מחשוב ענן ופרטיות: כיצד לוודא שאתה לא עובר על החוק?
17 אפריל, 2011
לשימוש בשירותי מחשוב ענן גלובליים קיימות השלכות משפטיות שיש לקחת בחשבון בעת חתימת החוזה: צריך לוודא שהשירות לא מפר חוקים מקומיים להגנת הפרטיות או לאבטחת מידע וחוקים המגבילים את העברת המידע בין גבולות
לשימוש בשירותי מחשוב ענן גלובליים קיימות השלכות משפטיות שיש לקחת בחשבון בעת חתימת החוזה: צריך לוודא שהשירות לא מפר חוקים מקומיים להגנת הפרטיות או לאבטחת מידע וחוקים המגבילים את העברת המידע בין גבולות
מאת: עו"ד קריסטין ליון וקארין רצר, פירמת עורכי הדין מוריסון & פורסטר
המעבר לשירותי מחשוב ענן, שבהם הארגון מסתמך על שרתים משותפים ומרכזי נתונים המצויים בבעלות גורמים חיצוניים לחברה, מעוררת דילמות רבות שיש להתמודד עימן במהלך העברת הארגון לשיטת התקשרות כזו.
היקף שירות מחשוב הענן שונה מחוזה לחוזה. הוא יכול לכלול אספקת תשתיות מידע בלבד (שרתים, אחסון ורוחב פס) ולהגיע עד לאספקת פתרונות תוכנה מלאים לתפעול הארגון. בעוד שלמחשוב ענן יש יתרונות עלות, נגישות וגמישות משמעותיים, הוא עשוי לצמצם את שליטת החברה על המיקום, ההעברה והטיפול במידע שלה עצמה.
המעבר לענן, וזרימת המידע הקלה המאפיינת אותו, מעוררות שאלות בתחום הגנת הפרטיות בענן. המאמר מתאר בקצרה כמה מהשיקולים המשפטיים עליהם יש לתת את הדעת טרם העברת תשתית המידע לענן, ומציע עקרונות מנחים למציאת פתרונות אפשריים.
איזה מידע אישי יועבר לענן?
מידע אישי הוא מידע המזהה או יכול להיות קשור לאדם מסוים. הסיכונים המשפטיים והעסקיים משתנים בהתאם לסוג המידע האישי. לדוגמא, מאגר מידע בריאותי כרוך לרוב בסיכונים גדולים יותר מאשר מאגר מידע הכולל שמות ופרטי קשר של לקוחות. בנוסף, מדינות רבות דורשות עמידה בתקני אבטחה מוגדרים עבור מידע פיננסי או בריאותי. כלומר, רמת האבטחה בשירות ענן שעשויה להתאים לפרטי קשר של לקוחות, עשויה שלא לעמוד ברמת ההגנה הנדרשת למידע בריאותי, פיננסי או מידע רגיש אחר.
לכן מומלץ להגדיר את רמת האבטחה הנדרשת לפי פריטי המידע הרגישים ביותר שיועברו לענן. במקרים מסוימים, מומלץ לשמור סוגים מסוימים של מידע אישי באופן פנימי, ולנצל את היתרונות של שירותי מחשוב ענן עבור מידע פחות רגיש.
דיני הגנת הפרטיות
חוקי הגנת הפרטיות משתנים ממדינה למדינה. בארה"ב, למשל, חברות צריכות לשקול האם הן כפופות לחוקי הגנת פרטיות הייעודיים למגזר מסוים, כגון שירותים רפואיים או פיננסים. חוקים אלה עשויים לחייב שימוש בפתרונות מסויימים המתאימים לסוג המידע המועבר.
חברות הממוקמות באירופה, או חברות העובדות עם ספקים באירופה או בעלות תשתית באירופה, יצטרכו למצוא מענה לדרישות המקומיות הנרחבות להגנת הפרטיות, המגינות על כל מידע אישי, כולל פרטים בסיסיים כמו פרטי קשר עסקיים. לעתים הדבר דורש מתן הודעה לעובדים וללקוחות על עיבוד המידע האישי שלהם באמצעות מיקור החוץ, היוועצות עם ועדי עובדים לפני הוצאת נתוני העובדים למיקור חוץ, רישום ברשויות הגנת מידע מקומיות ועוד. דרישות דומות קיימות במדינות רבות באסיה, במזרח התיכון ובאמריקה הצפונית והדרומית.
דרישות אבטחת מידע
מעבר לחוקי הגנת פרטיות, החברה צריכה להבטיח אמצעי הגנה על המידע האישי בהתאם לחוקי אבטחת מידע וחוקים העוסקים במתן הודעה על פריצת אבטחה או זליגת מידע. בארה"ב חוקים אלה מתמקדים במידע אישי כגון מספרי ביטוח לאומי, מספרי רשיונות נהיגה, מספרי כרטיסי אשראי או חיוב, ומספרי חשבונות פיננסים. אחד מאמצעי ההגנה העיקריים הוא הצפנה, מאחר ורבים מחוקי ההודעה על פריצה בארה"ב מחריגים מידע מוצפן מדרישות החוק.
