Поиск по сайту:

Что означает Schrems 2 для облачных вычислений?

Действие GDPR не ограничивается границами Европы. Использование неевропейских облачных платформ и программного обеспечения как услуги внутри Европы стало намного сложнее.

Защита данных и кибербезопасность

Защита данных и кибербезопасность — разные, но связанные темы. Кибербезопасность — это совокупность технологий, средств контроля и поведения, которые в совокупности формируют реакцию организации на риск киберугроз. Кибербезопасность означает не допускать злоумышленников и не допускать доступа к данным.

Защита данных — это набор инструментов управления и контроля (в основном политик и процедур), предназначенных для защиты личных данных и обеспечения их использования в соответствии с буквой закона.

Некоторые из требований к защите удовлетворяются вашими мерами кибербезопасности, и это точка пересечения защиты данных и кибербезопасности. Защита также означает, что ваши сотрудники не допускают утечки данных из-за простых ошибок, таких как отправка электронной таблицы не тому получателю. И здесь в игру вступают ваши политики и процедуры управления данными.

Структура этих документов и меры, которые они должны обеспечивать, определяется законами и правилами, которых вы должны придерживаться. Это установлено местным законодательством, которое, в свою очередь, зависит от географии и политики.

Предприятия, использующие облачные вычисления, могут располагаться за тысячи километров от своих бизнес-приложений, данных и серверов. Например, компания, базирующаяся в Европе, может использовать услугу, физически расположенную в центре обработки данных в Соединенных Штатах.

Передача персональных данных в неевропейские страны затруднена. И это только усложнялось.

GDPR

Общий регламент по защите данных 2016 года вступил в силу в 2018 году.

GDPR касается обработки, хранения и передачи персональных данных или информации, позволяющей установить личность (PII). Обработка означает выполнение любых действий с личными данными или с ними. Выполнение сложного SQL-запроса для извлечения записей, соответствующих определенной демографической группе, или отправка одного электронного письма одному получателю являются примерами обработки.

Существует юридическое требование к организациям, которые обрабатывают, хранят или передают персональные данные, применять удовлетворительное управление и меры безопасности в отношении данных. Целью этого требования является защита и соблюдение прав и свобод субъектов данных — людей, которым принадлежат данные.

Это очень быстро — GDPR — это 88 страниц лаконичной бюрократии. Этого много, много, и дьявол кроется в деталях.

Личные данные

Персональные данные — это любая информация, относящаяся к физическому лицу, независимо от того, касается ли она его личной, профессиональной или общественной жизни. Это огромный размах. Это может быть что угодно: имя, домашний адрес, фотография, адрес электронной почты, банковские реквизиты, сообщения в социальных сетях, медицинская информация, IP-адрес компьютера и так далее.

И вам не нужно хранить достаточно информации, чтобы идентифицировать человека, чтобы она была классифицирована как персональные данные. Это как цифровой пазл. Если у вас есть одна часть головоломки, которую можно использовать с другими частями — даже если они должны быть получены из другого источника — для идентификации человека, ваша отдельная часть информации классифицируется как персональные данные и должна обрабатываться в соответствии с GDPR. .

На самом деле, это глобально

Самый большой миф о GDPR заключается в том, что он применяется только к государствам членам Европейского Союза и с этим должны иметь дело только европейские организации.

Реальность такова, что если вы нанимаете европейцев, имеете какие-либо помещения в Европе, торгуете с европейскими компаниями или гражданами, на вас распространяется GDPR. GDPR — это регламент, который защищает граждан Европы и их личные данные и применяется к любой организации, которая обрабатывает любые личные данные, принадлежащие европейцам. Так Google был оштрафован на более чем 50 миллионов долларов США.

Есть несколько исключений. Неевропейские компании с менее чем 250 сотрудниками по-прежнему должны защищать данные и использовать их в соответствии с GDPR, но они избавлены от бумажной работы и ведения документации.

И слово принадлежность интересно в этом контексте.

Мы привыкли думать о моей базе данных, моей электронной таблице, моем списке рассылки и так далее. И правильно, они ваши. Но если мои данные находятся в любой из ваших цифровых систем, по закону это мои данные и у вас есть их копия . Это не ваши данные. Это мое. И у меня есть права субъекта данных, определяющие, что вы можете и что не можете делать с этими данными.

Прошли те времена, когда вы могли беззаботно собирать данные, делать с ними все, что хотели, и могли делиться ими с теми, с кем сочтете нужным. Теперь вам нужна правовая основа даже для сбора данных, а также законная основа для их обработки.

