GRUPUL DE LUCRU „ARTICOLUL 29” PENTRU PROTECȚIA

DATELOR

2588/15/RO
WP 232

Avizul 02/2015 privind Codul de conduită al C-SIG pentru cloud computing

adoptat la 22 septembrie 2015

Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal a fost creat în temeiul
articolului 29 din Directiva 95/46/CE. Grupul este un organ consultativ european independent care își desfășoară activitatea în
1
domeniul protecției și al confidențialității datelor, iar sarcinile sale sunt descrise la articolul 30 din Directiva 95/46/CE și la
articolul 15 din Directiva 2002/58/CE.

Secretariatul este asigurat de Direcția D (Drepturi fundamentale și cetățenie) din cadrul Comisiei Europene, Direcția Generală
Justiție, Libertate și Securitate, B-1049 Bruxelles, Belgia, biroul LX-46 01/190.

Adresa web: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm

Rezumat
În prezentul aviz, Grupul de lucru „articolul 29” analizează Codul de conduită pentru
furnizorii de servicii de cloud în ceea ce privește protecția datelor (denumit în continuare
„codul”), care a fost elaborat de Cloud Select Industry Group (C-SIG), un grup de lucru
format din reprezentanți din branșă, și care a fost prezentat Grupului de lucru
„articolul 29” la 19 ianuarie 2015.

Grupul de lucru „articolul 29” apreciază eforturile depuse de branșă la redactarea acestui
cod de conduită. Codul cuprinde orientări importante pentru furnizorii de servicii de cloud
computing în ceea ce privește normele aplicabile în materie de protecție a datelor și a
vieții private în Europa. Aderarea la codul de conduită va contribui la un plus de
transparență și certitudine juridică pentru toate părțile implicate.

Cu toate acestea, Grupul de lucru nu poate aproba oficial proiectul de cod, deoarece acesta
nu respectă întotdeauna cerințele legale minime, iar valoarea adăugată a acestui proiect de
cod față de Directiva 95/46/CE și de legislația națională nu este întotdeauna clară. Prin
urmare, continuă să existe câteva preocupări considerabile. În prezentul aviz sunt analizate
aspectele respective prin explicarea diferitelor preocupări, astfel încât codul să poată fi
adoptat într-o versiune care să ofere o astfel de valoare adăugată.

În aviz sunt abordate în special următoarele:

- urmările aderării la cod – aderând la cod, întreprinderile vor putea demonstra că
răspund pentru acțiunile lor, fără ca acest lucru să împiedice autoritățile pentru protecția
datelor să își exercite competențele de asigurare a respectării legislației;
- administrarea codului – în cod ar trebui să fie explicată mai în detaliu tranziția către
Regulamentul privind protecția datelor, diferența dintre autoevaluare și certificarea
efectuată de organisme independente și competențele organului de administrare, în special
în ceea ce privește mecanismele de descurajare. În plus, Grupul de lucru „articolul 29” nu
poate fi membru al comitetului director;
- răspunderea – codul trebuie să împiedice adoptarea unor condiții generale de utilizare
care limitează în mod nejustificat obligațiile și responsabilitățile. În cod trebuie să se
specifice (într-o anexă) în ce cazuri furnizorul de servicii de cloud este operator asociat,
operator sau persoană împuternicită de către operator și să se stabilească răspunderea
corespunzătoare fiecăreia dintre aceste calități;
- transparența locului (locurilor) unde are loc prelucrarea datelor;
- prelucrarea categoriilor speciale de date și a datelor sensibile (cum ar fi datele
financiare sau datele referitoare la sănătate);
- aplicabilitatea definiției europene a datelor cu caracter personal;
- cerințele pentru transferurile internaționale și pentru cererile de acces ale autorităților
de asigurare a respectării legislației;
- măsurile de securitate și nivelul de detaliere a măsurilor respective;
- dreptul de a efectua audituri IT;
- trimiterea la portabilitatea datelor ca drept fundamental al utilizatorilor.

Grupul de lucru „articolul 29” consideră încurajatoare progresele înregistrate de C-SIG la

elaborarea codului și sprijină C-SIG în eforturile de finalizare a unei versiuni a codului în
care să țină seama de observațiile formulate în prezentul aviz. Prin urmare, C-SIG ar
trebui să ia în considerare toate observațiile și recomandările Grupului de lucru
„articolul 29” și să le includă în versiunea finală a codului.

2
 Cuprins

0. Introducere ......................................................................................................................... 4
1. Rolul codului de conduită din perspectiva proiectului de regulament privind protecția
datelor ................................................................................................................................. 4
2. Codul de conduită și acțiunile de asigurare a respectării legislației desfășurate de
autoritățile pentru protecția datelor .................................................................................... 5
3. Administrarea codului ........................................................................................................ 5
4. Scenarii concrete referitoare la prelucrarea unor categorii sensibile de date sau la
prelucrarea pentru anumite categorii de operatori.............................................................. 6
5. Informații cu privire la locul prelucrării ............................................................................. 7
6. Noțiunea de date cu caracter personal ................................................................................ 7
7. Transferurile internaționale și cererile de acces ale autorităților de asigurare a respectării
legislației ............................................................................................................................ 8
8. Răspunderea ....................................................................................................................... 9
9. Securitatea ........................................................................................................................ 10
10. Dreptul de verificare...................................................................................................... 12
11. Drepturile utilizatorului ................................................................................................. 13
12. Concluzii ....................................................................................................................... 14

3
 0. Introducere
Proiectul de Cod de conduită pentru furnizorii de servicii de cloud în ceea ce privește
protecția datelor (denumit în continuare „codul”) a fost elaborat de Cloud Select Industry
Group (C-SIG) și prezentat oficial Grupului de lucru „articolul 29” la 27 februarie 2014. În
iunie 2014, Grupul de lucru „articolul 29” a transmis C-SIG o scrisoare cu prima serie de
observații.

