatea competentă din Italia[12];

„Cloud services and the Personal Data Act” ghidul emis de autoritatea competentă din Suedia[13].

Pro și contra folosind tehnologii cloud

Pro:

Relativ calculatoare ieftine pentru utilizatori. Dispare nevoie să achiziționeze computere de mare putere cu mai multă memorie și discuri, deoarece toate informațiile și toate programele sunt stocate pe servere în „nor” cu posibilitatea accesării la distanță. Am crescut performanța PC-ului pentru utilizatori. Din cauza pornire de la distanță majoritatea fișierelor din calculatoare și utilizatorea de programe nu sunt grevate cu postul și cu mai puține aplicațiile funcționează mai rapid. Ca un exemplu, putem lua în considerare lucrările Panda Cloud Antivirus – software-ul antivirus este disponibil ca un serviciu web. Panda Cloud Antivirus oferă posibilitatea de a scana datele de viruși de la distanță pe servere puternice. Lansarea aceluiași program direct de pe calculatorul utilizatorului, folosind propriile sale resurse ar crește factorul de încărcare de două ori.

Eficiența sporită a infrastructurii IT prin reducerea costurilor. Dacă luăm în considerare media estimată de încărcare pe server pentru companie, acesta va fi de aproximativ 13%. Uneori există o necesitate pentru compania de a utiliza suplimentar anumite resurse, dar cele mai multe resurse nu sunt ocupate. În cazul în care se utilizează resursele de calcul de pe serverele de la distanță în „nor”, după caz, costurile acestei părți poate fi redusă la jumătate. Având în vedere mediul economic volatil crește flexibilitatea producției. Companiile care nu au încredere în siguranța datelor lor transferate către terțele părți, tehnic au posibilitatea să construiască propriul lor nor și să obțină toate beneficiile prin virtualizare a infrastructurii.

Privind eliminarea unui număr mare de servere fizice, ne scapa si de achiziționarea de software-ul. În cadrul serviciilor prestate de companiile specializate aplicații sunt incluse. Societatea achiziționează programul dorit în „nor”. Costul serviciilor oferite printr-un acces inernet, un ordin de mărime mai mică decât analogii care există pentru calculatoarele personale. Mai mult decât atât, este posibil să se utilizeze programe de închiriere bazate pe timp, și pentru a sprijini costurile de funcționare și actualizarea acesteia la zero;

Cantitate nelimitată de stocare a datelor. Volumul oferă un loc în nor de stocare a datelor poate fi flexibil și în mod automat poate fi ajustat în funcție de dorința utilizatorului. În cloud computing-ul, nu există nici un concept de incompatibilitate a documentelor formate create în diferite versiuni ale aceluiași program bazat pe cloud.

  • Ușor de a lucra împreună pentru un grup de utilizatori. Într-un sistem de cloud computing, există o oportunitate convenabilă de muncă simultană a mai multor participanți. Nu este nevoie de a se angaja în transferul documentelor de la un computer la altul. editarea documentelor se reflectă imediat, iar utilizatorul este întotdeauna disponibil pentru cea mai recentă versiune a documentului actualizat.
  • accesul la fișiere este omniprezentă un mare avantaj de a folosi cloud computing. În cazul în care datele stocate în cloud, acestea sunt întotdeauna la dispoziția proprietarului lor, cu acces la Internet. De asemenea, înainte ca un utilizator deschide o gamă largă de diferite ustroyst, cu care se poate realiza acest acces. Nor, clientul poate folosi un calculator personal, netbook laptop, tablet PC-uri, smartphone-uri.
  • Reducerea utilizării resurselor naturale. Cu tehnologia de cloud computing-ul nu este numai de economisire pe electricitate, energie și spațiu fizic de calcul, dar, de asemenea, cu privire la resursele naturii. centre de date pot fi localizate este deja de notorietate într-un climat rece. Echipament de acces la date este acum mai compact, necesită mai puțin material pentru fabricarea.
  • Rezistență la pierderi de date. Datele stocate în cloud, sunt distribuite în copii pe mai multe servere. Probabilitatea pierderii de date în nor este mult mai mică decât probabilitatea pierderilor lor în timpul depozitării în condiții obișnuite.

dezavantaje:

  • Nevoia constantă de a se conecta la Internet. Pentru tehnologia cloud computing-ul este întotdeauna necesar să se conecteze la Internet. Există, desigur, o serie de aplicații care sunt descărcate pe computer și să permită continuarea lucrărilor, în ciuda conexiunii. În caz contrar, totul este simplu: nu există nici o legătură – nici o lucrare.. Dar, dacă luăm în considerare dezvoltarea tehnologiei informației astăzi, putem spune cu încredere că accesul la Internet este, practic, peste tot. Prin urmare, în viitorul apropiat, această problemă va dispărea cu totul.
  • o conexiune lentă. Cele mai multe servicii de cloud necesară pentru funcționarea normală o conexiune la Internet rapid. Dar, așa cum s-a menționat mai sus, tehnologia informației nu este încă în picioare, așa că acum nu există nici o problemă cu conexiuni la Internet în bandă largă.
  • Programele pot fi funcționa lent și incomplet. Acest lucru se poate datora conexiunilor la Internet lățime de bandă îngustă, precum și gestionarea de servere la distanță. De asemenea, programele prezentate în nor, au funcționalitate limitată, față de versiunea computerului local.
  • Există un risc de securitate a datelor. Desigur, dacă vă transferați datele în nor, imediat va apărea o posibilitate de amenințare la adresa securității informațiilor.

