.gif){kind=small}
Artykuły
Prawne aspekty Cloud Computing - raport (cz. III)
Jest to III część Raportu. Kliknij tutaj aby przejść to części I, a tutaj aby przejść do II części Raportu.
Kontrakty trans-graniczne
W wielu przypadkach dostawca i odbiorca cloud computing mają swoją siedzibę w dwóch różnych państwach. Sytuacja ta jest ewidentna szczególnie w polskich realiach – w naszym kraju funkcjonuje stosunkowo niewielu dostawców rozwiązań typu cloud, zaś najbardziej popularne systemy dostarczane są przez wielkie koncerny amerykańskie.
Wybór jurysdykcji i prawa
W większości międzynarodowych kontraktów dotyczących usług oferowanych w chmurze znaleźć można klauzule wyboru forum i prawa – wybór ten niemal zawsze pada na sądy i prawo właściwe dla siedziby dostawcy. Zarówno w Unii Europejskiej, jak i USA czy Chinach, klauzule tego rodzaju zawarte w umowach pomiędzy dwoma przedsiębiorstwami są respektowane przez sądy.
Wbrew pozorom, klauzule te mają ogromne zanczenie – jeżeli doszłoby do sporu pomiędzy spółką polską a np. amerykańską, zaś umowa przewidywałaby wyłączną jurysdykcję sądów amerykańskich, polska spółka musiałaby złożyć pozew w USA. Procesy międzynarodowe wiążą się z ogromnymi kosztami, które często zniechęcają powodów do ich inicjowania.
Również wybór prawa, pod które podlegać ma umowa, jest bardzo istotny. W zależności od obowiązującego reżimu prawnego pewne postanowienia mogą być uznane za obowiązujące, lub nieważne. Przykładem takiej sytuacji jest stosowanie wyżej opisanej klauzuli wypowiedzenia umowy w przypadku ogłoszenia upadłości przez jedną ze stron – z punktu widzenia prawa polskiego nie ma ona żadnej mocy, zaś na przykład według prawa amerykańskiego jest dozwolona.
Dywagując nad międzynarodowymi elementami kontraktów dot. usług w chmurze zwrócić również można uwagę na inny popularny rodzaj klauzuli – tzw. severability clause. Severability clause to postanowienie, na mocy którego całość kontraktu pozostaje prawomocna, nawet jeżeli pewnej jego elementy są sprzeczne z przepisami prawa w kraju odbiorcy.
Jak wspomniane zostało powyżej, dostawcy usług cloud, w szczególności ci najwięksi, nie godzą się w większości przypadków na zmianę standardowych postanowień umownych. Tym bardziej mało prawdopodobna byłaby ich zgoda na zmianę postanowień dot. wyboru forum i prawa! Przed zawarciem takiego kontraktu należy przeanalizować więc, do jakiego stopnia prawdopodobne będzie wystąpienie związanego z nim sporu oraz do jakiego stopnia usługi dostawcy będą krytyczne dla operacji odbiorcy.
Regulacje dot. wyboru prawa i jurysdykcji
Wybór jurysdykcji i prawa właściwego w sprawach umownych jest regulowany przez szereg konwencji oraz aktów prawnych. W Polsce najważniejszymi aktami tego typu są rozporządzenia Unii Europejskiej: Rozporządzenie nr 44/2001 (“Bruksela I”), koncentrujące się na kwestii jurysdykcji, oraz Rozporządzenie nr 593/2008 (“Rzym I”) dotyczące wyboru prawa właściwego. Obie regulacje stosuje się w sprawach dotyczących podmiotów mających swoją siedzibę w krajach członkowskich UE.
Rozporządzenie Bruksela I zezwala stronom na dokonanie wyboru jurysdykcji samodzielnie (art. 23). Chociaż znaczna część dostawców w chmurze zawiera klauzule wyboru jurysdykcji, warto zdawać sobie sprawę z regulacji prawnych, które mają zastosowanie w przypadku braku dokonania takiego wyboru. Art. 5 ust. 1 Rozporządzenia stanowi, iż prawem właściwym dla kontraktów usługowych jest prawo państwa, w którym usługa ma być dostarczona. W praktyce, oznacza to najczęściej, iż będzie to prawo państwa, w którym siedzibę ma odbiorca usług w chmurze.
