SlideShare a Scribd company logo

Legal issues of cloud computing, Evangelia Vagena

Evangelia Vagena
Evangelia Vagena

Legal issues of cloud computing

Law
1 of 27
Download to read offline
Νομικά ζητήματα νεφοϋπολογιστικής Legal issues of cloud computing Ευαγγελία Βαγενά, ΔΝ, DEA Δικηγόρος- Καθηγήτρια Τμήματος Πληροφορικής Μητροπολιτικού Κολλεγίου Ανοιχτό Σεμινάριο «Σύγχρονες Τάσεις και Συμβουλές για το Cloud Security» 21 Δεκεμβρίου-Μητροπολιτικό Κολλέγιο
Nεφοϋπολογιστική = Cloud computing "marketing hype" or the "latest fashion”?  σύνολο τεχνολογιών και μοντέλων υπηρεσιών που εστιάζουν στη διαδικτυακή χρήση και παροχή εφαρμογών τεχνολογίας των πληροφοριών, στη δυνατότητα επεξεργασίας δεδομένων, στην παροχή χώρου αποθήκευσης δεδομένων και στην παροχή μνήμης  in simplified terms can be understood as the storing, processing and use of data on remotely located computers accessed over the internet (ΕU com)
European Cloud Computing Strategy Communication on the "Unleashing the Potential of Cloud Computing in Europe" of 27 September 2012  «cutting through the jungle of standards»  interoperability of cloud services, facilitating data portability and reversibility  establishment of a European Cloud Partnership to drive innovation and growth for the public sector  European Cloud Partnership (ECP)  Cloud Service Level Agreement Standardisation Guidelines by Cloud Select Industry Group ("C- SIG")  draft data protection Code of Conduct for providers  Safe and Fair Contract Terms and Conditions  expert group to work on safe and fair terms for cloud computing for consumers and small firms https://ec.europa.eu/digital-single-market/en/cloud
Cloud υπηρεσίες: επισκόπηση νομικών ζητημάτων  Ζητήματα σχετικά με τις συμβάσεις νεφοϋπολογιστικής  Ιδιαίτερα • ζητήματα ευθύνης εν γένει για το αποθηκευμένο περιεχόμενο • ζητήματα προστασίας προσωπικών δεδομένων • zητήματα ασφάλειας δικτύων και πληροφοριών • ζητήματα προστασίας πνευματικής ιδιοκτησίας
Cloud υπηρεσίες: κάθετη ρύθμιση νομικών ζητημάτων  Αρχές προστασίας προσωπικών δεδομένων :  κατευθυντήριες γραμμές από Δανία, Γαλλία, Λιθουανία, Ισπανία  Οικονομικές αρχές:  οδηγίες για την ισχύ υπηρεσιών cloud από Ουγγαρία, Λουξεμβούργο, Σουηδία  Δημόσιος τομέας:  Πρωτοβουλίες και ρυθμίσεις για χρήση υπηρεσιών cloud  Η.Β. G-Cloud initiative  Γαλλία Andromède project  Γερμανία "Trusted Cloud“  Ιδιωτικός τομέας:  Πρωτοβουλίες αυτορρύθμισης, π.χ. IT & Telekomföretagen, Σουηδική ένωση εταιρειών ΤΠΕ, General Terms on Cloud Computing
Cloud συμβάσεις: βασικά ζητήματα - key contractual issues  Περιγραφή αντικειμένου & επιπέδου παρεχόμενης εξυπηρέτησης (Service Level Agreement-SLA, ενδεχομένως και operational-level agreement - OLA)  Πολιτική χρήσης (acceptable use policy- AUP)  Προστασία δεδομένων προσωπικού χαρακτήρα (Data protection)  Διανοητική ιδιοκτησία, προστασία άυλης ιδιοκτησίας (Intellectual property Rights)  Ευθύνη έναντι αξιώσεων τρίτων (Warranties, liability for third party claims)  Καταγγελία σύμβασης & συνέπειες ιδίως σχετικά με τα διατηρούμενα δεδομένα (Termination of the contract, effects of termination and data preservation in particular)  Τροποποίηση σύμβασης ή όρων της (Modification of the contact or terms and conditions)  Ασφάλεια δεδομένων (Security of data, loss of data)
Cloud συμβάσεις: τυπολογία- ορολογία Αρχικά:  SaaS = Software as a Service  IaaS =Infrastructure as a Service  PaaS=Platform as a service Μετέπειτα:  DaaS =Data as a service  NaaS= Network as a service  CaaS= Communications as a service  MaaS =Monitoring as a service  XaaS =Everything as a service Επηρεάζει νομικό χαρακτηρισμό σύμβασης: • σύμβαση μίσθωσης (π.χ. αποθήκευση) • σύμβαση παροχής υπηρεσιών (π.χ. συντήρηση λογισμικού) • σύμβαση έργου (π.χ. εγκατάσταση εφαρμογής) • σύμβαση χρησιδανείου (π.χ. παροχή sw δωρεάν) • sui generis?
Cloud συμβάσεις: γενικό ισχύον πλαίσιο  Δυνατή η παραπομπή στους όρους χρήσης (terms of use) μιας ιστοσελίδας εάν είναι ευδιάκριτοι και εύληπτοι  Για B2C εφαρμογή ρυθμίσεων:  δικαίου προστασίας καταναλωτή  για εξ αποστάσεως συμβάσεις  ΠΔ ηλεκτρονικού εμπορίου  Έλεγχος βάσει:  Ρυθμίσεων για Γενικούς όρους συναλλαγών(ΓΟΣ)- καταχρηστικούς γενικούς όρους  Για την ερμηνεία τους:  Θεωρία του σκοπού  Συναλλακτικά ήθη
Cloud συμβάσεις: εφαρμοστέο δίκαιο  Συνήθως ορίζεται από τα μέρη- ελευθερία επιλογής  Αν όχι, εφαρμογή Κανονισμού (ΕΚ) αριθ. 593/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Ιουνίου 2008 , για το εφαρμοστέο δίκαιο στις συμβατικές ενοχές (Ρώμη Ι)  Βλ. α. 4, π.χ. ελλείψει επιλογής «η σύμβαση παροχής υπηρεσιών διέπεται από το δίκαιο της χώρας στην οποία ο πάροχος υπηρεσίας έχει τη συνήθη διαμονή του»  Επί αδικοπραξίας, α. 4 Κανονισμού 864/2007 για το εφαρμοστέο δίκαιο στις εξωσυμβατικές ενοχές (Ρώμη ΙΙ)  συνήθως το δίκαιο του κράτους στο οποίο επήλθε η ζημιά
Cloud υπηρεσίες: η ευθύνη για το παράνομο αποθηκευμένο περιεχόμενο  EE- Ρυθμίσεις οδηγίας για το ηλεκτρονικό εμπόριο  E commerce directive (EU)  DMCA (US)  512(c)  notice and take down system  Καταρχήν «ανεύθυνο» υπό προϋποθέσεις – no monitoring obligation  Προϋπόθεση:  μη εμπλοκής στο περιεχόμενο  απουσία πραγματικής γνώσης  Cloud service= hosting service?  Δύσκολο αν παρέχει και άλλες λειτουργίες
Cloud υπηρεσίες: ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα  Προσωπικά δεδομένα= κάθε πληροφορία που αναφέρεται σε και περιγράφει ένα άτομο  Κρίσιμο ζήτημα για το εφαρμοστέο δίκαιο:  Μέχρι τώρα εφαρμόζεται το δίκαιο της χώρας όπου γίνεται η επεξεργασία ή της λήψης των δεδομένων (α.4 οδ. 95/46/ΕΚ)  GDPR:  Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης».  Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με: α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή β) την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.
Cloud υπηρεσίες: Υφιστάμενο εθνικό πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα  Βασικός νόμος 2472/1997 και ν. 4139/2013  Ουσιαστικά ενσωμάτωση κοινοτικών προβλέψεων  Ορισμός- διακρίσεις:  απλά, ευαίσθητα  Αρχές σύννομης επεξεργασίας  Υποχρεώσεις (γνωστοποίηση, άδεια κ.ο.κ)  Κυρώσεις  Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)
Cloud υπηρεσίες: Το νέο θεσμικό πλαίσιο προσωπικών δεδομένων -“data reform package”  Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων- General Data Protection Regulation/ GDPR).  Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου.  Οδηγία (ΕΕ) 2016/681 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016, σχετικά με τη χρήση των δεδομένων που περιέχονται στις καταστάσεις ονομάτων επιβατών (PNR) για την πρόληψη, ανίχνευση, διερεύνηση και δίωξη τρομοκρατικών και σοβαρών εγκλημάτων.  Διαδικασία αναθεώρησης Οδηγίας e- privacy - (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες)