Пересечение границ

GDPR говорит, что вы можете передавать личные данные в другие страны только в том случае, если они:

  • В Европейском Союзе
  • В Европейской экономической зоне
  • Существует собственное законодательство о защите данных, которое Европейская комиссия с учетом выводов Европейского совета по защите данных сочла адекватным. Эти постановления называются решениями об адекватности.

Если вы не находитесь в Европейском союзе или Европейской экономической зоне, вы классифицируетесь как третья страна.

На данный момент Андорра, Аргентина, Канада, Фарерские острова, Гернси, Израиль, остров Мэн, Япония, Джерси, Новая Зеландия, Швейцария и Уругвай являются третьими странами с решениями об адекватности.

Персональные данные могут быть переданы в любую из этих третьих стран, где они будут обрабатываться, храниться и передаваться с такой же степенью защиты и управления, как если бы они обрабатывались в регионе, подпадающем под действие GDPR.

В этом списке отсутствуют два имени. Их отсутствием бросаются в глаза Соединенные Штаты и Великобритания.

Великобритания и Brexit

Великобритания находится в процессе выхода из Европейского Союза. Если Великобритания покинет Европейский Союз без торговой сделки, позволяющей ей оставаться действующим членом Европейской экономической зоны, она станет третьей страной и потребует адекватного решения о подходящей системе защиты данных и законодательстве.

В Соединенном Королевстве для этого есть готовое законодательство. Глава вторая Закона Соединенного Королевства о защите данных 2018 года содержит (более или менее) весь GDPR. Итак, законодательство готово, оно уже закреплено в британском законодательстве, и оно обязательно должно быть адекватным, потому что это это GDPR.

Проблема в том, что процесс принятия решения об адекватности очень медленный.

США и Privacy Shield

Соединенные Штаты имеют частичное решение об адекватности. ЕС-США и Швейцария-США Платформы Privacy Shield были разработаны Министерством торговли США, Европейской комиссией и администрацией Швейцарии, чтобы обеспечить приемлемый механизм передачи персональных данных между Европейским союзом, Швейцарией и Соединенными Штатами.

Соединенным Штатам было вынесено частичное решение об адекватности, поскольку Privacy Shield не является общенациональным законодательством и не является обязательным. Организации решают, должны ли они участвовать или нет. Это согласие.

На самом деле правильнее сказать, что Соединенные Штаты приняли решение о частичной адекватности.

Шремс 2

Фреймворк Privacy Shield работал хорошо. Это позволило американским поставщикам облачных платформ и компаниям, предлагающим программное обеспечение как услугу, торговать в Европе и обслуживать европейских клиентов, даже если их центры обработки данных могли располагаться в Соединенных Штатах.

Это работало хорошо, пока Максимилиан Шремс, австрийский активист по защите данных, не подал иск в Суд Европейского Союза (CJEU). Он выиграл дело, и 16 июля 2020 года СЕС вынес решение. За этим последовало заявление с изложением позиции Федерального комиссара Швейцарии по защите данных и информации.

Дело сводилось к тому, была ли структура Privacy Shield достаточно надежной, чтобы гарантировать даже частичное решение об адекватности. Выиграв дело, Privacy Shield был признан недействительным.

Часть дела зависела от инициатив Соединенных Штатов по массовому сбору данных и наблюдению, таких как PRISM и UPSTREAM, а также способности Агентства национальной безопасности и других подобных агентств запрашивать личные данные клиентов у американских компаний.

Что теперь?

Крупные организации, такие как Google и Microsoft, имеют центры обработки данных, стратегически расположенные в разных регионах, таких как Европа, Африка, Ближний Восток и Азия. Это делается специально для обслуживания этих регионов изнутри этих регионов. Но наличие центров обработки данных в Европе не решает проблему. АНБ по-прежнему может заставить их передать данные, независимо от местоположения центра обработки данных. Просто наличие дата-центра в Европе ничего не решает.

Подводя итог, можно сказать, что Соединенные Штаты являются третьей страной, не принявшей решения об адекватности, и весьма вероятно, что Соединенное Королевство вскоре окажется в точно таком же положении.

Не будет простого способа передачи персональных данных между европейскими компаниями и британскими или американскими компаниями. Даже внутри международной корпорации или группы компаний перемещение данных из офиса в Европе в филиал в Лондоне или Нью-Йорке будет затруднено.

Но должен быть какой-то способ, чтобы европейская компания могла отправлять данные в третью страну без решения об адекватности. Европейский совет по защите данных, конечно же, не мог ожидать, что GDPR рухнет, как гильотина, и разорвет существующие деловые связи, например, с Ближним Востоком?

На самом деле, на этот случай существуют резервы. Они есть:

  • Отступления
  • Кодексы поведения и механизмы сертификации
  • Обязательные корпоративные правила
  • Стандартные условия договора

Это что-то. Но даже так, это не будет простым плаванием.

