Обязанности и ответственности сторон

Как указывалось ранее, облачные вычисления включают в себя целый ряд различных игроков. Важно оценить и уточнить роль каждого из этих игроков для того, чтобы установить их конкретные обязательства в отношении действующего законодательства о защите данных.

В первую очередь роль контроллера является определить, кто несет ответственность за соблюдение правил защиты данных, и как субъекты данных могут осуществлять свои права на практике. Другими словами: распределить ответственность. Эти два главных критерия отвечают за соблюдение и распределение ответственности и должны быть учтены заинтересованными сторонами в этом вопросе на протяжении всего времени.

Клиент и провайдер в облаке

Клиент определяет конечную цель обработки и принимает решение об аутсорсинге этой обработки и делегации всех или части деятельности по обработке для внешней организации. Следовательно, клиент действует как контроллер данных. Директива определяет контроллер как «физическое или юридическое лицо, государственный орган, учреждение или любой другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных». Клиент, как контроллер, несет ответственность за соблюдение защиты данных законодательством. Пользователь облака может указать провайдерам облачных услуг на методы и технические или организационные меры, которые будут использоваться для достижения целей управления.

Провайдером облачных услуг является лицо, оказывающее услуги облачных вычислений в различных формах, что обсуждалось выше. Когда поставщик облака предоставляет средства и платформу, действуя от имени клиента, поставщик рассматривается как процессор данных, т. е. в соответствии с Директивой 95/46/ЕС «физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который самостоятельно или совместно с другими, обрабатывает персональные данные от имени контроллера» .

На самом деле, могут быть ситуации, в которых поставщик облачных услуг может рассматриваться, либо как совместно с контроллером, либо в качестве контроллера в зависимости от конкретных обстоятельств. Например, это может быть в случае, когда провайдер обрабатывает данные для своих собственных целей.

Следует отметить, что даже в сложных средах обработки данных, где контроллеры играют важную роль в обработке персональных данных, соблюдение правил защиты данных и ответственность за возможное нарушение этих правил должно быть четко выделено для того, чтобы избежать снижения защиты личных данных. Или при «негативном конфликте компетенций» возникают пробелы, из-за чего обязательства или права, вытекающие из Директивы, не обеспечиваются какой-либо из сторон.

В текущем сценарии облачных вычислений, клиенты услуг облачных вычислений могут не иметь возможности для переговоров по контрактным условиям использования облачных сервисов, поэтому стандартизированные предложения являются характерной чертой многих услуг облачных вычислений. Тем не менее, в конечном счете это клиент принимает решение о распределении части или совокупность операций по переработке к облачным сервисам для конкретных целей; роль поставщика облачных услуг — подрядчик по отношению к клиенту, который является ключевым моментом в этом случае. Дисбаланс в условии договора между небольшим контроллером в отношении крупных поставщиков услуг не должен рассматриваться в качестве оправдания для контроллера при принятии положений и условий договора, которые не являются пунктами закона о защите данных http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf. По этой причине, контроллер должен выбрать поставщика облачных услуг, который гарантирует соблюдение законодательства о защите данных. Особый акцент должен быть сделан на особенностях соответствия с условиями договора — они должны включать в себя набор стандартных гарантий защиты данных, также гарантии на дополнительные механизмы, которые могут оказаться непригодными для облегчения должной осмотрительности и ответственности.

Провайдеры облака (как процессоры) обязаны обеспечить конфиденциальность. Директива 95/46 ЕС гласит о том, что: «Любой человек, действующий под руководством контроллера или процессора, в том числе сами процессоры, которые имеют доступ к персональным данным, не должны обрабатывать их, за исключением команд контроллера, если он не требуется сделать это по закону». Доступ провайдера к данным во время его предоставления услуг также принципиально регулируются требованием соблюдать положения статьи Директивы.

Процессоры должны принимать во внимание тип облака в вопросе (государственные, частные, общественные или гибридные — IaaS, SaaS или PaaS) и вид услуги по контракту с клиентом. Процессоры отвечают за принятие мер безопасности в соответствие с нормами законодательства ЕС. Процессоры должны также оказывать поддержку и помощь контроллеру в соблюдении прав (осуществлении) субъекта данных.