La 21 ianuarie 2015, Grupului de lucru „articolul 29” i-a fost prezentată o nouă versiune a
codului, în care fuseseră luate în considerare mai multe observații legate de formă și de
conținut formulate în scrisoarea menționată.

La articolul 30 alineatul (1) din Directiva 95/46/CE se prevede: „Grupul de lucru: [...] emite
un aviz asupra codurilor de conduită întocmite la nivel comunitar.” În documentul său de
lucru referitor la procedura de examinare a unor coduri de conduită comunitare, adoptat la
10 septembrie 1998 (WP 13), Grupul de lucru a explicat că, atunci când i se solicită să emită
un aviz asupra unui cod de conduită, verifică dacă acesta:

- este conform cu directivele aplicabile în domeniul protecției datelor și, atunci când este
necesar, cu dispozițiile naționale adoptate în temeiul directivelor respective;
- prezintă un nivel suficient de calitate și coerență internă și oferă o valoare adăugată
suficientă față de directive și de alte dispoziții aplicabile din domeniul protecției datelor,
în special dacă proiectul de cod se concentrează într-o măsură suficientă asupra
chestiunilor și problemelor specifice din domeniul protecției datelor în organizația sau
sectorul în care urmează să fie aplicat și dacă oferă soluții suficient de clare la aceste
întrebări și probleme.

În cazul de față, deși codul de conduită este fără îndoială util furnizorilor de servicii de cloud
computing, continuă să existe câteva preocupări. În prezentul aviz sunt abordate aspectele
respective, astfel încât să se permită adoptarea codului într-o versiune care să ofere o valoare
adăugată semnificativă față de directiva referitoare la protecția datelor și de dispozițiile
naționale relevante.

1. Rolul codului de conduită din perspectiva proiectului de

regulament privind protecția datelor
Deși codul ar trebui să contribuie la corecta punere în aplicare a dispozițiilor naționale
adoptate în temeiul actualei Directive privind protecția datelor cu caracter personal
(articolul 27) și deși Grupul de lucru „articolul 29” își va baza evaluarea pe actualul cadru
juridic, această evaluare ar trebui considerată, de asemenea, prin prisma posibilelor dispoziții
referitoare la codurile de conduită din proiectul de Regulament general privind protecția
datelor.

Având în vedere cele de mai sus, ar fi util ca în cod să fie introduse specificații
suplimentare cu privire la mecanismele prin care se poate asigura o tranziție lină către
noul cadru de reglementare.

Mai precis, viitorul Regulament general privind protecția datelor conține mai multe dispoziții
[cu privire la operatori, la statutul persoanelor împuternicite de către operatori, la codurile
de conduită (articolul 38), la certificare (articolul 39), la competențele și funcțiile

4
autorităților pentru protecția datelor (în special mecanismul ghișeului unic)] care vor avea un
impact semnificativ atât asupra operatorilor, cât și a persoanele împuternicite de către
operatori. Codul instituie un comitet director care trebuie să propună modificări la cod și să
lucreze pe baza evoluțiilor din domeniu (secțiunea 7.1), dar mecanismele avute în vedere în
prezent în acest scop sunt formulate în sens foarte larg.

În cod ar trebui să se menționeze clar că furnizorii de servicii de cloud care aderă la

acesta nu sunt scutiți de obligația de a ține seama de modificările survenite în legislația
UE. Mai precis, orice furnizor de servicii de cloud care aderă la cod înainte ca o modificare a
legislației UE să fie reflectată în acesta va trebui să se asigure că respectă noua legislație,
chiar dacă acest lucru presupune obligații noi sau obligații contradictorii cu codul.

2. Codul de conduită și acțiunile de asigurare a respectării

legislației desfășurate de autoritățile pentru protecția datelor
Este neîndoielnic faptul că furnizorii de servicii de cloud care aderă la cod intenționează să
utilizeze acest mijloc pentru a reduce riscul unor proceduri oficiale de asigurare a respectării
legislației (în special impunerea de sancțiuni) desfășurate de către autoritățile pentru protecția
datelor din UE. Aceste preocupări sunt legitime având în vedere competențele care ar putea fi
acordate autorităților pentru protecția datelor în temeiul viitorului regulament.

Aderarea la cod nu asigură în mod automat o protecție împotriva posibilelor intervenții

sau acțiuni desfășurate de autoritățile competente (autorități pentru protecția datelor
sau alte autorități) în cadrul activităților lor de supraveghere și de asigurare a
respectării legislației.

Grupul de lucru „articolul 29” subliniază acest aspect, dar îi încurajează pe furnizorii
de servicii de cloud să adere la astfel de coduri de conduită. Respectând cerințele
cuprinse în astfel de coduri, furnizorii de servicii de cloud vor putea demonstra că
răspund pentru acțiunile lor în ceea ce privește normele de protecție a datelor, ceea ce va
avea, în mod cert, un impact pozitiv în contextul activităților de supraveghere și de asigurare a
respectării legislației.