Cloud υπηρεσίες: βασικές αρχές επεξεργασίας δεδομένων  Αρχή της νομιμότητας της επεξεργασίας  Διαφάνεια όρων  Aρχή της θεμιτής και νόμιμης συλλογής  Πλήρης ενημέρωση τρόπου συλλογής  Αρχή του σκοπού  Ενημέρωση από πριν, επεξεργασία μόνο για ότι δόθηκε συναίνεση  Αρχή της αναλογικότητας/ ή συνάφειας  Μόνο στο βαθμό που απαιτούνται για την επίτευξη του σκοπού  Αρχή της ορθότητας των δεδομένων  π.χ. χρήση συστημάτων ανίχνευσης/ πρόληψης εισβολών (IPS/IDS)  Αρχή της χρονικά πεπερασμένης διάρκειας τήρησης  Διαγραφή δεδομένων μετά- ρητή συμβατική ρύθμιση προτιμητέα  Αρχή του απορρήτου  π.χ. χρήση κρυπτογράφησης  Αρχή της ασφάλειας  π.χ διαθεσιμότητα σε περίπτωση DoS
Cloud υπηρεσίες: Διασυνοριακή ροή δεδομένων  Ευρωπαϊκή Ένωση: ενιαίος χώρος κυκλοφορίας και προστασίας προσωπικών δεδομένων – σκοπός εναρμόνισης  Κράτη με ικανοποιητικό επίπεδο προστασίας  Διαπίστωση ικανοποιητικού επιπέδου από Αρχή Προστασίας Προσωπικών Δεδομένων  Αποφάσεις της Ευρωπαϊκής Ένωσης  ΗΠΑ δεν έχουν αντίστοιχη νομοθεσία αλλά ειδική συμφωνία με ΕΕ για διαβίβαση δεδομένων για ΗΠΑ βλ. Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU- U.S. Privacy Shield  Κράτη χωρίς ικανοποιητικό επίπεδο επεξεργασίας  Κατ’ εξαίρεση άδεια της Αρχής εφόσον συντρέχουν οι προβλεπόμενες στο νόμο προϋποθέσεις
Cloud υπηρεσίες: ο νέος Κανονισμός GDPR  Αντικαθιστά τη βασική Οδηγία 95/46/ΕΚ  Έχει τεθεί σε ισχύ από τις 4.5.2016, θα τεθεί σε εφαρμογή από τις 25 Μαΐου 2018  Έως τότε οι εταιρείες θα πρέπει να εξασφαλίσουν ότι ανταποκρίνονται στις επιβαλλόμενες νέες υποχρεώσεις  Θα βοηθηθούν από οδηγίες, γνωμοδοτήσεις, κατευθυντήριες γραμμές αρμόδιων αρχών
Cloud υπηρεσίες: GDPR- βασικές ρυθμίσεις  Ανανεωμένοι & νέοι ορισμοί, π.χ.:  Κατάρτιση προφίλ, Ψευδωνυμοποίηση, Γενετικά δεδομένα, βιομετρικά δεδομένα  Ευαίσθητα: +γενετικά, βιομετρικά  Ειδικές προϋποθέσεις για συγκατάθεση παιδιού  Επαναδιατύπωση αρχών επεξεργασίας  Νέα δικαιώματα «υποκειμένων»  Διαγραφής- δικαίωμα λήθης (Βλ. υπόθεση Costeja)  Φορητότητας δεδομένων  Εναντίωσης στην κατάρτιση προφίλ ή σε απόφαση βάσει αυτού  Πληροφόρησης για παραβίαση  Τροποποίηση υποχρεώσεων υπεύθυνων επεξεργασίας  Κατάργηση υποχρέωσης γνωστοποίησης αρχείου  Privacy by design & privacy by default  Διατήρηση αρχείων επεξεργασίας  Γνωστοποίηση εντός 72 ωρών παραβιάσεων  Impact assessment  Νέος θεσμός Data Protection Officer (DPO)- υπεύθυνος προστασίας δεδομένων  Νέες ρυθμίσεις για εποπτεύουσες αρχές  Κυρώσεις για υπεύθυνους ή εκτελούντες την επεξεργασία
Cloud υπηρεσίες:Οδηγία NIS-Network & Information Systems Οδηγία (EE) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Ιουλίου 2016, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση για την ασφάλεια δικτύων και πληροφοριών (ΑΔΠ) ΑΔΠ=η ικανότητα συστημάτων δικτύου και πληροφοριών να ανθίστανται, σε δεδομένο βαθμό αξιοπιστίας, σε ενέργειες που πλήττουν τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή το απόρρητο των δεδομένων που αποθηκεύονται, μεταδίδονται ή υποβάλλονται σε επεξεργασία ή των συναφών υπηρεσιών που προσφέρονται ή είναι προσβάσιμες μέσω των εν λόγω συστημάτων δικτύου και πληροφοριών
Cloud υπηρεσίες: βασικές προβλέψεις οδηγίας NIS  Υποχρεώσεις κρατών μελών  Εθνική στρατηγική για την ασφάλεια των συστημάτων δικτύου και πληροφοριών  Εθνικές ομάδες παρέμβασης -national CSIRTs (Computer Security Incident Response Teams)  Δίκτυο ομάδων παρέμβασης- network of the national CSIRTs  Εθνικό σημείο επαφής  «Ομάδα Συνεργασίας»/ Cooperation Group: κράτη μέλη, Επιτροπή, ENISA για την υποστήριξη και διευκόλυνση της στρατηγικής συνεργασίας καθώς και της ανταλλαγής πληροφοριών, και την καλλιέργεια πνεύματος αξιοπιστίας και εμπιστοσύνης  Κυρώσεις - επιβολή  Υποχρεώσεις άλλων εμπλεκομένων  Φορείς εκμετάλλευσης βασικών υπηρεσιών/ Operators of Essential Services (OES)  σε τομείς ζωτικής σημασίας όπως η ενέργεια, οι μεταφορές, η υγεία και οι χρηματοπιστωτικές υπηρεσίες  Πάροχοι ψηφιακών υπηρεσιών/ Digital Service Providers  διαδικτυακές αγορές, τις μηχανές αναζήτησης και τις υπηρεσίες νεφοϋπολογιστικής  Πότε;  Έως 9 Μαΐου 2018 τις αναγκαίες νομοθετικές, κανονιστικές και διοικητικές διατάξεις για να συμμορφωθούν με τη νέα οδηγία  Από 10 Μαΐου 2018 τα μέτρα αυτά θα τεθούν σε εφαρμογή
Cloud υπηρεσίες: Υποχρεώσεις παρόχων ψηφιακών υπηρεσιών/ Digital Service Providers (DSPs) βάσει NIS  προσδιορίζουν και λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων  λαμβάνουν μέτρα για την αποτροπή και την ελαχιστοποίηση του αντίκτυπου συμβάντων που επηρεάζουν την ασφάλεια  κοινοποιούν στην αρμόδια αρχή ή την CSIRT χωρίς αδικαιολόγητη καθυστέρηση κάθε συμβάν που έχει σημαντικό αντίκτυπο  Κριτήρια:  ο αριθμός των χρηστών που επηρεάζονται από το συμβάν, ιδίως των χρηστών που εξαρτώνται από την υπηρεσία για την παροχή των δικών τους υπηρεσιών  η διάρκεια του συμβάντος  το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν  η έκταση της διατάραξης της λειτουργίας της υπηρεσίας  η έκταση του αντίκτυπου στις οικονομικές και κοινωνικές δραστηριότητες
Cloud υπηρεσίες: ζητήματα πνευματικής ιδιοκτησίας  Σε περίπτωση προσβολής δικαιωμάτων εκ μέρους χρήστη  Εφαρμογή κριτηρίων οδηγίας ηλεκτρονικού εμπορίου για την ευθύνη των παρόχων  Δικαίωμα ενημέρωσης δικαιούχων– right to information (α. 8 οδ. 2001/29)  Έλεγχος για την τυχόν παραβίαση πολιτική χρήσης –AUP  Συζήτηση για δυνατότητα επιβολής εύλογης αμοιβής για ιδιωτική αναπαραγωγή  Γαλλία, πρόταση τροποποίησης στον γαλλικό νόμο σχετικά με το οπτικοακουστικό και ραδιοφωνικό περιεχόμενο το οποίο εγγράφεται και αρχειοθετείται σε cloud πλατφόρμες μέσω της χρήσης Προσωπικών Εγγραφέων Βίντεο Δικτύου (NPVR)
Cloud υπηρεσίες: ιδιαίτερες απαιτήσεις ασφαλείας Επιβαλλόμενες από νομοθεσία για:  Προστασία προσωπικών δεδομένων  Υφιστάμενη  GDPR  ΑΔΑΕ- αρχή διασφάλισης απορρήτου των επικοινωνιών  Οδηγία NIS- Network Information Security
Cloud υπηρεσίες: πιστοποιήσεις  τα κράτη μέλη, χωρίς να επιβάλλουν ούτε να ευνοούν τη χρησιμοποίηση συγκεκριμένου είδους τεχνολογίας, ενθαρρύνουν τη χρήση ευρωπαϊκών ή διεθνώς αποδεκτών προτύπων και προδιαγραφών σχετικών με την ασφάλεια των συστημάτων δικτύου και πληροφοριών (οδηγία NIS)  α. 42 GDPR  Παροτρύνουν […]τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της συμμόρφωσης  Εθελοντική πιστοποίηση μέσω διαφανούς διαδικασίας  Όταν τα κριτήρια εγκρίνονται από το Συμβούλιο Προστασίας Δεδομένων, αυτό μπορεί να οδηγήσει σε κοινή πιστοποίηση, την Ευρωπαϊκή Σφραγίδα Προστασίας των Δεδομένων  μέγιστη διάρκεια ισχύος 3 ετών  Μητρώο Συμβουλίου Προστασίας Δεδομένων
Cloud υπηρεσίες: Πιστοποιήσεις για οργανισμούς και επιχειρήσεις (ενδεικτικά):  ISO/IEC 27001: Information technology - Security techniques - Information security management systems - Requirements  ISO/IEC 27018: Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
Cloud υπηρεσίες: πηγές για περαιτέρω ενημέρωση  Cloud computing https://ec.europa.eu/digital-single-market/en/cloud  Cloud Computing Contracts http://ec.europa.eu/justice/contract/cloud-computing/index_en.htm  Cloud computing – data protection Γνώμη 05/2012 της ομάδας εργασίας του άρθρου 29 σχετικά με τη νεφοϋπολογιστική- http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion- recommendation/files/2012/wp196_el.pdf https://www.cloudindustryforum.org/content/cloud-and-eu-gdpr-six-steps-compliance http://www.a4cloud.eu/
Ερωτήσεις;
Evangelia.Vagena@gmail.com evagena@metropolitan.edu.gr  http://www.mitropolitiko.edu.gr/