Rozporządzenie Rzym I do wyboru prawa właściwego podchodzi bardzo liberalnie: w większości przypadków, strony mają prawo do dokonania wyboru prawa właściwego według własnych ustaleń (art. 3). W praktyce, większość umów o usługi w chmurze zawiera klauzule wyboru prawa. Jeżeli jednak klauzula taka nie jest obecna, art. 4 ust. 1 pkt. b Rozporządzenia dokonuje tego wyboru za strony - w takim przypadku, prawem właściwym jest prawo państwa, w którym dostawca usług ma swoją siedzibę.
Jak wspomniano powyżej, obie regulacje mają zastosowanie w sprawach, w których stronami są podmioty mające siedzibę w Unii Europejskiej. W sprawach dotyczących wyboru jurysdykcji, w których stroną jest podmiot mający siedzibę w Unii Europejskiej lub w Norwegii, Szwajcarii lub na Islandii - zastosowanie będzie miała Konwencja Lugano z 1986, której postanowienia są bardzo podobne do tych zawartych w Rozporządzeniu Bruksela I. Jeżeli stroną w sprawie jest inne państwo - zastosowanie mają przepisy polskiego Kodeksu postępowania cywilnego, które artykułem 1104 zezwalają na wybór jurysdykcji innej niż polska.
W sprawach dotyczących wyboru prawa, w których przynajmniej jedna ze stron nie ma swojej siedziby w Unii Europejskiej, stosuje się przepisy polskiej Ustawy prawo międzynarodowe prywatne z 1965 roku. Art. 25 ust. 1 zezwala na dokonanie wyboru prawa właściwego. Art. 27 ust. 1 pkt. 2 stanowi natomiast, iż jeżeli strony nie dokonały wyboru prawa, prawem właściwym będzie prawo państwa, w którym siedzibę ma przyjmujący zlecenie (czyli dostawca usług w chmurze).
Warto zaznaczyć, iż jeżeli zastosowania nie mają rozporządzenia UE lub konwencje międzynarodowe, dojść może do konfliktu praw - sytuacji, w której wewnętrzne przepisy dwóch państw wyznaczają dwa różne reżimy prawne lub jurysdykcje. Konflikty praw są problemami skomplikowanymi, a co za tym idzie - ich rozwiązanie jest czasochłonne i kosztowne. Zaleca się więc stosowanie klauzul wyboru prawa i jurysdykcji, które pozwalają na ich uniknięcie.
Podwykonawcy
Dostawcy rozwiązań w modelu cloud computing bardzo często korzystają z zewnętrznych podwykonawców zapewniających im wsparcie infrastrukturalne – przestrzeń wewnątrz 'farm serwerów', czyli ogromnych centrów danych funkcjonujących w Europie, USA, ale i w Chinach czy Indiach jest chętnie wykorzystywana zarówno przez mniejsze firmy, jak i gigantów pokroju Google.
I chociaż jest to praktyka powszechnie stosowana, to kontrakty na usługi w chmurze tylko niekiedy zawierają wzmianki na ten temat. Te które to czynią, ograniczają się przeważnie do stwierdzenia, iż dostawca upewni się, iż infrastruktura jego podwykonawców zapewnia bezpieczeństwo na odpowiednim poziomie.
Więcej na temat przetwarzania danych osobowych przez podwykonawców w systemie cloud ujęte zostało w sekcji „klauzule modelowe UE” poniżej.
W świecie, w którym największą wartość stanowi informacja, jej bezpieczeństwo jest priorytetem. Nie jest to problem prosty: informacja przepływa bowiem pomiędzy osobami, przedsiębiorstwami, krajami i kontynentami z niewyobrażalną prędkością. Odeszły w niepamięć czasy, w których informacja przechowywana była wyłącznie w przepełnionych segregatorami archiwach. Dzisiaj jest ona najczęściej zapisywana elektronicznie, a następnie gromadzona w archiwach wirtualnych i przekazywana za pomocą internetu.
Jeszcze całkiem niedawno cenne informacje, see względów bezpieczeństwa przechowywane były tradycyjnie w starannie dobranych i dobrze chronionych centrach danych. Kiedy na rynku pojawiły się rozwiązania tańsze, pozwalające na przechowywanie i przetwarzanie danych w chmurze obliczeniowej, specjaliści i menadżerowie rozpoczęli trwającą do dzisiaj dyskusję na temat zalet i wad korzystania z tej nowej jakości. Problemem stało się pytanie: czy dane w chmurze są bezpieczne? Czy ograniczenie kosztów usprawiedliwia umieszczanie cennych informacji w całkowicie obcym środowisku? Jakie ryzyka prawne pojawiają się wraz z umieszczeniem danych w systemie cloud?