Principiile protecției datelor aplicabile în statele membre ale Uniunii Europene

Informații pentru protecția riscurilor de securitate în Cloud Computing

Din moment ce acest aviz se concentrează pe operațiunile de prelucrare a datelor cu caracter personal în cloud computing vor continua să ia în considerare numai riscurile asociate cu acesta. Cele mai multe dintre aceste riscuri vin în două categorii principale, și anume: lipsa datelor de control, precum și lipsa de informații cu privire la funcționarea tratamentului în sine (fără transparență). Luarea în considerare detaliată a riscurilor de cloud computing-ul este dat mai jos.

lipsa controlului

Dându-vă sistemul de informații personale gestionate de către nor furnizor, clienții nu mai pot avea un control exclusiv al datelor și nu pot lua orice măsuri tehnice și organizatorice necesare pentru a asigura disponibilitatea, integritatea, confidențialitatea, transparența, izolarea, compatibilitatea și protecția împotriva interferențelor. Această lipsă de control poate avea loc după cum urmează:

Indisponibilitate din cauza lipsei de interacțiune (vânzătorul): în cazul în care furnizorul de nor se bazează pe tehnologia brevetată, poate fi dificil pentru client pentru a muta date și documente între diferite sisteme de tip cloud (portabilitatea datelor), sau pentru a face schimb de informații cu persoane care folosesc servicii cloud de la alți furnizori ( interoperabilitate).

Lipsa de integritate este cauzata de utilizarea în comun a resurselor: norii sunt compuse din sisteme și infrastructuri comune. furnizor de cloud prelucrează date cu caracter personal dintr-o varietate de surse. Iar în ceea ce privește subiecții și organizațiile de date pot apărea conflicte de interese sau să fie obiective neclare.

Lipsa de intimitate, și mai precis în anchetele poliției direct furnizorului nor: datele cu caracter personal prelucrate în nor, pot fi solicitate de reprezentanții organelor de drept ale UE și țările terțe ale statelor membre. Există riscul ca informațiile personale pot fi divulgate (străini) de către organele de drept, fără o bază valabilă și legală.

Lipsa capacității de a intervenției din cauza complexității și dinamicii lanțului de externalizare: serviciile de cloud oferite de un singur furnizor, poate fi realizată prin combinarea serviciilor unui număr de alți furnizori de cloud, care pot fi adăugate în mod dinamic sau eliminate în cursul contractului de client.

Lipsa capacității de a interveni (drepturile persoanelor vizate): furnizorul de nor nu poate furniza măsurile și instrumentele necesare pentru a asista controlorul pentru gestionarea datelor, de exemplu, accesul, ștergerea sau modificarea datelor.

Google deţine o istorie riguroasă a fiecărui utilizator, poate evalua perfect obiceiuri/dorinţe/aşteptări individuale şi de grup şi, în felul acesta, se orientează profitabil în aproape orice domeniu de advertising: de la automobile la alimente, de la încălţămine la farmaceutică, de la turism la aparatură electro-casnică. Baza de date Google mai deţine şi istoria paginilor pe care fiecare utilizator le vizitează, având informaţii despre stilul de viaţă, preferinţele, activităţile, obesiile acestuia. În sfârşit, dar deloc de neglijat, poate culege date importante şi din conţinutul corespondenţei ”personale” de pe Gmail sau Chat. În ultimii ani, Uniunea Europeană a obligat Google să schimbe modul de operare pe teritoriul ţărilor membre, obţinând pentru cetăţenii ei ”the right to be forgotten”.

Facebook deţine 25 de informaţii importante despre cei care au un cont pe reţea, oferite de aceştia în mod benevol! Printre ele: nume şi prenume, oraşul şi ţara de domiciliu, data naşterii, e-mail personal, reşedinţă temporară, educaţie, stare civilă, opţiuni sexuale, crezuri religioase, orientări politice, obiceiuri, prieteni. Aproximativ 80% dintre utilizatorii de Internet care câştigă în jur de 75.000 de dolari pe an au un cont pe Facebook. Cei care folosesc smartphone-uri sau sistemul de operare Android (dezvoltat de Google) pot fi monitorizaţi GPS şi după ”urma” bateriilor din aparat. Touchscreen-ul asigură refacerea amprentei digitale de la distanţă. Un program numit DeepFace poate crea după cea mai nevinovată fotografie postată pe Facebook o amprentă facială definitivă (se construieşte, digital, structura osoasă a feţei şi a craniului – evident, pentru adulţi – şi poţi fi identificat indiferent de vârsta la care ai făcut poza). Fără a deveni paranoici, putem spune, totuşi, un adevăr îngrijorător: orice smartphone este un spion extrem de eficient pe care îl ţii în buzunar, în geantă, în casă, în maşină…

Nu există izolare: servicii de tip cloud pot utiliza controlul fizic al diferitelor clienți și link-ul de date cu caracter personal. În cazul în care administratorii au drepturi de acces privilegiat suficiente (cu un grad ridicat de roluri de risc), acestea s-ar putea lua sub control.

lipsa de transparență

Lipsa de transparență a operațiunilor de servicii de cloud în prelucrarea informațiilor reprezintă un pericol pentru controlorii. Și, de asemenea, pentru persoanele vizate, deoarece acestea pot să nu fie conștienți de pericolele și riscurile potențiale, și, prin urmare, nu poate lua măsurile pe care le consideră necesare.

Unele dintre posibilele pericole pot apărea din cauza controlerului care:

lant tehnologic ruleaza cu mai multe procesoare și sub-contractori.

Datele cu caracter personal prelucrate în diferite zone geografice în cadrul Spațiului Economic European (SEE). Acest lucru afectează în mod direct legea aplicabilă oricăror dispute cu privire la protecția datelor, care pot apărea între utilizator și furnizor.

Datele cu caracter personal sunt transferate către țări terțe, în afara SEE. țările terțe nu pot fi în măsură să ofere un nivel adecvat de protecție a datelor și de transfer nu poate garanta securitatea transmisiei de date prin măsuri adecvate (de exemplu, clauzele contractuale standard sau regulilor obligatorii) și, prin urmare, poate fi ilegală.

