Η μεταφορά δεδομένων και η αλλαγή παρόχων υπηρεσιών υπολογιστικού νέφους

0

Ενδιαφέρον παρουσιάζουν οι κατευθυντήριες γραμμές που δημοσίευθηκαν απο την Ευρωπαϊκη Επιτροπή αναφορικά με το πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση.  Ένας από τους σκοπούς του κανονισμού για την ελεύθερη ροή δεδομένων μη προσωπικού χαρακτήρα είναι η αποτροπή των πρακτικών εγκλωβισμού σε συγκεκριμένο πάροχο.

Οι πρακτικές αυτές προκύπτουν όταν οι χρήστες δεν μπορούν να αλλάξουν πάροχο υπηρεσιών διότι τα δεδομένα τους είναι «κλειδωμένα» στο σύστημα του παρόχου, για παράδειγμα λόγω συγκεκριμένου μορφοτύπου δεδομένων ή συμβατικών ρυθμίσεων, και δεν μπορούν να μεταφερθούν εκτός του συστήματος ΤΠ του παρόχου. Η απρόσκοπτη μεταφορά δεδομένων είναι σημαντική προκειμένου οι χρήστες να έχουν τη δυνατότητα να επιλέγουν ελεύθερα μεταξύ παρόχων υπηρεσιών επεξεργασίας δεδομένων και, συνεπώς, να διασφαλίζεται ο αποτελεσματικός ανταγωνισμός στην αγορά.

Όπως αναφέρεται χαρακτηριστικά, η φορητότητα των δεδομένων μεταξύ επιχειρήσεων καθίσταται ολοένα και σημαντικότερη σε ευρύ φάσμα ψηφιακών τομέων, συμπεριλαμβανομένων των υπηρεσιών υπολογιστικού νέφους.

Σύμφωνα με το άρθρο 6 του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα, η Επιτροπή ενθαρρύνει και διευκολύνει την ανάπτυξη κωδίκων δεοντολογίας αυτορρύθμισης στο επίπεδο της Ένωσης («κώδικες δεοντολογίας»), προκειμένου να συμβάλει σε μια ανταγωνιστική οικονομία των δεδομένων. Παρέχει στη βιομηχανία τη βάση για την ανάπτυξη κωδίκων δεοντολογίας αυτορρύθμισης σχετικά με την αλλαγή παρόχων υπηρεσιών και τη μεταφορά δεδομένων μεταξύ διαφορετικών συστημάτων ΤΠ.

Σύμφωνα με την συγκεκριμένη κατεύθυνση, κατά την ανάπτυξη αυτών των κωδίκων δεοντολογίας σχετικά με τη μεταφορά δεδομένων θα πρέπει να λαμβάνονται υπόψη διάφορες πτυχές, κυρίως οι εξής:

  • βέλτιστες πρακτικές για τη διευκόλυνση της αλλαγής παρόχων υπηρεσιών και της μεταφοράς δεδομένων σε δομημένο, ευρέως χρησιμοποιούμενο μηχαναγνώσιμο μορφότυπο,
  • ελάχιστες απαιτήσεις ενημέρωσηςγια να διασφαλιστεί ότι οι επαγγελματίες χρήστες θα έχουν στη διάθεσή τους, πριν από τη σύναψη σύμβασης, επαρκώς διεξοδικές και σαφείς πληροφορίες σε ό,τι αφορά τις διαδικασίες, τις τεχνικές απαιτήσεις, τις προθεσμίες και τις οικονομικές επιβαρύνσεις που ισχύουν σε περίπτωση που ένας επαγγελματίας χρήστης επιθυμεί να αλλάξει πάροχο υπηρεσιών ή να επαναφέρει δεδομένα στα δικά του συστήματα ΤΠ,
  • προσεγγίσεις όσον αφορά τα συστήματα πιστοποίησης για την καλύτερη συγκρισιμότητα των υπηρεσιών υπολογιστικού νέφους, και
  • πορείες γνωστοποιήσεων με στόχο την ευαισθητοποίηση σχετικά με τους κώδικες δεοντολογίας.

Στην αγορά των υπηρεσιών υπολογιστικού νέφους, η Επιτροπή έχει αρχίσει να διευκολύνει το έργο των ομάδων εργασίας των ενδιαφερόμενων μερών στον τομέα του υπολογιστικού νέφους στο πλαίσιο της ψηφιακής ενιαίας αγοράς, στις οποίες συμμετέχουν εμπειρογνώμονες στον τομέα του υπολογιστικού νέφους και επαγγελματίες χρήστες, συμπεριλαμβανομένων μικρομεσαίων επιχειρήσεων. Στο παρόν στάδιο, μία υποομάδα καταρτίζει κώδικες δεοντολογίας αυτορρύθμισης σχετικά με τη μεταφορά δεδομένων και την αλλαγή παρόχων υπηρεσιών υπολογιστικού νέφους (ομάδα εργασίας SWIPO)62, ενώ μια άλλη υποομάδα εργάζεται για την ανάπτυξη πιστοποίησης στον τομέα της ασφάλειας του υπολογιστικού νέφους (ομάδα εργασίας CSPCERT)63.

