Cloud computing και προσωπικά δεδομένα: νομικό καθεστώς και προκλήσεις

Στις 30 Ιουνίου 2015 πραγματοποιείται στο Πανεπιστήμιο Κύπρου το 2ο workshop σχετικά με το cloud computing. (Για το πρόγραμμα του workshop βλ. εδώ ) Η νομική αντιμετώπιση του cloud computing αποτελεί ένα κλασικό πλέον, αλλά πάντοτε επίκαιρο ζήτημα.
Το workshop θα εστιάσει στις νομικές πτυχές του υπολογιστικού νέφους από την σκοπιά της δικαιικής προστασίας των προσωπικών δεδομένων. Με αφορμή αυτή την πολύ σημαντική δράση, θα επιχειρήσουμε μια σύντομη ανάπτυξη βασικών νομικών ζητημάτων που ανακύπτουν από την επεξεργασία προσωπικών δεδομένων σε υπηρεσίες υπολογιστικού νέφους.


Γενικά, ως υπηρεσίες cloud computing εννοούμε τις διαδικτυακές υπηρεσίες αποθήκευσης των δεδομένων του χρήστη ή την εξ αποστάσεως πρόσβαση σε εφαρμογές κατά παραγγελία .
Είναι αναμφισβήτητο ότι τo cloud computing παρέχει πολύ σημαντικά πλεονεκτήματα, όπως εξοικονόμηση κόστους, ευελιξία, ανάπτυξη νέων μορφών συνεργασίας, υψηλή οικολογική συνείδηση.
Ο θαυμαστός κόσμος του cloud βασίζεται στην ιδέα της εξαΰλωσης και της αποκέντρωσης, ενώ στην παροχή υπηρεσιών υπολογιστικού νέφους είναι δυνατό να εμπλέκονται διάφοροι παράγοντες. Στο πλαίσιο αυτό, προγράμματα η/υ χρησιμοποιούνται από απόσταση, αρχεία αποθηκεύονται σε διασκορπισμένους και απομακρυσμένους servers, δίκτυα οργανώνονται και λειτουργούν από απόσταση. Το υπολογιστικό νέφος λειτουργεί ως προέκταση του υλικού στοιχείου ή το αντικαθιστά πλήρως.
Το δίκαιο των προσωπικών δεδομένων είναι δομημένο σε μια αντίθετη λογική, αυτή του ελέγχου της χρήσης δεδομένων από το υποκείμενο των δεδομένων με επίκεντρο τη μέγιστη προστασία του έναντι της αυθαίρετης ή χωρίς άδεια επεξεργασίας από τρίτους.
Στο υπάρχον νομοθετικό πλαίσιο προστασίας προσωπικών δεδομένων (Οδηγία 95/46, άρθρο 2 β)) η έννοια της επεξεργασίας ορίζεται ευρέως ως κάθε εργασία ή σειρά εργασιών που πραγματοποιούνται με ή χωρίς τη βοήθεια αυτοματοποιημένων διαδικασιών και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώρηση, η οργάνωση, η αποθήκευση, η προσαρμογή ή η τροποποίηση, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η ανακοίνωση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, καθώς και το κλείδωμα, η διαγραφή ή η καταστροφή προσωπικών δεδομένων.
Στο πλαίσιο αυτό, είναι σαφές ότι η ανάπτυξη του cloud computing προϋποθέτει την επεξεργασία διαφόρων κατηγοριών προσωπικών δεδομένων με διάφορους τρόπους, σε διαφορετικά επίπεδα και από διαφορετικά πρόσωπα.
Η εφαρμογή της νομοθεσίας για τα προσωπικά δεδομένα στις υπηρεσίες cloud εγείρει ενδιαφέροντα και σύνθετα νομικά ζητήματα. Θα εστιάσουμε σε τρία από αυτά.
Ι. Η διάκριση υπεύθυνου επεξεργασίας και εκτελούντα την επεξεργασία στο cloud

Εφόσον τελείται επεξεργασία προσωπικών δεδομένων, ένα πρώτο βασικό ερώτημα που πρέπει να απαντηθεί είναι ποιο είναι το πρόσωπο το οποίο οφείλει να τηρεί τις αρχές προστασίας που καθιερώνονται από την Οδηγία.  Η Οδηγία εστιάζει στην βασική διάκριση μεταξύ υπεύθυνου επεξεργασίας και εκτελούντα την επεξεργασία.

