.gif){kind=small}
Artykuły
Prawne aspekty Cloud Computing - raport (cz. IV - ost.)
- Prawne aspekty Cloud Computing - raport (cz. I)
- Prawne aspekty Cloud Computing - raport (cz. II)
- Prawne aspekty Cloud Computing - raport (cz. III)
Standardowe klauzule umowne są ważnym instrumentem dla przedsiębiorstw w UE, pozwalającym im na przetwarzanie danych osobowych zgodnie z krajowymi przepisami dotyczącymi ochrony danych, w sytuacjach, w których informacje na temat osób fizycznych są przekazywane lub udostępniane podmiotom spoza UE.
Decyzja Komisji znajduje zastosowanie wobec wszystkich podmiotów otrzymujących dane osobowe - na przykład klientów lub pracowników - od jednostek zależnych, klientów lub dostawców z terytorium UE.
Ponadto, nowe standardowe klauzule umowne mają wpływ na działalność firm, które pośrednio otrzymują dane osobowe pochodzące z UE, np. świadcząc usługi dla firm, które przetwarzają dane z UE. Dzieje się to ze względu na fakt, iż nowe standardowe klauzule umowne wymagają od firm importujących dane osobowe z UE do umownego nałożenia warunków klauzul na podwykonawców, którym są przekazywane lub udostępniane dane osobowe.
W szczególności umowy dotyczące outsourcingu, cloud computing, oprogramowania jako usługi (SaaS), świadczenia usług aplikacyjnych (ASP) oraz oprogramowania takiego, jak Human Resources Information Systems (HRIS), Customer Relationship Management (CRM) oraz narzędzi Enterprise Resource Planning (ERP) są objęte reżimem nowych klauzul.
Przykład "CRM": CRM-Ready Inc z siedzibą w USA to firma dostarczająca oprogramowanie typu Customer Relationship Management, które jest używane przez klientów zdalnie poprzez przeglądarkę internetową (Software as a Service – SaaS). Best-Resell GmbH, przedsiębiorstwo z siedzibą w UE, zamierza wykorzystać system CRM-Ready do przechowywania i zarządzania danymi swoich klientów. CRM-Ready Inc i Best-Resell GmbH zgadzają się na zawarcie umowy zawierającej standardowe klauzule umowne w celu zapewnienia zgodności działalności Best-Reseller z lokalnymi przepisami ochrony prywatności.
Przykład "HR-Data": Global Ltd. to międzynarodowa firma z siedzibą w Japonii z filiami w różnych krajach UE. Imiona i nazwiska, funkcje i numery telefonów wszystkich pracowników są przechowywane centralnie w bazie danych Global Ltd. w Tokio. Spółki zależne i Global Ltd. uzgadniają, iż używać będę standardowych klauzul umownych w celu zapewnienia zgodności transferów danych wewnątrz grupy z przepisami UE.
A. Czym są standardowe klauzule umowne?
1. ZAPEWNIENIE ODPOWIEDNIEGO POZIOMU OCHRONY DANYCH
Spółka z siedzibą w UE może przekazywać lub udostępniać dane osobowe firmom spoza UE tylko wtedy, gdy przez odbiorcę tych danych zapewniony jest "odpowiedni poziom" ochrony danych. W terminologii Dyrektywy UE o ochronie danych 95/46/WE (Dyrektywie) firmy z UE są określane jako "Eksporterzy Danych", zaś spółki odbierające dane osobowe - "Importerzy danych".
Wymóg odpowiedniego poziomu ochrony danych stosuje się również do transferów wewnątrz grupy, tzn. gdy Eksporter i Importer danych należą do tej samej grupy przedsiębiorstw. Transfer danych w rozumieniu dyrektywy UE odbywa się także wtedy, gdy Importer ma dostęp do danych osobowych poprzez podmioty mające siedzibę w UE – na przykład dostęp do serwerów kontrolowanych przez spółki zależne. Ponadto pojęcie "dane osobowe" należy rozumieć bardzo szeroko, jako że obejmuje ono wszelkie informacje na temat osób fizycznych, np. dane kontaktowe, książki telefoniczne pracowników lub listy klientów.