Отступления

Отступления — это отклонения от буквы GDPR для конкретной страны, которые были одобрены Европейской комиссией и надзорным органом страны в Европе. Каждый бизнес должен направить свой собственный случай.

Отступления допускают определенную степень гибкости в определенных условиях и представляют собой оправданный и оправданный отход от обычных требований. К сожалению, применять их нужно ограничительно, и они не могут стать нормой. Они по определению являются исключением из правил. Кроме того, они относятся к «действиям обработки, которые являются случайными и неповторяющимися».

Таким образом, отступления нецелесообразны для обычной деловой передачи персональных данных.

Кодексы поведения и механизмы сертификации

Европейский совет по защите данных заявляет, что Кодексы поведения и механизмы сертификации могут обеспечить надлежащие гарантии передачи персональных данных в третьи страны, если у компании есть обязательные и подлежащие исполнению обязательства в третьей стране.

Ассоциации и профессиональные организации могут готовить кодексы для утверждения и регистрации. В статье 42 GDPR говорится, что «механизмы сертификации защиты данных, печати или знаки… могут быть установлены с целью демонстрации наличия соответствующих гарантий, предоставляемых контролерами или обработчиками данных, на которые не распространяется действие настоящего Регламента».

Для создания такой схемы потребовался бы огромный объем работы.

  • Подходящий кодекс поведения и механизм сертификации должны быть разработаны торговыми ассоциациями или профессиональными организациями в третьей стране.
  • Кодекс должен быть оценен и одобрен Европейским советом по защите данных.
  • Компании, представленные торговой ассоциацией или органом в третьей стране, должны будут принять кодекс и иметь возможность подтвердить его соблюдение.
  • Участвующие компании должны пройти проверку и, если они пройдут проверку, пройти сертификацию. Для этого необходимо создать орган по сертификации.
  • Участвующие компании затем должны контролироваться, чтобы обеспечить постоянное соблюдение кодекса.

Утвержденных кодексов поведения нет ни в Соединенных Штатах, ни в Соединенном Королевстве, хотя Управление уполномоченного по информации Соединенного Королевства сообщает, что у них есть процедуры для приема заявлений. Не ждите быстрого результата.

Обязательные корпоративные правила

Обязательные корпоративные правила — это внутренние правила, определяющие международную политику многонациональных групп компаний и международных организаций в отношении трансграничной передачи персональных данных, но в рамках одной организации.

Обязательные корпоративные правила подробны и всеобъемлющи и очень похожи на контракты. Существует стандартный набор информации и тем, обязательных для включения. Обязательные корпоративные правила должны быть представлены на рассмотрение и утверждение надзорным органом европейской страны.

Обязательные корпоративные правила сложны и требуют много времени для создания, но для многонациональной или крупной международной организации они значительно упростят передачу данных после их внедрения.

Стандартные договорные положения

Как европейская компания, так и компания в третьей стране должны согласиться на использование договора со стандартными договорными условиями, одобренными Европейской комиссией. Эти контракты обеспечивают дополнительные гарантии защиты данных, необходимые в случае передачи персональных данных в любую третью страну.

Стандартные договорные положения должны быть подписаны обеими сторонами. Если они не подписаны, они не считаются действующими.

Стандартные договорные положения могут быть включены в более широкий договор, а также могут быть добавлены дополнительные положения, если они прямо или косвенно не противоречат стандартным договорным положениям. Вы не можете добавлять пункты в договор, чтобы попытаться переопределить любые требования стандартных пунктов договора, которые вам не нравятся.

Вы можете изменить стандартные договорные положения, чтобы учесть конкретную или конкретную ситуацию. После того, как они были изменены, они, конечно, больше не являются стандартными договорными пунктами. Они становятся специальными контрактными положениями, и прежде чем их можно будет использовать, они должны быть одобрены надзорным органом по защите данных европейской компании.

Европейская комиссия подготовила наборы стандартных договорных положений, и из четырех доступных вариантов они кажутся лучшим общим решением.

Это решение?

Возможно. Трудно представить, как такие компании, как Microsoft, Amazon и Google, смогут согласовать и подписать копию стандартных договорных положений для каждой европейской компании, которая захочет с ними работать.

Некоторые поставщики программного обеспечения как услуги включили в свои условия стандартные договорные положения. Но удовлетворит ли их формулировка требованиям Еврокомиссии? Другой вопрос - подпись. Поставщики услуг надеются, что ваше согласие с их условиями заменит подпись.

Возможно, потребуется тестовый пример, чтобы создать прецедент, прежде чем это станет ясно.