Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52013XX0903(01)

Резюме на становището на Европейския орган по защита на данните относно съобщението на Комисията „Оползотворяване на потенциала на изчисленията в облак в Европа“

OB C 253, 3.9.2013, p. 3–7 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
OB C 253, 3.9.2013, p. 3–3 (HR)

Date of document:
16/11/2012
Author:
Европейски надзорен орган по защита на данните
Form:
Известие
Link
Link
Link
Select all documents mentioning this document
Instruments cited:
Link
Related document(s):

3.9.2013   

BG

Официален вестник на Европейския съюз

C 253/3

Резюме на становището на Европейския орган по защита на данните относно съобщението на Комисията „Оползотворяване на потенциала на изчисленията в облак в Европа“

(Пълният текст на настоящото становище може да бъде намерен на английски, френски и немски език на уебсайта на ЕНОЗД: http://www.edps.europa.eu)

2013/C 253/03

I.   Въведение

I.1.   Цел на становището

1.

Предвид значението на изчисленията в облак в развиващото се информационно общество и на протичащото обсъждане на политиката на ЕС относно изчисленията в облак ЕНОЗД взе решение да издаде настоящото становище по своя инициатива.

2.

Настоящото становище е в отговор на съобщението на Комисията „Оползотворяване на потенциала на изчисленията в облак в Европа“ от 27 септември 2012 г. (наричано по-долу „съобщението“) (1), в което се определят основните действия и политическите стъпки, които да бъдат предприети за ускоряване на използването на услугите за изчисления в облак в Европа. С ЕНОЗД бяха проведени неофициални консултации преди приемането на съобщението и Органът представи неофициални коментари. Той приветства факта, че някои от неговите коментари са взети под внимание в съобщението.

3.

Въпреки това, предвид обхвата и значението на протичащото обсъждане относно връзката между изчисленията в облак и правната рамка за защита на данните, настоящото становище не се ограничава до разглежданите в съобщението теми.

4.

Становището се съсредоточава предимно върху предизвикателствата, които изчисленията в облак пораждат за защитата на данните и това как те ще бъдат засегнати в предлагания регламент за защита на данните (наричано по-долу „предлаганият регламент“) (2). В становището също така се коментират определените в съобщението области за по-нататъшни действия.

I.2.   Контекст

5.

В контекста на обсъждането на общата политика в ЕС относно изчисленията в облак следните дейности и документи са от особено значение:

след съобщението си от 2010 г. относно програмата в областта на цифровите технологии за Европа (3) Комисията започна обществена консултация относно изчисленията в облак в Европа между 16 май и 31 август 2011 г. и публикува резултатите на 5 декември 2011 г. (4),

на 1 юли 2012 г. работната група по член 29 (5) прие становище относно изчисленията в облак (наричано по-долу „становището на работната група по член 29“) (6), в което се анализира прилагането на настоящите правила за защита на данните, определени в Директива 95/46/ЕО, по отношение на доставчиците на услуги за изчисления в облак, извършващи дейност в Европейското икономическо пространство (ЕИП), и по отношение на техните клиенти (7),

на 26 октомври 2012 г. на своята 34-та Международна конференция (8), комисарите по неприкосновеността на личния живот и защитата на данните приеха резолюция относно изчисленията в облак.

I.3.   Съобщение относно изчисленията в облак

6.

ЕНОЗД приветства съобщението. В него се посочват три конкретни основни действия, необходими на равнище ЕС, за допълване и насърчаване на използването на изчисленията в облак в Европа, както следва:

основно действие 1: Разчистване на джунглата от стандарти,

основно действие 2: Сигурни и справедливи договорни срокове и условия,

основно действие 3: Установяване на европейско партньорство за изчисления в облак, за да се насърчават иновациите и растежа от страна на публичния сектор.

7.

Също така са предвидени допълнителни политически стъпки, като например мерки за стимулиране на използването на изчисленията в облак чрез насърчаване на научноизследователската и развойната дейност или повишаването на осведомеността, както и необходимостта от разглеждане на основните теми, свързани с услугите за изчисления в облак — включително, наред с другото, защитата на данните, достъпа на правоприлагащите органи, сигурността, отговорността на доставчиците на междинни услуги — чрез засилен международен диалог.

8.

В съобщението защитата на данните се посочва като важен елемент за гарантиране на успеха на внедряването на изчисленията в облак в Европа. Комисията отбелязва (9), че в предлагания регламент се разглеждат много от опасенията, изразени от доставчици на услуги за изчисления в облак и от клиенти, използващи такива услуги (10).

