Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52013XX0903(01)

Rezumatul Avizului Autorității Europene pentru Protecția Datelor (AEPD) referitor la Comunicarea Comisiei privind „Valorificarea cloud computingului în Europa”

JO C 253, 3.9.2013, p. 3–7 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
JO C 253, 3.9.2013, p. 3–3 (HR)

3.9.2013   

RO

Jurnalul Oficial al Uniunii Europene

C 253/3

Rezumatul Avizului Autorității Europene pentru Protecția Datelor (AEPD) referitor la Comunicarea Comisiei privind „Valorificarea cloud computingului în Europa”

(Textul complet al prezentului aviz poate fi găsit în EN, FR și DE pe site-ul AEPD http://www.edps.europa.eu)

2013/C 253/03

I.   Introducere

I.1.   Scopul avizului

1.

Având în vedere importanța cloud computingului în societatea informațională în continuă dezvoltare și a dezbaterii în curs a politicii în cadrul UE cu privire la cloud computing, AEPD a decis să emită prezentul aviz referitor la propria sa inițiativă.

2.

Avizul răspunde Comunicării Comisiei „Valorificarea cloud computingului în Europa” din 27 septembrie 2012 (denumită în continuare „comunicarea”) (1), care prevede că trebuie să se întreprindă acțiuni-cheie și măsuri de politică pentru a accelera utilizarea serviciilor de cloud computing în Europa. AEPD a fost consultată informal înainte de adoptarea comunicării și a formulat observații informale. AEPD salută faptul că unele dintre observațiile sale au fost luate în considerare în comunicare.

3.

Cu toate acestea, având în vedere obiectul și importanța dezbaterii în curs cu privire la relația dintre cloud computing și cadrul juridic al protecției datelor, prezentul aviz nu este limitat la temele abordate în comunicare.

4.

Avizul se axează în special pe provocările pe care le reprezintă cloud computingul pentru protecția datelor și modul în care propunerea de regulament privind protecția datelor (denumită în continuare „propunerea de regulament”) (2) va aborda aceste provocări. De asemenea, în aviz sunt formulate observații cu privire la domeniile identificate în comunicare în care pot fi întreprinse acțiuni suplimentare.

I.2.   Context

5.

În contextul dezbaterii de politică generală din UE cu privire la cloud computing, următoarele activități și documente au o importanță deosebită:

ca urmare a Comunicării din 2010 privind o agendă digitală pentru Europa (3), Comisia a lansat o consultare publică cu privire la cloud computing în Europa în perioada 16 mai-31 august 2011 și a publicat rezultatele la 5 decembrie 2011 (4);

la 1 iulie 2012, Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal (5) a adoptat un aviz privind cloud computingul (denumit în continuare „Avizul Grupului de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal”) (6) care analizează aplicarea normelor actuale privind protecția datelor prevăzute în Directiva 95/46/CE în ceea ce privește furnizorii de servicii de cloud computing care își desfășoară activitatea în Spațiul Economic European (SEE) și clienții acestora (7);

la 26 octombrie 2012, o rezoluție privind cloud computingul a fost adoptată de comisarii însărcinați cu protecția datelor și a vieții private cu ocazia celei de a 34-a Conferințe internaționale a acestora (8).

I.3.   Comunicarea privind cloud computingul

6.

AEPD salută comunicarea. Aceasta identifică trei acțiuni-cheie specifice necesare la nivelul UE pentru a însoți și promova utilizarea cloud computingului în Europa, după cum urmează:

Acțiunea-cheie 1: deschiderea unui drum prin jungla standardelor;

Acțiunea-cheie 2: clauze contractuale și condiții sigure și echitabile;

Acțiunea-cheie 3: instituirea unui parteneriat european în favoarea cloudului pentru a face din sectorul public un motor de inovare și dezvoltare.

7.

De asemenea, sunt prevăzute măsuri suplimentare de politică, precum măsurile de stimulare a utilizării cloud computingului prin încurajarea cercetării și dezvoltării sau activități de sensibilizare, precum și necesitatea de a aborda teme principale legate de serviciile de cloud – incluzând, printre altele, protecția datelor, accesul la date al autorităților de aplicare a legii, securitatea, răspunderea furnizorilor intermediari de servicii – printr-un dialog internațional mai intens.

8.

Protecția datelor este menționată în comunicare ca un element esențial pentru asigurarea succesului aplicării cloud computingului în Europa. Comunicarea prevede (9) că propunerea de regulament abordează numeroase dintre incertitudinile ridicate de către furnizorii de servicii de cloud și de către clienții serviciilor de cloud (10).

I.4.   Obiectivul și structura avizului

9.

Prezentul aviz are trei obiective.