Acest lucru riscă să clienții serviciilor cloud, ale căror date cu caracter personal sunt prelucrate în cloud trebuie să fie notificată (cerința existentă pentru toți controlorii care se încadrează în Directiva privind protecția datelor 95/46 / CE). Având în vedere potențialul de complexitatea în mediul cloud computing, lanțul de prelucrare, în scopul de a asigura luarea în considerare corectă a drepturilor în ceea ce privește persoana vizată (articolul 10 din Directiva 95/46 / CE), controlorii ar trebui, de asemenea, ca o chestiune de bune practici, pentru a furniza informații suplimentare cu privire la (sub- ) procesoare pentru a furniza servicii de cloud.

Structura de protecție a datelor

Directiva 95/46 / CE privind protecția datelor – un cadru juridic adecvat. Prezenta directivă se aplică tuturor cazurilor în care datele cu caracter personal sunt prelucrate prin utilizarea serviciilor de cloud computing. E-Confidențialitate Directiva 2002/58 / CE (astfel cum a fost modificată prin 2009/136 / CE) este utilizat în prelucrarea datelor cu caracter personal în legătură cu furnizarea de servicii accesibile publicului de comunicații electronice în rețelele publice de comunicații (operatorii de telecomunicații) și, prin urmare, este foarte important, în cazul în care astfel de servicii disponibile prin soluții cloud. 

Normele de drept aplicabile la novel European

Criteriile de stabilire a aplicabilității legislației conținute Directiva 95/46 / CE, care se referă la aplicarea legii controlorilor cu una sau mai multe agenții din cadrul SEE, precum și legea care reglementează controlorii care sunt situate în afara SEE, dar utilizarea echipamentului pe prelucrarea datelor cu caracter personal situate în interiorul SEE.

În primul caz, factorul care cauzează aplicarea legislației UE pentru controler este amplasarea birourilor și a activităților desfășurate de aceasta în conformitate cu articolul 4.1. (A) din directivă, în funcție de modelul de tipul de servicii de cloud. Legislația în vigoare este legea țării în care operatorul este stabilit de părți contractante de a furniza servicii de cloud, mai degrabă decât locul în care sunt localizați furnizorii de cloud.

În cazul în care operatorul este stabilit în diferite state membre ale UE, de prelucrare a datelor în cadrul activităților sale în aceste țări, este dreptul fiecăruia dintre statele membre ale Uniunii Europene, în care are loc acest proces.

Articolul 4.1. (C), prevede legislația privind protecția datelor se aplică operatorului, care nu sunt birouri situate în SEE, dar că utilizarea echipamentelor automate sau automate amplasate pe teritoriul statelor membre ale UE, cu excepția utilizării tranzitului. Acest lucru înseamnă că, în cazul în care norul clientul este stabilit în afara SEE, dar comision servicii cloud situate în SEE, furnizorul de exportator legislației privind protecția datelor pentru clienți.

Sarcinile și responsabilitățile părților

După cum sa arătat mai sus, norul include un număr de diferiți jucători. Este important să se evalueze și să clarifice rolul fiecăruia dintre acești jucători, în scopul de a stabili angajamentele lor specifice în ceea ce privește legislația în vigoare privind protecția datelor.

Primul rol al controlerului este de a determina cine este responsabil pentru respectarea normelor de protecție a datelor, precum și modul în care persoanele vizate își pot exercita drepturile în practică. Cu alte cuvinte: alocarea responsabilității. Cele două criterii principale sunt responsabile pentru respectarea și răspunderea și distribuție ar trebui să fie luate în considerare părțile interesate în această privință, în orice moment. 

Client și prestatorul de servicii în cloud

Clientul a determina scopul final al tratamentului și decide să externalizeze acest proces și delegarea tuturor sau a unei părți a activităților de prelucrare a unei organizații externe. Prin urmare, clientul acționează ca un operator de date. Directiva definește regulatorul ca fiind „persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.” Client, operatorul este responsabil pentru respectarea legislației privind protecția datelor. Utilizatorul poate specifica serviciile furnizorilor de nor nor cu privire la metodele și măsurile tehnice și organizatorice care vor fi utilizate în scopuri de gestionare.

Furnizorul de servicii de cloud este persoana care furnizează servicii de cloud computing într-o varietate de forme, așa cum sa discutat mai sus. În cazul în care furnizorul de nor furnizează mijloacele și platforma, care acționează în numele clientului, furnizorul este tratat ca un procesor de date, și anume în conformitate cu Directiva 95/46 / CE „persoană fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu alții, prelucrează datele cu caracter personal pe seama operatorului”.

De fapt, pot exista situații în care furnizorul de servicii cloud pot fi considerate fie cu regulatorul sau ca un regulator, în funcție de circumstanțe. De exemplu, acesta poate fi cazul atunci când furnizorul de servicii procesează datele pentru propriile lor scopuri.

Ar trebui remarcat faptul că, chiar și în medii de prelucrare a datelor complexe, în cazul în care controlorii joacă un rol important în prelucrarea datelor cu caracter personal, cu respectarea normelor și responsabilități de protecție a datelor pentru o posibilă încălcare a acestor norme ar trebui să fie alocate în mod clar pentru a se evita o scădere a protecției datelor cu caracter personal. Sau cu „conflict negativ de competență” există lacune, motiv pentru care obligațiile sau drepturile care decurg din directivă, nu sunt prevăzute cu oricare dintre părți.

