Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52013XX0903(01)

Eiropas Datu aizsardzības uzraudzītāja atzinuma kopsavilkums par Komisijas paziņojumu “Mākoņdatošanas potenciāla atraisīšana Eiropā”

OV C 253, 3.9.2013, p. 3–7 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
OV C 253, 3.9.2013, p. 3–3 (HR)

3.9.2013   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 253/3

Eiropas Datu aizsardzības uzraudzītāja atzinuma kopsavilkums par Komisijas paziņojumu “Mākoņdatošanas potenciāla atraisīšana Eiropā”

(Pilns atzinuma teksts angļu, franču un vācu valodā ir pieejams EDAU tīmekļa vietnē http://www.edps.europa.eu)

2013/C 253/03

I.   Ievads

I.1.   Atzinuma mērķis

1.

Ņemot vērā to, cik nozīmīga ir mākoņdatošana informācijas sabiedrībā, kas nepārtraukti attīstās, un pašreiz ES notiekošo mākoņdatošanas politikas apspriešanu, EDAU pēc savas ierosmes ir nolēmis sniegt atzinumu.

2.

Šis atzinums ir atbilde uz Komisijas 2012. gada 27. septembra paziņojumu “Mākoņdatošanas potenciāla atraisīšana Eiropā” (turpmāk tekstā “Paziņojums”) (1), kurā izklāstītas četras galvenās darbības un politikas pasākumi, kas jāveic, lai paātrinātu mākoņdatošanas pakalpojumus Eiropā. Ar EDAU notika neoficiāla apspriešanās pirms paziņojuma pieņemšanas, un viņš sniedza neoficiālas atsauksmes. Viņš atzinīgi novērtē to, ka paziņojumā ir ņemtas vērā dažas no viņa atsauksmēm.

3.

Taču, ņemot vērā to, cik apjomīga ir pašreiz notiekošā apspriešana par mākoņdatošanas un tiesiskā regulējuma datu aizsardzības jomā saistību, šis atzinums neattiecas tikai uz paziņojumā apskatītajiem tematiem.

4.

Atzinumā uzmanība pievērsta galvenokārt problēmām, ko mākoņdatošana rada datu aizsardzībai, un tam, kā piedāvātā Datu aizsardzības regula (turpmāk tekstā “piedāvātā regula”) (2) tās varētu atrisināt. Tajā arī sniegtas atsauksmes par paziņojumā minētajām turpmākās darbības jomām.

I.2.   Konteksts

5.

Eiropas Savienībā notiekošās vispārējās mākoņdatošanas politikas apspriešanas kontekstā īpaša nozīme ir šādām darbībām un dokumentiem:

pēc sava 2010. gada Paziņojuma “Digitālā programma Eiropai” (3) Komisija no 2011. gada 16. maija līdz 31. augustam izsludināja sabiedrisko apspriešanu par mākoņdatošanu Eiropā un publicēja tās rezultātus 2011. gada 5. decembrī (4),

2012. gada 1. jūlijā 29. panta darba grupa (5) pieņēma atzinumu par mākoņdatošanu (turpmāk tekstā “DG29 atzinums”) (6), kurā analizēta pašreiz spēkā esošo un Direktīvā 95/46/EK izklāstīto datu aizsardzības noteikumu attiecināšana uz mākoņdatošanas pakalpojumu sniedzējiem, kas darbojas Eiropas Ekonomikas Zonā (EEZ), un uz viņu klientiem (7),

2012. gada 26. oktobrī Datu aizsardzības un privātuma komisāri savā 34. starptautiskajā konferencē pieņēma rezolūciju par mākoņdatošanu (8).

I.3.   Paziņojums par mākoņdatošanu

6.

EDAU paziņojumu novērtē atzinīgi. Tajā identificētas trīs konkrētas pamatdarbības, kas jāveic ES līmenī, lai palīdzētu mākoņdatošanai un sekmētu tās izmantošanu Eiropā:

1. pamatdarbība – standartu biezokņa pārvarēšana,

2. pamatdarbība – droši un taisnīgi līguma noteikumi un nosacījumi,

3. pamatdarbība – Eiropas Mākoņdatošanas partnerības izveide publiskā sektora inovācijai un izaugsmei.