Recommended

General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...
Evangelia Vagena
 
Εισαγωγή στο Γενικό Κανονισμο προστασίας Δεδομένων
Εισαγωγή στο Γενικό Κανονισμο προστασίας ΔεδομένωνΕισαγωγή στο Γενικό Κανονισμο προστασίας Δεδομένων
Εισαγωγή στο Γενικό Κανονισμο προστασίας Δεδομένων
Nikos Mpalatsoukas
 
Gdpr checklist-pofee-may2018
Gdpr checklist-pofee-may2018Gdpr checklist-pofee-may2018
Gdpr checklist-pofee-may2018
Panayotis Sofianopoulos
 
Διαβίβαση δεδομένων σε άλλον οργανισμό και GDPR
Διαβίβαση δεδομένων σε άλλον οργανισμό και GDPRΔιαβίβαση δεδομένων σε άλλον οργανισμό και GDPR
Διαβίβαση δεδομένων σε άλλον οργανισμό και GDPR
Nikos Mpalatsoukas
 
Special report 14 3_2018
Special report 14 3_2018Special report 14 3_2018
Special report 14 3_2018
Panayotis Sofianopoulos
 
In t trust_implementing_gdpr_ms_event_2019_09_27
In t trust_implementing_gdpr_ms_event_2019_09_27In t trust_implementing_gdpr_ms_event_2019_09_27
In t trust_implementing_gdpr_ms_event_2019_09_27
InTTrust S.A.
 