Jeżeli Eksporter i Importer danych zawierają umowę, która obejmuje standardowe klauzule umowne, podmiot odbierający dane uznawany jest za zapewniający odpowiedni poziom ochrony danych. Standardowe klauzule umowne nakładają określone prawa i obowiązki w odniesieniu do przetwarzania danych osobowych. Nie mogą one ulec zmianie, ale mogą być łączone z innymi warunkami handlowymi (np. umowami o świadczenie usług podstawowych). Istnieją dwa załączniki do standardowych klauzul umownych, które strony powinny uzupełnić. Zawierają one szczegółowe informacje na temat stron, przekazywanych danych, przetwarzania danych oraz technicznych i organizacyjnych środków bezpieczeństwa, które są wykorzystywane przez Importera.
Obowiązek zapewnienia odpowiedniego poziomu ochrony danych określony jest w art. 25 ust.1 Dyrektywy. Dyrektywa nie jest skierowana do osób fizycznych lub podmiotów, lecz zobowiązuje państwa członkowskie UE do przyjęcia odpowiednich przepisów krajowych.
O ile treści standardowych klauzul umownych są takie same w całej Unii, to państwa członkowskie przyjęły różne podejścia odnośnie wymogów formalnych: w niektórych krajach UE wystarczy zawrzeć umowę zawierającą standardowe klauzule umowne, w innych zaś wymagane jest zawiadomienie o fakcie stosowania klauzuli właściwych organów odpowiedzialnych za ochronę danych (odpowiedników GIODO - przyp. tłum.), a nawet otrzymanie zgody od tych organów z wyprzedzeniem. Ponadto, lokalne regulacje prawne w odniesieniu do wymogów bezpieczeństwa znacznie się od siebie różnią.
Komisja UE uznała, iż następujące kraje oferują adekwatny poziom ochrony danych: Izrael, Szwajcaria, Kanada, Argentyna, Guernsey, Isle of Man i Jersey. Co za tym idzie, Importerzy Danych z tych państw nie muszą zawierać umów zawierających klauzule modelowe.
2. TRANSFERY ADMINISTRATOR-ADMINISTRATOR ORAZ ADMINISTRATOR-PODMIOT PRZETWARZAJĄCY
Komisja Europejska przyjęła cztery różne zestawy standardowych klauzul umownych. Aby wybrać odpowiedni zestaw, należy przeanalizować rolę Importera: może on bowiem działać jako "administrator danych" lub "podmiot przetwarzający dane".
Importer danych wciela się w rolę podmiotu przetwarzającego dane, jeśli przetwarza i wykorzystuje dane wyłącznie w imieniu i zgodnie z instrukcjami Eksportera. Dostawcy Cloud Computing lub Software as a Service (SaaS) są zazwyczaj podmiotami przetwarzającymi dane. Natomiast jeśli Importer ma prawo do ustalania, do jakich celów używa danych lub decydowania o środkach przetwarzania danych (np. o okresie przechowywania danych lub prawach osób trzecich), będzie on uważany za administratora danych.
Rozróżnienie między administratorami danych i podmiotami przetwarzającymi dane może być trudne i musi być dokonane z uwzględnieniem konkretnych okoliczności faktycznych danej sprawy. Jest nawet możliwe, że Importer danych działa jako podmiot przetwarzający w odniesieniu do określonych informacji i jako administrator danych w stosunku do innych. Grupa Robocza Artykułu 29, niezależny organ doradczy w sprawach dotyczących ochrony danych na poziomie UE, opublikował opinię w sprawie pojęcia administratorów i podmiotów przetwarzających w lutym 2010.
Jeżeli Importer jest administratorem danych, to musi być wykorzystany jeden z dwóch zestawów klauzul przeznaczonych dla układów administrator-administrator (firma może wybrać, który z nich preferuje).
