Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет - стр. 45
Одним из центральных положений является предоставление обработчику данных возможности в полной мере оценить риски, связанные с обработкой данных в облачной системе, и принять самостоятельное ответственное решение о возможности передачи данных в облачный сервис. При этом те организации, которые согласно «Акту о защите данных» являлись обработчиками данных, остаются таковыми при использовании облачных сервисов.
В «Акте о защите данных» указывается, что данные могут быть собраны и обработаны контролером данных, в случае если соблюдаются следующие условия[59]: получено согласие субъекта данных на обработку; контролер информации может обрабатывать данные только в рамках заранее полученного соглашения или в процессе выполнения договорных обязательств; обработка данных соответствует обязательствам контролера данных; обработка направлена на защиту жизненно важных интересов субъекта данных; обработка требуется в связи с целями закона 1998 г.
В облачных вычислениях контролером данных будет являться облачный клиент, который определяет цели и порядок обработки любых личных данных. Как указано в Руководстве, «облачный клиент, скорее всего, будет являться контролером данных и, следовательно, будет нести общую ответственность за соблюдение “Акта о защите данных”».
Точная роль облачного поставщика должна быть рассмотрена в каждом конкретном случае, чтобы оценить, является ли он одновременно и обработчиком личных данных. В Руководстве предлагается определить ответственность лица через те функции, которые он выполняет, на основании следующих критериев: 1) является ли поставщик услуг контролером данных или 2) действует от имени контролера данных.
Дополнительно к ответственности обработчика данных, касающейся сбора, хранения, передачи данных, Кодексом наилучшей практики по обработке персональных данных онлайн[60] устанавливается, что в целях соблюдения положений закона о защите данных обработчик данных должен принимать в том числе не предусмотренные правовыми актами меры, которые выбираются им самостоятельно в зависимости от ситуации и типа онлайн-сервиса, в том числе облачной системы. Такие обязательства могут включаться в договор.
Руководство также содержит лист проверки, который поможет пользователям облачных сервисов проверить безопасность системы (данный лист создан на основе мнения, опубликованного Рабочей группой по защите данных ЕС).
Еще в ноябре 2010 г. Британский институт стандартов (BSI) опубликовал руководство BIP 0117 «Облачные вычисления. Практическое введение в правовые вопросы» («Cloud Computing. A Practical Introduction to the Legal Issues»)