Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52013XX0903(01)

Povzetek mnenja Evropskega nadzornika za varstvo podatkov o sporočilu Komisije z naslovom „Sprostitev potenciala računalništva v oblaku v Evropi“

UL C 253, 3.9.2013, p. 3–7 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
UL C 253, 3.9.2013, p. 3–3 (HR)

3.9.2013   

SL

Uradni list Evropske unije

C 253/3

Povzetek mnenja Evropskega nadzornika za varstvo podatkov o sporočilu Komisije z naslovom „Sprostitev potenciala računalništva v oblaku v Evropi“

(Celotno besedilo tega mnenja je na voljo v angleškem, francoskem in nemškem jeziku na spletni strani ENVP na naslovu http://www.edps.europa.eu)

2013/C 253/03

I.   Uvod

I.1   Namen mnenja

1.

ENVP se je glede na pomen računalništva v oblaku v razvijajoči se informacijski družbi in sedanjo politično razpravo o računalništvu v oblaku v EU odločil izdati mnenje na lastno pobudo.

2.

To mnenje je odziv na sporočilo Komisije z naslovom „Sprostitev potenciala računalništva v oblaku v Evropi“ z dne 27. septembra 2012 (v nadaljnjem besedilu: sporočilo) (1), v katerem so predlagani ključni politični in drugi ukrepi, ki jih je treba sprejeti, da bi se v Evropi pospešila uporaba storitev računalništva v oblaku. Pred sprejetjem sporočila je bilo opravljeno neuradno posvetovanje z ENVP, ki je predložil neuradne pripombe. ENVP pozdravlja dejstvo, da so nekatere od njih v sporočilu upoštevane.

3.

Vendar to mnenje glede na obseg in pomen sedanje razprave o povezavi med računalništvom v oblaku in pravnim okvirom za varstvo podatkov ni omejeno samo na teme, obravnavane v sporočilu.

4.

Osredotočeno je predvsem na izzive, ki jih računalništvo v oblaku prinaša za varstvo podatkov, in način, kako se rešujejo s predlagano uredbo o varstvu podatkov (v nadaljnjem besedilu: predlagana uredba) (2). Vključene so tudi pripombe v zvezi s področji za nadaljnje ukrepanje, ki so opredeljena v sporočilu.

I.2   Ozadje

5.

V okviru splošne politične razprave o računalništvu v oblaku v EU so posebnega pomena zlasti naslednje dejavnosti in dokumenti:

Komisija je na podlagi sporočila o Evropski digitalni agendi (3) iz leta 2010 začela javno posvetovanje o računalništvu v oblaku v Evropi, ki je potekalo od 16. maja do 31. avgusta 2011, rezultate pa je objavila 5. decembra 2011 (4),

Delovna skupina za varstvo podatkov iz člena 29 (5) je 1. julija 2012 sprejela mnenje o računalništvu v oblaku (v nadaljnjem besedilu: mnenje Delovne skupine za varstvo podatkov iz člena 29) (6) in v njem analizirala uporabo sedanjih predpisov o varstvu podatkov iz Direktive 95/46/ES za ponudnike storitev računalništva v oblaku, ki delujejo v Evropskem gospodarskem prostoru (EGS), in njihove stranke (7),

pooblaščenci za varstvo podatkov in zasebnost so 26. oktobra 2012 na 34. mednarodni konferenci sprejeli resolucijo o računalništvu v oblaku (8).

I.3   Sporočilo o računalništvu v oblaku

6.

ENVP pozdravlja to sporočilo. V njem so opredeljeni trije ključni ukrepi, ki so na ravni EU potrebni za spremljanje in spodbujanje uporabe računalništva v oblaku v Evropi, in sicer:

ključni ukrep 1: urediti zmešnjavo standardov,

ključni ukrep 2: varni in pošteni pogodbeni pogoji,

ključni ukrep 3: vzpostaviti evropsko partnerstvo za oblak, da bi javni sektor postal gonilna sila za inovacije in rast.

7.

Predvideni so tudi dodatni ukrepi politike, na primer za spodbujanje uporabe računalništva v oblaku s spodbujanjem raziskav in razvoja ali ozaveščanjem, pa tudi potreba po obravnavi ključnih tem, povezanih s storitvami v oblaku – kar med drugim vključuje varstvo podatkov, dostop organov pregona, varnost in odgovornost posrednih ponudnikov storitev –, z okrepljenim mednarodnim dialogom.

8.

Varstvo podatkov je v sporočilu omenjeno kot ključni dejavnik za uspešno uporabo računalništva v oblaku v Evropi. V sporočilu je navedeno (9), da so v predlagani uredbi obravnavani številni pomisleki ponudnikov in uporabnikov storitev v oblaku (10).