Jeżeli Importer jest podmiotem przetwarzającym, to właściwym instrumentem będą klauzule przeznaczone dla układów Administrator-Podmiot Przetwarzający. W tym przypadku nie ma możliwości wyboru pomiędzy dwoma zestawami. W dniu 5 lutego 2010 r. Komisja Europejska przyjęła decyzję aktualizującą poprzednie wersje klauzul. Obowiązują od dnia 15 maja 2010 r.
3. ALTERNATYWY DLA STANDARDOWYCH KLAUZUL UMOWNYCH
Standardowe klauzule umowne są jednym z kilku środków pozwalających na zapewnienie "odpowiedniego poziomu" ochrony danych, będącego warunkiem wstępnym do legalnego przetwarzania danych osobowych poza UE zgodnie z prawem unijnym.
Do programu Safe Harbor mogą przystąpić Importerzy z siedzibą w Stanach Zjednoczonych. Organizacje, które zdecydują się na wzięcie w nim udziału muszą spełniać pewne wymogi oraz publicznie oświadczyć ten fakt w procesie auto-certyfikacji. Organizacja uczestnicząca jest wówczas uważana za zapewniającą odpowiedni poziom ochrony danych. Organizacje przystępujące do programu Safe Harbor od chwili przystąpienia podlegają nadzorowi amerykańskiej Federalnej Komisji Handlu. Jest to powodem powstrzymania się od udziału w tym programie przez liczne firmy.
Innym instrumentem, pozwalającym na zapewnienie odpowiedniego poziomu ochrony danych są wiążące reguły korporacyjne (Binding Corporate Rules - BCR). BCR są rodzajem polityki prywatności obowiązującej wewnątrz grupy firm. Grupa musi spełniać kilka wymagań określonych przez Komisję Europejską. Firmy stosujące BCR muszą wykazać, że reguły te są prawnie wiążące zarówno wewnętrznie między spółkami grupy, pracownikami i kontrahentami, jak również zewnętrznie - na rzecz osób fizycznych. Wszystkie firmy należące do grupy stosującej BCR są uznawane za zapewniające odpowiedni poziom ochrony danych. Trzeba pamiętać, iż po pierwsze BCR ma zastosowanie tylko do transferów danych wewnątrz grupy, a po drugie - iż, mimo pewnych uproszczeń dokonanych w niedawnej przeszłości, realizacja BCR jest nadal czasochłonnym zadaniem, powodującym znaczne obciążenia administracyjne.
4. ISTOTNE WYMOGI ZGODNOŚCI DLA FIRM UNIJNYCH
Zapewnienie odpowiedniego poziomu ochrony danych jest niezbędnym warunkiem zgodności dla przedsiębiorstw unijnych. Na przykład w Niemczech niespełnienie tego wymogu może skutkować karami administracyjnymi w postaci grzywny w wysokości do 300.000 euro. Ponadto, zgodnie z prawem niemieckim, większość firm jest zobowiązana do powołania wewnętrznego specjalisty ds. ochrony danych, który sprawozdaje bezpośrednio przed zarządem i jest odpowiedzialny za zachowanie przez spółkę zgodności z wymogami prawa ochrony danych. Specjalista ds. ochrony danych nie zaakceptuje umowy z podmiotem przetwarzającym dane spoza UE, jeśli odpowiedni poziom ochrony danych nie został zapewniony.
Standardowe klauzule umowne nie powinny być traktowane wyłącznie jako "formalności". Strony muszą być świadome, iż klauzule te zawierają kilka poważnych przepisów dotyczących odpowiedzialności i praw osób trzecich. Ponadto, sama umowa na usługi powinna być poddana analizie pod względem towarzyszących jej standardowych klauzul umownych. Na przykład, klauzule dotyczące podwykonawstwa lub ograniczenia odpowiedzialności w umowie usługi mogą być interpretowane jako zmiana standardowych klauzul umownych, która prowadzi do ich unieważnienia.
