IT firmy se bojí chystané legislativy, může prý ohrozit rozvoj cloudů

Zdroj: FreeDigitalPhotos.net.

Připravovaná pravidla EU na ochranu dat mohou ohrozit rozvoj cloudových technologií a aplikací v Evropě. Uvádí to studie, kterou včera zveřejnila BSA – skupina technologických firem v IT sektoru, jejímiž členy jsou společnosti jako Microsoft, Apple, Dell, Intel nebo Adobe.

Studie dále říká, že zákony, které dnes uplatňují evropské státy, vytváří lepší podmínky pro rozvoj cloudů než legislativa v mnoha rozvíjejících se ekonomikách včetně Číny a Indie. Na druhou stranu, k připravovanému evropskému nařízení k ochraně dat, se materiál staví kriticky – rozvoj cloud computingu podle něj může chystaná legislativa ohrozit.

Autoři studie porovnávali situaci ve 24 zemích světa a hodnotili, nakolik jednotlivé státy vytvářejí prostředí, které je pro rozvoj cloudového odvětví příznivé. Ve svém hodnocení posuzovali například ochranu dat, kybernetickou bezpečnost a ochranu duševního vlastnictví.

Technologie známé jako cloud computing umožňují ukládání informací ve vzdálených úložištích, která si odsud uživatelé mohou díky dostupnému připojení k rychlému internetu kdykoli stáhnout. V cloudu fungují například aplikace Googlu pro sdílení dokumentů nebo fotografií, nástroje pro sdílení datových souborů (např. Dropbox) nebo aplikace pro sdílení hudby jako jako je MusicJet nebo Spotify (EurActiv 14.2.2012).

K využívání cloudových technologií se ale váže i řada obav souvisejících nejen s ochranou osobních údajů a dat, ale i národní bezpečností. Vzdálená úložiště dat se totiž mohou nacházet prakticky kdekoli po světě a data se tak mohou přesouvat do zemí, kde nad nimi národní jurisdikce nemají žádnou moc.

Evropská legislativa na ochranu dat je ve světle rozvoje komunikačních technologií mimořádně zastaralá. Stávající normy pocházejí z roku 1995, kdy byl Internet ještě v plenkách. Evropská komise proto před měsícem představila nové nařízení, které má upravovat ochranu dat. Materiálem se nyní budou zabývat členské státy a Evropský parlament.

Nová pravidla

Návrh, který 25. ledna představila komisařka Viviane Reding má mimo jiné občanům dát právo na vymazání elektronických záznamů u poskytovatelů, jejichž služeb přestanou využívat. Takzvané „právo na zapomenutí“, by se mohlo uplatňovat například ve chvíli, kdy klient odejde od banky nebo v případě, že si zruší profil na sociálních sítích jako je Facebook nebo Twitter. Poskytovatelům služeb budou muset občané navíc udělit explicitní souhlas s využíváním osobních údajů.

Návrh obsahuje ale i řadu nejasností – není například úplně jasné, jak bude legislativa definovat osobní údaje. Otázkou také je, jestli do kategorie osobních údajů nespadnou například tzv. „cookies“, které obsahují informace o minulém chování uživatelů na internetu. Věc definice přitom není důležitá jen s ohledem na soukromí občanů, ale také na samotné fungování internetu. Počítače si údaje běžně vyměňují bez vědomí uživatelů. Kritici tvrdí, že pokud by najednou uživatelé museli ke všemu dávat souhlas, ochrana údajů by sice určitě stoupla, ale výrazně by se mohla zhoršit kvalita surfování po internetu.

Dokument komisařky Reding obsahuje také finanční sankce pro ty poskytovatele internetových služeb, kteří by „záměrně nebo z nedbalosti“ zavinili únik osobních údajů nebo by údaje zpracovávali bez předchozího souhlasu uživatelů.

Podle zprávy BSA jsou některá opatření v nařízení až příliš svazující a ohrožují přínosy celého návrhu. Mohou prý navíc zabránit dalšímu hospodářskému pokroku, který vytvoření skutečně globálního cloudu nabízí.

Návrhy EU jsou příliš svazující

Podle návrhu komisařky by společnosti nad 250 zaměstnanců musely vytvořit pozici zvláštního správce pro ochranu dat, jehož úkolem by bylo upozornit příslušné orgány do 24 hodin na únik dat, zajistit dokumentaci a vytvořit bezpečnostní předpisy pro zpracování dat.

Podle Thomase Bouého, který alianci BSA v Evropě zastupuje při jednání s veřejnou správou, jsou návrhy Komise „příliš svazující“. „Bude z toho odškrtávání políček ve formuláři. Povede to ale k ochraně dat? To se teprve ukáže,“ uvedl.

Boué si stěžuje také na to, že návrh nařízení počítá s velkým množstvím tzv. delegovaných aktů (norem, o jejichž podobě se bude rozhodovat až v procesu komitologie, který je často kritizován pro svou neprůhlednost, viz EurActiv 21.2.2012), což prý z pohledu firem, které chtějí do cloud computingu investovat, vytváří právní nejistotu.

Delegované akty mají například definovat, jak vypadá „veřejný zájem“ v případě autorizace datových přenosů, jak bude fungovat udílení souhlasu s využitím osobních údajů dětí na internetu, bezpečnostní požadavky na zpracování dat, ale také právo na zapomenutí.

Tiskový mluvčí komisařky Reding Matthew Newman ale tyto obavy mírní. Do procesu přijímání těchto norem podle něj mohou zasáhnout členské státy i Evropský parlament. „Než zveřejníme konkrétní návrh, vždycky provádíme rozsáhlé konzultace,“ uvedl.

Bezpečnostní rizika

Ze studie BSA vyplývá, že evropské země jsou obecně na cloudy připravené lépe, než rychle se rozvíjející ekonomiky jako je Čína, Indie, Indonésie nebo Sigapur, kde „zatím neexistuje zásadní legislativa na ochranu dat“.

Zpráva uvádí, že neexistence těchto pravidel omezuje výhody, které by státy mohly díky cloudům využívat. „Uživatelé přistoupí na využívání cloud computingu teprve ve chvíli, kdy budou mít jistotu, že soukromé informace, které uloží do cloudu kdekoli na světě, nebudou poskytovateli cloudových služeb neočekávaným způsobem zneužity nebo odhaleny.“

Firmy z IT sektoru zažívají v posledních letech v rozvíjejících se ekonomikách doslova žně. Počet uživatelů internetu v Číně dosáhl na konci roku 2011 půl miliardy a odhaduje se, že v letech 2010-2015 se obrat odvětví zdvojnásobí.