Ως «υπεύθυνος της επεξεργασίας» νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που μόνος ή από κοινού με άλλους καθορίζει τους στόχους και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Ενώ, ως «εκτελών την επεξεργασία», νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
Δεδομένου ότι στο cloud computing, είναι ο πελάτης υπηρεσιών νεφοϋπολογιστικής που καθορίζει τον τελικό σκοπό της επεξεργασίας και αποφασίζει ή όχι να αναθέσει την επεξεργασία και την εκχώρηση του συνόλου ή μέρους των δραστηριοτήτων επεξεργασίας σε εξωτερικό τρίτο οργανισμό, θα πρέπει, καταρχήν, να θεωρηθεί ότι ο πελάτης υπηρεσιών νεφοϋπολογιστικής ενεργεί ως ο υπεύθυνος της επεξεργασίας των δεδομένων (controller).
Αυτό μάλιστα θα εξακολουθήσει να ισχύει ακόμη και όταν ο πελάτης, πχ μια εταιρία ή μια υπηρεσία που θέλει να αποθηκεύσει δεδομένα που κατέχει για τους πελάτες της στο public cloud, δεν έχει τη διαπραγματευτική δύναμη να αλλάξει τους προδιατυπωμένους όρους που προτείνει ένας ισχυρός πάροχος υπηρεσιών cloud. Στο πλαίσιο αυτό, θα πρέπει να επιλεγεί ο πάροχος οι όροι του οποίου πληρούν τις ευρωπαϊκές αρχές προστασίας των δεδομένων. Βλ. σχετικά Γνώμη της Ομάδας του αρ. 29 σχετικά με το cloud computing .
Έχει ωστόσο, υποστηριχθεί ότι στην περίπτωση αυτή ως υπεύθυνος επεξεργασίας πρέπει να θεωρείται a priori και ο πάροχος υπηρεσιών cloud. Αυτή πχ είναι η γνώμη της γαλλικής Αρχής προστασίας προσωπικών δεδομένων (CNIL,Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing), η οποία θεωρεί ότι αυτή συνιστά μια περίπτωση όπου ο σκοπός και ο τρόπος της επεξεργασίας αποφασίζεται και από τον πάροχο, δεδομένου ότι ο πελάτης δεν μπορεί να δώσει οδηγίες και να εγγυηθεί την ασφάλεια των δεδομένων αφού προσχωρεί σε προδιατυπωμένους όρους .
Ο πάροχος υπηρεσιών cloud computing, ο οποίος δεν καθορίζει τον σκοπό της επεξεργασίας αλλά παρέχει τα μέσα και την πλατφόρμα, ενεργώντας εξ ονόματος του πελάτη, θα θεωρείται κατά κανόνα ως εκτελών την επεξεργασία (processor). Ωστόσο, δεν θα πρέπει να αποκλείεται ο πάροχος υπηρεσιών cloud computing να θεωρείται και αυτός υπεύθυνος επεξεργασίας αναφορικά με επεξεργασία δεδομένων που κάνει για δικούς του σκοπούς. Για παράδειγμα, εάν μια υπηρεσία πχ ένας δήμος αποφασίζει να αναπτύξει μια εφαρμογή σε ένα δίκτυο κοινωνικής δικτύωσης μέσω της οποίας θα συλλέγει και θα επεξεργάζεται δεδομένα από χρήστες, θα θεωρείται ως υπεύθυνος αυτής της επεξεργασίας. Το δίκτυο κοινωνικής δικτύωσης θα θεωρείται υπεύθυνος επεξεργασίας για δεδομένα των χρηστών αυτής της εφαρμογής που επεξεργάζεται το ίδιο για δικούς του σκοπούς πχ διαφημιστικούς ή μάρκετινγκ (Βλ. ICO, Guidance on the use of cloud computing) .
Συχνά, ωστόσο, στην επεξεργασία δεδομένων μέσω υπηρεσιών cloud δεν λαμβάνουν μέρος μόνο ο πελάτης και ο πάροχος αλλά και τρίτα πρόσωπα, υπεργολάβοι, στους οποίους ανατίθεται με υπεργολαβία μέρος της επεξεργασίας από τους εκτελούντες την επεξεργασία. Στην περίπτωση αυτή, θα πρέπει να προβλέπεται με ειδική συμβατική πρόβλεψη ότι ο υπεργολάβος έχει τις ίδιες υποχρεώσεις με τον εκτελούντα την επεξεργασία. Κατά την Γνώμη μάλιστα της ομάδας εργασίας του άρθρου 29, ο εκτελών την επεξεργασία μπορεί να αναθέτει με υπεργολαβία τις δραστηριότητές του μόνο εφόσον έχει τη συγκατάθεση του υπευθύνου της επεξεργασίας, η οποία δύναται να δίδεται γενικώς κατά την έναρξη της παροχής της υπηρεσίας με τη σαφή υποχρέωση του εκτελούντος την επεξεργασία να ενημερώνει τον υπεύθυνο της επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση υπεργολάβων, με τον υπεύθυνο δε της επεξεργασίας να διατηρεί πάντοτε τη δυνατότητα να αντιταχθεί στις αλλαγές αυτές ή να τερματίσει τη σύμβαση .
Η διάκριση μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντα την επεξεργασία είναι κομβική, αλλά χρειάζεται σε κάποιο βαθμό να σχετικοποιηθεί, καθώς ακόμα και ως απλός εκτελών την επεξεργασία, η υπηρεσία cloud computing βαρύνεται με μια πολύ σημαντική υποχρέωση : την εγγύηση της ασφάλειας των δεδομένων έναντι του κινδύνου μιας διαδικτυακής επίθεσης.
Βάσει του άρθρου 17 της Οδηγίας τόσο ο υπεύθυνος της επεξεργασίας όσο και ο εκτελών την επεξεργασία υποχρεούνται να διασφαλίζουν την ασφάλεια της επεξεργασίας. Ειδικότερα, ο υπεύθυνος της επεξεργασίας πρέπει να λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία από τυχαία ή παράνομη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση, ιδίως εάν η επεξεργασία συμπεριλαμβάνει και διαβίβαση των δεδομένων μέσων δικτύου, και από κάθε άλλη μορφή αθέμιτης επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Τα μέτρα αυτά πρέπει να εξασφαλίζουν, λαμβανομένης υπόψη της τεχνολογικής εξέλιξης και του κόστους εφαρμογής τους, επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που απορρέουν από την επεξεργασία και τη φύση των δεδομένων που απολαύουν προστασίας.
.
ΙΙ. Η αποθήκευση των δεδομένων εκτός Ευρώπης