I.4   Usmeritev in struktura mnenja

9.

To mnenje ima tri cilje.

10.

Prvi cilj je opozoriti na pomen zasebnosti in varstva podatkov v sedanjih razpravah o računalništvu v oblaku. Natančneje, poudarjeno je, da raven varstva podatkov v okolju za računalništvo v oblaku ne sme biti nižja od tiste, ki se zahteva za vsako drugo obdelavo podatkov. Računalništvo v oblaku je mogoče razvijati in zakonito uporabljati samo, če je zagotovljeno spoštovanje te ravni varstva podatkov (glej poglavje III.3). V mnenju so upoštevane smernice iz mnenja Delovne skupine za varstvo podatkov iz člena 29.

11.

Drugi cilj je nadalje preučiti glavne izzive, ki jih računalništvo v oblaku prinaša za varstvo podatkov v okviru predlagane uredbe o varstvu podatkov, zlasti težave z jasno določitvijo odgovornosti različnih akterjev ter pojmov upravljavec in obdelovalec. V mnenju (večinoma poglavju IV) je analizirano, kako bi predlagana uredba v svoji sedanji različici (11) pripomogla k zagotovitvi visoke ravni varstva podatkov pri storitvah računalništva v oblaku. Temelji torej na stališčih, ki jih je ENVP razvil v mnenju o svežnju za reformo varstva podatkov (v nadaljnjem besedilu: mnenje ENVP o svežnju za reformo varstva podatkov) (12), dopolnjena pa so s posebno obravnavo okolja za računalništvo v oblaku. ENVP poudarja, da njegovo mnenje o svežnju za reformo varstva podatkov v celoti velja tudi za storitve računalništva v oblaku in ga je treba razumeti kot podlago za to mnenje. Poleg tega so nekatera tam navedena vprašanja – na primer analiza novih določb o pravicah oseb, na katere se podatki nanašajo (13) – dovolj jasna, zato v tem mnenju ne bodo dodatno obravnavana.

12.

Tretji cilj je opredeliti področja, na katerih je potrebno nadaljnje ukrepanje na ravni EU z vidika varstva podatkov in zasebnosti in v skladu s strategijo računalništva v oblaku, ki jo je Komisija predlagala v sporočilu. Ta področja med drugim vključujejo nadaljnje smernice, prizadevanja za standardizacijo, nadaljnje ocene tveganja za posebne sektorje (kot je javni sektor), razvoj standardnih pogodbenih pogojev, vključevanje v mednarodni dialog o vprašanjih, povezanih z računalništvom v oblaku, in zagotavljanje učinkovitih načinov mednarodnega sodelovanja (kar bo opredeljeno v poglavju V).

13.

Mnenje je strukturirano tako: oddelek II vsebuje pregled glavnih značilnosti računalništva v oblaku in s tem povezanih izzivov za varstvo podatkov. Oddelek III vsebuje pregled najpomembnejših elementov veljavnega pravnega okvira EU in predlagane uredbe. V oddelku IV je preučeno, kako bi predlagana uredba pripomogla k odgovarjanju na izzive na področju varstva podatkov, ki jih prinaša uporaba storitev računalništva v oblaku. V oddelku V so preučeni predlogi Komisije za nadaljnji razvoj politike in opredeljena področja, na katerih bi bilo morda potrebno nadaljnje delo. Oddelek VI vsebuje sklepne ugotovitve.

14.

Čeprav številne ugotovitve iz tega mnenja veljajo za vsa okolja, v katerih se uporablja računalništvo v oblaku, pa ni posebej obravnavana njegova uporaba v institucijah in organih EU, ki jih ENVP nadzoruje na podlagi Uredbe (ES) št. 45/2001. ENVP bo smernice za te institucije in organe izdal ločeno.

VI.   Sklepne ugotovitve

121.

Kot je opisano v sporočilu, računalništvo v oblaku podjetjem, potrošnikom in javnemu sektorju ponuja številne nove priložnosti za upravljanje podatkov z uporabo oddaljenih zunanjih sredstev informacijske tehnologije. Hkrati pa prinaša tudi številne izzive, zlasti v zvezi z zagotavljanjem ustrezne ravni varstva podatkov, ki se v njem obdelujejo.

122.

Uporaba računalništva v oblaku pomeni veliko nevarnost za to, da bo izpuhtela odgovornost za postopke obdelave, ki jih izvajajo ponudniki storitev v oblaku, če merila za uporabo zakonodaje EU o varstvu podatkov ne bodo dovolj jasna in če bosta vloga in odgovornost ponudnikov storitev v oblaku opredeljeni ali razumljeni preveč ozko ali se ne bosta učinkovito izvajali. ENVP poudarja, da uporaba storitev računalništva v oblaku ne more upravičiti znižanja standardov glede varstva podatkov v primerjavi s tistimi standardi, ki se uporabljajo za običajne postopke obdelave podatkov.

