2019, vol. 57, br. 7-9, str. 93-111
|
|
Pravni aspekti čuvanja podataka u virtuelnom "oblaku" (klaudu) u svetlu opšte Uredbe 2016/679 Evropske unije o zaštiti podataka o ličnosti
Legal aspects of data storage in a virtual "cloud" in the light of general Regulation 2016/679 of the European Union for the protection of personal data
Projekat: Evropske integracije i društveno-ekonomske promene privrede Srbije na putu ka EU (MPNTR - 47009)
Sažetak
U Evropskoj uniji ne postoji "krovni" propis kojim se uređuje čuvanje podataka u klaudima, već je to uređeno većim brojem pravnih akata. Jedan od glavnih izvora prava u vezi sa čuvanjem podataka u klaudu predstavlja Uredba Evropske unije o zaštiti pojedinca u vezi sa obradom ličnih podataka i o slobodnom kretanju takvih podataka, kao i stavljanju van snage Direktive 95/46/EZ. Uredba se primenjuje i na klaud provajdere sa sedištem izvan Unije. Istraživanje je pokazalo da će klaud provajderi biti odgovorni za svoje postupke u vezi sa obradom podataka o ličnosti. Za nepoštovanje odredaba Uredbe predviđene su visoke novčane kazne do čak 20 miliona evra ili 4% godišnjeg prometa. Poseban problem za klaud provajdere predstavljaće sprovođenje prava na zaborav, s obzirom da su lokacije podataka često nepoznate, kao i veliku pokretljivost podataka u klaud okruženju. Klaud provajderi će imati obavezu da procenjuju da li je zahtev za brisanje podataka opravdan, što predstavlja pravno pitanje, i iziskivaće značajne troškove za klaud provajdere. Istraživanjem je utvrđeno da je potrebno detaljnije urediti oblast prenošenja podataka između različitih klaud platformi, a pokazalo se da će manji klaud provajderi imati teškoće u vezi sa ugovorom sa pod-obrađivačima, s obzirom na stroge zahteve Uredbe. Najzad, utvrđeno je da Uredbom nisu detaljnije uređena pitanja zaštite podataka pseudonimizacijom ili šifrovanjem. U radu su korišćeni normativni metod i pravno-logički metodi indukcije i dedukcije.
Abstract
In the European Union there is no "roof" rule governing the storage of data in the cloud, but it is governed by a large number of legal acts. One of the main sources of law in connection with storing data in the cloud represents a Regulation on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC. The Regulation also applies to cloud providers based outside the Union. Research has shown that cloud providers will be responsible for their actions in relation to the processing of personal data. For violating the provisions, the Regulation provides for high fines up to 20 million Euro or 4% of annual turnover. A particular problem for cloud providers is implementation of the right to forgotten, considering that the location data is often unknown, and great mobility data in a cloud environment. Cloud providers will be required to assess whether the request for forgotten is justified, which is a legal issue, and will require significant costs for cloud providers. The research has found that it is necessary to further regulate transfer data between different cloud platforms, and that smaller cloud providers will have difficulties related to the contract with sub-processors, due to the strict requirements of the Regulation. Finally, it was found that the Regulation did not regulate data protection issues, such as pseudonymisation or encryption.The research used normative methods and legal and logical methods of induction and deduction.
|