Documente Academic
Documente Profesional
Documente Cultură
DATELOR
2588/15/RO
WP 232
Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal a fost creat în temeiul
articolului 29 din Directiva 95/46/CE. Grupul este un organ consultativ european independent care își desfășoară activitatea în
1
domeniul protecției și al confidențialității datelor, iar sarcinile sale sunt descrise la articolul 30 din Directiva 95/46/CE și la
articolul 15 din Directiva 2002/58/CE.
Secretariatul este asigurat de Direcția D (Drepturi fundamentale și cetățenie) din cadrul Comisiei Europene, Direcția Generală
Justiție, Libertate și Securitate, B-1049 Bruxelles, Belgia, biroul LX-46 01/190.
Grupul de lucru „articolul 29” apreciază eforturile depuse de branșă la redactarea acestui
cod de conduită. Codul cuprinde orientări importante pentru furnizorii de servicii de cloud
computing în ceea ce privește normele aplicabile în materie de protecție a datelor și a
vieții private în Europa. Aderarea la codul de conduită va contribui la un plus de
transparență și certitudine juridică pentru toate părțile implicate.
Cu toate acestea, Grupul de lucru nu poate aproba oficial proiectul de cod, deoarece acesta
nu respectă întotdeauna cerințele legale minime, iar valoarea adăugată a acestui proiect de
cod față de Directiva 95/46/CE și de legislația națională nu este întotdeauna clară. Prin
urmare, continuă să existe câteva preocupări considerabile. În prezentul aviz sunt analizate
aspectele respective prin explicarea diferitelor preocupări, astfel încât codul să poată fi
adoptat într-o versiune care să ofere o astfel de valoare adăugată.
2
Cuprins
0. Introducere ......................................................................................................................... 4
1. Rolul codului de conduită din perspectiva proiectului de regulament privind protecția
datelor ................................................................................................................................. 4
2. Codul de conduită și acțiunile de asigurare a respectării legislației desfășurate de
autoritățile pentru protecția datelor .................................................................................... 5
3. Administrarea codului ........................................................................................................ 5
4. Scenarii concrete referitoare la prelucrarea unor categorii sensibile de date sau la
prelucrarea pentru anumite categorii de operatori.............................................................. 6
5. Informații cu privire la locul prelucrării ............................................................................. 7
6. Noțiunea de date cu caracter personal ................................................................................ 7
7. Transferurile internaționale și cererile de acces ale autorităților de asigurare a respectării
legislației ............................................................................................................................ 8
8. Răspunderea ....................................................................................................................... 9
9. Securitatea ........................................................................................................................ 10
10. Dreptul de verificare...................................................................................................... 12
11. Drepturile utilizatorului ................................................................................................. 13
12. Concluzii ....................................................................................................................... 14
3
0. Introducere
Proiectul de Cod de conduită pentru furnizorii de servicii de cloud în ceea ce privește
protecția datelor (denumit în continuare „codul”) a fost elaborat de Cloud Select Industry
Group (C-SIG) și prezentat oficial Grupului de lucru „articolul 29” la 27 februarie 2014. În
iunie 2014, Grupul de lucru „articolul 29” a transmis C-SIG o scrisoare cu prima serie de
observații.
La 21 ianuarie 2015, Grupului de lucru „articolul 29” i-a fost prezentată o nouă versiune a
codului, în care fuseseră luate în considerare mai multe observații legate de formă și de
conținut formulate în scrisoarea menționată.