7.

Ir paredzēti arī tādi papildu politikas pasākumi kā mākoņdatošanas izmantošanas veicināšana, sekmējot pētniecību un attīstību vai palielinot informētību, kā arī nepieciešamība pievērsties pamatjautājumiem saistībā ar mākoņdatošanas pakalpojumiem – tostarp datu aizsardzībai, tiesībsargājošo iestāžu piekļuvei, drošībai, starppakalpojumu sniedzēju atbildībai – izmantojot pastiprinātu starptautisko dialogu.

8.

Kā būtisks elements, lai nodrošinātu mākoņdatošanas sekmīgu izvēršanu Eiropā, paziņojumā ir minēta datu aizsardzība. Paziņojumā minēts (9), ka piedāvātā regula izkliedē daudzas bažas, kas radušās mākoņdatošanas pakalpojumu sniedzējiem un mākoņošanas klientiem (10).

I.4.   Atzinuma galvenais temats un uzbūve

9.

Šim atzinumam ir trīs mērķi.

10.

Pirmais mērķis ir uzsvērt privātuma un datu aizsardzības svarīgumu pašreiz notiekošajās pārrunās par mākoņdatošanu. Jo īpaši tajā pasvītrots, ka datu aizsardzības līmenis mākoņdatošanas vidē nedrīkst būt zemāks par to līmeni, kas tiek prasīts jebkurā citā datu apstrādes kontekstā. Mākoņdatošanas prakses var veidot un izmantot tikai likumīgi, ja tās garantē šāda datu aizsardzības līmeņa ievērošanu (skatīt III iedaļas 3. punktu). Atzinumā ņemtas vērā DG29 atzinumā sniegtās norādes.

11.

Otrais mērķis ir sīkāk analizēt galvenās problēmas, ko mākoņdatošana rada datu aizsardzībai piedāvātās Datu aizsardzības regulas kontekstā, jo īpaši grūtības nepārprotami noteikt dažādu pušu atbildību un formulēt pārziņa un apstrādātāja jēdzienus. Atzinumā (galvenokārt IV iedaļā) analizēts, kā piedāvātā regula, kā tas pašreiz tiek apgalvots (11), varētu palīdzēt nodrošināt augstu datu aizsardzības līmeni, sniedzot mākoņdatošanas pakalpojumus. Tāpēc tā pamatā ir apsvērumi, ko EDAU paudis savā atzinumā par datu aizsardzības reformu paketi (turpmāk tekstā “EDAU Atzinums par datu aizsardzības reformu paketi”) (12), un tas ir papildināts, konkrēti ņemot vērā mākoņdatošanas vidi. EDAU uzsver, ka viņa Atzinums par datu aizsardzības reformu paketi pilnībā attiecas uz mākoņdatošanas pakalpojumiem un ka tas jāuzskata par šī atzinuma pamatu. Turklāt daži tajā minētie jautājumi, piemēram, EDAU veiktā jauno noteikumu par datu subjektu tiesībām analīze (13), ir pietiekami skaidri un tāpēc netiks sīkāk apskatīti šajā atzinumā.

12.

Trešais mērķis ir identificēt jomas, kurās no datu aizsardzības un privātuma viedokļa ir vajadzīga turpmāka rīcība ES līmenī, ņemot vērā Komisijas paziņojumā izvirzīto mākoņošanas stratēģiju. Tās citu starpā ir papildu norādījumu sniegšana, standartizācijas pasākumi, papildu risku novērtēšana konkrētos sektoros (piemēram, publiskajā sektorā), standarta līguma noteikumu un nosacījumu izstrāde, iesaistīšanās starptautiskā dialogā par jautājumiem saistībā ar mākoņdatošanu un efektīvu starptautiskās sadarbības pasākumu nodrošināšana (par ko sīkāk izklāstīts V iedaļā).

13.