În scenariul actual de cloud computing, servicii de cloud computing pentru clienții nu pot fi în măsură să negocieze condiții contractuale utilizarea de servicii cloud, astfel încât ofertele standardizate sunt o caracteristică a multor servicii de cloud computing. Cu toate acestea, în cele din urmă este clientul decide cu privire la alocarea unei părți sau totalitatea operațiunilor de prelucrare a nor servicii pentru un anumit scop; rolul de furnizor de servicii de tip cloud – contractantul clientului, care este un punct cheie în acest caz. Dezechilibrul în termenii contractului între operator mic în ceea ce privește furnizorii de servicii de mari nu ar trebui să fie considerată ca o justificare pentru controlorul atunci când adoptă termenii și condițiile contractului, care nu sunt puncte de Legea privind protecția datelor. Din acest motiv, operatorul trebuie să aleagă un furnizor de servicii de cloud, care asigură respectarea legislației privind protecția datelor. Un accent deosebit trebuie pus pe caracteristicile relevante ale termenilor contractului – trebuie să includă un set de garanții standard de protecție a datelor, precum și garanții pentru mecanisme suplimentare care pot fi adecvate pentru a facilita diligență și responsabilitate datorate.

Furnizorii de cloud (operatori) sunt obligați să asigure confidențialitatea. Directiva 95/46 CE prevede că: „Orice persoană care acționează sub conducerea controlerului sau procesor, inclusiv procesoarele care au acces la datele cu caracter personal nu ar trebui să se ocupe de ele, cu excepția comenzilor regulatorului, dacă acesta nu este obligat să facă este ilegal. ” Accesul la furnizorul de date la momentul furnizarea serviciilor sale, și în mod fundamental reglementate de obligația de a se conforma cu prevederile Directivei.

Procesatorii trebuie să ia în considerare tipul de nor în cauză (publice, private, publice sau hibride – IaaS, SaaS sau PaaS) și tipul de servicii în cadrul contractului cu clientul. Procesoarele sunt responsabile pentru adoptarea unor măsuri de siguranță în conformitate cu legislația UE. De asemenea, procesatorii trebuie să sprijine și să asiste controlorul în conformitate cu drepturile (punerea în aplicare a) persoana vizată.

Cerințe privind protecția datelor între părți

 Respectarea principiilor fundamentale

Legalitatea prelucrării datelor cu caracter personal în nor depinde de respectarea principiilor de bază ale legislației UE privind protecția datelor, și anume, trebuie garantată transparența în ceea ce privește persoana vizată, caietul de sarcini și limitări cu privire la obiectivul trebuie să fie respectate, iar datele cu caracter personal trebuie șterse de îndată ce necesitatea lor dispare . In plus, trebuie luate măsuri tehnice și organizatorice adecvate pentru a asigura un nivel adecvat de protecție și securitate a datelor.

transparență

Principiul transparenței este esențială pentru o prelucrare corectă și legală a datelor cu caracter personal. Directiva 95/46 / CE impune clientului să furnizeze informații cu privire la persoana vizată cu informații despre identitatea și obrabotki.Klient scop trebuie să furnizeze, de asemenea, orice informații suplimentare, cum ar fi pe destinatarii sau categoriile de destinatari ai datelor, care pot include, de asemenea, procesatorii și sub-procesoare. Aceste informații suplimentare sunt necesare pentru a asigura luarea în considerare a drepturilor echitabile în ceea ce privește persoana vizată.

Transparența ar trebui, de asemenea, asigurată în relația dintre client, nor furnizor și subcontractanții (dacă este cazul). Clientul își poate evalua doar legalitatea prelucrării datelor cu caracter personal în nor, în cazul în care furnizorul informează clientul despre toate voprosah.Kontroller relevante, serviciile de atracție cloud considerate ar trebui să verifice cu atenție termenii furnizarea de servicii de cloud computing pentru a le evalua în ceea ce privește protecția datelor.

Transparența în nor înseamnă că clientul trebuie să fie conștient de toate sub-contractori acorde asistență adecvată pentru serviciile de cloud, precum și amplasarea tuturor centrelor de prelucrare a datelor (DPC), în cazul în care datele cu caracter personal pot fi prelucrate.

În cazul în care furnizarea serviciului necesită instalarea software-ului de pe sistemul client (de exemplu, plug-in-uri de browser), furnizorul nor trebuie, ca o chestiune de bune practici, informează clientul cu privire la acest lucru și, în special, cu privire la consecințele sale afectează protecția datelor, în ceea ce privește siguranța . Pe de altă parte, clientul trebuie să ridice problema, în cazul în care nu este suficient de anumite servicii cloud.

Definirea și limitării scopului

Principiul limitării scopului și cere ca datele cu caracter personal trebuie să fie colectate în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior, în contradicție cu aceste obiective. Clientul trebuie să definească scopul prelucrării datelor, până foarte personale și să fie informat cu privire la acest moment. Clientul nu trebuie să transmită date pentru alte scopuri care nu sunt compatibile cu originalul.

În plus, ar trebui să se asigure că datele cu caracter personal nu a fost (ilegal) prelucrate în vederea unui nou furnizor de nor sau unul dintre sub-contractori. Într-un scenariu tipic, un nor poate include cu ușurință un număr mare de subcontractori, astfel încât ar trebui să fie evaluate ca fiind destul de mare riscul prelucrării datelor cu caracter personal în alte scopuri incompatibile. Pentru a minimiza acest risc, un contract între furnizor și nor clientul ar trebui să includă măsuri tehnice și organizatorice pentru a reduce acest risc și să ofere garanții pentru exploatare forestieră și auditarea operațiunilor de prelucrare a datelor cu caracter personal relevante, care sunt efectuate de către furnizor nor sau subcontractant. În cazul în care legislația privind protecția datelor este încălcat, penalități furnizorului sau subcontractant se impun în conformitate cu termenii contractului.