123.

V zvezi s tem bi predlagana uredba o varstvu podatkov, kot je bila predstavljena, zagotovila dovolj pojasnil in orodij, ki bi pripomogla k zagotovitvi zadovoljive ravni varstva podatkov pri ponudnikih storitev v oblaku, ki storitve ponujajo strankam s sedežem v Evropi, natančneje:

v členu 3 bi se pojasnilo ozemeljsko področje uporabe predpisov EU o varstvu podatkov, hkrati pa bi se njeno področje uporabe razširilo tudi na storitve računalništva v oblaku,

s členom 4(5) bi bil uveden nov element upravljanja: „pogoji“. To bi bilo v skladu z razvijajočimi se težnjami, da je treba glede na tehnično zapletenost informacijske tehnologije, na kateri temelji zagotavljanje storitev računalništva v oblaku, razširiti okoliščine, v katerih je mogoče ponudnika storitev v oblaku opredeliti za upravljavca. Tako bi se bolje upoštevala dejanska raven vplivanja na postopke obdelave,

s predlagano uredbo bi se povečali pristojnost in odgovornost upravljavcev in obdelovalcev podatkov, saj bi bile uvedene posebne obveznosti, kot so vgrajeno varstvo podatkov (člen 23), obveščanje o kršitvi varstva podatkov (člena 31 in 32) in ocene učinka na varstvo podatkov (člen 33). Poleg tega bi morali upravljavci in obdelovalci uvesti mehanizme, s katerimi bi dokazali učinkovitost uvedenih ukrepov za varstvo podatkov (člen 22),

člena 42 in 43 predlagane uredbe bi omogočila prožnejšo uporabo mehanizmov za mednarodni prenos podatkov, da bi lahko uporabniki in ponudniki storitev v oblaku zahtevali navedbo ustreznih zaščitnih ukrepov za varstvo podatkov pri prenosih osebnih podatkov v podatkovna središča ali na strežnike v tretjih državah,

s členi 30, 31 in 32 predlagane uredbe bi se razjasnile obveznosti upravljavcev in obdelovalcev glede varnosti obdelave in zahtev po informacijah v primeru kršitve podatkov, kar bi zagotovilo podlago za celovit skupni pristop k upravljanju varnosti med različnimi akterji v okolju za računalništvo v oblaku,

s členi od 55 do 63 predlagane uredbe bi se okrepila sodelovanje med nadzornimi organi in njihov usklajeni nadzor nad postopki čezmejne obdelave, kar je še zlasti pomembno v okolju, kot je računalništvo v oblaku.

124.

ENVP kljub temu predlaga, naj se glede na posebnosti storitev računalništva v oblaku v predlagani uredbi podrobneje razjasnijo naslednji vidiki:

kar zadeva ozemeljsko področje uporabe predlagane uredbe, naj se člen 3(2)(a) spremeni tako, da se glasi „nudenjem blaga ali storitev, ki vključuje obdelavo osebnih podatkov takih posameznikov v Uniji“, ali pa naj se doda nova uvodna izjava, v kateri se navede, da na ozemeljsko področje uporabe predlagane uredbe spada tudi obdelava osebnih podatkov oseb s sedežem v Uniji, ki jo izvajajo upravljavci s sedežem zunaj EU, ki ponujajo storitve pravnim osebam s sedežem v EU,

naj se doda jasna opredelitev pojma „prenos“, kot je navedeno v mnenju o svežnju za reformo varstva podatkov,

naj se doda posebna določba za razjasnitev pogojev, pod katerimi bi se lahko organom pregona iz držav, ki niso članice EGP, dovolil dostop do podatkov, shranjenih v okviru storitev računalništva v oblaku. Taka določba bi lahko vključevala tudi obveznost prejemnika zahteve, da v posebnih primerih obvesti pristojni nadzorni organ v EU in se z njim posvetuje.

125.

ENVP poudarja še, da bodo potrebne nadaljnje smernice Komisije in/ali nadzornih organov (zlasti prek prihodnjega Evropskega odbora za varstvo podatkov) v zvezi z naslednjimi vidiki:

da se razjasni, katere mehanizme bi bilo treba uvesti za zagotovitev preverjanja učinkovitosti ukrepov za varstvo podatkov v praksi,

da se obdelovalcem pomaga pri uporabi zavezujočih poslovnih pravil in izpolnjevanju veljavnih zahtev,

da se zagotovijo najboljše prakse v zvezi z vprašanji, kot so odgovornost upravljavca/obdelovalca, ustrezno hranjenje podatkov v okolju za računalništvo v oblaku, prenosljivost podatkov in uveljavljanje pravic oseb, na katere se podatki nanašajo.