La articolul 30 alineatul (1) din Directiva 95/46/CE se prevede: „Grupul de lucru: [...] emite
un aviz asupra codurilor de conduită întocmite la nivel comunitar.” În documentul său de
lucru referitor la procedura de examinare a unor coduri de conduită comunitare, adoptat la
10 septembrie 1998 (WP 13), Grupul de lucru a explicat că, atunci când i se solicită să emită
un aviz asupra unui cod de conduită, verifică dacă acesta:
- este conform cu directivele aplicabile în domeniul protecției datelor și, atunci când este
necesar, cu dispozițiile naționale adoptate în temeiul directivelor respective;
- prezintă un nivel suficient de calitate și coerență internă și oferă o valoare adăugată
suficientă față de directive și de alte dispoziții aplicabile din domeniul protecției datelor,
în special dacă proiectul de cod se concentrează într-o măsură suficientă asupra
chestiunilor și problemelor specifice din domeniul protecției datelor în organizația sau
sectorul în care urmează să fie aplicat și dacă oferă soluții suficient de clare la aceste
întrebări și probleme.
În cazul de față, deși codul de conduită este fără îndoială util furnizorilor de servicii de cloud
computing, continuă să existe câteva preocupări. În prezentul aviz sunt abordate aspectele
respective, astfel încât să se permită adoptarea codului într-o versiune care să ofere o valoare
adăugată semnificativă față de directiva referitoare la protecția datelor și de dispozițiile
naționale relevante.
Având în vedere cele de mai sus, ar fi util ca în cod să fie introduse specificații
suplimentare cu privire la mecanismele prin care se poate asigura o tranziție lină către
noul cadru de reglementare.
Mai precis, viitorul Regulament general privind protecția datelor conține mai multe dispoziții
[cu privire la operatori, la statutul persoanelor împuternicite de către operatori, la codurile
de conduită (articolul 38), la certificare (articolul 39), la competențele și funcțiile
4
autorităților pentru protecția datelor (în special mecanismul ghișeului unic)] care vor avea un
impact semnificativ atât asupra operatorilor, cât și a persoanele împuternicite de către
operatori. Codul instituie un comitet director care trebuie să propună modificări la cod și să
lucreze pe baza evoluțiilor din domeniu (secțiunea 7.1), dar mecanismele avute în vedere în
prezent în acest scop sunt formulate în sens foarte larg.
Grupul de lucru „articolul 29” subliniază acest aspect, dar îi încurajează pe furnizorii
de servicii de cloud să adere la astfel de coduri de conduită. Respectând cerințele
cuprinse în astfel de coduri, furnizorii de servicii de cloud vor putea demonstra că
răspund pentru acțiunile lor în ceea ce privește normele de protecție a datelor, ceea ce va
avea, în mod cert, un impact pozitiv în contextul activităților de supraveghere și de asigurare a
respectării legislației.
3. Administrarea codului
O secțiune importantă a codului este dedicată introducerii unei structuri de administrare
instituite în scopul evaluării condițiilor de aderare la cod și al supravegherii adoptării codului
de către actorii din branșă. Aceste aspecte pot influența indirect nivelul de garanții de
protecție a datelor pe care le primesc persoanele vizate.
În primul rând trebuie clarificat rolul Grupului de lucru „articolul 29” (secțiunea 7.1),
dat fiind că acesta nu poate participa la structura de administrare a codului. Grupul de
lucru „articolul 29” a fost înființat în temeiul Directivei 95/46/CE ca organ consultativ al
Comisiei Europene, iar în sfera sa de competență intră, printre altele, examinarea oricărei
chestiuni referitoare la punerea în aplicare a directivei, astfel încât grupul să contribuie la
aplicarea uniformă a acesteia. Una dintre principalele prerogative ale Grupului de lucru
„articolul 29” este independența de acțiune. Din acest punct de vedere, orice implicare a
Grupului de lucru „articolul 29” în structura de administrare propusă în cod pare să
depășească sfera de competențe a grupului, putând genera un conflict de interese între
5
membrii acestuia (autoritățile naționale pentru protecția datelor) în ceea ce privește rolul de
supraveghere pe care îl au față de branșa cloud.