Η ομάδα εργασίας SWIPO καταρτίζει κώδικες δεοντολογίας που καλύπτουν όλο το φάσμα των υπηρεσιών υπολογιστικού νέφους· λογισμικό ως υπηρεσία (SaaS), πλατφόρμα ως υπηρεσία (PaaS) και υποδομή ωςυπηρεσία (IaaS).

Η Επιτροπή αναμένει ότι οι διάφοροι κώδικες δεοντολογίας θα συμπληρωθούν με υποδείγματα συμβατικών ρητρών64. Τα εν λόγω υποδείγματα θα προσδώσουν επαρκή τεχνική και νομική ακρίβεια στην πρακτική υλοποίηση και εφαρμογή των κωδίκων δεοντολογίας, η οποία θα είναι ιδιαίτερα σημαντική για τις μικρομεσαίες επιχειρήσεις. Η εκπόνηση των υποδειγμάτων συμβατικών ρητρών προγραμματίζεται να πραγματοποιηθεί μετά την κατάρτιση των κωδίκων δεοντολογίας (που θα πρέπει να ολοκληρωθεί έως τις 29Νοεμβρίου 2019).Σύμφωνα με το άρθρο8 του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα, η Επιτροπή θα αξιολογήσει την εφαρμογή του κανονισμού έως τις 29Νοεμβρίου 2022. Με τον τρόπο αυτόν, θα καταστεί δυνατό να αξιολογηθούν τα εξής: i) ο αντίκτυπος του κανονισμού στην ελεύθερη ροή δεδομένων στην Ευρώπη· ii) η εφαρμογή του κανονισμού, ιδίως στα μεικτά σύνολα δεδομένων· iii) ο βαθμός στον οποίο τα κράτη μέλη έχουν πράγματι καταργήσει υφιστάμενους αδικαιολόγητους περιορισμούς τοπικοποίησης των δεδομένων· και iv) η αποτελεσματικότητα των κωδίκων δεοντολογίας σε επίπεδο αγοράς στους τομείς της μεταφοράς δεδομένων και της αλλαγής παρόχων υπηρεσιών υπολογιστικού νέφους.

Η έννοια της φορητότητας και η αλληλεπίδραση με τον γενικό κανονισμό για την προστασία δεδομένων

Και οι δύο κανονισμοί65 αναφέρονται στη φορητότητα των δεδομένων και στον στόχο να διευκολυνθεί η μεταφορά των δεδομένων από ένα περιβάλλον ΤΠ σε άλλο, δηλαδή είτε σε συστήματα άλλου παρόχου είτε σε επιτόπια συστήματα. Με τον τρόπο αυτόν αποτρέπεται ο εγκλωβισμός σε συγκεκριμένοπάροχο και προωθείται ο ανταγωνισμός μεταξύ παρόχων υπηρεσιών. Ωστόσο, οι κανονισμοί διαφέρουν ως προς τον τρόπο με τον οποίο προσεγγίζουν τη φορητότητα όσον αφορά τη σχέση μεταξύ των στοχευόμενων ομάδων συμφερόντων και της νομικής φύσης των διατάξεων.

Το δικαίωμα στη φορητότητα των δεδομένων προσωπικού χαρακτήρα βάσει του άρθρου20 του γενικού κανονισμού για την προστασία δεδομένων εστιάζει στη σχέση μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας. Αφορά το δικαίωμα του υποκειμένου τωνδεδομένων να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα τα οποία έχει παράσχει στον υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και μηχαναγνώσιμο μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας ή στη δική του ικανότητα αποθήκευσης χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα66. Συνήθως, τα υποκείμενα των δεδομένων στη σχέση αυτή είναι καταναλωτές διαφόρων επιγραμμικών υπηρεσιών που επιθυμούν να αλλάξουν πάροχο υπηρεσιών.

Το άρθρο 6 του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα δεν προβλέπει δικαίωμα μεταφοράς δεδομένων για τους επαγγελματίες χρήστες, αλλά ακολουθεί μια προσέγγιση αυτορρύθμισης, με προαιρετικούς κώδικες δεοντολογίας για τη βιομηχανία. Παράλληλα, εστιάζει σε μια κατάσταση στην οποία ένας επαγγελματίας χρήστης έχει αναθέσει την επεξεργασία των δεδομένων του σε τρίτο, ο οποίος παρέχει υπηρεσίες επεξεργασίας δεδομένων67.Σύμφωνα με το άρθρο3 σημείο8του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα, ως «επαγγελματίας χρήστης» νοείται «φυσικό ή νομικό πρόσωπο, συμπεριλαμβανομένης δημόσιας αρχής ή οργανισμού δημόσιου δικαίου, που χρησιμοποιεί ή ζητά την παροχή υπηρεσίας επεξεργασίας δεδομένων για λόγους σχετιζόμενους με τις εμπορικές συναλλαγές του, την επιχείρησή του, το επάγγελμά του ή την εργασία του».