I.4.   Цели и структура на становището

9.

Настоящото становище има три цели.

10.

Първата цел е да се подчертае значението на неприкосновеността на личния живот и на защитата на данните в настоящото обсъждане на изчисленията в облак. По-специално в него се изтъква, че равнището на защита на данните в среда за изчисления в облак не трябва да бъде по-ниско от това, което се изисква в какъвто и да било друг контекст на обработване на данни. Практиките за изчисления в облак могат да се разработват и прилагат законно само ако се гарантира, че се спазва това равнище на защита на данните (вж. глава III, точка 3). В становището са взети под внимание насоките, представени в становището на работната група по член 29.

11.

Втората цел е допълнителен анализ на основните предизвикателства, които изчисленията в облак пораждат по отношение на защитата на данните в контекста на предлагания регламент за защита на данните, по-специално трудността при еднозначното определяне на отговорностите на различните участници и понятията за администратор и обработващ лични данни. В становището (предимно в глава IV) се анализира как предлаганият регламент във вида, в който е представен понастояшем (11), ще спомогне за гарантиране на високо равнище на защита на личните данни в услугите за изчисления в облак. Поради това то се основава на мненията, представени от ЕНОЗД в неговото становище относно пакета за реформа в областта на защитата на данните (наричано по-долу „становище на ЕНОЗД относно пакета за реформа в областта на защитата на данните“) (12) и го допълва, като разглежда конкретно средата за изчисления в облак. ЕНОЗД подчертава, че неговото становище относно пакета за реформа в областта на защитата на данните се прилага изцяло по отношение на услугите за изчисления в облак и трябва да се разглежда като основа на настоящото становище. Освен това някои от посочените в него въпроси — като например направеният в него анализ на новите разпоредби относно правата на субектите на данни (13) — са достатъчно ясни и поради това няма да бъдат разглеждани допълнително в настоящото становище.

12.

Третата цел е да се определят областите, в които са необходими по-нататъшни действия на равнище ЕС от гледна точка на защитата на данните и неприкосновеността на личния живот с оглед на стратегията за изчисленията в облак, представена от Комисията в съобщението. Те включват, наред с другото, предоставяне на допълнителни насоки, усилия за стандартизация, извършване на допълнителни оценки на риска за конкретни сектори (например публичния сектор), разработване на стандартни договорни условия, участие в международен диалог по въпроси, свързани с изчисленията в облак, и гарантиране на ефективни средства за международно сътрудничество (ще бъдат изложени в глава V).

13.

Становището е структурирано по следния начин: в раздел II се предоставя преглед на основните характеристики на изчисленията в облак и свързаните с тях предизвикателства по отношение на защитата на данните. В раздел III се разглеждат най-важните елементи на съществуващата правна рамка на ЕС и на предлагания регламент. В раздел IV се анализира по какъв начин предлаганият регламент ще помогне за справяне с предизвикателствата пред защитата на данните, породени от използването на услуги за изчисления в облак. В раздел V се анализират предложенията на Комисията за по-нататъшно развитие на политиката и се определят областите, в които може да е необходима допълнителна работа. В раздел VI са изложени заключенията.

14.

Въпреки че много от съображенията в настоящото становище се прилагат за всяка среда, в която се използват изчисления в облак, в становището не се разглежда използването на услуги за изчисления в облак конкретно от институциите и органите на ЕС, които подлежат на надзор от страна на ЕНОЗД съгласно Регламент (ЕО) № 45/2001. По този въпрос ЕНОЗД ще издаде отделни насоки за тези институции и органи.

VI.   Заключения

121.

Както се посочва в съобщението, изчисленията в облак предлагат на предприятията, потребителите и публичния сектор много нови възможности за управлението на данни чрез използването на отдалечени външни IT ресурси. Същевременно в него се представят много предизвикателства, по-специално по отношение на подходящото равнище на защита на данните, което се предлага в съобщението във връзка с обработваните данни.

122.

Използването на услуги за изчисления в облак поражда сериозен риск от размиване на отговорността по отношение на операциите по обработване на данни, извършвани от доставчици на услуги за изчисления в облак, ако критериите за прилагане на правото на ЕС в областта на защитата на данните не са достатъчно ясни и ако ролята и отговорността на доставчиците на услуги за изчисления в облак са определени или се тълкуват твърде тясно или не се прилагат ефективно. ЕНОЗД подчертава, че използването на услуги за изчисления в облак не може да бъде основание за занижаване на стандартите за защита на данните в сравнение с тези, които се прилагат по отношение на традиционните операции по обработване на данни.