Η ΕΕ έχει ήδη από την Οδηγία 95/46 υιοθετήσει ένα πρωτοποριακό σύστημα ελέγχου της εφαρμογής του καθεστώτος της εκτός ΕΕ με δύο στόχους : την αποφυγή του ενδεχομένου της παράκαμψης αυτού του ισχυρού συστήματος προστασίας και την εξασφάλιση ότι το ευρωπαϊκό καθεστώς θα αποτελεί πρότυπο για την θέσπιση ενός υψηλού επιπέδου προστασίας σε παγκόσμιο επίπεδο. Ειδικότερα, υπηρεσία τρίτης χώρας κινδυνεύει να κριθεί ως παράνομη εάν προσφέρεται στην ΕΕ και κινδυνεύει, επίσης, να θεωρηθεί ότι παρανομεί ο υπεύθυνος επεξεργασίας ο οποίος «μετακομίζει» τα δεδομένα σε υπηρεσία τρίτης χώρας.
Η ρύθμιση προβλέπει συγκεκριμένες διαδικασίες : υποχρέωση ειδοποίησης στην αρμόδια εθνική αρχή ή σύναψη ειδικής σύμβασης εξασφάλισης των δικαιωμάτων των πολιτών μεταξύ ΕΕ και τρίτης χώρας που φιλοξενεί την διαδικτυακή υπηρεσία.
ΙΙΙ. Η απειλή του cloud computing για τονιδιωτικό βίο