126.

ENVP prav tako priznava, da bi bili lahko kodeksi ravnanja, ki jih je pripravil sektor in so jih odobrili zadevni nadzorni organi, koristno orodje za povečanje skladnosti in zaupanja med različnimi akterji.

127.

ENVP podpira dejstvo, da Komisija v posvetovanju z nadzornimi organi oblikuje standardne pogodbene pogoje za opravljanje storitev računalništva v oblaku, ki izpolnjujejo zahteve glede varstva podatkov, zlasti:

da oblikuje vzorčne pogodbene pogoje, ki naj bi postali del komercialnih pogojev ponudb storitev računalništva v oblaku,

da glede na občutljivost obdelovanih podatkov oblikuje skupne nabavne pogoje in zahteve za javni sektor,

da mehanizme mednarodnega prenosa podatkov še bolj prilagodi okolju za računalništvo v oblaku, zlasti s posodobitvijo sedanjih standardnih pogodbenih določb in predlaganjem standardnih pogodbenih določb za prenos podatkov od obdelovalcev s sedežem v EU do obdelovalcev s sedežem zunaj EU.

128.

ENVP poudarja, da je treba ustrezno pozornost nameniti zahtevam glede varstva podatkov pri oblikovanju standardov in sistemov certificiranja, predvsem:

naj se pri razvoju standardov upoštevata načeli vgrajene in privzete zasebnosti,

naj se v zasnovo standardov vključijo zahteve glede varstva podatkov, kot je omejitev namena in shranjevanja,

obveznosti ponudnikov, da svojim strankam zagotovijo informacije, potrebne za tehtno oceno tveganj in zaščitnih ukrepov, ki so jih uvedli, pa tudi opozorila o varnostnih incidentih.

129.

Nazadnje, ENVP poudarja potrebo po odgovarjanju na izzive, ki jih računalništvo v oblaku prinaša na mednarodni ravni. Komisijo spodbuja, naj začne mednarodni dialog o vprašanjih, ki jih prinaša računalništvo v oblaku, vključno s sodno pristojnostjo in dostopom organov pregona, ter predlaga, da bi bilo mogoče številna od teh vprašanj rešiti z različnimi mednarodnimi ali dvostranskimi sporazumi, kot so sporazumi o medsebojni pomoči in trgovinski sporazumi. Svetovne standarde bi bilo treba razviti na mednarodni ravni, da bi se določili minimalni pogoji in načela v zvezi z dostopom organov pregona. Podpira tudi zamisel, da nadzorni organi oblikujejo učinkovite mehanizme mednarodnega sodelovanja, zlasti v zvezi z vprašanji računalništva v oblaku.

V Bruslju, 16. novembra 2012

Peter HUSTINX

Evropski nadzornik za varstvo podatkov

(1)  COM(2012) 529 final.

(2)  COM(2012) 11 final.

(3)  COM(2010) 245 konč.

(4)  http://ec.europa.eu/information_society/activities/cloudcomputing/docs/ccconsultationfinalreport.pdf

(5)  Delovna skupina za varstvo podatkov iz člena 29 je svetovalni organ, ustanovljen na podlagi člena 29 Direktive 95/46/ES. Sestavljajo jo predstavniki nacionalnih nadzornih organov in ENVP ter predstavnik Komisije.

(6)  Mnenje Delovne skupine za varstvo podatkov iz člena 29 05/2012 o računalništvu v oblaku je na voljo na spletnem naslovu: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_sl.pdf

(7)  Poleg tega so na nacionalni ravni organi za varstvo podatkov v več državah članicah izdali smernice o računalništvu v oblaku, na primer v Italiji, na Švedskem in Danskem, v Nemčiji, Franciji in Združenem kraljestvu.

(8)  Resolucija o računalništvu v oblaku, sprejeta 26. oktobra 2012 na 34. mednarodni konferenci pooblaščencev za varstvo podatkov in zasebnost v Urugvaju.

(9)  Glej stran 8 Sporočila, oddelek z naslovom „Ukrepi digitalne agende za ustvarjanje digitalnega zaupanja“.

(10)  Pojem „stranke računalništva v oblaku“ se v tem mnenju na splošno uporablja za kupce, ki delujejo kot podjetja, in potrošnike, ki delujejo kot posamezni končni uporabniki.

(11)  Treba je upoštevati dejstvo, da Svet in Evropski parlament o predlogu uredbe trenutno razpravljata v okviru rednega zakonodajnega postopka.

(12)  Mnenje je na voljo na spletnem naslovu http://www.edps.europa.eu

(13)  Glej mnenje ENVP, zlasti odstavke od 140 do 158.

Top