10.

Primul obiectiv este de a evidenția relevanța protecției vieții private și a datelor în cadrul discuțiilor actuale privind cloud computingul. Mai exact, avizul subliniază faptul că nivelul protecției datelor într-un mediu de cloud computing nu trebuie să fie inferior celui necesar în orice alt context de prelucrare a datelor. Practicile de cloud computing pot fi elaborate și aplicate legal doar dacă pot garanta că acest nivel de protecție a datelor este respectat (a se vedea capitolul III.3). Avizul ia în considerare orientările furnizate în avizul Grupului de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal.

11.

Cel de al doilea obiectiv este de a analiza în continuare provocările principale pe care le reprezintă cloud computingul pentru protecția datelor în contextul propunerii de regulament privind protecția datelor, în special dificultatea de a stabili în mod clar responsabilitățile diferiților actori și noțiunile de operator și persoană împuternicită de către operator. Avizul (în principal capitolul IV) analizează modul în care propunerea de regulament, în forma sa actuală (11), va contribui la asigurarea unui nivel înalt de protecție a datelor în cadrul serviciilor de cloud computing. Astfel, avizul pornește de la opiniile prezentate de AEPD în avizul său referitor la pachetul de reformă privind protecția datelor (denumit în continuare „Avizul AEPD referitor la pachetul de reformă privind protecția datelor”) (12) și îl completează analizând în mod specific mediul de cloud computing. AEPD subliniază că avizul său referitor la pachetul de reformă privind protecția datelor se aplică pe deplin în ceea ce privește serviciile de cloud computing și trebuie luat în considerare ca o bază pentru prezentul aviz. În plus, unele dintre aspectele menționate în acest aviz – cum ar fi analiza noilor prevederi privind drepturile persoanelor vizate (13) – sunt suficient de clare și, drept urmare, nu vor fi analizate și în prezentul aviz.

12.

Cel de al treilea obiectiv este identificarea domeniilor în care sunt necesare acțiuni suplimentare la nivelul UE din perspectiva protecției datelor și vieții private, având în vedere strategia cloud prezentată de Comisie în comunicare. Acestea includ, printre altele, furnizarea de orientări suplimentare, depunerea unor eforturi în direcția standardizării, efectuarea de evaluări de risc suplimentare pentru anumite sectoare (precum sectorul public), elaborarea unor clauze contractuale și condiții standard, implicarea într-un dialog internațional privind aspectele legate de cloud computing și asigurarea mijloacelor eficiente de cooperare internațională (care urmează să fie elaborate în capitolul V).

13.

Avizul este structurat după cum urmează: în secțiunea II este realizată o prezentare generală a principalelor caracteristici ale cloud computingului și a provocărilor asociate privind protecția datelor. Secțiunea III revizuiește cele mai relevante elemente ale cadrului juridic actual al UE și ale propunerii de regulament. Secțiunea IV analizează modul în care propunerea de regulament va putea susține abordarea provocărilor privind protecția datelor ridicate de utilizarea serviciilor de cloud computing. În secțiunea V sunt analizate propunerile Comisiei referitoare la evoluții ulterioare ale politicii și identifică domeniile în care poate fi necesară o activitate mai intensă. Secțiunea VI conține concluziile.

14.

Deși multe considerații din prezentul aviz se aplică la toate mediile în care este utilizat cloud computingul, prezentul aviz nu abordează utilizarea serviciilor de cloud computing în mod specific de către instituțiile și organismele UE care se află sub supravegherea AEPD în conformitate cu Regulamentul (CE) nr. 45/2001. AEPD va emite în mod separat orientări privind acest aspect pentru aceste instituții și organisme.

VI.   Concluzii

121.

Astfel cum se descrie în comunicare, cloud computingul oferă numeroase oportunități noi întreprinderilor, consumatorilor și sectorului public pentru gestionarea datelor prin utilizarea resurselor IT externe de la distanță. Totodată, acesta prezintă numeroase provocări în special în ceea ce privește nivelul corespunzător de protecție a datelor oferit datelor prelucrate în cadrul acestuia.

122.

Utilizarea serviciilor de cloud computing prezintă un risc major de a observa diminuarea responsabilității în legătură cu operațiunile de prelucrare desfășurate de furnizorii de servicii de cloud în cazul în care criteriile de aplicabilitate a legislației UE privind protecția datelor nu sunt suficient de clare sau dacă rolul și responsabilitatea furnizorilor de servicii sunt definite sau înțelese la un nivel prea superficial sau nu sunt puse în aplicare cu eficacitate. AEPD subliniază că utilizarea serviciilor de cloud computing nu poate justifica o scădere a standardelor de protecție a datelor în comparație cu cele aplicabile operațiunilor convenționale de prelucrare a datelor.