123.

Във връзка с това предлаганият регламент за защита на данните във вида, в който е представен, ще предостави много разяснения и инструменти, които ще помогнат да се гарантира, че доставчиците на услуги за изчисления в облак, предлагащи своите услуги на клиенти, установени в Европа, спазват задоволително равнище на защита на данните, и по-специално:

в член 3 ще бъде изяснено териториалното приложно поле на правилата на ЕС за защита на данните и ще се разшири неговото приложно поле, така че да бъдат обхванати услугите за изчисления в облак,

в член 4, параграф 5 ще бъде въведен нов елемент на контролната функция, а именно „условията“. Това ще съответства на нарастващата тенденция, според която, предвид техническата IT сложност, характерна за предоставянето на услуги за изчисления в облак, е необходимо да се разширят обстоятелствата, при които доставчик на услуги за изчисления в облак може да бъде определен като администратор. Това ще отрази по-добре действителното равнище на влияние върху операциите по обработване на данни,

предлаганият регламент ще увеличи отговорността и отчетността на администраторите и обработващите лични данни чрез въвеждане на конкретни задължения, като например защита на данните още при проектирането и защита по подразбиране (член 23), уведомления за нарушаване на сигурността на личните данни (членове 31 и 32) и оценки на въздействието върху защитата на данните (член 33). Освен това в регламента ще се изисква от администраторите и обработващите лични данни да прилагат механизми за доказване на ефективността на приложените мерки за защита на данните (член 22),

с членове 42 и 43 от предлагания регламент ще се позволява по-гъвкаво използване на механизмите за международно предаване на данни, чрез които клиентите, използващи услуги за изчисления в облак и доставчиците на услуги за изчисления в облак, да могат да предвидят подходящи гаранции за защитата на данните при предаването на лични данни на центрове или сървъри за данни, разположени в трети държави,

с членове 30, 31 и 32 от предлагания регламент ще бъдат изяснени задълженията на администраторите и обработващите лични данни по отношение на сигурността на обработването на данни и изискванията за информация в случай на нарушения на сигурността на данните, като се поставя основата за всеобхватен и основан на сътрудничество подход към управлението на сигурността между различните участници в среда за изчисления в облак,

с членове 55—63 от предлагания регламент ще се засили сътрудничеството между надзорните органи, както и упражняваният от тях координиран надзор над трансгранични операции по обработване на данни, което е изключително важно в среда като тази на изчисленията в облак.

124.

Въпреки това ЕНОЗД предлага, след като взе под внимание специфичните особености на услугите за изчисления в облак, в предлагания регламент да се направят допълнителни разяснения във връзка със следните аспекти:

по отношение на териториалното приложно поле на предлагания регламент член 3, параграф 2, буква а) да се измени и да гласи „предлагането на стоки или услуги, включващи обработване на лични данни, на такива субекти на данни в Съюза“, или вместо това да се добави ново съображение, в което се уточнява, че обработването на лични данни на субекти на данни в Съюза от администратори, които не са установени в ЕС и предлагат услуги на юридически лица, установени в ЕС, също попада в териториалното приложно поле на предлагания регламент,

да се добави ясно определение за понятието „предаване“, както е посочено в становището на ЕНОЗД относно пакета за реформа в областта на защитата на данните,

да се добави конкретна разпоредба за изясняване на условията, при които на правоприлагащите органи от държави извън ЕИП може да се разреши достъп до данни, съхранявани във връзка с услуги за изчисления в облак. Такава разпоредба може също да включва задължение получателят на искането да уведомява и да се консултира с компетентния надзорен орган в ЕС в специфични случаи.

125.

Освен това ЕНОЗД подчертава, че ще бъдат необходими допълнителни насоки от Комисията и/или от надзорните органи (по-специално чрез бъдещия Европейски комитет по защита на данните) по отношение на следните аспекти:

да се изясни какви механизми следва да се въведат, за да се осигури проверка на ефективността на наличните мерки за защита на данните,

да се подпомогнат обработващите лични данни по отношение на прилагането на задължителните фирмени правила (ЗФП) и за това как те могат да спазват приложимите изисквания,

да се предостави информация за най-добри практики по въпроси като отговорността на администратора/обработващия лични данни, правилното запазване на данни в среда за изчисления в облак, преносимостта на данните и упражняването на правата на субектите на данни.