Η πιο βασική προβληματική του cloud computing κατά μια έννοια βρίσκεται στον κίνδυνο μεγάλης υπαναχώρησης της προστασίας της ιδιωτικής ζωής σε πρακτικό επίπεδο. Η σταδιακή άνθηση των κοινωνικών δικτύων τα τελευταία 10 χρόνια έχει προετοιμάσει το πεδίο για μια εκτεταμένη αποκάλυψη και έκθεση των προσωπικών στοιχείων του ατόμου σε εταιρείες επικοινωνίας. Ωστόσο, μέχρι τώρα, απλά δεδομένα του υπολογιστή ή δεδομένα αποθηκευμένα σε άλλη συσκευή (όπως π.χ. οι φωτογραφίες του κινητού μας τηλεφώνου) βρίσκονταν τεχνικά εκτός της σφαίρας επιρροής αυτών των πρωταγωνιστών της κοινωνίας της πληροφορίας.
Οι υπηρεσίες Cloud είναι εξαιρετικά δελεαστικές, μια και εξουδετερώνουν τον φόβο της απώλειας των δεδομένων και την ανάγκη της μεταφοράς των δεδομένων σε υλικό φορέα αποθήκευσης. Τα δεδομένα, αντίθετα, καθίστανται άμεσα διαθέσιμα σε κάθε σημείο όπου υφίσταται σύνδεση Ίντερνετ. Ωστόσο, η συστηματοποίηση αυτής της πρακτικής έχει ως συνέπεια το άτομο να χάνει τον απόλυτο έλεγχο στα δεδομένα του. Ακόμα και εάν πρόκειται για μη προσωπικά δεδομένα, όπως τιμολόγια, μουσική, βίντεο, σημειώσεις μαθημάτων, πρόκειται για στοιχεία των οποίων η σύνδεσή τους με ένα συγκεκριμένο άτομο αποκαλύπτει έναν εξαιρετικά μεγάλο όγκο πληροφοριών για τον πελάτη της υπηρεσίας.
De lege ferenda, μπορεί να αναρωτηθεί κανείς κατά πόσο η υφισταμένη νομοθεσία επαρκεί για να ρυθμίσει αυτήν την νέα κατάσταση. Πράγματι, το υπάρχον νομοθετικό πλαίσιο βασίζεται κυρίως στην ελευθερία του ατόμου να αποκαλύψει τα δεδομένα του, υπό τα εχέγγυα μιας επαρκούς ενημέρωσης αναφορικά με τον μηχανισμό και τον σκοπό της επεξεργασίας. Ωστόσο, στο cloud οι εταιρείες έχουν πλέον μια άμεση πρόσβαση στην εσωτερική σφαίρα της ιδιωτικής ζωής του ατόμου. Σ’ αυτό το πλαίσιο, και χωρίς να τεθούν δικαιικά εμπόδια που θα αποθαρρύνουν την δυναμική βιομηχανία του cloud, απαιτείται μια αναθεώρηση του γενικού νομικού πλαισίου με στόχο έναν αποτελεσματικό έλεγχο σχετικά με ποια δεδομένα συλλέγονται και για ποιον σκοπό.

facebooktwittergoogle_plusredditpinterestlinkedinmailby feather
facebooktwittergoogle_pluslinkedinrssyoutubeby feather