3. Administrarea codului
O secțiune importantă a codului este dedicată introducerii unei structuri de administrare
instituite în scopul evaluării condițiilor de aderare la cod și al supravegherii adoptării codului
de către actorii din branșă. Aceste aspecte pot influența indirect nivelul de garanții de
protecție a datelor pe care le primesc persoanele vizate.

În primul rând trebuie clarificat rolul Grupului de lucru „articolul 29” (secțiunea 7.1),
dat fiind că acesta nu poate participa la structura de administrare a codului. Grupul de
lucru „articolul 29” a fost înființat în temeiul Directivei 95/46/CE ca organ consultativ al
Comisiei Europene, iar în sfera sa de competență intră, printre altele, examinarea oricărei
chestiuni referitoare la punerea în aplicare a directivei, astfel încât grupul să contribuie la
aplicarea uniformă a acesteia. Una dintre principalele prerogative ale Grupului de lucru
„articolul 29” este independența de acțiune. Din acest punct de vedere, orice implicare a
Grupului de lucru „articolul 29” în structura de administrare propusă în cod pare să
depășească sfera de competențe a grupului, putând genera un conflict de interese între

5
membrii acestuia (autoritățile naționale pentru protecția datelor) în ceea ce privește rolul de
supraveghere pe care îl au față de branșa cloud.

Grupul de lucru „articolul 29” recunoaște caracterul delicat al fazei de tranziție de la un cadru
juridic în care se aplică codul la altul. Din acest motiv, este necesar să se introducă o
strategie de gestionare a tranziției care să fie supravegheată de o veritabilă structură de
administrare, instituită în prealabil. Prin aplicarea acestei strategii s-ar asigura
valabilitatea codului și adoptarea lui efectivă de-a lungul fazei de tranziție și după
adoptarea noului regulament. Din această perspectivă ar trebui abordate și rezolvate câteva
discrepanțe care există, în formularea actuală, între durata de punere în aplicare a codului și
intrarea în vigoare a structurii de administrare (secțiunea 7.1, p. 35, de exemplu).

Întreprinderile care doresc să adere la cod trebuie fie să se autoevalueze, fie să fie certificate
de un organism independent. Aceste două condiții oferă însă niveluri de asigurare diferite. În
această privință, în cod ar trebui clarificate mai multe puncte:

- în cod nu se precizează clar că organismele competente 1 trebuie să aplice o

abordare mai riguroasă în cazul autoevaluării. Ar trebui să se formuleze corect
posibilitatea de (re)evaluare de către organismele competente în cazul furnizorilor care aderă
la cod pe baza unei autoevaluări. În acest sens, ar fi indicat să se stabilească un rol mai activ al
structurii de administrare;

- în cazul unei evaluări realizate în cadrul unei proceduri de certificare, ar trebui să se

precizeze mai clar că, pentru a permite aderarea la cod, respectiva certificare trebuie să
se refere în mod specific la cloud computing și să cuprindă nu numai securitatea, ci și
ansamblul principiilor de protecție a datelor cu caracter personal, astfel cum sunt definite în
cadrul juridic al UE;

- Grupul de lucru „articolul 29” salută faptul că în cod se specifică posibilitatea

aplicării a diferite marcaje de conformitate în funcție de modalitatea de aderare la cod
(secțiunea 7.4). Cu toate acestea, textul ar trebui reformulat astfel încât să reiasă clar că
marcajele de conformitate pentru furnizorii de servicii de cloud care au ales modalitatea
autoevaluării sunt diferite de marcajele celor care au ales modalitatea certificării.

În sfârșit, ar trebui ca în cod să se precizeze clar competențele organului de administrare,

mai ales în ceea ce privește alegerea mecanismelor de descurajare, sau condițiile și
procedura de urmat în scopul de a se verifica, la intervale regulate, dacă cerințele de aderare la
cod continuă să fie îndeplinite și de a se stabili dacă statutul de aderare acordat anterior ar
trebui revocat (secțiunile 7.2, 7.3, 7.4, 7.5).

4. Scenarii concrete referitoare la prelucrarea unor categorii

sensibile de date sau la prelucrarea pentru anumite categorii
de operatori
În versiunea actuală a codului nu se face nicio trimitere la scenarii specifice din domeniul
cloud computing.
Deși este evident că nu poate fi un document atotcuprinzător, care să conțină trimiteri la toate
scenariile posibile, codul ar trebui să conțină trimiteri la câteva cazuri foarte relevante în
care furnizorii de servicii de cloud oferă servicii specializate de prelucrare a datelor
1
Organisme care verifică și aprobă declarațiile de aderare la cod ale furnizorilor de servicii de cloud.

6
sensibile, fie în sens juridic (serviciile de cloud pentru datele referitoare la sănătate, de
exemplu), fie în sens general (serviciile de cloud aferente unor servicii financiare, de
exemplu). Serviciile de acest gen prezintă o dezvoltare rapidă ca număr, domeniu de aplicare
și răspândire; același lucru este valabil și pentru riscurile pe care prelucrarea datelor sensibile
în mediul cloud le prezintă pentru protecția datelor. Aceste riscuri dau naștere, așadar, unor
preocupări serioase atât în rândul utilizatorilor profesionali, cât și în rândul utilizatorilor
privați.
Cu toate acestea, la astfel de situații nu se face nicio referire în cod, cu excepția aceleia că,
fără a aduce atingere legislației naționale, prelucrările de acest gen presupun, în general,
existența unor „garanții suplimentare”.