Se șterge datele

În conformitate cu Directiva 95/46 / CE, datele cu caracter personal trebuie să fie păstrate într-o formă care să permită identificarea persoanelor vizate nu mai mult decât este necesar pentru scopurile pentru care datele au fost colectate ilidlya care au fost prelucrate. Date cu caracter personal care nu mai sunt necesare ar trebui să fie șterse sau transferate către statusanonimnyh. În cazul în care aceste date nu pot fi șterse din cauza normelor juridice de stocare (de exemplu, dreptul fiscal), accesul la aceste date cu caracter personal ar trebui să fie blocate. Responsabilitatea pentru eliminarea datelor cu caracter personal, de îndată ce nu mai este necesar, în condițiile obiectivelor de specificație și limitare, responsabilitatea furnizorului de nor sunt.

Acest principiu se aplică ștergerea datelor cu caracter personal, fie stocate pe hard disk-uri sau alte suporturi (de exemplu, benzi de rezervă). Pe măsură ce datele cu caracter personal pot fi redundante pe servere diferite în locații diferite, furnizorul se asigură că fiecare copie a fost șters definitiv (de exemplu, versiunile anterioare, fișierele temporare, și chiar porțiuni ale fișierului care urmează să fie șters).

Clienții ar trebui să fie conștienți de faptul că datele din jurnal pentru a facilita controlul, de exemplu, stocarea, modificarea sau distrugerea datelor, pot beneficia, de asemenea, ca datele personale asociate cu persoana care a inițiat operațiunile de prelucrare corespunzătoare.

ștergerea securizată a datelor cu caracter personal impune ca, sau transportatorii trebuie să fie distruse sau informații demagnetizat sau personale vor fi eliminate în mod eficient prin duplicare. Pentru a re-înregistrare a datelor cu caracter personal cu ajutorul unui software special care suprascrie datele de mai multe ori și utilizând specificația recunoscute corespunzătoare.

Clientul trebuie să se asigure că furnizorul de nor oferă o ștergere securizată, în sensul de mai sus, și că, contractul dintre furnizor și client oferă indicații clare privind ștergerea informațiilor personale. Același lucru se aplică contractelor între furnizorii de cloud și subcontractanți.

relațiile contractuale de garanție „controlor” – „procesor”

În cazul în care clienții au decis să adopte un acord cu privire la furnizarea de servicii de cloud computing, controlere sunt necesare pentru a alege un procesor care oferă garanții suficiente în ceea ce privește măsurile tehnice și organizatorice pentru a asigura securitatea, să efectueze reglementarea prelucrării, și trebuie să asigure respectarea acestor măsuri. In plus, acestea sunt obligate prin lege să semneze un contract formal cu furnizorul de servicii cloud, astfel cum sunt specificate în Directiva 95/46 / CE. În conformitate cu Directiva stabilește cerințele pentru contractul sau alt act juridic, determină în mod necesar relația dintre controler și procesorul. În scopul conservării probelor, o parte a contractului sau actului juridic referitoare la protecția datelor și cerințele acestora, precum și în ceea ce privește măsurile tehnice și organizatorice trebuie să fie în scris sau într-o altă formă echivalentă.

Contractul trebuie, cel puțin, să se stabilească faptul că procesorul trebuie să urmeze instrucțiunile specifice ale operatorului și procesorul trebuie să pună în aplicare măsurile tehnice și organizatorice pentru a proteja în mod adecvat a datelor cu caracter personal.

În scopul de a asigura securitatea juridică în contract ar trebui să fie următoarele aspecte, de asemenea, să fie prezentate:

  1. Informații detaliate privind (măsura și forma) instrucțiunile de client la furnizor, în special în ceea ce privește acordurile privind nivelul serviciilor aplicabile (care trebuie să fie măsurabile în mod obiectiv) și sancțiuni adecvate (financiare sau de altă natură, inclusiv vozmozhnostpodat un proces împotriva furnizorului, în cazul nerespectării) .
  2. Specificarea măsurilor de securitate: furnizorul de nor trebuie să îndeplinească toate cerințele, în funcție de riscurile asociate cu prelucrarea și natura datelor care trebuie protejate. Ea are o mare importanță, care sunt specificate măsuri tehnice și organizatorice specifice (astfel de măsuri vor fi discutate mai jos). Se consideră, fără a aduce atingere aplicării unor măsuri mai stricte, dacă este cazul, poate fi prescris de legislația națională a clientului
  3. Domeniul de aplicare și calendarul de servicii cloud furnizate de către furnizorul de nor; amploarea, natura și scopul prelucrării serviciilor cloud datelor cu caracter personal, precum și tipurile de date cu caracter personal prelucrate.
  4. Este necesar să se specifice care vor fi utilizate condiții pentru returnarea și distrugerea datelor (personale). În plus, necesitatea de a se asigura că datele personale sunt șterse în siguranță, la cererea clientului nor.
  5. Includerea elementului privind protecția vieții private obligă respectarea ei ca un furnizor de nor, și toți angajații serviciului cloud computing, care va putea accesa datele. Numai persoanele autorizate pot accesa datele.
  6. Obligația din partea furnizorului de Relatii cu Clientii in promovarea drepturilor persoanelor vizate de a accesa, de a rectifica sau de a șterge datele lor
  7. Contractul se stabilește în mod expres că furnizorul de nor are dreptul de a divulga informații către terțe părți, chiar și în scopul depozitării, în cazul în care subcontractarea nu este stipulat în contract. În astfel de cazuri, contractul trebuie să precizeze ce sub-contractorii pot fi încărcate pe baza consimțământului, care este de obicei stabilită de către controlor, în conformitate cu responsabilități clare pentru informarea procesorului a controlerului de orice modificări preconizate în acest sens. Pentru regulatorul păstrând întotdeauna posibilitatea de a se opune la o astfel de modificare sau de reziliere a contractului. Atribuțiile furnizorului include furnizarea tuturor informațiilor necesare cu privire la toți subcontractanții implicați în proces (de exemplu, pentru a specifica toate în registrul digital, public) .Neobhodimo asigură că contractele între furnizor și subcontractanții norii reflectă termenii contractului între client și furnizorul de nor (de exemplu, chtobysub- procesorul execută aceleași obligații contractuale chtoprovayder nori). În special, trebuie să se asigure că furnizorul de nor și toți subcontractanții acționează numai în numele clientului nor. Întregul lanț de responsabilitate trebuie să se reflecte foarte clar în contract: formulat toate obligațiile stabilite transferuri internaționale.
  8. În cazul oricărei încălcări a datelor care afectează furnizorul de date nor utilizatorului clientul trebuie să fie notificat imediat cu privire la acest lucru.
  9. Este responsabilitatea serviciilor cloud include furnizarea unei liste a locurilor în care datele pot fi prelucrate.
  10. De asemenea, în contract trebuie să fie stabilite pe monitorizarea dreapta-proces și obligațiile corespunzătoare ale serviciilor de cloud pentru a coopera în această chestiune.
  11. Trebuie să se stabilească în contract că furnizorul norilor trebuie să informeze clientul cu privire la modificările relevante în ceea ce privește datele de nor, cum ar fi punerea în aplicare a punerii în aplicare a funcțiilor suplimentare.
  12. Tratatul ar trebui să prevadă înregistrarea și verificarea operațiunilor de prelucrare a datelor cu caracter personal relevante, care sunt efectuate de către furnizor nor sau subcontractant.
  13. Notificarea clientului cu privire la orice solicitări din punct de vedere juridic pentru divulgarea datelor cu caracter personal către autoritatea de aplicare a legii, cu excepția cazului interzis în alt mod, cum ar fi interdicția conform Codului penal – pentru a menține confidențialitatea investigării agențiilor de aplicare a legii
  14. Obligații generale din partea furnizorului – pentru a se asigura că organizarea datelor sale interne și a mecanismelor (precum și sub-procesatorii, dacă este cazul), în conformitate cu cerințele legale naționale și internaționale aplicabile și standardelor.