123.

În acest sens, propunerea de regulament privind protecția datelor, în forma actuală, va furniza numeroase clarificări și instrumente care vor sprijini asigurarea respectării unui nivel satisfăcător al protecției datelor de către furnizorii de servicii de cloud care își oferă serviciile clienților cu sediul în Europa, în special:

articolul 3 va clarifica domeniul teritorial de aplicare a normelor UE de protecție a datelor și va extinde sfera acestora în așa fel încât să includă serviciile de cloud computing;

articolul 4 alineatul (5) va introduce un nou element de control, respectiv „condițiile”. Acest lucru va fi conform cu tendința în continuă dezvoltare conform căreia, având în vedere complexitatea tehnică IT care stă la baza prestării serviciilor de cloud computing, este necesară extinderea circumstanțelor în care un furnizor de servicii de cloud poate fi calificat ca operator. Astfel, va fi reflectat mai bine nivelul real de influență asupra operațiunilor de prelucrare;

propunerea de regulament va spori responsabilitatea și răspunderea operatorilor de date și a persoanelor împuternicite de către operator, introducând obligații specifice, precum protecția datelor prin concepție și protecția implicită a datelor (articolul 23), notificările referitoare la încălcarea securității datelor (articolele 31 și 32) și evaluările impactului asupra protecției datelor (articolul 33). În plus, operatorilor și persoanelor împuternicite de către operator li se va solicita să pună în aplicare mecanisme pentru a demonstra eficiența măsurilor de protecție a datelor puse în aplicare (articolul 22);

articolele 42 și 43 din propunerea de regulament vor permite o utilizare mai flexibilă a mecanismelor de transfer internațional al datelor pentru a-i ajuta pe clienții serviciilor de cloud și pe furnizorii de servicii de cloud să prezinte garanții adecvate în privința protejării datelor pentru transferurile de date cu caracter personal la centrele sau serverele de date situate în țări terțe;

articolele 30, 31 și 32 din propunerea de regulament vor clarifica obligațiile operatorilor și persoanelor împuternicite de către operator privind securitatea prelucrării și cerințele de informare în cazul încălcării confidențialității datelor, punând bazele unei abordări cuprinzătoare și de cooperare a gestionării securității între diferiții actori din mediul de cloud;

articolele 55-63 din propunerea de regulament vor consolida cooperarea autorităților de supraveghere și supravegherea coordonată a acestora în ceea ce privește operațiunile internaționale de prelucrare, aspect extrem de important într-un mediu precum cloud computingul.

124.

AEPD sugerează totuși că, ținând seama de caracterul specific al serviciilor de cloud computing, sunt necesare clarificări suplimentare în propunerea de regulament cu privire la următoarele aspecte:

referitor la domeniul teritorial de aplicare a Regulamentului propus, modificarea articolului 3 alineatul (2) litera (a) pentru a include „oferirea de bunuri sau servicii care implică prelucrarea de date cu caracter personal ale unor astfel de persoane vizate în Uniune” sau, alternativ, adăugarea unui nou considerent care să specifice faptul că prelucrarea datelor cu caracter personal ale persoanelor vizate în Uniune de către operatorii care nu au sediul în UE și care oferă servicii persoanelor juridice situate în UE se încadrează, de asemenea, în domeniul teritorial de aplicare al propunerii de regulament;

adăugarea unei definiții clare a noțiunii de „transfer”, astfel cum este menționată aceasta în avizul său referitor la pachetul de reformă privind protecția datelor;

adăugarea unei dispoziții specifice pentru a clarifica condițiile în care se poate permite accesul la datele stocate în serviciile de cloud computing de către organele de aplicare a legii din țările care nu fac parte din Spațiul Economic European. Această dispoziție poate include și obligația destinatarului solicitării de a informa și consulta autoritatea de supraveghere competentă din UE în cazurile specifice.

125.

De asemenea, AEPD subliniază că vor fi necesare orientări suplimentare din partea Comisiei și/sau din partea autorităților de supraveghere (în special prin viitorul Comitet european pentru protecția datelor) cu privire la următoarele aspecte:

stabilirea cu claritate a mecanismelor care vor fi adoptate pentru a asigura verificarea eficacității practice a măsurilor de protecție a datelor;

sprijinirea persoanelor împuternicite de către operator în legătură cu utilizarea normelor corporative obligatorii și modul în pot respecta cerințele aplicabile;

oferirea de exemple de bune practici cu privire la aspecte precum responsabilitatea operatorului/persoanei împuternicite de către operator, păstrarea corespunzătoare a datelor în mediul de cloud, portabilitatea datelor și exercitarea drepturilor persoanelor vizate.