5. Informații cu privire la locul prelucrării

Locul prelucrării datelor a fost adus în discuție în iunie 2014, în scrisoarea pe care Grupul de
lucru „articolul 29” a transmis-o către C-SIG cu privire la versiunea precedentă a codului. În
scrisoarea se menționa explicit că în primul rând, ar trebui stabilită clar și consolidată
obligația furnizorilor de servicii de cloud de a prezenta informații. Vor fi necesare, cu
precădere, informații specifice și ușor accesibile cu privire la locul prelucrării datelor, adică
informații mai detaliate decât simpla indicare a țărilor în care datele vor fi prelucrate direct,
prelucrate de subcontractanți și/sau transferate sau a entităților care vor prelucra datele.
În versiunea actuală a codului nici nu se menționează, nici nu se asigură faptul că operatorul
poate obține informații despre locurile exacte în care are loc prelucrarea 2.
Cu toate acestea, actele de transpunere a Directivei 95/46/CE din unele state membre cuprind
dispoziții prin care operatorul este obligat să supravegheze, să monitorizeze și, dacă este
necesar, să inspecteze în mod activ modul de prelucrare și măsurile de securitate existente, în
cazul în care prelucrarea este încredințată unor persoane împuternicite de către operatori.
Operatorul nu își poate îndeplini aceste obligații decât dacă dispune de informații exacte cu
privire la adresele tuturor locurilor în care prelucrarea este efectuată de furnizori de servicii de
cloud sau, după caz, de către subcontractanți ai acestora. În plus, orice modificare a
respectivelor adrese ar trebui adusă, în prealabil, la cunoștința operatorului.
Pentru a contribui la corecta punere în aplicare a dispozițiilor naționale din unele state
membre, codul trebuie să conțină cerințe mai precise cu privire la informațiile despre
adresele locurilor în care are loc prelucrarea. Din motive de securitate, înainte de
încheierea contractului nu se poate indica decât un loc general. Această descriere generală ar
trebui, cel puțin, să permită operatorului să identifice dreptul aplicabil și, atunci când datele
sunt transferate în afara UE, să informeze persoana vizată. De îndată ce se semnează un
contract între operator și furnizorul de servicii de cloud care acționează în calitate de persoană
împuternicită de către operator, adresele detaliate ar trebui să fie ușor de accesat în orice
moment de către operator și de către autoritatea pentru protecția datelor.

6. Noțiunea de date cu caracter personal

În cod sunt folosite noțiunile de operatori de date și persoane împuternicite de către operatori,
dar nu și noțiunea de date cu caracter personal. Această alegere pare să rezulte din următoare

2
În conformitate cu articolul 27 alineatul (1) din Directiva 95/46/CE, codurile de conduită sunt destinate să
contribuie la buna aplicare a dispozițiilor de drept intern adoptate de statele membre în temeiul prezentei
directive.

7
situație explicată în cod: Un furnizor de servicii de cloud care acționează în calitate de
persoană împuternicită de către operator nu identifică, în mod obișnuit, date cu caracter
personal în serviciile sale, în special atunci când în contractul de prestare de servicii încheiat
nu se prevede dreptul furnizorului de servicii de cloud de a identifica astfel de date cu
caracter personal sau atunci când clientul a utilizat anumite instrumente, precum criptarea
datelor, care îl împiedică pe furnizorul de servicii de cloud să identifice date cu caracter
personal în serviciile sale.

De remarcat, în primul rând, că, deși fraza poate fi relevantă pentru PaaS/IaaS, posibilitatea
identificării este frecventă în cazul SaaS. Prin urmare, fraza ar trebui modificată astfel încât să
nu excludă în practică posibilitatea identificării de către furnizorii de servicii de cloud.

De asemenea, Grupul de lucru „articolul 29” dorește să confirme că în cod ar trebui

folosită definiția dată de UE datelor cu caracter personal. Trimiterea la această definiție
ar putea fi combinată cu o trimitere la noțiunea de anonimizare, care lipsește din
versiunea actuală a codului. Ar putea fi menționate standardele înalte impuse de Grupul de
lucru „articolul 29” în avizul său referitor la anonimizare, precum și faptul că
pseudonimizarea, în cazul în care se face vreo trimitere la această tehnică, poate fi avută
în vedere numai ca măsură de securitate, și nu ca mijloc de scutire a furnizorilor de
servicii de cloud sau a clienților de la obligațiile care le revin în temeiul legislației
privind protecția datelor.

7. Transferurile internaționale și cererile de acces ale

autorităților de asigurare a respectării legislației
În actualul proiect de cod, subiectul cererilor de acces ale autorităților de asigurare a
respectării sau ale administrației publice este abordat, însă numai în mod superficial, deși,
astfel cum se menționează în Avizul nr. 05/2012 al Grupului de lucru „articolul 29” privind
„cloud computing”, acest subiect este foarte important pentru protecția datelor și pentru
serviciile de cloud computing.

Grupul de lucru „articolul 29” insistă cu precădere asupra cerințelor sale specifice
referitoare la transferurile și comunicările de date către autorități din afara UE, pe baza
interpretării sale a textului propus pentru articolul 43a din Regulamentul general
privind protecția datelor. Introducerea unei astfel de cerințe în proiectul de cod ar
corespunde, de asemenea, așteptării grupului ca un cod de conduită să depășească simpla
respectare a legii 3.