În cazul încălcării drepturilor operatorului, orice persoană care a suferit un prejudiciu ca urmare a unei prelucrări ilegale, are dreptul să primească o compensație din partea operatorului pentru prejudiciul. În cazul în care procesoarele utilizează datele în alte scopuri sau pentru a le raporta sau să le folosească într-un mod care încalcă contractul, acestea trebuie să fie, de asemenea, considerată ca un controler, și să fie responsabil pentru încălcările la care au participat personal.

1Sleduet remarcat faptul că, în multe cazuri, furnizorii de servicii de cloud oferă servicii și contracte standard pentru prelucrarea datelor cu caracter personal care clienții trebuie să semneze, prezentate într-o formă standardizată. Dezechilibrul în termenii contractului între operator mic în ceea ce privește furnizorii de servicii de mari nu ar trebui să fie considerată ca o justificare pentru controlorul atunci când adoptă termenii și condițiile contractului, care nu sunt chestiuni de drept cu privire la protecția datelor

Directiva 95/46 / CE descrie responsabilitatea deplină a norului de client (vystupayuschegov operatori de date) pentru a alege serviciile de cloud, să pună în aplicare măsuri adecvate de securitate tehnice și organizatorice pentru protejarea datelor cu caracter personal, cu capacitatea de a demonstra responsabilitate.

În plus față de obiectivul principal de siguranță – disponibilitatea, confidențialitatea și integritatea, atenția trebuie acordată protecției datelor în scopul transparenței, izolarea, capacitatea de intervenție, responsabilitatea și portabilitate.

În continuare vor fi prezentate mai exact, obiectivele principale enumerate mai sus.

disponibilitate

Asigurarea accesibilității înseamnă furnizarea de acces în timp util și fiabil la date cu caracter personal.

Odnaiz amenințări grave la disponibilitatea în nor – conexiune pierderii accidentale setimezhdu la client și furnizor, sau performanța serverelor cauzate de acțiuni rău intenționate, cum ar fi negarea (distribuită) de serviciu (de DoS). Alte riscuri sluchaynogoapparatnogosboya prezența atât în ​​rețea, cât și în prelucrarea datelor în sistemele de cloud și de stocare a datelor. Având în vedere că riscurile asociate furnizării de eșecuri și alte probleme de infrastructură.

operatorii de date trebuie să se asigure că furnizorul de nor a luat măsuri rezonabile pentru a putea face față riscului de tulburări, cum ar fi din nou hraneniessylok Internet, stocare redundante și mecanisme eficiente de backup de date 

integritate

Integritatea poate fi definită ca o proprietate care certifică autenticitatea datelor și este responsabil pentru ceea ce sa întâmplat cu ei, nu este rău intenționat sau modificări accidentale, în timpul prelucrării, depozitării sau de transport. Conceptul de integritate poate fi extinsă la sistemele informatice, și impune ca prelucrarea datelor cu caracter personal au rămas neschimbate în aceste sisteme.

Determinarea modificărilor datelor cu caracter personal pot fi realizate prin mecanisme de autentificare criptografice, cum ar fi codurile de autentificare a mesajului sau a semnăturilor.

Interferența cu integritatea sistemelor informatice în cloud pot fi prevenite sau detectate prin prevenirea sistemului / intruziunilor (IPS / IDS). Acest lucru este deosebit de important, tipuri de rețele publice, care operează în mod obișnuit nori.

transfer internațional

Directiva 95/46 / CE prevede libera circulație a datelor cu caracter personal către țările situate în afara SEE numai în cazul în care aceste țări sau beneficiarul asigură un nivel adecvat de protecție a datelor. În caz contrar, garanții specifice ar trebui introduse într-o acțiune controler, și co-procesoare lui kontrollerovili Cu toate acestea, cloud computing-ul este cel mai adesea bazată pe absența completă a unui aranjament stabil de date în rețeaua de cloud computing. Datele pot fi într-un centru de date la 2 pm, iar 16 este deja în celălalt capăt al luminii. Prin urmare, clientul poate rareori în măsură să cunoască în timp real, care sunt stocate sau date transmise. În acest context, instrumentele juridice tradiționale care oferă baza pentru controlul transferului de date în afara UE către țările terțe care nu oferă o protecție adecvată, au limitări.