Ασφάλεια ΤΠΕ - 03. GDPR
Ασφάλεια ΤΠΕ - 03. GDPRΑσφάλεια ΤΠΕ - 03. GDPR
Ασφάλεια ΤΠΕ - 03. GDPR
Marina Gavrilaki
 
4eksoriksi epix ef
4eksoriksi epix ef4eksoriksi epix ef
4eksoriksi epix ef
AnastasiaStathopoulo5
 

Recommended

General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...
Evangelia Vagena
 
Εισαγωγή στο Γενικό Κανονισμο προστασίας Δεδομένων
Εισαγωγή στο Γενικό Κανονισμο προστασίας ΔεδομένωνΕισαγωγή στο Γενικό Κανονισμο προστασίας Δεδομένων
Εισαγωγή στο Γενικό Κανονισμο προστασίας Δεδομένων
Nikos Mpalatsoukas
 
Gdpr checklist-pofee-may2018
Gdpr checklist-pofee-may2018Gdpr checklist-pofee-may2018
Gdpr checklist-pofee-may2018
Panayotis Sofianopoulos
 
Διαβίβαση δεδομένων σε άλλον οργανισμό και GDPR
Διαβίβαση δεδομένων σε άλλον οργανισμό και GDPRΔιαβίβαση δεδομένων σε άλλον οργανισμό και GDPR
Διαβίβαση δεδομένων σε άλλον οργανισμό και GDPR
Nikos Mpalatsoukas
 
Special report 14 3_2018
Special report 14 3_2018Special report 14 3_2018
Special report 14 3_2018
Panayotis Sofianopoulos
 
In t trust_implementing_gdpr_ms_event_2019_09_27
In t trust_implementing_gdpr_ms_event_2019_09_27In t trust_implementing_gdpr_ms_event_2019_09_27
In t trust_implementing_gdpr_ms_event_2019_09_27
InTTrust S.A.
 
Ασφάλεια ΤΠΕ - 03. GDPR
Ασφάλεια ΤΠΕ - 03. GDPRΑσφάλεια ΤΠΕ - 03. GDPR
Ασφάλεια ΤΠΕ - 03. GDPR
Marina Gavrilaki
 
4eksoriksi epix ef
4eksoriksi epix ef4eksoriksi epix ef
4eksoriksi epix ef
AnastasiaStathopoulo5
 
4577 18
4577 184577 18
4577 18
Panayotis Sofianopoulos
 
«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...
«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...
«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...
OTS SA
 
PRESENTATION SECURITY ANALYSIS OF THE EUROPEAN CITIZEN CARD - ΠΑΡΟΥΣΙΑΣΗ ΜΕΛΕ...
PRESENTATION SECURITY ANALYSIS OF THE EUROPEAN CITIZEN CARD - ΠΑΡΟΥΣΙΑΣΗ ΜΕΛΕ...PRESENTATION SECURITY ANALYSIS OF THE EUROPEAN CITIZEN CARD - ΠΑΡΟΥΣΙΑΣΗ ΜΕΛΕ...
PRESENTATION SECURITY ANALYSIS OF THE EUROPEAN CITIZEN CARD - ΠΑΡΟΥΣΙΑΣΗ ΜΕΛΕ...
Βασίλης Μπαρέκος
 
Cloud storage greek_municipalities
Cloud storage greek_municipalitiesCloud storage greek_municipalities
Cloud storage greek_municipalities
Niki Kyriakou
 
5.3 SaaSPaaSIaaS
5.3 SaaSPaaSIaaS5.3 SaaSPaaSIaaS
5.3 SaaSPaaSIaaS
AnastasiaStathopoulo5
 
5.3 saas paasiaas
5.3 saas paasiaas5.3 saas paasiaas
5.3 saas paasiaas
AnastasiaStathopoulo5
 
VET4SBO Level 2 module 6 - unit 4 - v1.0 gr
VET4SBO Level 2 module 6 - unit 4 - v1.0 grVET4SBO Level 2 module 6 - unit 4 - v1.0 gr
VET4SBO Level 2 module 6 - unit 4 - v1.0 gr
Karel Van Isacker
 
Interoperability and modern ICT systems
Interoperability and modern ICT systemsInteroperability and modern ICT systems
Interoperability and modern ICT systems
Dr. Fotios Fitsilis
 
14.1 ΑRXH ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 25.ppt
14.1 ΑRXH ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 25.ppt14.1 ΑRXH ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 25.ppt
14.1 ΑRXH ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 25.ppt
John Vidakis
 
παρουσίαση3
παρουσίαση3παρουσίαση3
παρουσίαση3
loizvla
 
A.Karvounis: GSIS, The Interoperability Center of the Greek Public Sector
A.Karvounis: GSIS, The Interoperability Center of the Greek Public SectorA.Karvounis: GSIS, The Interoperability Center of the Greek Public Sector
A.Karvounis: GSIS, The Interoperability Center of the Greek Public Sector
Uni Systems S.M.S.A.
 
Internet of Things - Νέες υπηρεσίες, νέες ευκαιρίες, νέες ανάγκες πραστασίας ...
Internet of Things - Νέες υπηρεσίες, νέες ευκαιρίες, νέες ανάγκες πραστασίας ...Internet of Things - Νέες υπηρεσίες, νέες ευκαιρίες, νέες ανάγκες πραστασίας ...
Internet of Things - Νέες υπηρεσίες, νέες ευκαιρίες, νέες ανάγκες πραστασίας ...
Athanasios Lioumpas
 
Αφροδίτη Κουσουνή, Cyber Insurance & Incident Response Conference 2019
Αφροδίτη Κουσουνή, Cyber Insurance & Incident Response Conference 2019Αφροδίτη Κουσουνή, Cyber Insurance & Incident Response Conference 2019
Αφροδίτη Κουσουνή, Cyber Insurance & Incident Response Conference 2019
Starttech Ventures
 
Εφαρμογές Υπολογιστών - Δίκτυα - Κεφάλαιο 12
Εφαρμογές Υπολογιστών - Δίκτυα - Κεφάλαιο 12Εφαρμογές Υπολογιστών - Δίκτυα - Κεφάλαιο 12
Εφαρμογές Υπολογιστών - Δίκτυα - Κεφάλαιο 12
pppetros
 
Kef 4 diktya
Kef 4 diktyaKef 4 diktya
Kef 4 diktya
mnikol
 
2- IoT - 4th Industrial Revolution.ppt
2- IoT - 4th Industrial Revolution.ppt2- IoT - 4th Industrial Revolution.ppt
2- IoT - 4th Industrial Revolution.ppt
Alex420296
 
Εφαρμογές νέφους (cloud computing)
Εφαρμογές νέφους (cloud computing)Εφαρμογές νέφους (cloud computing)
Εφαρμογές νέφους (cloud computing)
ΕΥΑΓΓΕΛΙΑ ΚΟΚΚΙΝΟΥ
 
παρουσίαση1
παρουσίαση1παρουσίαση1
παρουσίαση1
loizvla
 
Το CyberEdge από την AIG παρέχει προστασία από τις συνέπειες των ηλεκτρονικών...
Το CyberEdge από την AIG παρέχει προστασία από τις συνέπειες των ηλεκτρονικών...Το CyberEdge από την AIG παρέχει προστασία από τις συνέπειες των ηλεκτρονικών...
Το CyberEdge από την AIG παρέχει προστασία από τις συνέπειες των ηλεκτρονικών...
insuranceforumgr
 
παρουσίαση25
παρουσίαση25παρουσίαση25
παρουσίαση25
loizvla
 

More Related Content

Similar to Legal issues of cloud computing, Evangelia Vagena

4577 18
4577 184577 18
4577 18
Panayotis Sofianopoulos
 
«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...
«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...
«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...
OTS SA
 