De asemenea, astfel cum se explică în avizele anterioare 4, în cod ar trebui să se precizeze că:

- persoana împuternicită de către operator comunică operatorului orice solicitare

obligatorie din punct de vedere juridic de a divulga date cu caracter personal,
prezentată de o autoritate de aplicare a legii, cu excepția cazului în care aceasta face
obiectul altei interdicții, și că

- în orice caz, transferurile de date cu caracter personal de la o persoană

împuternicită de către operator la orice autoritate publică nu pot fi masive,

3
A se vedea WP 13.
4
A se vedea WP 204 rev. 01 – Document explicativ privind Regulile corporatiste obligatorii pentru persoanele
împuternicite de către operator.

8
disproporționate sau nediferențiate într-un mod care ar depăși ceea ce este necesar într-
o societate democratică.

În sfârșit, furnizorilor de servicii de cloud ar trebui să li se amintească faptul că, în cazul

transferurilor internaționale de date, ar trebui să acționeze strict în limita instrucțiunilor
primite de la client. Un furnizor de servicii de cloud își poate pierde calitatea de persoană
împuternicită de către operator, cu toate consecințele aferente, mai ales în ceea ce privește
răspunderea, în situațiile în care acțiunile pe care le întreprinde depășesc cu mult capacitățile
normale ale unei persoane împuternicite de către operator pentru prelucrarea de date,
presupunându-se că acesta nu are nicio autonomie față de instrucțiunile operatorului. Acest
lucru se poate întâmpla, de exemplu, atunci când furnizorul de servicii de cloud organizează
în mod autonom transferuri internaționale de date pentru a da curs cererilor formulate de
autoritățile de asigurare a respectării legislației sau de autoritățile responsabile cu securitatea
de stat fără a solicita implicarea în vreun fel a operatorilor respectivi 5.

8. Răspunderea
Codul nu cuprinde suficiente explicații cu privire la regimul de răspundere aplicabil părților în
cazul în care acestea din urmă nu își respectă obligațiile de protecție a datelor.

În Avizul nr. 05/2012 al Grupului de lucru „articolul 29” privind „cloud computing” se
subliniază faptul că este important să se clarifice rolul fiecăreia dintre părți, în scopul de a se
stabili obligațiile specifice ale acestora în ceea ce privește legislația în materie de protecție a
datelor și de a se stabili responsabilitatea fiecărei părți în eventualitatea unei încălcări a
acestor norme. Acest mod de procedare contribuie la evitarea eventualelor lacune, adică a
situațiilor în care unele obligații sau drepturi existente în temeiul legislației privind protecția
datelor nu sunt asigurate de niciuna dintre părți 6 . De asemenea, textul propus pentru
articolul 26 alineatul (4) din viitorul Regulament general privind protecția datelor 7 ar trebui să
îi determine pe furnizorii de servicii de cloud să asigure mai multă claritate cu privire la
obligațiile și răspunderea lor în astfel de cazuri. În această privință, codul trebuie să prevină
adoptarea unor condiții generale de utilizare care sunt dezavantajoase pentru clienți
prin faptul că restrâng în mod nejustificat obligațiile și răspunderea furnizorilor de
servicii de cloud și, astfel, drepturile clienților 8.

Împărțirea responsabilităților între părțile comerciale constituie un motiv de preocupare

pentru persoanele fizice ori de câte ori aceasta poate avea un impact negativ asupra lor.
Trebuie, așadar, ca în cod să se precizeze că, indiferent de modul în care sunt împărțite
responsabilitățile, persoanele fizice nu ar trebui să fie private nici de drepturile lor, nici de
posibilitatea de a obține despăgubiri în situația în care ar suferi vreun prejudiciu. În cazul
particular al existenței unor operatori asociați, diferitele roluri și responsabilități referitoare la
prelucrarea datelor ar trebui să fie împărțite în mod clar între furnizorul de servicii de cloud și
client, astfel încât persoanelor vizate să le fie mai ușor să își exercite drepturile. De asemenea,
ar trebui stabilit mai clar regimul de răspundere aplicabil clienților și, respectiv, furnizorilor

5
A se vedea p. 11 din Avizul 10/2006 privind prelucrarea datelor cu caracter personal emis de către Societatea
Internațională pentru Telecomunicații Financiare Interbancare (SWIFT).
6
Acest aspect este cu atât mai important, cu cât pot exista diferite niveluri de operatori și situații în care un
furnizor de servicii de cloud poate fi considerat când operator asociat, când operator de sine stătător, în funcție
de împrejurările concrete.
7
Se prevede că, atunci când prelucrează datele cu caracter personal într-un alt mod decât cel prevăzut în
instrucțiunile date de operator, persoana împuternicită de către operator este considerată operator.
8
A se vedea Avizului Autorității Europene pentru Protecția Datelor (AEPD) referitor la Comunicarea Comisiei
privind „Valorificarea cloud computingului în Europa”, 16 noiembrie 2012, p. 5.

9
de servicii de cloud, precum și eventualilor subcontractanți ai persoanelor împuternicite de
către operatori, în plus față de contractul de prestare de servicii (astfel cum s-a menționat în
secțiunea 5.1, de exemplu). Este vorba în special de tratarea reclamațiilor/cererilor formulate
de persoanele vizate (secțiunea 5.8). Prin urmare, în anexa C ar trebui să se precizeze ce
domenii de prelucrare sunt gestionate de furnizorul de servicii de cloud în calitate de
operator asociat, de operator sau de persoană împuternicită de către operator și să se
ofere informații cu privire la împărțirea răspunderii între furnizorul de servicii de cloud
și clientul său.