SafeHarbor și să îndeplinească cerințele țării

SafeHarbor (Legea), o dispoziție de lege sau regulament care reduce sau elimină părții, răspunderea, în conformitate cu legea, cu condiția ca partea desfășoară acțiunile sale de bună-credință sau în conformitate cu anumite standarde.

Caracterul adecvat al rezultatelor, inclusiv SafeHarbor, limitate la acoperirea geografică, și, prin urmare, nu acoperă toate transferurile în interiorul norului. Transferurile către organizațiile din SUA, în conformitate cu principiile pot fi legitime, în conformitate cu legislația UE, dat fiind că organizația beneficiarului oferă un nivel adecvat de protecție a datelor transmise.

Cu toate acestea, singura certificare independentă cu SafeHarbor nu poate fi considerată suficientă în absența execuției fiabile a principiilor de protecție a datelor în nor. Directiva UE prevede că un contract trebuie să fie semnat de către controlor în ceea ce privește procesoarele de prelucrare, care este confirmat în FAQ 10 (întrebări frecvente) documentele UE-SUA Safe Harbor Framework. Acest acord a determina procesele de tratament, se va pune în aplicare toate măsurile necesare pentru a se asigura că datele sunt păstrate în siguranță. Legile naționale diferite pot avea cerințe suplimentare.

Companiile exportatoare de date nu ar trebui să se bazeze doar pe declarațiile furnizorilor de servicii care pretind că au dovezi ale Safe Harbor. Dimpotrivă, societatea exportatoare de date trebuie să obțină dovezi că există probe și să solicite dovezi că toate principiile care se aplică protecției datelor sunt respectate. Acest lucru este important mai ales în ceea ce privește informațiile furnizate de către clienții afectați de prelucrarea datelor.

De asemenea, clientul trebuie să verifice întocmit contracte standard pentru furnizarea de servicii de cloud pentru a răspunde cerințelor naționale în ceea ce privește prelucrarea datelor. Legislația națională poate solicita să emită o interogare care este definită în contract, al cărui rezultat furnizează informații și alte date pentru sub-procese și date de urmărire. De obicei, serviciile de tip cloud nu oferă informații despre clienți, astfel de obligații în cadrul Safe Harbor Valori proprii nu pot înlocui garanțiile de mai sus, chiar și atunci când aceasta este impusă de legislația națională. În astfel de cazuri, exportatorul se recomandă să se utilizeze alte instrumente, takiekak articole contractuale standard sau BCR (cu caracter obligatoriu reguli corporatiste).

Principiile Safe Harbor, în sine, de asemenea, nu poate garanta exportatorului de date pe care toate mijloacele necesare pentru a se asigura că au fost aplicate măsuri de securitate adecvate în domeniul serviciilor de cloud în Statele Unite ale Americii, care, la rândul său, legislația națională poate solicita în temeiul Directivei 95/46 / CE. În ceea ce privește securitatea datelor nor a ridicat mai multe amenințări specifice de securitate în nor, pierderea controlului, ștergerea datelor nesigure sau incomplete, eșecul prin defecțiuni de inspecție sau de izolare, care nu sunt abordate în mod suficient de principiile existente ale Safe Harbor pentru securitatea datelor. Astfel, garanții suplimentare pentru protecția datelor pot fi utilizate, de exemplu, prin includerea de experiență și terțe părți resurse care sunt capabile să evalueze caracterul adecvat al serviciilor de cloud printr-o varietate de instrumente de audit, standardizare și certificare. Din aceste motive, ar fi necesar să se completeze obligația importatorului de date în cadrul Safe Harbor, cu garanții suplimentare și ținând cont de specificul norului.

Condiții standard

Clauzele contractuale standard, adoptate de Comisia Europeană, cu scopul de a dezvolta un transfer internațional de date între două controlere, sau un controler și procesor, bazat pe o abordare în două direcții. În cazul în care furnizorul de nor este considerat un model de procesor clauzele 2010/87 / CE (decizia Comisiei de a) sunt un instrument care poate fi utilizat între procesor și operator ca bază pentru medii cloud computing pentru a oferi măsuri adecvate în contextul transferurilor internaționale.

În plus față de prevederile contractuale standard, este necesar să se adauge că furnizorii de cloud sunt în măsură să ofere poziția clienților, care se bazează pe experiența sa pragmatică, în cazul în care nu este contrară, în mod direct sau indirect, să devină acordul standard aprobat de Comisie și nu încalcă drepturile și libertățile persoanelor vizate fundamentale. Cu toate acestea, societatea nu poate elimina sau modifica termenii standard ale contractului, care nu implică faptul că polozheniyabudet nu „standard”.

În cazul în care furnizorul de nor acționează ca un procesor stabilit în UE, situația poate fi mai complicată, deoarece dispozițiile model sunt, în general, numai datele de la controler UE la procesor, care se află pe teritoriul UE.

În ceea ce privește relația contractuală dintre procesor (non-UE) și sub-procesor, un acord scris care se face, care impune aceleași obligații de sub-procesor așa cum sunt determinate de către procesor și modelul provizioanelor.

Securitatea informatiilor intre un sistem clasic de infratructura IT si “Cloud”

In prezent modelul clasic de infrastructura IT, sigur in functie de nivelul financiar ai fiecarei Societati este treptat ridicat si imbunatatit cu sisteme care inglobeaza si conceptul de “cloud”.