126.

Освен това ЕНОЗД признава, че етичните кодекси, изготвени в отрасъла и одобрени от съответните надзорни органи, могат да бъдат полезен инструмент за подобряване на спазването, както и на доверието между различните участници.

127.

ЕНОЗД подкрепя разработването от Комисията, след консултация с надзорните органи, на стандартни договорни условия за предоставянето на услуги за изчисления в облак, които са съобразени с изискванията за защита на данните, и по-специално:

да се разработят типови договорни условия, които да се включват в търговските условия при предлагане на услуги за изчисления в облак,

да се разработят общи условия за обществени поръчки и изисквания за публичния сектор, като се вземе под внимание чувствителността на обработваните данни,

механизмите за международно предаване на данни да се съобразят допълнително със средата за изчисления в облак, по-специално като се актуализират настоящите стандартни договорни клаузи и се предложат стандартни договорни клаузи за предаването на данни от администратори, установени в ЕС, на администратори, установени извън ЕС.

128.

ЕНОЗД подчертава, че трябва да се обърне необходимото внимание на изискванията за защита на данните при разработването на стандарти и схеми за сертификация, и по-специално:

да се приложат принципите за защита още при проектирането и за защита по подразбиране,

при изготвянето на стандартите да се интегрират изисквания за защита на данните, като например принципът на ограничаване до предвидената цел и ограничаването на срока на съхранение,

задълженията на доставчиците да предоставят на своите клиенти информацията, необходима за извършване на надеждна оценка на риска и мерките за сигурност, които прилагат, както и предупреждения за инциденти във връзка със сигурността.

129.

Накрая, ЕНОЗД подчертава необходимостта от справяне с предизвикателствата, породени от изчисленията в облак на международно равнище. Той насърчава Комисията да участва в международен диалог по въпросите, породени от изчисленията в облак, включително тези за юрисдикцията и достъпа на правоприлагащите органи, и предлага много от тези въпроси да бъдат разгледани в различни международни или двустранни споразумения, като например споразумения за взаимопомощ, както и търговски споразумения. На международно равнище следва да се разработят световни стандарти, чрез които да се определят минимални условия и принципи по отношение на достъпа до данни от страна на правоприлагащите органи. ЕНОЗД също така подкрепя разработването от надзорните органи на ефективни механизми за международно сътрудничество, по-специално по отношение на въпросите на изчисленията в облак.

Съставено в Брюксел на 16 ноември 2012 година.

Peter HUSTINX

Европейски надзорен орган по защита на данните

(1)  COM(2012) 529 final.

(2)  COM(2012) 11 final.

(3)  COM(2010) 245 окончателен.

(4)  http://ec.europa.eu/information_society/activities/cloudcomputing/docs/ccconsultationfinalreport.pdf

(5)  Работната група по член 29 е консултативен орган, създаден съгласно член 29 от Директива 95/46/ЕО. Тя се състои от представители на националните надзорни органи и ЕНОЗД, както и от представител на Комисията.

(6)  Становище 05/2012 на работната група по член 29 относно изчисленията в облак, достъпно на: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_bg.pdf

(7)  Освен това на национално равнище органите по защита на данните в няколко държави-членки са издали собствени насоки относно изчисленията в облак, например в Италия, Швеция, Дания, Германия, Франция и Обединеното кралство.

(8)  Резолюция относно изчисленията в облак, приета на 34-та Международна конференция на комисарите по неприкосновеността на личния живот и защитата на данните, Уругвай, 26 октомври 2012 г.

(9)  Вж. стр. 8 от съобщението, раздел „Действия по Програмата в областта на цифровите технологии за изграждане на доверие в цифровите технологии“.

(10)  В настоящото становище терминът „клиенти, използващи услуги за изчисления в облак“, се използва общо за клиенти, действащи в качеството си на предприятия, и за клиенти, действащи в качеството си на индивидуални крайни потребители.

(11)  Следва да се вземе под внимание фактът, че понастоящем предложението за регламент се обсъжда от Съвета и Европейския парламент съобразно обикновената законодателна процедура.

(12)  Становището е достъпно на: http://www.edps.europa.eu

(13)  Вж. становище на ЕНОЗД, по-специално параграфи 140—158.

Top