În plus, la articolul 77 din viitorul Regulament general privind protecția datelor se

menționează ipoteza unor operatori asociați și a mai multor regimuri de răspundere, în care
operatorul sau persoana împuternicită de către operator poate fi exonerată de răspundere dacă
demonstrează că nu este responsabilă de prejudiciul creat. O astfel de prezumție de
răspundere poate fi respinsă, așadar, de orice actor implicat în operațiunea de prelucrare, fără
a se aduce atingere dreptului operatorului de a introduce o acțiune în regres împotriva
persoanei împuternicite de către operator, în cazul în care aceasta din urmă nu poate dovedi că
nu este răspunzătoare pentru prejudiciul în chestiune. Acest proiect de cadru concordă, de
fapt, cu poziția adoptată de Grupul de lucru „articolul 29” mai ales în avizul său cu privire la
cloud computing și la subcontractanții persoanelor împuternicite de către operatori (WP 196,
p. 9-10). În avizul menționat, accentul s-a pus pe necesitatea de a dispune de o împărțire clară
a responsabilităților între diferiții actori și de a introduce garanții specifice și în ceea ce
privește persoanele vizate. Astfel de garanții ar putea fi, de exemplu, drepturi în calitate de
terț beneficiar, după modelul clauzelor contractuale standard care se aplică în relația dintre
operator și persoana împuternicită de către operator.

Grupul de lucru „articolul 29” recomandă extinderea acestei secțiuni a codului, cu

accent pe tratarea reclamațiilor/cererilor formulate de persoanelor vizate (secțiunea 5.8)
și pe necesitatea ca furnizorul de servicii de cloud să coopereze cu clienții în acest scop.

De asemenea, în legătură cu dispozițiile codului care cuprind avantaje specifice pentru

persoanele fizice, s-ar putea menționa explicit că ele pot fi aplicate direct de către
respectivele persoane fizice și ar trebui să se precizeze că regimul de răspundere
aplicabil părților ar trebui să fie exclusiv unul din statele membre ale UE.

9. Securitatea
Protecția datelor cu caracter personal cuprinde și asigurarea securității IT. Grupul de lucru
„articolul 29” recomandă ca în structura și conținutul codului să se țină seama de acest aspect,
având în vedere că securitatea nu trebuie considerată un element suplimentar la protecția
datelor cu caracter personal, ci o parte esențială a acesteia.

O persoană împuternicită de către operator acționează „numai la instrucțiunile operatorului”

[articolul 17 alineatul (3)] și ar trebui, prin urmare, să își configureze rolul de simplă pârghie
în mâinile operatorului, fără implicare în semantica prelucrării și fără marjă de manevră
pentru niciun fel de prelucrare ulterioară 9. Acest principiu ar trebui să se reflecte în interfețele
tehnice prin care interacționează operatorii și furnizorul de servicii de cloud care acționează

9
În conformitate cu Avizul nr. 1/2010 al Grupului de lucru „articolul 29” privind conceptele de „operator” și
„persoana împuternicită de către operator”, „totuși, delegarea poate implica un anumit grad de libertate de
decizie cu privire la modul în care interesele operatorului pot fi cât mai bine servite, persoana împuternicită
putând alege mijloacele tehnice și organizaționale cele mai adecvate”.

10
numai ca persoană împuternicită de către operator. Prin urmare, în cod ar trebui stabilite clar
rolurile și responsabilitățile.

În plus, măsurile de securitate și capacitățile de audit ar trebui astfel organizate, încât să se

țină seama de particularitățile și de riscurile inerente ale diverselor paradigme emergente
pentru serviciile în cloud, și anume infrastructura ca serviciu (IaaS), platforma ca serviciu
(PaaS) și software-ul ca serviciu (SaaS), pentru care se prefigurează un nivel de risc tot mai
ridicat la adresa vieții private ca urmare a particularităților lor inerente.

În cod se menționează că un obiectiv esențial al secțiunii despre securitate este ca furnizorul

de servicii de cloud să permită clientului să evalueze riscurile de securitate și impactul
asupra protecției datelor. Acest lucru este într-adevăr necesar pentru ca operatorul (clientul)
să instituie măsuri de securitate care, în conformitate cu articolul 17 din directivă, sunt
corespunzătoare riscurilor pe care le presupune prelucrarea și naturii datelor care trebuie
protejate.

În acest scop, este fundamental ca furnizorul de servicii de cloud să ofere clientului informații
suficient de detaliate cu privire la măsurile de securitate implementate de furnizorul de
servicii de cloud. Aceste informații ar trebui completate însă cu informații suficiente cu
privire la amenințările și punctele vulnerabile ale serviciului și infrastructurii
furnizorului de servicii de cloud și cu privire la deciziile de gestionare a riscurilor
adoptate de furnizorul de servicii de cloud. În caz contrar, clientul nu dispune de un context
adecvat pentru a gestiona el însuși riscurile legate de protecția datelor. La furnizarea acestor
informații ar trebui totuși să se țină seama de cerințele de confidențialitate ale furnizorului de
servicii de cloud din motive de securitate și motive economice.