Στην πράξη, η φορητότητα βάσει του άρθρου6 του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα αφορά τις αλληλεπιδράσεις μεταξύ επιχειρήσεων που πραγματοποιούνται ανάμεσα σε έναν επαγγελματία χρήστη (ο οποίος, σε περιπτώσεις που περιλαμβάνουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, μπορεί να χαρακτηριστεί ως «υπεύθυνος επεξεργασίας» σύμφωνα με τον γενικό κανονισμό για την προστασία δεδομένων) και έναν πάροχο υπηρεσιών (ο οποίος, ομοίως, μπορεί σε ορισμένες περιπτώσεις να χαρακτηριστεί ως «εκτελών την επεξεργασία»). Παρά τις διαφορές, μπορεί να προκύψουν καταστάσεις στις οποίες η μεταφορά δεδομένων καλύπτεται τόσο από τον κανονισμό για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα όσο και από τον γενικό κανονισμό για την προστασία δεδομένων σε σχέση με μεικτά σύνολα δεδομένων.

Παράδειγμα: Μια επιχείρηση που χρησιμοποιεί μια υπηρεσία υπολογιστικού νέφους αποφασίζει να αλλάξει πάροχο υπηρεσιών υπολογιστικού νέφους και να μεταφέρει όλα τα δεδομένα σε νέο πάροχο. Η αλλαγή του παρόχου υπηρεσιών και η μεταφορά των δεδομένων καλύπτονται στη σύμβαση μεταξύ του πελάτη και του παρόχου υπηρεσιών υπολογιστικού νέφους. Εάν ο παλαιός πάροχος υπηρεσιών υπολογιστικού νέφους τηρεί τους κώδικες δεοντολογίας που έχουν καταρτιστεί βάσει του κανονισμού για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα, η μεταφορά των δεδομένων πρέπει να πραγματοποιηθεί σύμφωνα με τις απαιτήσεις που προσδιορίζονται στους κώδικες αυτούς. Εάν τα δεδομένα προσωπικού χαρακτήρα αποτελούν επίσης μέρος των μεταφερόμενων συνόλων δεδομένων, η μεταφορά πρέπει να συμμορφώνεται με όλες τις σχετικές διατάξεις του γενικού κανονισμού για την προστασία δεδομένων, ειδικότερα πρέπει να διασφαλιστεί ότι ο νέος πάροχος υπηρεσιών υπολογιστικού νέφους τηρεί τις εφαρμοστέες απαιτήσεις, όπως η ασφάλεια68.

Παράδειγμα: Σε περίπτωση που μια τράπεζα αποφασίσει να αλλάξει πάροχο υπηρεσιών διαχείρισης τωνσχέσεων με τους πελάτες, είναι πιθανόν ορισμένα δεδομένα (προσωπικού και μη προσωπικού χαρακτήρα) να πρέπει να μεταφερθούν από τον παλαιό πάροχο στον νέο. Τα δεδομένα αυτά θα υπόκεινται στη συνέχεια σε διάφορες κανονιστικές απαιτήσεις, εκ των οποίων ορισμένες απορρέουν από τον γενικό κανονισμό για την προστασία δεδομένων και άλλες απορρέουν από τον κανονισμό για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα.

Δείτε το σύνολο κατευθυντήριων γραμμών για τον κανονισμό σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση


 

62Ομάδα εργασίας για την αλλαγή παρόχων υπηρεσιών και τη μεταφορά δεδομένων στο υπολογιστικό νέφος.63Ομάδα εργασίας για την πιστοποίηση των Ευρωπαίων παρόχων υπηρεσιών υπολογιστικού νέφους. Βλέπε επίσης ενότητα 4.3.64Βλέπε αιτιολογική σκέψη 30 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ηςΝοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση.

65Άρθρο6 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ηςΝοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση, και άρθρο20 του κανονισμού (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ηςΑπριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων).66Βλέπε Ομάδα εργασίας του άρθρου 29: Κατευθυντήριες γραμμές σχετικά με το δικαίωμα στη φορητότητα των δεδομένων. WP 242 rev.01, που εκδόθηκε στις 13 Δεκεμβρίου 2016 όπως τελικώς αναθεωρήθηκε και εκδόθηκε στις 5 Απριλίου 2017.67Στην αιτιολογική σκέψη 29 του κανονισμού (ΕΕ) 2018/1807 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ηςΝοεμβρίου 2018, σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση αναφέρεται:«Παρότι οι μεμονωμένοι καταναλωτές ωφελούνται από το ισχύον ενωσιακό δίκαιο [ήτοι από τον γενικό κανονισμό για την προστασία δεδομένων], δεν διευκολύνεται η ικανότητα να αλλάζουν παρόχους υπηρεσιών για εκείνους τους χρήστες που δρουν στο πλαίσιο των επιχειρηματικών ή των επαγγελματικών τους δραστηριοτήτων.»

68Βλέπε Ομάδα εργασίας του άρθρου 29: Γνώμη 05/2012 σχετικά με τη νεφοϋπολογιστική που εκδόθηκε την 1η Ιουλίου 2012, WP196, στην οποία προσδιορίζονται περαιτέρω η θέση και οι υποχρεώσεις των χρηστών και των παρόχων υπηρεσιών υπολογιστικού νέφους σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Σχόλια