Grupul de lucru „articolul 29” recunoaște caracterul delicat al fazei de tranziție de la un cadru
juridic în care se aplică codul la altul. Din acest motiv, este necesar să se introducă o
strategie de gestionare a tranziției care să fie supravegheată de o veritabilă structură de
administrare, instituită în prealabil. Prin aplicarea acestei strategii s-ar asigura
valabilitatea codului și adoptarea lui efectivă de-a lungul fazei de tranziție și după
adoptarea noului regulament. Din această perspectivă ar trebui abordate și rezolvate câteva
discrepanțe care există, în formularea actuală, între durata de punere în aplicare a codului și
intrarea în vigoare a structurii de administrare (secțiunea 7.1, p. 35, de exemplu).
Întreprinderile care doresc să adere la cod trebuie fie să se autoevalueze, fie să fie certificate
de un organism independent. Aceste două condiții oferă însă niveluri de asigurare diferite. În
această privință, în cod ar trebui clarificate mai multe puncte:
6
sensibile, fie în sens juridic (serviciile de cloud pentru datele referitoare la sănătate, de
exemplu), fie în sens general (serviciile de cloud aferente unor servicii financiare, de
exemplu). Serviciile de acest gen prezintă o dezvoltare rapidă ca număr, domeniu de aplicare
și răspândire; același lucru este valabil și pentru riscurile pe care prelucrarea datelor sensibile
în mediul cloud le prezintă pentru protecția datelor. Aceste riscuri dau naștere, așadar, unor
preocupări serioase atât în rândul utilizatorilor profesionali, cât și în rândul utilizatorilor
privați.
Cu toate acestea, la astfel de situații nu se face nicio referire în cod, cu excepția aceleia că,
fără a aduce atingere legislației naționale, prelucrările de acest gen presupun, în general,
existența unor „garanții suplimentare”.
2
În conformitate cu articolul 27 alineatul (1) din Directiva 95/46/CE, codurile de conduită sunt destinate să
contribuie la buna aplicare a dispozițiilor de drept intern adoptate de statele membre în temeiul prezentei
directive.
7
situație explicată în cod: Un furnizor de servicii de cloud care acționează în calitate de
persoană împuternicită de către operator nu identifică, în mod obișnuit, date cu caracter
personal în serviciile sale, în special atunci când în contractul de prestare de servicii încheiat
nu se prevede dreptul furnizorului de servicii de cloud de a identifica astfel de date cu
caracter personal sau atunci când clientul a utilizat anumite instrumente, precum criptarea
datelor, care îl împiedică pe furnizorul de servicii de cloud să identifice date cu caracter
personal în serviciile sale.
De remarcat, în primul rând, că, deși fraza poate fi relevantă pentru PaaS/IaaS, posibilitatea
identificării este frecventă în cazul SaaS. Prin urmare, fraza ar trebui modificată astfel încât să
nu excludă în practică posibilitatea identificării de către furnizorii de servicii de cloud.
Grupul de lucru „articolul 29” insistă cu precădere asupra cerințelor sale specifice
referitoare la transferurile și comunicările de date către autorități din afara UE, pe baza
interpretării sale a textului propus pentru articolul 43a din Regulamentul general
privind protecția datelor. Introducerea unei astfel de cerințe în proiectul de cod ar
corespunde, de asemenea, așteptării grupului ca un cod de conduită să depășească simpla
respectare a legii 3.
De asemenea, astfel cum se explică în avizele anterioare 4, în cod ar trebui să se precizeze că:
3
A se vedea WP 13.
4
A se vedea WP 204 rev. 01 – Document explicativ privind Regulile corporatiste obligatorii pentru persoanele
împuternicite de către operator.
8
disproporționate sau nediferențiate într-un mod care ar depăși ceea ce este necesar într-
o societate democratică.
8. Răspunderea
Codul nu cuprinde suficiente explicații cu privire la regimul de răspundere aplicabil părților în
cazul în care acestea din urmă nu își respectă obligațiile de protecție a datelor.
