Contractul de Cloud Computing Bogdan Mihai Avocat Musat
Contractul de Cloud Computing Bogdan Mihai - Avocat Musat & Asociatii bogdan. mihai@musat. ro Drepturile de proprietate intelectuala asupra acestei prezentari apartin Musat & Asociatii. Acest material are titlu informativ si nu constituie consultanta juridica.
Concept Sursa: http: //ro. wikipedia. org/wiki/Cloud_computing#mediaviewer/File: Cloud_computing. svg Cloud computing – tehnologie ce permite stocarea si gestionarea la distanta a datelor personale prelucrate in cadrul desfasurarii activitatii normale a unei entitati, precum si furnizarea unor servicii specifice de IT de catre furnizori specializati de astfel de servicii, fara a fi necesara utilizarea unor servere fizice localizate la nivelul respectivei entitati
Tipologiile de contract in functie de tipul de servicii furnizate Iaa. S - Infrastructure as a Service Paa. S – Platform as a Service Saa. S – Software as a Service Sursa: https: //www. simple-talk. com/iwritefor/articlefiles/cloud/2011/11/cloud-service-model. png
Modele de Cloud • Cloud privat – tip de cloud gazduit pentru sau de catre o singura entitate intr-o retea privata, cel mai adesea exploatat intern, in cadrul caruia doar cei din cadrul entitatii respective pot partaja resursele • Cloud public – tip de cloud care este disponibil la contractare pentru publicul larg, fiind detinut si operat de catre un tert furnizor de cloud • Cloud hibrid – tip de cloud care reprezinta o combinatie intre cloud-ul public si cel privat (e. g. , aplicatii gazduite în cloud-ul public, dar cu stocarea locala a informatiei) Sursa: Gcastd. org
Aspecte contractuale esentiale • Furnizarea accesului la informatie si transferul informatiei • Confidentialitate si protectia datelor personale • Continut • Incetarea contractului
Furnizarea acccesului la informatie si transferul informatiei • Schimbari sau alterari ale serviciilor sau ale contractelor • Suspendarea serviciilor • Limitarea raspunderii • SLA
Furnizarea acccesului la informatie si transferul informatiei -practica si recomandari. Schimbari sau alterari ale serviciilor sau ale contractelor • introducerea obligativitatii transmiterii unei notificari prealabile de cel putin 30 de zile, inainte de modificarea serviciilor • pastrarea unei compatibilitati pentru a opera sistemele create cu API-uri ce nu mai sunt suportate de furnizor pentru o perioada de tranzitie • evaluare a capacitatii noilor servicii de a satisface nevoile beneficiarului • se va evalua daca o incetare a contractului nu ar fi oportuna Suspendarea serviciilor • Introducerea unor perioade de remediere
Furnizarea accesului la informatie si transfer -practica si recomandari IILimitarea raspunderii Clauza uzuala “Furnizorul nu raspunde pentru greseli, omisiuni, intreruperi, stergerea fisierelor, erori, defecte, intarzieri in operare, sau alte probleme in functionarea serviciului, incluzand dar fara a se limita al deconectari accidentale” Clauza recomandata “Fara a aduce atingere [clauzei de limitare a raspunderii], raspunderea totala a fiecarei parti rezultand din contract sau in legatura cu contractul, incalcarea declaratiilor, va fi limitata la [o anumita suma]. Limitarea raspunderii din aceasta sectiune nu se va aplica in cazul in care beneficiarul este un consummator” Obiective: • Crearea in sarcina furnizorului a unei raspunderi conventionale cel putin limitata la o anumita valoare • Verificarea practicii pe piata
Confidentialitate si protectia datelor personale Politici privind datele • Unde si cum se stocheaza datele, stergerea si migrarea datelor • Securitatea datelor ü prevederi unilaterale vagi, incomplete ü mutarea raspunderii pe umerii beneficiarului ü exonerare totala de raspundere pentru furnizor Exemple de clauze uzuale: “furnizorul va mentine anumite masuri de securitate, ramanand in sarcina beneficiarului de a evalua daca respectivele masuri de securitate sunt adecvate sau nu” “furnizorul nu raspunde pentru daune produse beneficiarului din cauze care tin de incalcarea securitatii datelor” • Rezidenta datelor - probleme privind legislatia aplicabila, mai ales din perspectiva protectiei datelor cu caracter personal