126.

În plus, AEPD recunoaște că instrumente utile pentru îmbunătățirea conformității și a încrederii între actorii diverși pot fi codurile de conduită întocmite în cadrul industriei și aprobate de autoritățile de supraveghere relevante.

127.

AEPD sprijină elaborarea de către Comisie, în consultare cu autoritățile de supraveghere, a unor clauze contractuale standard pentru prestarea serviciilor de cloud computing cu respectarea cerințelor privind protecția datelor, în special:

elaborarea de condiții și clauze contractuale standard care să fie incluse în condițiile și clauzele comerciale ale ofertelor de servicii de cloud computing;

elaborarea de clauze și cerințe comune privind achizițiile pentru sectorul public, ținând seama de caracterul sensibil al datelor prelucrate;

adaptarea în mai mare măsură a unor mecanisme de transfer internațional al datelor la mediul de cloud computing, în special prin actualizarea clauzelor contractuale standard în vigoare și prin formularea unor clauze contractuale standard pentru transferul datelor de la persoanele împuternicite de către operator cu sediul în UE către persoane împuternicite de către operator situate în afara UE.

128.

AEPD subliniază că trebuie să se acorde o atenție corespunzătoare cerințelor privind protecția datelor în dezvoltarea standardelor și programelor de certificare, în special următoarelor aspecte:

aplicarea principiilor privind protecția vieții private prin concepție și privind protecția implicită a vieții private în dezvoltarea standardelor;

integrarea în concepția standardelor a cerințelor de protecție a datelor, precum limitarea la scopul specific și limitarea stocării;

obligațiile furnizorilor de a pune la dispoziția clienților lor informațiile necesare pentru a efectua o evaluare a riscurilor valabilă și măsurile de securitate pe care aceștia le-au pus în aplicare, precum și alertele referitoare la producerea incidentelor de securitate.

129.

În sfârșit, AEPD subliniază necesitatea de a aborda provocările ridicate de cloud computing la nivel internațional. Autoritatea încurajează Comisia să se angajeze într-un dialog internațional privind problemele ridicate de cloud computing, inclusiv jurisdicția și accesul de către autoritățile de aplicare a legii și sugerează că multe dintre aceste probleme ar putea fi abordate în diferite acorduri internaționale sau bilaterale, precum acordurile de asistență reciprocă și acordurile comerciale. Ar trebui elaborate standarde globale la nivel internațional pentru a stabili condiții și principii minime privind accesul la date de către organele însărcinate cu aplicarea legii. De asemenea, AEPD sprijină elaborarea de către autoritățile de supraveghere a unor mecanisme eficiente de cooperare internațională, în special în legătură cu problemele ce țin de cloud computing.

Adoptat la Bruxelles, 16 noiembrie 2012.

Peter HUSTINX

Autoritatea Europeană pentru Protecția Datelor

(1)  COM(2012) 529 final.

(2)  COM(2012) 11 final.

(3)  COM(2010) 245 final.

(4)  http://ec.europa.eu/information_society/activities/cloudcomputing/docs/ccconsultationfinalreport.pdf

(5)  Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal este un organism consultativ instituit în temeiul articolului 29 din Directiva 95/46/CE. Este format din reprezentanți ai autorităților naționale de supraveghere și ai AEPD și un reprezentant al Comisiei.

(6)  Avizul Grupului de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal privind cloud computingul din mai 2012, disponibil la: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_ro.pdf

(7)  În plus, la nivel național, autoritățile de protecție a datelor din mai multe state membre au emis propriile orientări privind cloud computingul, de exemplu în Italia, Suedia, Danemarca, Germania, Franța și Regatul Unit.

(8)  Rezoluția privind cloud computingul adoptată cu ocazia celei de a 34-a Conferințe internaționale a comisarilor însărcinați cu protecția datelor și a vieții private, Uruguay, 26 octombrie 2012.

(9)  A se vedea pagina 8 din comunicare, secțiunea referitoare la „Acțiuni din Agenda digitală vizând creșterea încrederii în mediul digital”.

(10)  În general, expresia „clienți ai serviciilor de cloud” este utilizată în prezentul aviz pentru a face referire la clienți, în calitatea lor de întreprinderi și la consumatori, în calitatea lor de utilizatori finali – persoane fizice.

(11)  Ar trebui să se ia în considerare faptul că propunerea de regulament este discutată în prezent de Consiliu și de Parlamentul European conform procedurii legislative ordinare.

(12)  Avizul este disponibil la: http://www.edps.europa.eu

(13)  A se vedea avizul AEPD, în special punctele 140-158.

Top