În Avizul nr. 05/2012 al Grupului de lucru „articolul 29” privind „cloud computing” se
subliniază faptul că este important să se clarifice rolul fiecăreia dintre părți, în scopul de a se
stabili obligațiile specifice ale acestora în ceea ce privește legislația în materie de protecție a
datelor și de a se stabili responsabilitatea fiecărei părți în eventualitatea unei încălcări a
acestor norme. Acest mod de procedare contribuie la evitarea eventualelor lacune, adică a
situațiilor în care unele obligații sau drepturi existente în temeiul legislației privind protecția
datelor nu sunt asigurate de niciuna dintre părți 6 . De asemenea, textul propus pentru
articolul 26 alineatul (4) din viitorul Regulament general privind protecția datelor 7 ar trebui să
îi determine pe furnizorii de servicii de cloud să asigure mai multă claritate cu privire la
obligațiile și răspunderea lor în astfel de cazuri. În această privință, codul trebuie să prevină
adoptarea unor condiții generale de utilizare care sunt dezavantajoase pentru clienți
prin faptul că restrâng în mod nejustificat obligațiile și răspunderea furnizorilor de
servicii de cloud și, astfel, drepturile clienților 8.
5
A se vedea p. 11 din Avizul 10/2006 privind prelucrarea datelor cu caracter personal emis de către Societatea
Internațională pentru Telecomunicații Financiare Interbancare (SWIFT).
6
Acest aspect este cu atât mai important, cu cât pot exista diferite niveluri de operatori și situații în care un
furnizor de servicii de cloud poate fi considerat când operator asociat, când operator de sine stătător, în funcție
de împrejurările concrete.
7
Se prevede că, atunci când prelucrează datele cu caracter personal într-un alt mod decât cel prevăzut în
instrucțiunile date de operator, persoana împuternicită de către operator este considerată operator.
8
A se vedea Avizului Autorității Europene pentru Protecția Datelor (AEPD) referitor la Comunicarea Comisiei
privind „Valorificarea cloud computingului în Europa”, 16 noiembrie 2012, p. 5.
9
de servicii de cloud, precum și eventualilor subcontractanți ai persoanelor împuternicite de
către operatori, în plus față de contractul de prestare de servicii (astfel cum s-a menționat în
secțiunea 5.1, de exemplu). Este vorba în special de tratarea reclamațiilor/cererilor formulate
de persoanele vizate (secțiunea 5.8). Prin urmare, în anexa C ar trebui să se precizeze ce
domenii de prelucrare sunt gestionate de furnizorul de servicii de cloud în calitate de
operator asociat, de operator sau de persoană împuternicită de către operator și să se
ofere informații cu privire la împărțirea răspunderii între furnizorul de servicii de cloud
și clientul său.
9. Securitatea
Protecția datelor cu caracter personal cuprinde și asigurarea securității IT. Grupul de lucru
„articolul 29” recomandă ca în structura și conținutul codului să se țină seama de acest aspect,
având în vedere că securitatea nu trebuie considerată un element suplimentar la protecția
datelor cu caracter personal, ci o parte esențială a acesteia.
9
În conformitate cu Avizul nr. 1/2010 al Grupului de lucru „articolul 29” privind conceptele de „operator” și
„persoana împuternicită de către operator”, „totuși, delegarea poate implica un anumit grad de libertate de
decizie cu privire la modul în care interesele operatorului pot fi cât mai bine servite, persoana împuternicită
putând alege mijloacele tehnice și organizaționale cele mai adecvate”.
10
numai ca persoană împuternicită de către operator. Prin urmare, în cod ar trebui stabilite clar
rolurile și responsabilitățile.
În acest scop, este fundamental ca furnizorul de servicii de cloud să ofere clientului informații
suficient de detaliate cu privire la măsurile de securitate implementate de furnizorul de
servicii de cloud. Aceste informații ar trebui completate însă cu informații suficiente cu
privire la amenințările și punctele vulnerabile ale serviciului și infrastructurii
furnizorului de servicii de cloud și cu privire la deciziile de gestionare a riscurilor
adoptate de furnizorul de servicii de cloud. În caz contrar, clientul nu dispune de un context
adecvat pentru a gestiona el însuși riscurile legate de protecția datelor. La furnizarea acestor
informații ar trebui totuși să se țină seama de cerințele de confidențialitate ale furnizorului de
servicii de cloud din motive de securitate și motive economice.