Przetwarzanie oraz ochrona danych
Bezpieczne przetwarzanie danych jest problemem niezwykle istotnym, szczególnie w kontekście internetu, w którym dane nie mają postaci fizycznej i mogą być kopiowane, analizowane i udostępniane bez wiedzy ich właścicieli. Bezpieczeństwem danych zajmują się zarówno prawnicy, jak i informatycy czy wręcz prywatne firmy ochroniarskie – hakerzy i wirtualni kryminaliści nie przejmują się przecież prawnymi restrykcjami.
Tym niemniej, prawo odgrywa ważną rolę w tej dziedzinie: stara się ono zapobiegać wyciekom danych poprzez minimalizację ryzyka – nakłada ono obowiązek utrzymywania pewnych standardów bezpieczeństwa przez podmioty przetwarzające informacje. Dlatego też dostawcy rozwiązań cloud computing muszą stosować się do licznych regulacji, które niekiedy utrudniają ich działalność.
Dwa rodzaje danych
Na samym początku dywagacji na temat ochrony danych, należy rozróżnić dwa rodzaje danych, o których mówi prawo: danych osobowych i pozostałych danych. Dane osobowe, w myśl ustawy o ochronie danych osobowych z 1997 roku to „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.”. Większość odbiorców rozwiązań cloud computing będzie więc umieszczać w chmurze pewnego rodzaju dane osobowe.
Dane osobowe
Kwestie dotyczące danych osobowych regulowane są w polskim prawie Ustawą o ochronie danych osobowych z 1997 roku („UODO”), zgodną z wytycznymi unijnej dyrektywy 95/46/EC regulującej bezpieczeństwo danych osobowych. Polskie przepisy są więc znacznie w tym względzie zbliżone do przepisów w innych krajach członkowskich Unii Europejskiej.
Polska ustawa definiuje przetwarzanie danych osobowych jako „jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych”.
Zarówno w dyrektywie, jak i w polskiej ustawie rozróżnić można trzy rodzaje podmiotów zaangażowanych w proces przetwarzania danych osobowych:
1. osoba, której dane dotyczą
2. administrator danych, który kontroluje cele i środki przetwarzania
3. przetwarzający dane, który wykonuje polecenia administratora
W kontekście cloud computing rolę administratora pełni najczęściej odbiorca usług dystrybuowanych w środowisku chmury, zaś rolę przetwarzającego – ich dostawca. W niektórych umowach znaleźć można wręcz wyraźne zapisy w ten sposób określające role stron. Należy tu zwrócić baczną uwagę na zapisy umowy: jeśli dostawca usług określa środki i nawet w pewnym stopniu cele przetwarzania, będzie najprawdopodobniej uznany przez organy odpowiedzialne za ochronę danych za administratora.
Podczas gdy obowiązki i rola administratora są szczegółowo opisane w ustawie, te same kwestie są luźniej zdefiniowane w kontekście przetwarzającego (jak stanowi art. 31 ust. 1 Ustawy o ochronie danych osobowych, jego obowiązki powinny być zdefiniowane w umowie z administratorem). Wyjątkiem jest jedynie nałożony przez art. 31 ust. 3 wyżej wspomnianej ustawy na podwykonawcę obowiązek utrzymywania odpowiedniego poziomu bezpieczeństwa danych.
REJESTRACJA ZBIORU DANYCH OSOBOWYCH
Zgodnie z art. 40 UODO, Administrator ma obowiązek zgłoszenia zbioru danych osobowych do rejestracji przez Generalnego Inspektora ds. Ochrony Danych Osobowych (GIODO), zanim rozpocznie przetwarzanie zawartych w nim danych. Zbiór danych osobowych to „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.
Zbiór danych do rejestracji można zgłosić on-line, przy pomocy formularza dostępnego na stronie GIODO. Gdy zbiór zostanie zarejestrowany, administrator ma obowiązek powiadamiania GIODO o wszelkich wprowadzonych doń zmianach (ma na to 30 dni od momentu wprowadzenia zmian).
