Еще в ноябре 2010 г. Британский институт стандартов (BSI) опубликовал руководство BIP 0117 «Облачные вычисления. Практическое введение в правовые вопросы» («Cloud Computing. A Practical Introduction to the Legal Issues»)[61]. Документ знакомит (вкратце) с облачными вычислениями, при этом сравнивается развитие этой новой парадигмы вычислений с другими способами приобретения вычислительных ресурсов. В нем суммируются возникающие правовые проблемы, одни из которых характерны для облачных вычислений, а другие имеют более общий характер, но специфически проявляются в отношении «облаков».
В документе рассматриваются правовые вопросы, охватывающие такие области, как безопасность в «облаках», защита персональных данных, уровни обслуживания и контрактные вопросы. Руководство стало полезным ресурсом для тех, кто закупает или предоставляет облачные услуги, определяя практические шаги, направленные на решение правовых вопросов, как в контексте исполнения законодательно-нормативных требований, так и в контексте договорных отношений между клиентами и поставщиками. Рассматриваются также вопросы, возникающие при использовании облачных услуг организациями, работающими в жестко регулируемых отраслях, таких как сфера финансовых услуг.
О применении облачных технологий в госсекторе необходимо отметить следующее. В конце марта 2011 г. администрация Кабинета министров Великобритании (Cabinet Office) опубликовала национальную стратегию[62] в области информационно-коммуникационных технологий[63], согласно которой было запланировано сократить количество государственных центров обработки данных за счет их укрупнения, а также за счет перехода на облачные вычисления. При этом авторы стратегии надеются, что использование стандартизованной облачной платформы будет стимулировать разработку инновационных решений малыми и средними компаниями.
Также правительство Великобритании развивает программу G-Cloud (Government Cloud) – проект, направленный на внедрение облачного ПО в госсекторе. Программа G-Cloud была запущена в 2010 г., однако ее реализация была временно заморожена из-за финансового кризиса. Проект возобновил работу лишь в конце 2011 г.
Подобные программы с 2011 г. запущены и в Российской Федерации. Так, например, Распоряжением Правительства РФ от 20 июля 2011 г. № 1275-р одобрена «Концепция создания и развития государственной интегрированной информационной системы управления общественными финансами “Электронный бюджет”». Данная Концепция рекомендована органам исполнительной власти субъектов Российской Федерации и органам местного самоуправления при разработке систем управления государственными (муниципальными) финансами. Централизованные подсистемы системы «Электронный бюджет» будут предоставляться в качестве сервисных подсистем для использования субъектами Российской Федерации, муниципальными образованиями или организациями сектора государственного управления на безвозмездной основе, в том числе по модели «программное обеспечение как услуга» (SaaS). Хотя проблемы, возникающие в Великобритании и в России, во многом очень сходны[64]. До сегодняшнего дня все еще не выработана единая позиция на классификацию облачных услуг, возможных рисков и представления лучшей практики. Положительной динамикой можно назвать подготовку в 2014 г. Министерством связи законопроекта «О внесении изменений в некоторые законодательные акты Российской Федерации в части использования облачных вычислений». Законопроект определяет понятие услуги облачных вычислений, специфику организации предоставления облачных услуг органам власти, включая квалификационные требования к поставщикам услуг облачных вычислений, требования к финансовой устойчивости соответствующих поставщиков, а также к защите информации, обрабатываемой такими поставщиками, и порядок тарифного регулирования цен на услуги облачных вычислений. Законопроектом предлагалось внести изменения в Федеральный закон «О персональных данных» в части обеспечения защиты персональных данных при осуществлении их трансграничной передачи.
1.3.8. Уполномоченный орган по защите субъектов персональных данных и его функции
Комиссар является органом исполнительной власти по защите данных в Великобритании, независимым должностным лицом, назначаемым Ее Величеством, и ему выдается патент, однако комиссар, его должностные лица и сотрудники не должны рассматриваться в качестве служащих или агентов короны. Основное направление его деятельности – защита информационных прав и содействие открытости государственных органов и конфиденциальности данных для физических лиц.
Управление комиссара (ICO) в Великобритании является вневедомственным государственным органом, который подчиняется непосредственно парламенту при поддержке Министерства юстиции.
Обязанности ICO включают в том числе:
1) предоставление консультаций и рекомендаций для организаций и физических лиц;
2) рассмотрение жалоб от лиц, которые подозревают, что нарушено законодательство о защите данных;
3) выдача предписаний о защите данных;
4) ведение государственного реестра контролеров данных.
Если комиссар постановил, что конкретная организация или лицо нарушили любое из информационных прав, то он имеет право инициировать судебное расследование[65].
«Акт о защите данных» в главе V устанавливает следующие принципы взаимоотношения комиссара и контролеров данных:
1) комиссар разрабатывает свод правил, обязательных для контролеров;
2) комиссар направляет уведомления, которые обязательны для исполнения контролером;
3) комиссар определяет порядок исполнения уведомлений и проверки их исполнения.
Комиссар может налагать штрафы в размере до 500 тыс. фунтов стерлингов за серьезные нарушения «Акта о защите данных» в Великобритании в тех случаях, когда нарушение может нанести существенный имущественный ущерб или нравственные страдания.
Таким образом, комиссар наделен всей полнотой власти как по установлению определенных требований к защите персональных данных, так и по расследованию инцидентов и по привлечению виновных лиц к ответственности.
1.3.9. Трансграничная передача данных
Что касается трансграничной передачи данных, то в Великобритании, как и в других странах ЕС, установлено, что любая передача персональных данных за пределами Европейской экономической зоны (ЕЭЗ) допускается без дополнительных требований в случае, если страны-участницы обеспечивают адекватную защиту. Кроме того, существует требование об обязательной обработке персональных данных сначала на территории Великобритании, и только после совершения этих действий такие данные могут быть переданы в страны ЕС.
К странам с достаточным уровнем защиты относятся страны, которые были признаны таковыми Европейской комиссией в соответствии с Директивой 95/46/ЕС.
1.4. Германия
1.4.1. Регулирование
Германия является членом ООН, в связи с этим ст. 12 Всеобщей декларации прав человека, принятой Резолюцией 217 А (III) Генеральной Ассамблеи ООН от 10 декабря 1948 г., несмотря на ее декларативный характер, считается в Германии основой защиты персональных данных. Согласно данной статье «никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств».
Основную же регламентирующую роль на национальном уровне при регулировании вопросов защиты персональных данных в Германии играют нормы европейского права.