Unele sisteme de operare, cum ar fi Office 365 de la Maicrosoft,  ofera un acces la suita Office Professional Plus, dar si la o serie de servere (Exchange Online, SharePoint Online, Lync Online), si nu in utlimul rand la toate capabilitatile programelor din pachet merg oriunde mergi si tu, Word, Excel, Powerpoint, Lync, Outlook, Shaperpoin – tot ce ai nevoie este acum in Cloud.

Grupul de Lucru constituit conform Articolului 29, grup constituit din cele 28 de autorități de supraveghere în domeniul protecției datelor cu caracter personal în Uniunea Europeană, a stabilit, după o analiză aprofundată a contractelor Microsoft pentru soluții comerciale de tip cloud, că acestea respectă standardele înalte de protecție a datelor cu caracter personal stabilite prin reglementările europene privind protecția datelor cu caracter personal.

Microsoft este prima companie – și singura până în prezent – care primește acest aviz ce are implicații semnificative pentru organizațiile de toate dimensiunile, din Europa și din întreaga lume, ce doresc să primească asigurări privind confidențialitatea și securitatea propriilor date.

Această recunoaștere se aplică serviciilor de cloud ale Microsoft – în particular, Microsoft Azure,Office 365, Microsoft Dynamics CRM și Windows Intune.

Autoritățile de reglementare Europe afirmă astfel că datele personale stocate în cloud-ul Microsoft respectă standardele de protecție, indiferent unde sunt acestea stocate. Acest lucru este important deoarece Directiva Europeană de Protecție a Datelor impune standarde de protecție ridicate.

Politicile corporatiste obligatorii către o abordare globală

BCR constituie un cod de conduită pentru companiile care transmit date în cadrul grupului lor. Această soluție va fi, de asemenea, prevăzută cu cloud computing, în cazul în care furnizorul este procesorul. Într-adevăr, în prezent, lucrările sunt în desfășurare pe BCRS pentru procesoare care vor permite transferul în cadrul grupului în beneficiul controlorilor, fără a necesita semnarea contractului între procesor și sub-procesor într-un cont pentru fiecare client.

O astfel de BCR pentru procesoare permit furnizorului clientului de a încredința informațiile personale procesorului, fiind siguri că transmisia de date în domeniul de activitate al furnizorului vor primi un nivel adecvat de protecție.

Deci, înainte de a apela operatorul de a furniza servicii pentru operarea sistemelor de informare și să încheie cu acesta contractul corespunzător, este important să se familiarizeze cu normele sale interne și reglementările (care sunt incluse în mod normal în termenii contractului și, prin urmare, sunt obligatorii pentru părți)

Tinand cont de cele analizate, cele mai multe dintre aceste riscuri sunt incluse în două categorii principale si anume: lipsa controlului asupra datelor, precum și lipsa de informații privind insasi procedura de procesare (lipsa transparentei).

Este imposibil de a identifica sau de a stabili toate ricurile securitatii enformationaleîn ceea ce privește derularea unor contracte, cumunicări ș.a.. Masurile adoptate sau care se impugn a fi adoptate privind securitatea informatiei pot fi substantiale din punct de vedere financiar. De aceea, orice riscuri posibile ar trebui evaluate și cântărite în raport cu costurile pentru a le implimenta în mod corespunzător. Dar, există o serie de amenințări, cum ar fi posibilele daune sănătății umane sau a mediului, care sunt clasificate ca fiind amenințări inacceptabile. Prin urmare, în ceea ce privește, amenințări inacceptabile, trebuie luate toate masurile pentru a preveni astfel de amenintari.

Bibliografie

– “Securitatea Informatica in societatea informationala” autori Aurel Serbu, Constantin Baron, Narcisa Isaila, Claudia ionescu, Costinela Luminita Defta- editura ProUniversitaria -2013.

-http://www.nist.gov/itl/csd/cloud-102511.cfm

-Valorificarea cloud computingului în Europa, Comunicare a Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social și Comitetul Regiunilor, SWD(2012) 271, disponibilă la http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0529:FIN:ro:PDF

-Comisia își propune să faciliteze, în toate sectoarele economiei, adoptarea mai rapidă a cloud computingului, care poate reduce costurile TIC (tehnologia informației și a comunicațiilor) și, în asociere cu noi practici comerciale digitale1, poate stimula productivitatea, creșterea și crearea de locuri de muncă”, idem supra nota 2.

-Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take-up, 24 februarie 2012, disponibil la http://cordis.europa.eu/fp7/ict/ssai/docs/study45-d2-interim-report.pdf

– Cloud Standards Coordination – Final Report, noiembrie 2013, disponibil la http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_id=3988

–  Propunere de Regulament al Parlamentului European şi al Consiliului privind Legislația europeană comună în materie de vânzare, COM(2011) 635 final, disponibilă la http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2011:0635:FIN:ro:PDF.

-Disponibile la http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm

http://www.ccbe.eu/fileadmin/user_upload/NTCdocument/07092012_EN_CCBE_gui1_1347539443.pdf

– http://ico.org.uk/for_organisations/guidance_index/~/media/documents/library/Data_Protection/

Practical_application/cloud_computing_guidance_for_organisations.ashx

– http://www.datenschutz-berlin.de/attachments/827/Cloud.pdf?1317298960

– www.garanteprivacy.it/garante/document?ID=1906143

– http://www.datainspektionen.se/Documents/faktablad-cloudservices.pdf

 – WP 216, disponibil la http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_ro.pdf

– http://www.eweek.com/security/european-union-expresses-concern-about-microsoft-email-privacy-case.html

– http://www.cdep.ro/proiecte/2014/200/60/3/pl263.pdf.

–   W. Jansen, T. Grance, Guidelines on Security and Privacy in Public Cloud Computing, National Institute of Standards and Technology, pag. 8-10, disponibil la http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf.

LĂSAȚI UN MESAJ

Vă rugăm să comentați
Introduceți numele dumneavoastră aici