Rejestracja zbiorów danych osobowych jest często uznawana za niewspółmierne utrudnienie administracyjne, lecz jak stwierdził pod koniec 2010 roku GIODO, jest ona konieczna również w kontekście cloud computing. Brak rejestracji skutkować może nałożeniem grzywny lub ograniczeniem albo pozbawieniem wolności administratora do jednego roku.
ZAPEWNIENIE ODPOWIEDNIEJ OCHRONY
UODO nakłada na administratora obowiązek zapewnienia odpowiedniego poziomu bezpieczeństwa danych osobowych. Szczegółowe zasady regulujące ten obowiązek opisane są w rozdziale 5 UODO, oraz w przypadku przetwarzania danych w systemach informatycznych - w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Na stronie eduGIODO znaleźć można czytelne tabele przedstawiające najważniejsze założenia wyżej wspomnianego rozporządzenia: https://edugiodo.giodo.gov.pl/mod/resource/view.php?id=39.
Pozostałe dane
Kwestia przetwarzania danych, które nie stanowią danych osobowych, nie jest bezpośrednio uregulowana prawnie. Dane takie jak tajemnice przedsiębiorstwa (know how czy biznes plany) są ogólnie chronione Ustawą o zwalczaniu nieuczciwej konkurencji; ponadto, kompilacje danych mogą być chronione Ustawą o bazach danych.
Ustawa o zwalczaniu nieuczciwej konkurencji skupia się na ochronie tajemnic przedsiębiorstwa przed ich ujawnianiem lub eksploatacją bez zgody ich właściciela. Tajemnica przedsiębiorstwa zdefiniowana jest w art. 11. 4. jako „nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności.”. Według polskiego prawa dostawca rozwiązań cloud nie może więc korzystać z poufnych informacji umieszczonych w chmurze przez jego klientów.
W niektórych przypadkach informacje zawarte w chmurze mogą być również chronione jako bazy danych. Jeżeli klucz, według którego dane są w bazie usystematyzowane wykazuje pewne cechy twórcze, baza ta może być chroniona prawami autorskimi. W konsekwencji, jej autor posiada doń zarówno prawa materialne (zbywalne) i niematerialne (niezbywalne). Jeżeli klucz struktury bazy nie ma twórczego charakteru, baza chroniona będzie Ustawą o ochronie baz danych z 2001 roku. Tym niemniej, pamiętać należy, iż baza danych musi składać się z uporządkowanych według klucza informacji.
Baza danych została zdefiniowana w Art 2.1. ustawy o ochronie baz danych „Baza danych oznacza zbiór danych lub jakichkolwiek innych materiałów i elementów zgromadzonych według określonej systematyki lub metody, indywidualnie dostępnych w jakikolwiek sposób, w tym środkami elektronicznymi, wymagający istotnego, co do jakości lub ilości, nakładu inwestycyjnego w celu sporządzenia, weryfikacji lub prezentacji jego zawartością.”
Pochodzenie danych
Rozważając problematykę danych w środowisku cloud, należy również zwrócić uwagę na inne kryterium podziału danych: ich pochodzenie. W chmurze przechowywane są bowiem zarówno dane należące do odbiorcy (np. kopie zapasowe dokumentacji), jak również dane podmiotów trzecich – jego klientów, pracowników, partnerów czy podwykonawców.
Przyjąć należy, iż odbiorcy, którzy umieszczają w chmurze dane podmiotów trzecich, mają do tego prawo – wynikać ono może przede wszystkim z osobnych umów, które zezwalają odbiorcy na przechowywanie i przetwarzanie danych, również na zasadzie outsourcingu. Kwestia pochodzenia danych ma jednak praktyczne znaczenie, w szczególności w sytuacjach krytycznych, np. w przypadku wycieku sensytywnych danych należących do podmiotów trzecich.
Za skutki naruszenia tajemnicy informacji poufnej może być bowiem odpowiedzialny zarówno odbiorca rozwiązania w chmurze (który jest ich administratorem), jak i jego dostawca (zarówno na mocy prawa, jak i umowy). Dlatego też odbiorca zamierzający umieszczać w środowisku cloud poufne informacje należące do podmiotów trzecich powinien koniecznie upewnić się, iż będą one tam bezpieczne, oraz iż te podmioty wyraziły na to zgodę.