PRESENTATION SECURITY ANALYSIS OF THE EUROPEAN CITIZEN CARD - ΠΑΡΟΥΣΙΑΣΗ ΜΕΛΕ...
PRESENTATION SECURITY ANALYSIS OF THE EUROPEAN CITIZEN CARD - ΠΑΡΟΥΣΙΑΣΗ ΜΕΛΕ...PRESENTATION SECURITY ANALYSIS OF THE EUROPEAN CITIZEN CARD - ΠΑΡΟΥΣΙΑΣΗ ΜΕΛΕ...
PRESENTATION SECURITY ANALYSIS OF THE EUROPEAN CITIZEN CARD - ΠΑΡΟΥΣΙΑΣΗ ΜΕΛΕ...
Βασίλης Μπαρέκος
 
Cloud storage greek_municipalities
Cloud storage greek_municipalitiesCloud storage greek_municipalities
Cloud storage greek_municipalities
Niki Kyriakou
 
5.3 SaaSPaaSIaaS
5.3 SaaSPaaSIaaS5.3 SaaSPaaSIaaS
5.3 SaaSPaaSIaaS
AnastasiaStathopoulo5
 
5.3 saas paasiaas
5.3 saas paasiaas5.3 saas paasiaas
5.3 saas paasiaas
AnastasiaStathopoulo5
 
VET4SBO Level 2 module 6 - unit 4 - v1.0 gr
VET4SBO Level 2 module 6 - unit 4 - v1.0 grVET4SBO Level 2 module 6 - unit 4 - v1.0 gr
VET4SBO Level 2 module 6 - unit 4 - v1.0 gr
Karel Van Isacker
 
Interoperability and modern ICT systems
Interoperability and modern ICT systemsInteroperability and modern ICT systems
Interoperability and modern ICT systems
Dr. Fotios Fitsilis
 
14.1 ΑRXH ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 25.ppt
14.1 ΑRXH ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 25.ppt14.1 ΑRXH ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 25.ppt
14.1 ΑRXH ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 25.ppt
John Vidakis
 
παρουσίαση3
παρουσίαση3παρουσίαση3
παρουσίαση3
loizvla
 
A.Karvounis: GSIS, The Interoperability Center of the Greek Public Sector
A.Karvounis: GSIS, The Interoperability Center of the Greek Public SectorA.Karvounis: GSIS, The Interoperability Center of the Greek Public Sector
A.Karvounis: GSIS, The Interoperability Center of the Greek Public Sector
Uni Systems S.M.S.A.
 
Internet of Things - Νέες υπηρεσίες, νέες ευκαιρίες, νέες ανάγκες πραστασίας ...
Internet of Things - Νέες υπηρεσίες, νέες ευκαιρίες, νέες ανάγκες πραστασίας ...Internet of Things - Νέες υπηρεσίες, νέες ευκαιρίες, νέες ανάγκες πραστασίας ...
Internet of Things - Νέες υπηρεσίες, νέες ευκαιρίες, νέες ανάγκες πραστασίας ...
Athanasios Lioumpas
 
Αφροδίτη Κουσουνή, Cyber Insurance & Incident Response Conference 2019
Αφροδίτη Κουσουνή, Cyber Insurance & Incident Response Conference 2019Αφροδίτη Κουσουνή, Cyber Insurance & Incident Response Conference 2019
Αφροδίτη Κουσουνή, Cyber Insurance & Incident Response Conference 2019
Starttech Ventures
 
Εφαρμογές Υπολογιστών - Δίκτυα - Κεφάλαιο 12
Εφαρμογές Υπολογιστών - Δίκτυα - Κεφάλαιο 12Εφαρμογές Υπολογιστών - Δίκτυα - Κεφάλαιο 12
Εφαρμογές Υπολογιστών - Δίκτυα - Κεφάλαιο 12
pppetros
 
Kef 4 diktya
Kef 4 diktyaKef 4 diktya
Kef 4 diktya
mnikol
 
2- IoT - 4th Industrial Revolution.ppt
2- IoT - 4th Industrial Revolution.ppt2- IoT - 4th Industrial Revolution.ppt
2- IoT - 4th Industrial Revolution.ppt
Alex420296
 
Εφαρμογές νέφους (cloud computing)
Εφαρμογές νέφους (cloud computing)Εφαρμογές νέφους (cloud computing)
Εφαρμογές νέφους (cloud computing)
ΕΥΑΓΓΕΛΙΑ ΚΟΚΚΙΝΟΥ
 
παρουσίαση1
παρουσίαση1παρουσίαση1
παρουσίαση1
loizvla
 
Το CyberEdge από την AIG παρέχει προστασία από τις συνέπειες των ηλεκτρονικών...
Το CyberEdge από την AIG παρέχει προστασία από τις συνέπειες των ηλεκτρονικών...Το CyberEdge από την AIG παρέχει προστασία από τις συνέπειες των ηλεκτρονικών...
Το CyberEdge από την AIG παρέχει προστασία από τις συνέπειες των ηλεκτρονικών...
insuranceforumgr
 
παρουσίαση25
παρουσίαση25παρουσίαση25
παρουσίαση25
loizvla
 

Similar to Legal issues of cloud computing, Evangelia Vagena (20)

4577 18
4577 184577 18
4577 18
 
«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...
«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...
«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...
 
PRESENTATION SECURITY ANALYSIS OF THE EUROPEAN CITIZEN CARD - ΠΑΡΟΥΣΙΑΣΗ ΜΕΛΕ...
PRESENTATION SECURITY ANALYSIS OF THE EUROPEAN CITIZEN CARD - ΠΑΡΟΥΣΙΑΣΗ ΜΕΛΕ...PRESENTATION SECURITY ANALYSIS OF THE EUROPEAN CITIZEN CARD - ΠΑΡΟΥΣΙΑΣΗ ΜΕΛΕ...
PRESENTATION SECURITY ANALYSIS OF THE EUROPEAN CITIZEN CARD - ΠΑΡΟΥΣΙΑΣΗ ΜΕΛΕ...
 
Cloud storage greek_municipalities
Cloud storage greek_municipalitiesCloud storage greek_municipalities
Cloud storage greek_municipalities
 
5.3 SaaSPaaSIaaS
5.3 SaaSPaaSIaaS5.3 SaaSPaaSIaaS
5.3 SaaSPaaSIaaS
 
5.3 saas paasiaas
5.3 saas paasiaas5.3 saas paasiaas
5.3 saas paasiaas
 
VET4SBO Level 2 module 6 - unit 4 - v1.0 gr
VET4SBO Level 2 module 6 - unit 4 - v1.0 grVET4SBO Level 2 module 6 - unit 4 - v1.0 gr
VET4SBO Level 2 module 6 - unit 4 - v1.0 gr
 
Interoperability and modern ICT systems
Interoperability and modern ICT systemsInteroperability and modern ICT systems
Interoperability and modern ICT systems
 
14.1 ΑRXH ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 25.ppt
14.1 ΑRXH ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 25.ppt14.1 ΑRXH ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 25.ppt
14.1 ΑRXH ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 25.ppt
 
παρουσίαση3
παρουσίαση3παρουσίαση3
παρουσίαση3
 
A.Karvounis: GSIS, The Interoperability Center of the Greek Public Sector
A.Karvounis: GSIS, The Interoperability Center of the Greek Public SectorA.Karvounis: GSIS, The Interoperability Center of the Greek Public Sector
A.Karvounis: GSIS, The Interoperability Center of the Greek Public Sector
 
Internet of Things - Νέες υπηρεσίες, νέες ευκαιρίες, νέες ανάγκες πραστασίας ...
Internet of Things - Νέες υπηρεσίες, νέες ευκαιρίες, νέες ανάγκες πραστασίας ...Internet of Things - Νέες υπηρεσίες, νέες ευκαιρίες, νέες ανάγκες πραστασίας ...
Internet of Things - Νέες υπηρεσίες, νέες ευκαιρίες, νέες ανάγκες πραστασίας ...
 