De asemenea, codul cuprinde obligația furnizorului de servicii de cloud de a efectua o

evaluare a riscurilor pentru a se asigura că dreptul persoanei vizate la protecția datelor cu
caracter personal este garantat. Furnizorul de servicii de cloud ar trebui să aibă în vedere
stabilirea unor niveluri de protecție diferite în funcție de prelucrarea și natura datelor
care trebuie protejate și descrierea acestora în ofertele de servicii prezentate publicului.
S-ar atenua astfel lipsa unor informații suficiente cu privire la amenințări, puncte vulnerabile
și gestionarea generală a riscurilor de la furnizorul de servicii de cloud către potențialul client.

Grupul de lucru „articolul 29” recunoaște și salută existența unui set de obiective minime de
securitate. Acestea sunt însă formulate în mod general și, prin urmare, în cazul unei
autoevaluări din punctul de vedere al securității, s-ar putea ca ele să nu ofere suficiente
garanții pentru o gestionare solidă a securității. Aceste obiective și modul în care sunt
formulate ar putea fi adaptate mai mult la standardele și bunele practici existente în domeniul
securității. De exemplu, chiar dacă în cod este prezentă o metodă de gestionare a riscurilor, nu
există niciun obiectiv clar de securitate care să se refere la aceasta. Grupul de lucru
„articolul 29” recomandă încadrarea acestor obiective de securitate în contextul unui set mai
larg de obiective de protecție a datelor.

„Cheile de demonstrare” (demonstration keys) sunt considerate alternative posibile, chiar

dacă nu sunt echivalente și chiar dacă nivelul de asigurare pe care îl oferă este diferit. De
exemplu, în secțiunea 6.1 se menționează că furnizorul de servicii de cloud specifică măsurile
tehnice, fizice și organizatorice existente pentru protejarea datelor cu caracter personal
împotriva distrugerii accidentale sau ilegale, împotriva situațiilor accidentale de pierdere,
alterare, utilizare neautorizată, modificare, publicare sau accesare și împotriva oricărei alte
forme ilegale de prelucrare. Informațiile respective nu sunt neapărat furnizate prin

11
prezentarea unei copii a certificatului sau a adeverinței care dovedește efectuarea cu succes a
unui audit independent.

În sfârșit, Grupul de lucru „articolul 29” dorește să sublinieze că ISO/IEC 27018 este un
catalog de bune practici pentru furnizorii de servicii de cloud care acționează în calitate de
persoane împuternicite de către operatori. Catalogul conține o listă de controale pentru o mai
bună protecție a vieții private. Standardul ISO/IEC 27018 este numai o culegere binevenită de
controale neobligatorii, neexhaustive și nemaximaliste care pot fi introduse. Standardul nu
este conceput, așadar, să fie utilizat ca document de sine stătător pentru certificare. El poate fi
utilizat în combinație cu ISO/IEC 27001, acesta din urmă permițând certificarea. În
ISO/IEC 27001 nu se ține seama de particularitățile protecției vieții private, cum ar fi efectele
asupra persoanelor fizice, standardul asigurând însă un nivel ridicat de protecție a
informațiilor în interesul organizației. Introducerea unor bune practici bazate pe standardul
ISO/IEC 27018 poate contribui, prin urmare, la asigurarea faptului că protecția vieții private
este mai bine luată în considerare, dar nu reprezintă o dovadă a faptului că riscurile la adresa
vieții private sunt luate în considerare. În cazul ideal, standardul ISO/IEC 27018 ar trebui
utilizat numai după evaluarea riscurilor pentru viața privată a persoanelor în cauză, în vederea
tratării lor în mod proporțional. Pentru moment, modul de desfășurare a acestui proces nu este
descris în niciun standard publicat. Lucrările derulate în prezent în cadrul Organizației
Internaționale de Standardizare (ISO) pot contribui la umplerea acestei lacune în următorii
câțiva ani.

10. Dreptul de verificare

În principiu, acest drept de verificare ar trebui să fie general garantat și să nu se limiteze strict
la cazurile în care furnizorul de servicii de cloud nu a fost certificat de un organism
independent. În această privință, în Directiva 95/46/CE se prevede că:

- operatorul trebuie să se asigure că sunt îndeplinite toate cerințele de calitate a datelor

stabilite la articolul 6 alineatul (1) [articolul 6 alineatul (2)];

- persoana împuternicită de către operator acționează numai la instrucțiunile

operatorului [articolul 16 și articolul 17 alineatul (3)].

Obligația de supraveghere care îi revine operatorului constituie premisa dreptului acordat

acestuia în vederea exercitării corecte a controlului asupra activităților desfășurate de către
persoana împuternicită de el. Acest drept ar trebui exercitat de către orice operator, indiferent
de puterea sa economică, de competențele sale sau de capacitățile sale tehnice.

Cu alte cuvinte, condiția prealabilă pentru ca prelucrarea datelor de către furnizorii de servicii
de cloud să fie supravegheată cu eficacitate este aceea ca branșa să respecte o serie de
indicatori-cheie de performanță cu privire la activitatea acestora. Un operator poate să
răspundă efectiv pentru acțiunile sale dacă poate demonstra într-un mod măsurabil că a
respectat obligațiile care îi revin în temeiul legislației UE în materie de protecție a datelor.
Dacă lipsește legătura dintre obligația operatorului de date de a răspunde pentru acțiunile sale
și caracterul măsurabil al prelucrării asigurate de către furnizorii de servicii de cloud pe baza
instrucțiunilor primite de la operator (și acest aspect este deosebit de important atunci când
există un mare dezechilibru între cele două elemente), obligația de a răspunde pentru acțiunile
sale nu poate fi îndeplinită în mod corespunzător.