Atzinuma uzbūve ir šāda: II iedaļā sniegts pārskats par mākoņdatošanas galvenajām iezīmēm un ar to saistītajām datu aizsardzības problēmām. III iedaļā apskatīti esošā ES tiesiskā regulējuma un piedāvātās regulas būtiskākie elementi. IV iedaļā tiek analizēts, kā piedāvātā regula varētu atrisināt datu aizsardzības problēmas, kas rodas, izmantojot mākoņdatošanas pakalpojumus. V iedaļā tiek analizēti Komisijas ierosinājumi turpmākai politikas attīstībai un identificētas jomas, kurās varētu būt vajadzīgs papildu darbs. VI iedaļā ir ietverti secinājumi.

14.

Lai gan daudzi šā atzinuma apsvērumi attiecas uz visām vidēm, kurās tiek izmantota mākoņdatošana, šajā atzinumā nav apskatīta mākoņdatošanas pakalpojumu izmantošana konkrēti tajās ES iestādēs un struktūrās, kas atrodas EDAU pārraudzībā saskaņā ar Regulu (EK) Nr. 45/2001. Par šo tematu EDAU šīm iestādēm un struktūrām izdos atsevišķas vadlīnijas.

VI.   Secinājumi

121.

Kā aprakstīts paziņojumā, mākoņdatošana sniedz daudz jaunu iespēju uzņēmumiem, patērētājiem un publiskajam sektoram datu pārvaldīšanas jomā, izmantojot attālinātus ārējos IT resursus. Tai pat laikā tā rada daudzas problēmas jo īpaši saistībā ar atbilstīgu datu aizsardzības līmeni šādi apstrādātiem datiem.

122.

Mākoņdatošanas pakalpojumu izmantošana rada lielu risku neuzņemties atbildību par apstrādes darbībām, ko veic mākoņdatošanas pakalpojumu sniedzēji, ja ES datu aizsardzības tiesību aktu piemērošanas kritēriji nav pietiekami skaidri un ja mākoņdatošanas pakalpojumu sniedzēju loma un atbildība ir definēta vai izprasta pārāk šauri vai netiek efektīvi īstenota. EDAU uzsver, ka mākoņdatošanas pakalpojumu izmantošana nevar attaisnot datu aizsardzības standartu pazemināšanu salīdzinājumā ar tiem standartiem, ko piemēro parastām datu apstrādes darbībām.

123.

Šai ziņā piedāvātā Datu aizsardzības regula, kā tika apgalvots, sniegtu daudzus skaidrojumus un rīkus, kas mākoņdatošanas pakalpojumu sniedzējiem, kuri piedāvā savus pakalpojumus Eiropas klientiem, palīdzētu nodrošināt apmierinošu datu aizsardzības līmeni, jo īpaši:

3. pants noskaidrotu ES noteikumu par datu aizsardzību teritoriālo piemērošanas jomu un to paplašinātu, iekļaujot mākoņdatošanas pakalpojumus,

ar 4. panta 5. punktu tiktu ieviests jauns pārbaudes tiesību elements – “nosacījumi”. Tas atbilstu jaunajai tendencei, saskaņā ar kuru, ņemot vērā mākoņdatošanas pakalpojumu sniegšanas tehnisko sarežģītību IT ziņā, ir jāpaplašina gadījumi, kad mākoņdatošanas pakalpojumu sniedzēju var uzskatīt par pārzini. Tas labāk atspoguļotu reālo ietekmes līmeni uz apstrādes darbībām,

ieviešot tādas īpašas saistības kā integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma (23. pants), paziņošana par datu aizsardzības pārkāpumu (31. un 32. pants) un datu aizsardzības ietekmes novērtējumi (33. pants), piedāvātā regula palielinātu datu pārziņu un apstrādātāju atbildību un uzskaitāmību. Turklāt tā liktu pārziņiem un apstrādātājiem īstenot mehānismus, kas parādītu īstenoto pasākumu efektivitāti (22. pants),

piedāvātās regulas 42. un 43. pants ļautu daudz elastīgāk izmantot starptautiskos datu nosūtīšanas mehānismus, lai palīdzētu mākoņošanas klientiem un mākoņošanas pakalpojumu sniedzējiem nodrošināt atbilstošus personas datu aizsardzības pasākumus, nosūtot personas datus uz datu centriem vai serveriem, kas atrodas trešās valstīs,