Grupul de lucru „articolul 29” recunoaște și salută existența unui set de obiective minime de
securitate. Acestea sunt însă formulate în mod general și, prin urmare, în cazul unei
autoevaluări din punctul de vedere al securității, s-ar putea ca ele să nu ofere suficiente
garanții pentru o gestionare solidă a securității. Aceste obiective și modul în care sunt
formulate ar putea fi adaptate mai mult la standardele și bunele practici existente în domeniul
securității. De exemplu, chiar dacă în cod este prezentă o metodă de gestionare a riscurilor, nu
există niciun obiectiv clar de securitate care să se refere la aceasta. Grupul de lucru
„articolul 29” recomandă încadrarea acestor obiective de securitate în contextul unui set mai
larg de obiective de protecție a datelor.
11
prezentarea unei copii a certificatului sau a adeverinței care dovedește efectuarea cu succes a
unui audit independent.
În sfârșit, Grupul de lucru „articolul 29” dorește să sublinieze că ISO/IEC 27018 este un
catalog de bune practici pentru furnizorii de servicii de cloud care acționează în calitate de
persoane împuternicite de către operatori. Catalogul conține o listă de controale pentru o mai
bună protecție a vieții private. Standardul ISO/IEC 27018 este numai o culegere binevenită de
controale neobligatorii, neexhaustive și nemaximaliste care pot fi introduse. Standardul nu
este conceput, așadar, să fie utilizat ca document de sine stătător pentru certificare. El poate fi
utilizat în combinație cu ISO/IEC 27001, acesta din urmă permițând certificarea. În
ISO/IEC 27001 nu se ține seama de particularitățile protecției vieții private, cum ar fi efectele
asupra persoanelor fizice, standardul asigurând însă un nivel ridicat de protecție a
informațiilor în interesul organizației. Introducerea unor bune practici bazate pe standardul
ISO/IEC 27018 poate contribui, prin urmare, la asigurarea faptului că protecția vieții private
este mai bine luată în considerare, dar nu reprezintă o dovadă a faptului că riscurile la adresa
vieții private sunt luate în considerare. În cazul ideal, standardul ISO/IEC 27018 ar trebui
utilizat numai după evaluarea riscurilor pentru viața privată a persoanelor în cauză, în vederea
tratării lor în mod proporțional. Pentru moment, modul de desfășurare a acestui proces nu este
descris în niciun standard publicat. Lucrările derulate în prezent în cadrul Organizației
Internaționale de Standardizare (ISO) pot contribui la umplerea acestei lacune în următorii
câțiva ani.
Cu alte cuvinte, condiția prealabilă pentru ca prelucrarea datelor de către furnizorii de servicii
de cloud să fie supravegheată cu eficacitate este aceea ca branșa să respecte o serie de
indicatori-cheie de performanță cu privire la activitatea acestora. Un operator poate să
răspundă efectiv pentru acțiunile sale dacă poate demonstra într-un mod măsurabil că a
respectat obligațiile care îi revin în temeiul legislației UE în materie de protecție a datelor.
Dacă lipsește legătura dintre obligația operatorului de date de a răspunde pentru acțiunile sale
și caracterul măsurabil al prelucrării asigurate de către furnizorii de servicii de cloud pe baza
instrucțiunilor primite de la operator (și acest aspect este deosebit de important atunci când
există un mare dezechilibru între cele două elemente), obligația de a răspunde pentru acțiunile
sale nu poate fi îndeplinită în mod corespunzător.
Poate fi stabilit, în acest caz, dreptul de verificare, astfel încât să fie acoperite diferitele etape
ale prelucrării și să se țină cont de particularitățile riscurilor legate de prelucrarea sau de
12
natura datelor prelucrate; în domeniul de aplicare al acestui drept pot intra dreptul de a
verifica sediul serverelor unde sunt prelucrate și stocate date, dreptul de a verifica logica
utilizată (algoritmii utilizați) în diferitele etape prevăzute pentru întreaga prelucrare și chiar
dreptul de a verifica măsurile de securitate implementate de persoana împuternicită de către
operator.