Poate fi stabilit, în acest caz, dreptul de verificare, astfel încât să fie acoperite diferitele etape
ale prelucrării și să se țină cont de particularitățile riscurilor legate de prelucrarea sau de
12
natura datelor prelucrate; în domeniul de aplicare al acestui drept pot intra dreptul de a
verifica sediul serverelor unde sunt prelucrate și stocate date, dreptul de a verifica logica
utilizată (algoritmii utilizați) în diferitele etape prevăzute pentru întreaga prelucrare și chiar
dreptul de a verifica măsurile de securitate implementate de persoana împuternicită de către
operator.

Grupul de lucru „articolul 29” salută introducerea unor standarde pentru cloud
computing care se referă în special la interoperabilitatea, portabilitatea și securitatea
datelor și îi încurajează pe actorii din branșa să adopte soluții convenite la nivel
internațional în aceste domenii, ca o condiție pentru aderarea la cod. De asemenea, ar
trebui depuse toate eforturile posibile pentru implementarea unor interfețe între
sistemele persoanelor împuternicite de către operatori și aplicațiile operatorilor, astfel
încât să se faciliteze exercitarea fără opreliști a capacităților de verificare asigurate de
furnizorii de servicii de cloud.

Aceste posibilități ar trebui să se reflecte clar în cod. Codul ar trebui să cuprindă cazuri de
utilizare în care sunt stabilite rolurile și responsabilitățile alături de capacitățile de verificare
pe care furnizorii de servicii de cloud le vor pune la dispoziție.

11. Drepturile utilizatorului

În prezent, majoritatea furnizorilor de servicii de cloud nu utilizează formate de date standard
și nici interfețe de servicii standard care să faciliteze interoperabilitatea și portabilitatea între
diferiți furnizori de servicii de cloud. Dacă un client decide să treacă de la un furnizor de
servicii de cloud la altul, se poate ca, dată fiind lipsa de interoperabilitate, transferul datelor
(cu caracter personal) ale clientului la noul furnizor de servicii de cloud să fie imposibil sau,
cel puțin, dificil de realizat 10. Același lucru este valabil și pentru serviciile pe care clientul le-a
dezvoltat pe o platformă oferită de furnizorul inițial de servicii de cloud (PaaS).

Deși în secțiunea 5.8 a codului se vorbește despre cooperarea cu bună credință a furnizorilor
de servicii de cloud, astfel încât să se protejeze drepturile persoanelor vizate, pe lista acestor
drepturi figurează numai dreptul de a-și accesa datele cu caracter personal, dreptul de a
solicita corectarea acestora și dreptul de a solicita ștergerea promptă și eficientă a acestora.
Singura trimitere la portabilitatea datelor din versiunea actuală se regăsește în formularul
referitor la transparență din anexa A. Întrucât codul ar trebui să ajute la „pregătirea pentru
reforma protecției datelor”, o trimitere la portabilitate ar contribui la durabilitatea
codului.

În sfârșit, în ceea ce privește relația cu persoana vizată, Grupul de lucru „articolul 29” atrage
atenția grupului C-SIG asupra articolului 10 din Directiva 95/46/CE 11.

10
Situația este cunoscută și ca dependență de furnizor (client captiv).
11
Statele membre prevăd ca operatorul sau reprezentantul său să furnizeze persoanei de la care colectează date
care o privesc cel puțin informațiile menționate mai jos, cu excepția cazului în care persoana este deja
informată cu privire la aceste date:
(a) identitatea operatorului și, dacă este cazul, a reprezentantului său;
(b) scopul prelucrării căreia îi sunt destinate datele;
(c) orice alte informații suplimentare, cum ar fi:
- destinatarii sau categoriile de destinatari ai datelor;
- dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum și consecințele posibile ale evitării
răspunsului;
- existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal,
în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații
suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.

13
În consecință, ar fi util ca în cod să se adauge o clauză prin care furnizorului de servicii
de cloud să îi fie reamintit clar că ar trebui, în funcție de context, fie să furnizeze
persoanei vizate informații adecvate, fie să coopereze cu bună credință cu clientul, astfel
încât acesta să poată informa în mod corespunzător persoanele vizate.

12. Concluzii
Grupul de lucru „articolul 29” consideră încurajatoare progresele înregistrate de C-SIG la
elaborarea codului și sprijină C-SIG în eforturile de finalizare a unei versiuni a codului în care
să țină seama de observațiile formulate în prezentul aviz și în schimburile anterioare.

Grupul de lucru „articolul 29” recunoaște că un astfel de cod este valoros pentru branșa de
cloud computing și că acesta le este de ajutor operatorilor de date atunci când evaluează
furnizori de servicii de cloud și anumite produse și servicii de cloud computing. Versiunea
actuală a codului prezintă însă în continuare o serie de lacune semnificative, care ar trebui
umplute înainte de finalizarea codului.

Prin urmare, Grupul de lucru „articolul 29” recomandă grupului C-SIG să ia în considerare
toate observațiile și recomandările Grupului de lucru „articolul 29” și să le includă într-o
versiune finală a codului.

14