בעוד שחובות הגנת המידע משתנות משמעותית מחוק לחוק וממדינה למדינה, רובן כוללות את העקרונות הבאים:
- ביצוע הליך גילוי נאות ראוי לגבי ספקים;
- הגבלת גישה למידע אישי, שימוש בו וגילויו;
- הקמת אמצעי הגנה טכניים, ארגוניים ומנהליים;
- עריכת חוזים מספקים מבחינה משפטית עם ספקים;
- הודעה לנפגעים (ולעיתים לרשויות) על פריצות אבטחה שחשפו או סיכנו מידע אישי.
העברת נתונים בין מדינות
מדינות רבות באירופה, אמריקה ואסיה (ובהן ישראל) מגבילות העברה או שיתוף של מידע אישי מעבר לגבולותיהן. מגבלות אלה עשויות להציב אתגרים משמעותיים עבור חברות בינלאומיות המבקשות להעביר את המידע שלהן לענן במדינה אחרת. מומלץ להעריך בזהירות האם האפשרויות המוצעות על-ידי ספק שירותי הענן עומדות בדרישות החוק לגבי העברת מידע מחוץ לגבולות. לאחרונה אף החלו חלק מן הספקים להציע פתרונות ענן משוייכים גיאוגרפית, בהם המידע נשמר בתוך מדינה או תחום שיפוט מסוימים.
המחויבות החוזית של הארגון בקשר למידע אישי שברשותו
אם ארגון מבקש להוציא לספק שירותי הענן יישומים הכוללים מידע בבעלות צדדים שלישיים או לגביהם, כמו מידע אישי המוחזק עבור לקוחות או שותפים עסקיים, חשוב לבדוק אם קיימות הגבלות חוזיות כלשהן עם הצדדים השלישיים אלה לגבי המידע. הסכמים כאלו עשויים לחייב את קבלת הסכמתם למיקור החוץ, או לדרוש התחייבויות חוזיות ספציפיות מספק שירות הענן.
ענן ציבורי או פרטי?
באופן כללי, ענן פרטי שומר את המידע על ציוד השייך לספק שירות הענן או ציוד הנמצא בשליטתו, ואילו הענן הציבורי מפזר את המידע על-גבי מחשבים ורשתות של צדדים שלישיים לא קשורים, העלולים לכלול גם מתחרים עסקיים. בעודו מציע גמישות ויכולות התרחבות מירביות, מודל הענן הציבורי מעלה חששות בקשר לקושי לדעת מי מחזיק במידע, ליכולת להשגיח על הגופים המחזיקים במידע, ולהעדר סטנדרט אבטחת מידע אחיד בין גופים אלו. לכן מומלץ לבדוק, לפני הוצאת מידע אישי למיקור חוץ, האם השירות המוצע כולל ענן פרטי או ציבורי, וגם להעריך מה הן ההתחייבויות החוזיות שהספק מוכן לתת בנוגע לאבטחת המידע.
היערכות לפני המעבר לענן
ניתן גם לנקוט באמצעים להגנת מידע אישי טרם העברתו לענן. לדוגמה, הסכמי ספקים מסוימים דורשים מהלקוחות להצפין את המידע שלהם לפני העלאת הנתונים לענן. אם קידוד המידע טרם העברתו הינו מעשי, הדבר עלול לספק הגנה משמעותית נוספת, כל עוד מפתחות ההצפנה אינם זמינים לספק שירות הענן.
חשוב גם לקחת בחשבון דרישות אבטחה רלוונטיות: למספר מדינות באירופה יש דרישות סטאטוטוריות מאוד ספציפיות לאמצעי אבטחה, וחלק מהרגולטורים אף פרסמו תקני אבטחה מפורטים לספקי מחשוב ענן.
חוזה עם ספק השירות
החוזה עם ספק שירותי הענן צריך לקבוע באופן ברור את התפקידים וההתחייבויות של הצדדים. הוא יכול לכלול הוראות המונעות מהספק להשתמש במידע לצרכיו הוא, מגבילות אותו בשיתוף מידע למעט במקרים המוגדרים באופן מצומצם, ומגדירות אמצעי אבטחה ומתן הודעות על פריצה. בעוד ששירותי ענן רבים מוצעים על בסיס “take it or leave it”, עם אפשרות מוגבלת לשאת ולתת לגבי תנאי השירות או התניות החוזיות, חשוב לבחור בהצעת ענן ה"תפורה" בהתאם לאופי המידע ולחובות החוקיות הנלוות אליו.
סיכום
מחשוב ענן יכול לשפר משמעותית את יעילות פתרונות ה-IT, במיוחד עבור עסקים קטנים ובינוניים, אולם ראוי לבחון את ההצעות הספציפיות בזהירות. הבנת חובות הציות החוקיות מאפשרת לקבל החלטות מושכלות בבחירת שירותי מחשוב הענן המתאימים ביותר.
* מאמר זה הינו תקציר בלבד ואינו בגדר חוות דעת משפטית או ייעוץ משפטי.
למאמרים נוספים באתר הפירמה: מוריסון פורסטר.
פורסם בקטגוריות: דעות , מחשבים ומערכות משובצות , משפט וקניין רוחני