ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ ПРИ ЇХ ОБРОБЦІ У ХМАРНИХ СЕРВІСАХ
DOI:
https://doi.org/10.15407/econlaw.2025.03.064Ключові слова:
обмін даними між бізнесом і державою, захист даних, постачальник послуг, протоколи безпеки, конфіденційна інформаціяАнотація
Досліджено проблему оброблення персональних даних користувачів під час застосування хмарних сервісів органами державної влади. Основну увагу приділено недолікам у сфері прозорості, мінімізації, пропорційності й інформованої згоди, а також відсутності оцінювання впливу впровадження технічних рішень на захист даних. В умовах інтеграції інтеграції України в європейське правове середовище важливо розглядати ці питання через призму права Європейського Союзу, а саме Загального регламенту захисту даних GDPR. Дослідження показало, що відсутність чітких меж відповідальності та недотримання принципів GDPR створює високі ризики для прав і свобод фізичних осіб. Тому розглядається питання запровадження спільної відповідальності державних органів і хмарних провайдерів, зокрема в контексті автентифікації через сторонні акаунти та використання cookie-файлів, наголошується на необхідності відповідальності основних гравців обміну даними, а саме бізнесу та державних органів (B2G), під час оброблення даних у цифровому середовищі хмарних сервісів.
Набуття чинності Законом України 16 вересня 2022 року "Про хмарні послуги" та постаною Кабінету Міністрів України від 11 лютого 2025 року «Деякі питання надання та використання хмарних послуг та/або послуг центру обробки даних» істотно впливає на юридичну практику, особливо, щодо B2G обміну. Нові правові вимоги та зобов'язання, які виникають під час надання та використання хмарних послуг і послуг центрів оброблення даних, потребують практичних роз’яснень.
Розглянуто два актуальних щодо проблематики дослідження кейси, які можна використати для удосконалення вітчизняного законодавства. Перший кейс витоку персональних даних у Норвезькій конфедерації спорту (NIF), що стався внаслідок тестування хмарного сервісу Microsoft Azure (2021) без належного технічного та організаційного забезпечення, демонструє критичну важливість дотримання вимог захисту персональних даних на прикладі GDPR, що є необхідним на всіх етапах упровадження хмарних технологій. Використання реальних персональних даних у тестовому середовищі без оцінювання ризиків і налаштування захисту призводить до відкриття доступу до особистої інформації. Це й сталося у досліджуваному кейсі, де понад 3,2 млн осіб, серед яких майже пів мільйона неповнолітніх, стали об’єктами порушень, захист даних яких не був дотриманий. Для України, яка активно просуває цифрову трансформацію та інтеграцію хмарних рішень у публічний і приватний сектори, цей кейс є показовим. Він підкреслює необхідність запровадження обов’язкових практик оцінювання ризиків, використання синтетичних або знеособлених даних під час тестування, а також розроблення чітких стандартів кібербезпеки для хмарних середовищ. У контексті побудови електронного врядування та впровадження концепції «хмара за замовчуванням» (cloud by default), дотримання принципів прозорості, мінімізації та відповідальності під час роботи з персональними даними має бути стратегічним пріоритетом.
Дослідження другого кейсу FisconetPlus (2020) показує важливість чіткого дотримання принципів конфіденційності і захисту персональних даних під час впровадження хмарних сервісів у публічному секторі. Встановлено, що обов’язок конфіденційності має юридичне та договірне підґрунтя, а також повинен охоплювати всіх учасників, зокрема й підрядників, які виконують функції органів влади. Кейс підкреслює необхідність застосування принципів «privacy by design» і «privacy by default», мінімізації даних, прозорості і забезпечення контролю над обробленням даних, особливо коли хмарна інфраструктура розміщується за межами країни. Для України цей кейс є важливим уроком зі створення національних правил і стандартів безпеки, які б гарантували захист персональних даних і державний суверенітет під час використання хмарних технологій.
Багато підприємств і державних установ нині активно впроваджують хмарні послуги, тому правники мають бути готовими надавати правову допомогу в питаннях безпеки даних, виконання вимог регуляторів, а також захисту прав й інтересів клієнтів у контексті нових технологічних викликів. У зв'язку з цим запропоновано практичні рекомендації щодо забезпечення відповідності хмарних рішень європейським вимогам, а саме: оцінювання впливу, дотримання принципу захисту даних за замовчуванням (privacy by design & by default) та впровадження прозорої політики збирання та оброблення даних.
Результати дослідження є актуальними для правників, щоб вони могли ефективно реагувати на правові виклики, що постають у процесі інтеграції новітніх технологій у межах національного та європейського законодавства, та забезпечити належну правову підтримку бізнесу й органам влади, що працюють з хмарними сервісами.
Посилання
Fosch-Villaronga, E., & Millard, C. (2019). Cloud robotics law and regulation. Robotics and Autonomous Systems, 119, 77–91. https://doi.org/10.1016/j.robot.2019.06.003
Sharma, P., Sharma, M., & Elhoseny, M. (Eds.). (2021). Applications of cloud computing : approaches and practices (First edition.). Chapman & Hall/CRC. https://doi.org/10.1201/9781003025696
Calder, A. (2021). EU Code of Conduct for Cloud Service Providers - A compliance guide. IT Governance Publishing.