Confidentialitate si protectia datelor personale Protectia datelor personale • Furnizorul de cloud – 0 perator de date / imputernicit / niciuna dintre ele • Aspecte legale - Legea 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date se aplica: (a) prelucrarilor de date cu caracter personal efectuate de catre operatori stabiliti in Romania (b) prelucrarilor de date cu caracter personal efectuate de operatori care nu sunt stabiliti in Romania, prin utilizarea de mijloace situate pe teritoriul Romaniei, daca aceste mijloace nu sunt utilizate doar pentru tranzitarea pe teritoriul Romaniei a datelor personale prelucrate • Aspecte contractuale (a) obligatia imputernicitului de a actiona numai in baza instructiunilor date de client (b) obligatia imputernicitului de a lua masurile tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat, precum si impotriva oricarei alte forme de prelucrare ilegala • Transfer
Securitatea, confidentialitatea si protectia datelor -recomandari • Prevederile privind securitatea, confidentialitatea si rezidenta datelor trebuie sa fie clare si explicite • Furnizorul ar trebui sa ofere certificari de securitate • Furnizorul ar trebui sa-si asume masuri de securitate fizice si digitale • Se vor stabili mecanisme de rezolvare a incidentelor fara a atrage imediat suspendarea serviciului • Furnizorul va pune la dispozitia beneficiarului masurile concrete de siguranta privind datele personale • Furnizorul va trebui sa notifice beneficiarul despre vulnerabilitati cunoscute si masuri de remediere • Furnizorul va notifica beneficiarul imediat in cazul in care anumite date personale sunt furnizate autoritatilor publice, cu exceptia cand o atare notificare este interzisa • Furnizorul va trebui sa puna la dispozitia beneficiarului locatiile unde rezida datele, precum si ca si-a indeplinit obligatiile privind protectia datelor din respectivele tari
Proprietate intelectuala in cloud -practica si recomandari • Raspunderea pentru incalcarea drepturilor de proprietate intelectuala • Copyright-ul apartine exclusiv beneficiarului • Copyright-ul apartine atat beneficiarului cat si furnizorului Recomandari • O analiza detaliata este necesara cu privire la cesiunea drepurilor de proprietate intelectuala • Trebuie luat in considerare scenariul de iesire din contract a beneficiarului in contextul in care parte din datele sale sunt tinute intr-o baza de date a furnizorului de cloud
Incetarea contractului -recomandari. Practica • majoritatea contractelor de cloud computing prevad posibilitatea furnizorului de a inceta contractul in orice moment, de cele mai multe ori chiar si fara notificare prealabila catre beneficiar intr-o atare situatie, exista riscul ca beneficiarului sa ii fie afectata activitatea ca urmare a faptului ca o serie de operatiuni strans legate de serviciile de cloud nu mai pot fi desfasurate o anumita perioada de timp si anume pana la momentul incheierii unui nou contract de cloud cu un alt furnizor Recomandari • contractul ar trebui sa prevada termene de remediere (in cazul rezilierii) sau notificari prealabile (in cazul denuntarii unilaterale) • ca parte din procesul de incetare furnizorul ar trebui sa asiste beneficiarul pentru ca acesta sa-si recupereze datele si aplicatiile si sa le poata transfera catre alt furnizor • precizarea unui proces clar si concis de migrare a datelor • datele beneficiarului sa fie tinute un anumit termen dupa incetarea contractului (e. g. , 3 luni) si sa fie sterse doar cu confirmarea beneficiarului • sa se prevada declaratia furnizorului ca a sters toate datele beneficiarului din serverele sale
In loc de concluzie… • Lipsa unei reglementari stricte a cloud computingului • Incercari de standardizare – slalom-project. eu
Resurse • http: //ec. europa. eu/justice/contract/cloud-computing/expert-group/index_en. htm • http: //slalom-project. eu/ • http: //webjcli. org/article/view/303/418 • http: //www. cloud-council. org/ • http: //www. ifip-summerschool. org/wp-content/uploads/2016/08/IFIP-SC 2016_pre_paper_11. pdf • https: //www. duo. uio. no/bitstream/handle/10852/22926/SILALAHIxx. Master. pdf? sequence=1 • http: //ec. europa. eu/justice/contract/files/expert_groups/discussion_paper_data_tr ansfers_in_cloud. pdf • http: //ec. europa. eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp 196_en. pdf
- Slides: 16