Grupul de lucru „articolul 29” salută introducerea unor standarde pentru cloud
computing care se referă în special la interoperabilitatea, portabilitatea și securitatea
datelor și îi încurajează pe actorii din branșa să adopte soluții convenite la nivel
internațional în aceste domenii, ca o condiție pentru aderarea la cod. De asemenea, ar
trebui depuse toate eforturile posibile pentru implementarea unor interfețe între
sistemele persoanelor împuternicite de către operatori și aplicațiile operatorilor, astfel
încât să se faciliteze exercitarea fără opreliști a capacităților de verificare asigurate de
furnizorii de servicii de cloud.
Aceste posibilități ar trebui să se reflecte clar în cod. Codul ar trebui să cuprindă cazuri de
utilizare în care sunt stabilite rolurile și responsabilitățile alături de capacitățile de verificare
pe care furnizorii de servicii de cloud le vor pune la dispoziție.
Deși în secțiunea 5.8 a codului se vorbește despre cooperarea cu bună credință a furnizorilor
de servicii de cloud, astfel încât să se protejeze drepturile persoanelor vizate, pe lista acestor
drepturi figurează numai dreptul de a-și accesa datele cu caracter personal, dreptul de a
solicita corectarea acestora și dreptul de a solicita ștergerea promptă și eficientă a acestora.
Singura trimitere la portabilitatea datelor din versiunea actuală se regăsește în formularul
referitor la transparență din anexa A. Întrucât codul ar trebui să ajute la „pregătirea pentru
reforma protecției datelor”, o trimitere la portabilitate ar contribui la durabilitatea
codului.
În sfârșit, în ceea ce privește relația cu persoana vizată, Grupul de lucru „articolul 29” atrage
atenția grupului C-SIG asupra articolului 10 din Directiva 95/46/CE 11.
10
Situația este cunoscută și ca dependență de furnizor (client captiv).
11
Statele membre prevăd ca operatorul sau reprezentantul său să furnizeze persoanei de la care colectează date
care o privesc cel puțin informațiile menționate mai jos, cu excepția cazului în care persoana este deja
informată cu privire la aceste date:
(a) identitatea operatorului și, dacă este cazul, a reprezentantului său;
(b) scopul prelucrării căreia îi sunt destinate datele;
(c) orice alte informații suplimentare, cum ar fi:
- destinatarii sau categoriile de destinatari ai datelor;
- dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum și consecințele posibile ale evitării
răspunsului;
- existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal,
în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații
suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.
13
În consecință, ar fi util ca în cod să se adauge o clauză prin care furnizorului de servicii
de cloud să îi fie reamintit clar că ar trebui, în funcție de context, fie să furnizeze
persoanei vizate informații adecvate, fie să coopereze cu bună credință cu clientul, astfel
încât acesta să poată informa în mod corespunzător persoanele vizate.
12. Concluzii
Grupul de lucru „articolul 29” consideră încurajatoare progresele înregistrate de C-SIG la
elaborarea codului și sprijină C-SIG în eforturile de finalizare a unei versiuni a codului în care
să țină seama de observațiile formulate în prezentul aviz și în schimburile anterioare.
Grupul de lucru „articolul 29” recunoaște că un astfel de cod este valoros pentru branșa de
cloud computing și că acesta le este de ajutor operatorilor de date atunci când evaluează
furnizori de servicii de cloud și anumite produse și servicii de cloud computing. Versiunea
actuală a codului prezintă însă în continuare o serie de lacune semnificative, care ar trebui
umplute înainte de finalizarea codului.
Prin urmare, Grupul de lucru „articolul 29” recomandă grupului C-SIG să ia în considerare
toate observațiile și recomandările Grupului de lucru „articolul 29” și să le includă într-o
versiune finală a codului.
14