Αφροδίτη Κουσουνή, Cyber Insurance & Incident Response Conference 2019
Αφροδίτη Κουσουνή, Cyber Insurance & Incident Response Conference 2019Αφροδίτη Κουσουνή, Cyber Insurance & Incident Response Conference 2019
Αφροδίτη Κουσουνή, Cyber Insurance & Incident Response Conference 2019
 
Εφαρμογές Υπολογιστών - Δίκτυα - Κεφάλαιο 12
Εφαρμογές Υπολογιστών - Δίκτυα - Κεφάλαιο 12Εφαρμογές Υπολογιστών - Δίκτυα - Κεφάλαιο 12
Εφαρμογές Υπολογιστών - Δίκτυα - Κεφάλαιο 12
 
Kef 4 diktya
Kef 4 diktyaKef 4 diktya
Kef 4 diktya
 
2- IoT - 4th Industrial Revolution.ppt
2- IoT - 4th Industrial Revolution.ppt2- IoT - 4th Industrial Revolution.ppt
2- IoT - 4th Industrial Revolution.ppt
 
Εφαρμογές νέφους (cloud computing)
Εφαρμογές νέφους (cloud computing)Εφαρμογές νέφους (cloud computing)
Εφαρμογές νέφους (cloud computing)
 
παρουσίαση1
παρουσίαση1παρουσίαση1
παρουσίαση1
 
Το CyberEdge από την AIG παρέχει προστασία από τις συνέπειες των ηλεκτρονικών...
Το CyberEdge από την AIG παρέχει προστασία από τις συνέπειες των ηλεκτρονικών...Το CyberEdge από την AIG παρέχει προστασία από τις συνέπειες των ηλεκτρονικών...
Το CyberEdge από την AIG παρέχει προστασία από τις συνέπειες των ηλεκτρονικών...
 