piedāvātās regulas 30., 31. un 32. pants noskaidrotu pārziņu un apstrādātāju pienākumus attiecībā uz apstrādes drošību un prasībām par informēšanu datu aizsardzības pārkāpumu gadījumā, nodrošinot dažādiem mākoņošanas vides dalībniekiem pamatu visaptverošai un kooperatīvai pieejai drošības jautājumos,

piedāvātās regulas 55. līdz 63. pants pastiprinātu uzraudzības iestāžu sadarbību un to, kā tās saskaņoti uzraudzītu pārrobežu apstrādes darbības, kam tādā vidē kā mākoņdatošana ir jāpievērš īpaša uzmanība.

124.

Ņemot vērā mākoņdatošanas pakalpojumu specifiku, EDAU tomēr iesaka piedāvātajā regulā ietvert šādu jautājumu sīkāku skaidrojumu:

attiecībā uz piedāvātās regulas teritoriālo piemērošanas jomu labot 3. panta 2. punkta a) apakšpunktu šādi “preču vai pakalpojumu piedāvāšanu, kas saistīti ar šādu datu subjektu personas datu apstrādi Savienībā” vai arī pievienot jaunu izklāstu, kurā norādīts, ka piedāvātās regulas teritoriālā piemērošanas joma attiecas arī uz datu subjektu personas datu apstrādi Savienībā, ko veic pārziņi ārpus ES, piedāvājot pakalpojumus juridiskām personām, kuras atrodas ES,

pievienot skaidru jēdziena “nosūtīšana” definīciju, kā minēts viņa Atzinumā par datu aizsardzības reformu paketi,

pievienot īpašu noteikumu, paskaidrojot nosacījumus, pie kādiem valstu, kas nav EEZ valstis, tiesībsargājošām iestādēm varētu atļaut piekļūt datiem, kurus glabā mākoņdatošanas pakalpojumu sniedzēji. Šādā noteikumā var iekļaut arī pienākumu pieprasījuma saņēmējam atsevišķos gadījumos informēt ES kompetento uzraudzības iestādi un apspriesties ar to.

125.

EDAU arī uzsver, ka būs vajadzīgi Komisijas un/vai uzraudzības iestāžu (jo īpaši topošās Eiropas Datu aizsardzības padomes) papildu skaidrojumi par šādiem jautājumiem:

paskaidrot, kādus mehānismus vajadzētu ieviest, lai nodrošinātu datu aizsardzības pasākumu efektivitātes pārbaudi praksē,

palīdzēt apstrādātājiem izmantot Saistošos uzņēmuma noteikumus (BCRs) un nodrošināt atbilstību piemērojamām prasībām,

sniegt labas prakses piemērus saistībā ar tādiem jautājumiem kā pārziņa/apstrādātāja atbildība, piemērota datu saglabāšana mākoņošanas vidē, datu pārnesamība un datu subjektu tiesību īstenošana.

126.

Turklāt EDAU apstiprina, ka industrijā izveidotie un attiecīgo uzraudzības iestāžu apstiprinātie rīcības kodeksi varētu būt noderīgi līdzekļi, lai palielinātu dažādu industrijas pārstāvju atbilstību, kā arī uzticamību.

127.

EDAU atbalsta to, ka Komisija, apspriežoties ar uzraudzības iestādēm, izstrādā standarta līguma nosacījumus mākoņdatošanas pakalpojumu sniegšanai, kuros ņemtas vērā datu aizsardzības prasības, jo īpaši:

lai izstrādātu līguma noteikumu un nosacījumu paraugu, kas iekļaujami mākoņdatošanas pakalpojumu piedāvājumu komercnoteikumos,

lai izstrādātu vispārējus iepirkuma noteikumus un prasības publiskajam sektoram, ņemot vērā apstrādāto datu sensitivitāti,

lai turpinātu piemērot starptautiskos datu nosūtīšanas mehānismus mākoņdatošanas videi, jo īpaši atjauninot pašreizējos standarta līguma noteikumus un izstrādājot līguma noteikumus attiecībā uz datu nosūtīšanu no apstrādātājiem, kas atrodas ES, apstrādātājiem, kuri atrodas ārpus ES.