Globalne przetwarzanie danych osobowych
Kula ziemska podzielona jest licznymi granicami państw, które stosują własne przepisy i poddają funkcjonujące w nich podmioty i procesy własnym przepisom. Niektóre z nich zrzeszają się, tak jak kraje Europy, by stworzyć wspólne przepisy, mające za zadanie uproszczenie prowadzenia działalności w coraz bardziej zglobalizowanym świecie. Tym niemniej, globalny system prawny cały czas jest niezwykle daleki od harmonizacji.
Koncepcja chmury obliczeniowej zupełnie nie wpisuje się w taki schemat – dane w niej zawarte niczym obłoki przepływają z jednego państwa do drugiego, zaś idea automatyzacji jej procesów niezwykle utrudnia śledzenie tych ruchów. Wiąże się to z licznymi problemami natury prawniczej, z których zdawać sobie powinni sprawę nie tylko prawnicy, lecz również menadżerowie i decydenci mający do czynienia z cloud computing.
Polskie przepisy
Polska ustawa o ochronie danych osobowych ('UODO') zawiera w sobie wytyczne przedstawione w dyrektywach UE, które szczególnie rygorystycznie podchodzą do transferu tego rodzaju danych poza obszar Unii. Jednym z głównych założeń UODO jest zakaz transferu takich danych poza granice polskie, chyba że:
1. państwo, do którego dane zmierzają, zapewnia adekwatny poziom ochrony tych danych (na dzień dzisiejszy są to: państwa członkowskie UE, Izrael, Szwajcaria, Kanada, Jersey, Guersney i Argentyna) lub
2. właściciel danych osobowych wyraził zgodę na przepływ danych w mniej bezpieczne miejsce lub
3. taki transfer jest niezbędny do wykonania umowy pomiędzy dostawcą a właścicielem danych osobowych lub
4. dostawca, który ma zamiar dokonać transferu danych poza 'bezpieczne' jurysdykcje zawarł w umowie z właścicielem danych modelowe klauzule zaaprobowane przez Unię Europejską (zawarte w Decyzji Komisji z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady) lub
5. dostawca mający zamiar dokonać transferu danych osobowych do Stanów Zjednoczonych dokona transferu do podmiotu zgodnego z zasadami „Safe Harbor” (należy zaznaczyć, iż Safe Harbor zaczyna być coraz mniej 'bezpiecznym' rozwiązaniem – np. niemiecka instytucja ds. ochrony danych osobowych ogłosiła niedawno, iż Safe Harbor nie może być argumentem świadczącym o adekwatnym poziomie bezpieczeństwa danych).
W praktyce, powoływanie się na przypadek (3) opisany powyżej może być trudne – istnieje duże prawdopodobieństwo, iż sąd nie uznałby argumentacji opierającej się wyłącznie na „naturze” chmury obliczeniowej. Istnieje przecież możliwość uniknięcia transferu danych poza bezpieczne jurysdykcje (np. firma Amazon oferuje takie rozwiązanie w kontekście swoich usług cloud computing).
W konsekwencji, popularnym rozwiązaniem stało się stosowanie klauzul modelowych, które nakładają na podmiot przetwarzający dane takie same obowiązki, co unijne dyrektywy. W efekcie, nawet jeśli dane znajdą się w Indiach czy Chinach, tamtejsze przedsiębiorstwa je przetwarzające muszą zapewnić ich bezpieczeństwo w tym samym stopniu, co podobne podmioty w Europie.
Stosowanie klauzul modelowych nie jest jednak łatwe: jako że dostawcy cloud computing regularnie transferują przechowywane u siebie informacje do różnych podwykonawców funkcjonujących w licznych państwach, powinni oni upewnić się za każdym razem, iż podwykonawcy ci stosują adekwatny poziom bezpieczeństwa poprzez zawieranie również z nimi umów zawierających klauzule modelowe. Jest to zadanie niełatwe, gdyż procesy transferu danych w chmurze są w ogromnym stopniu zautomatyzowane. Przykład ten obrazuje, jak bardzo koncepcja chmury obliczeniowej nie wpisuje się w istniejące regulacje prawne.
Tym niemniej, transfer danych osobowych wiąże się z dużym ryzykiem zarówno dla dostawcy, jak i odbiorcy: mogą być oni pociągnięci do odpowiedzialności przed sądem, jeżeli dane te wyciekną.
ZASIĘG POLSKIEJ UODO
Polską UODO stosuje się w stosunku do dostawców, którzy mają swoją siedzibę na terytorium RP lub utrzymują w jej granicach urządzenia techniczne służące do przetwarzania danych.