παρουσίαση25
παρουσίαση25παρουσίαση25
παρουσίαση25
 

Legal issues of cloud computing, Evangelia Vagena

  • 1. Νομικά ζητήματα νεφοϋπολογιστικής Legal issues of cloud computing Ευαγγελία Βαγενά, ΔΝ, DEA Δικηγόρος- Καθηγήτρια Τμήματος Πληροφορικής Μητροπολιτικού Κολλεγίου Ανοιχτό Σεμινάριο «Σύγχρονες Τάσεις και Συμβουλές για το Cloud Security» 21 Δεκεμβρίου-Μητροπολιτικό Κολλέγιο
  • 2. Nεφοϋπολογιστική = Cloud computing "marketing hype" or the "latest fashion”?  σύνολο τεχνολογιών και μοντέλων υπηρεσιών που εστιάζουν στη διαδικτυακή χρήση και παροχή εφαρμογών τεχνολογίας των πληροφοριών, στη δυνατότητα επεξεργασίας δεδομένων, στην παροχή χώρου αποθήκευσης δεδομένων και στην παροχή μνήμης  in simplified terms can be understood as the storing, processing and use of data on remotely located computers accessed over the internet (ΕU com)
  • 3. European Cloud Computing Strategy Communication on the "Unleashing the Potential of Cloud Computing in Europe" of 27 September 2012  «cutting through the jungle of standards»  interoperability of cloud services, facilitating data portability and reversibility  establishment of a European Cloud Partnership to drive innovation and growth for the public sector  European Cloud Partnership (ECP)  Cloud Service Level Agreement Standardisation Guidelines by Cloud Select Industry Group ("C- SIG")  draft data protection Code of Conduct for providers  Safe and Fair Contract Terms and Conditions  expert group to work on safe and fair terms for cloud computing for consumers and small firms https://ec.europa.eu/digital-single-market/en/cloud
  • 4. Cloud υπηρεσίες: επισκόπηση νομικών ζητημάτων  Ζητήματα σχετικά με τις συμβάσεις νεφοϋπολογιστικής  Ιδιαίτερα • ζητήματα ευθύνης εν γένει για το αποθηκευμένο περιεχόμενο • ζητήματα προστασίας προσωπικών δεδομένων • zητήματα ασφάλειας δικτύων και πληροφοριών • ζητήματα προστασίας πνευματικής ιδιοκτησίας
  • 5. Cloud υπηρεσίες: κάθετη ρύθμιση νομικών ζητημάτων  Αρχές προστασίας προσωπικών δεδομένων :  κατευθυντήριες γραμμές από Δανία, Γαλλία, Λιθουανία, Ισπανία  Οικονομικές αρχές:  οδηγίες για την ισχύ υπηρεσιών cloud από Ουγγαρία, Λουξεμβούργο, Σουηδία  Δημόσιος τομέας:  Πρωτοβουλίες και ρυθμίσεις για χρήση υπηρεσιών cloud  Η.Β. G-Cloud initiative  Γαλλία Andromède project  Γερμανία "Trusted Cloud“  Ιδιωτικός τομέας:  Πρωτοβουλίες αυτορρύθμισης, π.χ. IT & Telekomföretagen, Σουηδική ένωση εταιρειών ΤΠΕ, General Terms on Cloud Computing
  • 6. Cloud συμβάσεις: βασικά ζητήματα - key contractual issues  Περιγραφή αντικειμένου & επιπέδου παρεχόμενης εξυπηρέτησης (Service Level Agreement-SLA, ενδεχομένως και operational-level agreement - OLA)  Πολιτική χρήσης (acceptable use policy- AUP)  Προστασία δεδομένων προσωπικού χαρακτήρα (Data protection)  Διανοητική ιδιοκτησία, προστασία άυλης ιδιοκτησίας (Intellectual property Rights)  Ευθύνη έναντι αξιώσεων τρίτων (Warranties, liability for third party claims)  Καταγγελία σύμβασης & συνέπειες ιδίως σχετικά με τα διατηρούμενα δεδομένα (Termination of the contract, effects of termination and data preservation in particular)  Τροποποίηση σύμβασης ή όρων της (Modification of the contact or terms and conditions)  Ασφάλεια δεδομένων (Security of data, loss of data)
  • 7. Cloud συμβάσεις: τυπολογία- ορολογία Αρχικά:  SaaS = Software as a Service  IaaS =Infrastructure as a Service  PaaS=Platform as a service Μετέπειτα:  DaaS =Data as a service  NaaS= Network as a service  CaaS= Communications as a service  MaaS =Monitoring as a service  XaaS =Everything as a service Επηρεάζει νομικό χαρακτηρισμό σύμβασης: • σύμβαση μίσθωσης (π.χ. αποθήκευση) • σύμβαση παροχής υπηρεσιών (π.χ. συντήρηση λογισμικού) • σύμβαση έργου (π.χ. εγκατάσταση εφαρμογής) • σύμβαση χρησιδανείου (π.χ. παροχή sw δωρεάν) • sui generis?
  • 8. Cloud συμβάσεις: γενικό ισχύον πλαίσιο  Δυνατή η παραπομπή στους όρους χρήσης (terms of use) μιας ιστοσελίδας εάν είναι ευδιάκριτοι και εύληπτοι  Για B2C εφαρμογή ρυθμίσεων:  δικαίου προστασίας καταναλωτή  για εξ αποστάσεως συμβάσεις  ΠΔ ηλεκτρονικού εμπορίου  Έλεγχος βάσει:  Ρυθμίσεων για Γενικούς όρους συναλλαγών(ΓΟΣ)- καταχρηστικούς γενικούς όρους  Για την ερμηνεία τους:  Θεωρία του σκοπού  Συναλλακτικά ήθη
  • 9. Cloud συμβάσεις: εφαρμοστέο δίκαιο  Συνήθως ορίζεται από τα μέρη- ελευθερία επιλογής  Αν όχι, εφαρμογή Κανονισμού (ΕΚ) αριθ. 593/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Ιουνίου 2008 , για το εφαρμοστέο δίκαιο στις συμβατικές ενοχές (Ρώμη Ι)  Βλ. α. 4, π.χ. ελλείψει επιλογής «η σύμβαση παροχής υπηρεσιών διέπεται από το δίκαιο της χώρας στην οποία ο πάροχος υπηρεσίας έχει τη συνήθη διαμονή του»  Επί αδικοπραξίας, α. 4 Κανονισμού 864/2007 για το εφαρμοστέο δίκαιο στις εξωσυμβατικές ενοχές (Ρώμη ΙΙ)  συνήθως το δίκαιο του κράτους στο οποίο επήλθε η ζημιά
  • 10. Cloud υπηρεσίες: η ευθύνη για το παράνομο αποθηκευμένο περιεχόμενο  EE- Ρυθμίσεις οδηγίας για το ηλεκτρονικό εμπόριο  E commerce directive (EU)  DMCA (US)  512(c)  notice and take down system  Καταρχήν «ανεύθυνο» υπό προϋποθέσεις – no monitoring obligation  Προϋπόθεση:  μη εμπλοκής στο περιεχόμενο  απουσία πραγματικής γνώσης  Cloud service= hosting service?  Δύσκολο αν παρέχει και άλλες λειτουργίες
  • 11. Cloud υπηρεσίες: ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα  Προσωπικά δεδομένα= κάθε πληροφορία που αναφέρεται σε και περιγράφει ένα άτομο  Κρίσιμο ζήτημα για το εφαρμοστέο δίκαιο:  Μέχρι τώρα εφαρμόζεται το δίκαιο της χώρας όπου γίνεται η επεξεργασία ή της λήψης των δεδομένων (α.4 οδ. 95/46/ΕΚ)  GDPR:  Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης».  Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με: α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή β) την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.
  • 12. Cloud υπηρεσίες: Υφιστάμενο εθνικό πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα  Βασικός νόμος 2472/1997 και ν. 4139/2013  Ουσιαστικά ενσωμάτωση κοινοτικών προβλέψεων  Ορισμός- διακρίσεις:  απλά, ευαίσθητα  Αρχές σύννομης επεξεργασίας  Υποχρεώσεις (γνωστοποίηση, άδεια κ.ο.κ)  Κυρώσεις  Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)
  • 13. Cloud υπηρεσίες: Το νέο θεσμικό πλαίσιο προσωπικών δεδομένων -“data reform package”  Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων- General Data Protection Regulation/ GDPR).  Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου.  Οδηγία (ΕΕ) 2016/681 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016, σχετικά με τη χρήση των δεδομένων που περιέχονται στις καταστάσεις ονομάτων επιβατών (PNR) για την πρόληψη, ανίχνευση, διερεύνηση και δίωξη τρομοκρατικών και σοβαρών εγκλημάτων.  Διαδικασία αναθεώρησης Οδηγίας e- privacy - (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες)