Bulgakova, D., & Stupnik, V. (2023). THE SHARING OF BUSINESS-TO-GOVERNMENT DATA. Administrative Law and Process, (2(41), 18-37. https://doi.org/10.17721/2227-796X.2023.2.02
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons about the processing of personal data and the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance), OJ L 119, 4.5.2016, p. 1–88.
Bulgakova, Daria (2025). СПРАВА DATATILSYNET ПРО ВИТІК ПЕРСОНАЛЬНИХ ДАНИХ У НОРВЕЗЬКІЙ СПОРТИВНІЙ ФЕДЕРАЦІЇ ПРИ ТЕСТУВАННІ ХМАРНОГО СЕРВІСУ AZURE. Cyber Scotland week, the International Scientific and Practical Conference "Social Justice and Digital Economy. 2025". Conference paper. [in Ukraine].
Case on the Azure Cloud Service: (1) Case number 20/01626; (2) Country: Norway (EU); (3) Dispute body: Datatilsynet vs Norges idrettsforbund og olympiske og paralympiske komité (NIF), the Norwegian Olympic and Paralympic Committee and Confederation of Sports (NIF), The Norwegian Olympic and Paralympic Committee and Confederation of Sports (NIF); (4) Source of law: Articles 5(1)(a)(c)(f), 6, 32 GDPR; (5) Date of decision: May 05, 2021; (6) Source: https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/varsel-om-overtredelsesgebyr-til-norges-idrettsforbund/; See more at: https://www.edpb.europa.eu/news/national-news/2021/norwegian-dpa-norwegian-confederation-sport-fined-inadequate-testing_en
Bulgakova, Daria (2025). GDPR REQUIREMENTS FOR THE INTEGRATION OF CLOUD SOLUTIONS ON THE EXAMPLE OF THE CASE ABOUT FISCONETPLUS. XI LEGAL MOHYLA READINGS – 2025. Conference paper, pp. 22-26 https://dspace.chmnu.edu.ua/jspui/bitstream/123456789/2794/1/%d0%a5%d0%86%20%d0%ae%d1%80%d0%b8%d0%b4%d0%b8%d1%87%d0%bd%d1%96%20%d0%9c%d0%be%d0%b3%d0%b8%d0%bb%d1%8f%d0%bd%d1%81%d1%8c%d0%ba%d1%96%20%d1%87%d0%b8%d1%82%d0%b0%d0%bd%d0%bd%d1%8f.pdf
Case on FisconetPlus: (1) Case Number: 82/2020; (2) Country: Belgium (EU); (3) Dispute body: Data Protection Authority (DPA) vs FPS Finance; (4) Source of law: Articles 6(1), 25(1), 35 GDPR; (5) Date of decision: December 23, 2020; (6) Source: https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-82-2020.pdf
Millard, C. J. (Ed.). (2021). Cloud computing law (Second edition.). Oxford University Press.
Johan David Michels, Christopher Millard, and Felicity Turton, Standard Contracts for Cloud Services. In: Cloud Computing Law. Second Edition. Edited by Christopher Millard, Oxford University Press (2021), p. 61.
Georgiopoulou, Z., Makri, E.-L., & Lambrinoudakis, C. (2020). GDPR compliance: proposed technical and organizational measures for cloud provider. Information and Computer Security, 28(5), 665–680. https://doi.org/10.1108/ICS-01-2020-0009
Casalicchio, E., Cardellini, V., Interino, G., & Palmirani, M. (2018). Research challenges in legal-rule and QoS-aware cloud service brokerage. Future Generation Computer Systems, 78 (Part 1), 211–223. https://doi.org/10.1016/j.future.2016.11.025
Law of Ukraine "On Cloud Services". Available at: https://zakon.rada.gov.ua/laws/show/2075-20#Text
Resolution of the Cabinet of Ministers of Ukraine of 11th of February 2025 "Some issues of the provision and use of cloud services and/or data center services" No. 154.
Law of Ukraine “On Personal Data Protection”. Available at: https://zakon.rada.gov.ua/laws/show/2297-17#Text
Regulation (EC) No 593/2008 of the European Parliament and of the Council of 17 June 2008 on the law applicable to contractual obligations (Rome I), OJ L 177, 4.7.2008, p. 6–16.
Zandesh, Z., Ghazisaeedi, M., Devarakonda, M. V., & Haghighi, M. S. (2019). Legal framework for health cloud: A systematic review. International Journal of Medical Informatics (Shannon, Ireland), 132, 103953–103953. https://doi.org/10.1016/j.ijmedinf.2019.103953
Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act) (Text with EEA relevance), PE/49/2023/REV/1, OJ L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj
Suver, C., Thorogood, A., Doerr, M., Wilbanks, J., & Knoppers, B. (2020). Bringing Code to Data: Do Not Forget Governance. Journal of Medical Internet Research, 22(7), e18087–e18087. https://doi.org/10.2196/18087
Trubiani, F. (2023). Cloud Computing Services: Towards a Digital Sustainability under EU Digital Law. European Journal of Privacy Law & Technologies, 2, 143–154. https://doi.org/10.57230/ejplt232TF