128.

EDAU atzīmē, ka, izstrādājot standartus un sertifikācijas sistēmas, ir atbilstīgi jāapspriež datu aizsardzības prasības, jo īpaši:

lai standartu izstrādē piemērotu integrēta privātuma un privātuma pēc noklusējuma principus,

lai standartu izstrādē iekļautu tādas datu aizsardzības prasības kā nolūka ierobežojums un glabāšanas ierobežojums,

pakalpojumu sniedzēju pienākumu sniegt saviem klientiem informāciju, kas vajadzīga, lai veiktu ticamu riska novērtēšanu, un par viņu īstenotajiem drošības pasākumiem, kā arī brīdināt par incidentiem saistībā ar drošību.

129.

Visbeidzot EDAU uzsver nepieciešamību risināt mākoņdatošanas izraisītās problēmas starptautiskā līmenī. Viņš aicina Komisiju sākt starptautisku dialogu par jautājumiem saistībā ar mākoņdatošanu, tostarp jurisdikciju un tiesībsargājošo iestāžu piekļuvi, un ierosina, ka daudzus no šiem jautājumiem varētu atrisināt, noslēdzot dažādas starptautiskas vai divpusējas vienošanās, piemēram, vienošanos par savstarpējo palīdzību un arī tirdzniecības nolīgumus. Starptautiskajā līmenī būtu jāizstrādā vispārējie normatīvi, kuros noteikti minimālie nosacījumi un principi par tiesībsargājošo iestāžu piekļuvi datiem. Viņš arī atbalsta to, ka uzraudzības iestādes izstrādā efektīvus starptautiskās sadarbības mehānismus, jo īpaši saistībā ar jautājumiem par mākoņdatošanu.

Briselē, 2012. gada 16. novembrī

Eiropas datu aizsardzības uzraudzītājs

Peter HUSTINX

(1)  COM(2012) 529 final.

(2)  COM(2012) 11 final.

(3)  COM(2010) 245 galīgā redakcija.

(4)  http://ec.europa.eu/information_society/activities/cloudcomputing/docs/ccconsultationfinalreport.pdf

(5)  29. panta darba grupa ir konsultatīva struktūra, kas izveidota saskaņā ar Direktīvas 95/46/EK 29. pantu. Tā sastāv no valstu uzraudzības iestāžu pārstāvjiem, EDAU un Komisijas pārstāvja.

(6)  DG29 2012. gada maija atzinums par mākoņdatošanu, pieejams tīmekļa vietnē: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_lv.pdf

(7)  Turklāt valstu līmenī datu aizsardzības iestādes dažās dalībvalstīs, piemēram, Itālijā, Zviedrijā, Dānijā, Vācijā, Francijā un Apvienotajā Karalistē, ir izdevušas pašas savus ieteikumus par mākoņdatošanu.

(8)  Rezolūcija par mākoņdatošanu pieņemta Datu aizsardzības un privātuma komisāru 34. starptautiskajā konferencē, Urugvajā, 2012. gada 26. oktobrī.

(9)  Skatīt paziņojuma 8. lpp., sadaļu par “Digitālās programmas darbībām digitālās uzticības veidošanai”.

(10)  Termins “mākoņošanas klienti” šajā atzinumā ir izmantots galvenokārt attiecībā uz klientiem, kas darbojas kā uzņēmēji, un attiecībā uz klientiem, kas ir privātpersonas – galapatērētāji.

(11)  Būtu jāņem vērā tas, ka regulas priekšlikumu pašreiz apspriež Padome un Eiropas Parlaments parastās likumdošanas procedūras ietvaros.

(12)  Atzinums ir pieejams tīmekļa vietnē http://www.edps.europa.eu

(13)  Skatīt EDAU atzinumu, jo īpaši 140. līdz 158. punktu.

Top