  • 14. Cloud υπηρεσίες: βασικές αρχές επεξεργασίας δεδομένων  Αρχή της νομιμότητας της επεξεργασίας  Διαφάνεια όρων  Aρχή της θεμιτής και νόμιμης συλλογής  Πλήρης ενημέρωση τρόπου συλλογής  Αρχή του σκοπού  Ενημέρωση από πριν, επεξεργασία μόνο για ότι δόθηκε συναίνεση  Αρχή της αναλογικότητας/ ή συνάφειας  Μόνο στο βαθμό που απαιτούνται για την επίτευξη του σκοπού  Αρχή της ορθότητας των δεδομένων  π.χ. χρήση συστημάτων ανίχνευσης/ πρόληψης εισβολών (IPS/IDS)  Αρχή της χρονικά πεπερασμένης διάρκειας τήρησης  Διαγραφή δεδομένων μετά- ρητή συμβατική ρύθμιση προτιμητέα  Αρχή του απορρήτου  π.χ. χρήση κρυπτογράφησης  Αρχή της ασφάλειας  π.χ διαθεσιμότητα σε περίπτωση DoS
  • 15. Cloud υπηρεσίες: Διασυνοριακή ροή δεδομένων  Ευρωπαϊκή Ένωση: ενιαίος χώρος κυκλοφορίας και προστασίας προσωπικών δεδομένων – σκοπός εναρμόνισης  Κράτη με ικανοποιητικό επίπεδο προστασίας  Διαπίστωση ικανοποιητικού επιπέδου από Αρχή Προστασίας Προσωπικών Δεδομένων  Αποφάσεις της Ευρωπαϊκής Ένωσης  ΗΠΑ δεν έχουν αντίστοιχη νομοθεσία αλλά ειδική συμφωνία με ΕΕ για διαβίβαση δεδομένων για ΗΠΑ βλ. Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU- U.S. Privacy Shield  Κράτη χωρίς ικανοποιητικό επίπεδο επεξεργασίας  Κατ’ εξαίρεση άδεια της Αρχής εφόσον συντρέχουν οι προβλεπόμενες στο νόμο προϋποθέσεις
  • 16. Cloud υπηρεσίες: ο νέος Κανονισμός GDPR  Αντικαθιστά τη βασική Οδηγία 95/46/ΕΚ  Έχει τεθεί σε ισχύ από τις 4.5.2016, θα τεθεί σε εφαρμογή από τις 25 Μαΐου 2018  Έως τότε οι εταιρείες θα πρέπει να εξασφαλίσουν ότι ανταποκρίνονται στις επιβαλλόμενες νέες υποχρεώσεις  Θα βοηθηθούν από οδηγίες, γνωμοδοτήσεις, κατευθυντήριες γραμμές αρμόδιων αρχών
  • 17. Cloud υπηρεσίες: GDPR- βασικές ρυθμίσεις  Ανανεωμένοι & νέοι ορισμοί, π.χ.:  Κατάρτιση προφίλ, Ψευδωνυμοποίηση, Γενετικά δεδομένα, βιομετρικά δεδομένα  Ευαίσθητα: +γενετικά, βιομετρικά  Ειδικές προϋποθέσεις για συγκατάθεση παιδιού  Επαναδιατύπωση αρχών επεξεργασίας  Νέα δικαιώματα «υποκειμένων»  Διαγραφής- δικαίωμα λήθης (Βλ. υπόθεση Costeja)  Φορητότητας δεδομένων  Εναντίωσης στην κατάρτιση προφίλ ή σε απόφαση βάσει αυτού  Πληροφόρησης για παραβίαση  Τροποποίηση υποχρεώσεων υπεύθυνων επεξεργασίας  Κατάργηση υποχρέωσης γνωστοποίησης αρχείου  Privacy by design & privacy by default  Διατήρηση αρχείων επεξεργασίας  Γνωστοποίηση εντός 72 ωρών παραβιάσεων  Impact assessment  Νέος θεσμός Data Protection Officer (DPO)- υπεύθυνος προστασίας δεδομένων  Νέες ρυθμίσεις για εποπτεύουσες αρχές  Κυρώσεις για υπεύθυνους ή εκτελούντες την επεξεργασία
  • 18. Cloud υπηρεσίες:Οδηγία NIS-Network & Information Systems Οδηγία (EE) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Ιουλίου 2016, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση για την ασφάλεια δικτύων και πληροφοριών (ΑΔΠ) ΑΔΠ=η ικανότητα συστημάτων δικτύου και πληροφοριών να ανθίστανται, σε δεδομένο βαθμό αξιοπιστίας, σε ενέργειες που πλήττουν τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή το απόρρητο των δεδομένων που αποθηκεύονται, μεταδίδονται ή υποβάλλονται σε επεξεργασία ή των συναφών υπηρεσιών που προσφέρονται ή είναι προσβάσιμες μέσω των εν λόγω συστημάτων δικτύου και πληροφοριών
  • 19. Cloud υπηρεσίες: βασικές προβλέψεις οδηγίας NIS  Υποχρεώσεις κρατών μελών  Εθνική στρατηγική για την ασφάλεια των συστημάτων δικτύου και πληροφοριών  Εθνικές ομάδες παρέμβασης -national CSIRTs (Computer Security Incident Response Teams)  Δίκτυο ομάδων παρέμβασης- network of the national CSIRTs  Εθνικό σημείο επαφής  «Ομάδα Συνεργασίας»/ Cooperation Group: κράτη μέλη, Επιτροπή, ENISA για την υποστήριξη και διευκόλυνση της στρατηγικής συνεργασίας καθώς και της ανταλλαγής πληροφοριών, και την καλλιέργεια πνεύματος αξιοπιστίας και εμπιστοσύνης  Κυρώσεις - επιβολή  Υποχρεώσεις άλλων εμπλεκομένων  Φορείς εκμετάλλευσης βασικών υπηρεσιών/ Operators of Essential Services (OES)  σε τομείς ζωτικής σημασίας όπως η ενέργεια, οι μεταφορές, η υγεία και οι χρηματοπιστωτικές υπηρεσίες  Πάροχοι ψηφιακών υπηρεσιών/ Digital Service Providers  διαδικτυακές αγορές, τις μηχανές αναζήτησης και τις υπηρεσίες νεφοϋπολογιστικής  Πότε;  Έως 9 Μαΐου 2018 τις αναγκαίες νομοθετικές, κανονιστικές και διοικητικές διατάξεις για να συμμορφωθούν με τη νέα οδηγία  Από 10 Μαΐου 2018 τα μέτρα αυτά θα τεθούν σε εφαρμογή
  • 20. Cloud υπηρεσίες: Υποχρεώσεις παρόχων ψηφιακών υπηρεσιών/ Digital Service Providers (DSPs) βάσει NIS  προσδιορίζουν και λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων  λαμβάνουν μέτρα για την αποτροπή και την ελαχιστοποίηση του αντίκτυπου συμβάντων που επηρεάζουν την ασφάλεια  κοινοποιούν στην αρμόδια αρχή ή την CSIRT χωρίς αδικαιολόγητη καθυστέρηση κάθε συμβάν που έχει σημαντικό αντίκτυπο  Κριτήρια:  ο αριθμός των χρηστών που επηρεάζονται από το συμβάν, ιδίως των χρηστών που εξαρτώνται από την υπηρεσία για την παροχή των δικών τους υπηρεσιών  η διάρκεια του συμβάντος  το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν  η έκταση της διατάραξης της λειτουργίας της υπηρεσίας  η έκταση του αντίκτυπου στις οικονομικές και κοινωνικές δραστηριότητες
  • 21. Cloud υπηρεσίες: ζητήματα πνευματικής ιδιοκτησίας  Σε περίπτωση προσβολής δικαιωμάτων εκ μέρους χρήστη  Εφαρμογή κριτηρίων οδηγίας ηλεκτρονικού εμπορίου για την ευθύνη των παρόχων  Δικαίωμα ενημέρωσης δικαιούχων– right to information (α. 8 οδ. 2001/29)  Έλεγχος για την τυχόν παραβίαση πολιτική χρήσης –AUP  Συζήτηση για δυνατότητα επιβολής εύλογης αμοιβής για ιδιωτική αναπαραγωγή  Γαλλία, πρόταση τροποποίησης στον γαλλικό νόμο σχετικά με το οπτικοακουστικό και ραδιοφωνικό περιεχόμενο το οποίο εγγράφεται και αρχειοθετείται σε cloud πλατφόρμες μέσω της χρήσης Προσωπικών Εγγραφέων Βίντεο Δικτύου (NPVR)
  • 22. Cloud υπηρεσίες: ιδιαίτερες απαιτήσεις ασφαλείας Επιβαλλόμενες από νομοθεσία για:  Προστασία προσωπικών δεδομένων  Υφιστάμενη  GDPR  ΑΔΑΕ- αρχή διασφάλισης απορρήτου των επικοινωνιών  Οδηγία NIS- Network Information Security
  • 23. Cloud υπηρεσίες: πιστοποιήσεις  τα κράτη μέλη, χωρίς να επιβάλλουν ούτε να ευνοούν τη χρησιμοποίηση συγκεκριμένου είδους τεχνολογίας, ενθαρρύνουν τη χρήση ευρωπαϊκών ή διεθνώς αποδεκτών προτύπων και προδιαγραφών σχετικών με την ασφάλεια των συστημάτων δικτύου και πληροφοριών (οδηγία NIS)  α. 42 GDPR  Παροτρύνουν […]τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της συμμόρφωσης  Εθελοντική πιστοποίηση μέσω διαφανούς διαδικασίας  Όταν τα κριτήρια εγκρίνονται από το Συμβούλιο Προστασίας Δεδομένων, αυτό μπορεί να οδηγήσει σε κοινή πιστοποίηση, την Ευρωπαϊκή Σφραγίδα Προστασίας των Δεδομένων  μέγιστη διάρκεια ισχύος 3 ετών  Μητρώο Συμβουλίου Προστασίας Δεδομένων
  • 24. Cloud υπηρεσίες: Πιστοποιήσεις για οργανισμούς και επιχειρήσεις (ενδεικτικά):  ISO/IEC 27001: Information technology - Security techniques - Information security management systems - Requirements  ISO/IEC 27018: Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
  • 25. Cloud υπηρεσίες: πηγές για περαιτέρω ενημέρωση  Cloud computing https://ec.europa.eu/digital-single-market/en/cloud  Cloud Computing Contracts http://ec.europa.eu/justice/contract/cloud-computing/index_en.htm  Cloud computing – data protection Γνώμη 05/2012 της ομάδας εργασίας του άρθρου 29 σχετικά με τη νεφοϋπολογιστική- http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion- recommendation/files/2012/wp196_el.pdf https://www.cloudindustryforum.org/content/cloud-and-eu-gdpr-six-steps-compliance http://www.a4cloud.eu/