Коллектив авторов - Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет

В Руководстве определены следующие понятия.

Облачный поставщик — организация, которая владеет и управляет облачным сервисом.

Облачный клиент {заказчик) – организация, обеспечивающая выполнение цели, для которой облачный сервис создан.

Облачный пользователь — конечный пользователь облачного сервиса.

Модели развертывания — ряд различных моделей, с помощью которых могут быть развернуты облачные вычисления.

Частное облако — инфраструктура, которая предназначена для применения в рамках деятельности определенного юридического лица или индивидуального предпринимателя. Лежащие в основе облака аппаратные средства могут управляться и поддерживаться поставщиком облачных услуг посредством договора аутсорсинга. Доступ к облачному сервису может быть ограничен через локальную или глобальную сеть.

Облачное сообщество — группа облачных клиентов, имеющая доступ к ресурсам из того же облачного сервиса. Обычно облачные клиенты подчиняются конкретным требованиям, таким как необходимость соблюдения правовых норм и обеспечение высокого уровня безопасности, который обеспечивает облачный сервис. Доступ к облачному сервису может быть ограничен в глобальной сети.

Публичное облако — инфраструктура, платформа или программное обеспечение, управляемые поставщиком облачных услуг, которые он делает доступными для широкой публики (облачные клиенты или облачные конечные пользователи). Доступ к облачному сервису осуществляется через Интернет.

Клиент облачных сервисов определяет цели и способ обработки данных облачным провайдером, соответственно, по «Акту о защите данных», именно он является обработчиком данных и несет за свои действия ответственность (по мнению авторов данной книги, функциональные специфики оператора персональных данных (в соответствии с российской терминологией) и контролера данных (в соответствии с терминологией Великобритании) совпадают).

Одним из центральных положений является предоставление обработчику данных возможности в полной мере оценить риски, связанные с обработкой данных в облачной системе, и принять самостоятельное ответственное решение о возможности передачи данных в облачный сервис. При этом те организации, которые согласно «Акту о защите данных» являлись обработчиками данных, остаются таковыми при использовании облачных сервисов.

В «Акте о защите данных» указывается, что данные могут быть собраны и обработаны контролером данных, в случае если соблюдаются следующие условия [59] Register (notify) under the Data Protection Act. URL: https://ico.org.uk/for-organisations/register/ : получено согласие субъекта данных на обработку; контролер информации может обрабатывать данные только в рамках заранее полученного соглашения или в процессе выполнения договорных обязательств; обработка данных соответствует обязательствам контролера данных; обработка направлена на защиту жизненно важных интересов субъекта данных; обработка требуется в связи с целями закона 1998 г.

В облачных вычислениях контролером данных будет являться облачный клиент, который определяет цели и порядок обработки любых личных данных. Как указано в Руководстве, «облачный клиент, скорее всего, будет являться контролером данных и, следовательно, будет нести общую ответственность за соблюдение “Акта о защите данных”».

Точная роль облачного поставщика должна быть рассмотрена в каждом конкретном случае, чтобы оценить, является ли он одновременно и обработчиком личных данных. В Руководстве предлагается определить ответственность лица через те функции, которые он выполняет, на основании следующих критериев: 1) является ли поставщик услуг контролером данных или 2) действует от имени контролера данных.

Дополнительно к ответственности обработчика данных, касающейся сбора, хранения, передачи данных, Кодексом наилучшей практики по обработке персональных данных онлайн [60] Personal information online code of practice on 26 May. URL: 2011 https://ico.org. uk/media/for-organisations/documents/1591/personal_information_online_cop.pdf устанавливается, что в целях соблюдения положений закона о защите данных обработчик данных должен принимать в том числе не предусмотренные правовыми актами меры, которые выбираются им самостоятельно в зависимости от ситуации и типа онлайн-сервиса, в том числе облачной системы. Такие обязательства могут включаться в договор.

Руководство также содержит лист проверки, который поможет пользователям облачных сервисов проверить безопасность системы (данный лист создан на основе мнения, опубликованного Рабочей группой по защите данных ЕС).

Еще в ноябре 2010 г. Британский институт стандартов (BSI) опубликовал руководство BIP 0117 «Облачные вычисления. Практическое введение в правовые вопросы» («Cloud Computing. A Practical Introduction to the Legal Issues») [61] Cloud Computing. A Practical Introduction to the Legal Issues. URL: http:// www.bsigroup.com/en/sectorsandservices/Forms/BIP-0117-Sample-chapter-form/?id= 187489 ). . Документ знакомит (вкратце) с облачными вычислениями, при этом сравнивается развитие этой новой парадигмы вычислений с другими способами приобретения вычислительных ресурсов. В нем суммируются возникающие правовые проблемы, одни из которых характерны для облачных вычислений, а другие имеют более общий характер, но специфически проявляются в отношении «облаков».

В документе рассматриваются правовые вопросы, охватывающие такие области, как безопасность в «облаках», защита персональных данных, уровни обслуживания и контрактные вопросы. Руководство стало полезным ресурсом для тех, кто закупает или предоставляет облачные услуги, определяя практические шаги, направленные на решение правовых вопросов, как в контексте исполнения законодательно-нормативных требований, так и в контексте договорных отношений между клиентами и поставщиками. Рассматриваются также вопросы, возникающие при использовании облачных услуг организациями, работающими в жестко регулируемых отраслях, таких как сфера финансовых услуг.

О применении облачных технологий в госсекторе необходимо отметить следующее. В конце марта 2011 г. администрация Кабинета министров Великобритании (Cabinet Office) опубликовала национальную стратегию [62] В настоящее время эта стратегия является недействующей. в области информационно-коммуникационных технологий [63] Government ICT strategy. URL: http://www.cabinetoffice.gov.uk/sites/default/ files/resources/uk-government-government-ict-strategy_0.pdf , согласно которой было запланировано сократить количество государственных центров обработки данных за счет их укрупнения, а также за счет перехода на облачные вычисления. При этом авторы стратегии надеются, что использование стандартизованной облачной платформы будет стимулировать разработку инновационных решений малыми и средними компаниями.