Urządzenie techniczne jest terminem otwartym. Uznać za nie można m.in. serwery używane do przetwarzania danych, lecz również mniej oczywiste rzeczy – wg niektórych interpretacji urządzeniem technicznym może być nawet plik cookie odbierany przez komputer odbiorcy, a który zawiera dane osobowe wprowadzane do chmury.
Tym niemniej, zwrócić należy uwagę na nowe trendy w interpretacji unijnej dyrektywy o ochronie danych osobowych (na której oparta została UODO). Zdaniem Petera Hustnixa, Europejskiego Inspektora Ochrony Danych, dyrektywa obejmuje wszystkich dostawców (nawet tych całkowicie 'nieobecnych' w UE), którzy przetwarzają dane przekazane im przez administratorów mających swoją siedzibę lub infrastrukturę na terytorium Unii.
Przepisy UE a chmura
Jak zostało wspomniane powyżej, UODO opiera się na wytycznych prawa europejskiego. Najważniejszym aktem prawnym UE w tym kontekście jest dyrektywa nr 95/46/EC ('Dyrektywa') dotycząca ochrony danych osobowych.
Restrykcje nałożone przez Dyrektywę związane z transferem danych poza obszar UE są uznawane za jedną z największych barier hamujących rozwój sektora cloud computing w Europe. Jak donosi dziennik The New York Times, m.in. John Vassallo, prawnik w koncernie Microsoft, lobbował zmianę tych zasad.
Z drugiej strony, Unia Europejska od wielu lat stara się promować wysokie standardy bezpieczeństwa danych osobowych w sieci. W takim też tonie wypowiadają się czołowi urzędnicy unijni: w 2010 roku Peter Hustnix stwierdził w Parlamencie Europejskim, iż ochrona danych osobowych jest niewzykle ważnym wyzwaniem w kontekście wzrastającej popularności chmury obliczeniowej.
Jest to III część raportu. Kolejna, już za tydzień, w środę (22.06.2011r.)
Autorzy raportu
Stefan Cieśla - radca prawny
Jest ekspertem ds. zagadnień prawnych związanych z informatyką i wdrażaniem rozwiązań technologicznych w przedsiębiorstwach i jednostkach administracji publicznej. Doradza on przy licencjonowaniu, transakcjach kupna-sprzedaży (również w drodze przetargów) i wdrażaniu systemów informatycznych. Ponadto, mec. Cieśla specjalizuje się w problematyce Cloud Computing i ochrony danych.
W trakcie swojej kariery zawodowej pełnił on również obowiązki prezesa zarządu w licznych instytucjach finansowych, gdzie zdobył praktyczne doświadczenie w zarządzaniu transakcjami IT. Mec. Cieśla jest członkiem Warszawskiej Izby Radców Prawnych. Ukończył on z wyróżnieniem studia na Wydziale Prawa i Administracji Uniwersytetu Wrocławskiego, a następnie podyplomowe studium legislacyjne na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego.
Adres www kancelarii: www.radcaprawny-ciesla.pl
Thomas Helbing - rechtsanwalt (niem. radca prawny)
Dr. Thomas Helbing w latach 2004-2009 zatrudniony był w wiodącej międzynarodowej kancelarii prawniczej w dziale technologii, mediów i telekomunikacji. Obecnie jest on niezależnym prawnikiem działającym w Niemczech jako konsultant prawny wspierający regionalne i międzynarodowe przedsiębiorstwa.
Doradza w zakresie problematyki ochrony danych, prywatności, informatyki, licencjonowania oraz prawa internetowego. Ponadto, Dr. Thomas Helbing jest odpowiedzialny za globalny program ochrony danych wiodącego niemieckiego koncernu przemysłowego z indeksu DAX, skupiającego 30 największe niemieckie społki giełdowe.
Dr. Helbing jest członkiem grupy "Law and Compliance" wewnątrz organizacji EuroCloud Deutschland (www.eurocloud.de) oraz współautorem kodu dobrych praktyk "Chmura Obliczeniowa & Ochrona Danych". Pan Helbing regularnie występuje w roli prelegenta na spotkaniach dotyczących chmury obliczeniowej, takich jak niedawne CloudConf2010 (www.cloudconf.de) w Stuttgart i CloudSlam (www.clodslam10.com).
Adres www kancelarii: www.thomashelbing.com