Firmy spoza UE oferujące usługi klientom w Europie powinny zapoznać się z przepisami UE dotyczącymi transferu danych i standardowych klauzul umownych. Z punktu widzenia zgodności, lecz także marketingowego, wskazane jest utworzenie standardowej umowy uwzględniającej już klauzule modelowe. Podejście takie wskazuje na fakt, iż dostawca usług poważnie podchodzi do kwestii ochrony danych i wyraża chęć działania zgodnie z przepisami.
B. Jakie zmiany wprowadzono do Standardowych Klauzul Umownych?
Główną zmianą w nowych standardowych klauzulach umownych dla układu Administrator-Podmiot Przetwarzający jest to, iż pozwalają one Importerom danych spoza UE na zatrudnianie zewnętrznych podwykonawców do przetwarzania danych w całości lub w części. Kwestię podwykonawstwa należy rozumieć szeroko: gdy tylko osoba trzecia uzyskuje dostęp do danych, może być ona uznana za podwykonawcę. Poprzednie wersje klauzul nie pozwalały bezpośrednio na zatrudnianie podwykonawców, pomimo iż podobnie jak outsourcing, jest to praktyka od dawna stosowana powszechnie w „globalnym świecie IT”.
Przykład "CRM": CRM-Ready Inc, firma z siedzibą w USA dostarczająca oprogramowanie typu CRM dla swojego klienta w Niemczech za pośrednictwem Internetu, korzysta z usług podwykonawcy administrującego i urzymującego bazy danych. Ponadto, serwery zlokalizowane są w pobliżu w centrum danych, oferującej natychmiastową wymianę wadliwego sprzętu. Zarówno firma świadcząca usługi administracji bazy danych, jak i ta świadcząca usługi wymiany sprzętu są podwykonawcami firmy CRM-Ready.
Przykład "HR-Data": Global Workers Ltd., międzynarodowa firma z siedzibą w Japonii, używa zewnętrznego systemu Enterprise Resource Planning (ERP), w którym przechowywane są informacje takie jak imiona i nazwiska, stanowiska oraz informacje na temat kwalifikacji pracowników, w tym również pracowników zatrudnionych w filii Global Workers w UE. Jeśli dostawca oprogramowania ERP może uzyskać dostęp do danych (np. w trakcie konserwacji), uznany zostanie za podwykonawcę Global Workers Ltd z punktu widzenia prawa UE.
Pkt. 11 nowego zestawu standardowych klauzul umownych stanowi iż Importer danych może zlecać przetwarzanie danych jeśli spełnione są dwa warunki:
- Zgoda Eksportera:. Eksporter udzielił wcześniejszej pisemnej zgody na podwykonawstwo.
- Nałożenie warunków umownych:. Importer danych nakłada na podwykonawcę w drodze pisemnego porozumienia te same obowiązki, które nałożone są na Importera danych przez standardowe klauzule umowne.
Kolejna zmiana w standardowych klauzul umownych polega na fakcie, iż nowe warunki nie zawierają klauzuli arbitrażowej. W starej wersji, Importer musiał wyrazić zgodę na postanowienie, które pozwalało na rozsądzenie pewnych sporów z osobami, których dane dotyczą w drodze arbitrażu.
C. Jak nowy schemat podwykonawczy działa w praktyce?
Importerzy danych spoza UE, którzy zawarli umowę zawierającą nowe standardowe klauzule umowne muszą zapewnić, iż obydwa wymogi: zgody i nałożenia warunków, są spełnione w odniesieniu do wszelkich podwykonawców, którzy uzyskują dostęp do danych osobowych.
1. ZGODA
Oświadczenie wyrażenia zgody przez Eksportera danych na korzystanie z usług podwykonawców przez Importera danych powinno być umieszczone w dokumencie oddzielnym od głównej umowy, w której zawarte zostały standardowe klauzule umowne. W przeciwnym przypadku, zmiany w liście podwykonawców mogą mieć wpływ na ważność standardowych klauzul zaakceptowanych uprzednio przez organy państwowe odpowiedzialne za ochronę danych osobowych.
W większości przypadków Eksporterzy danych wyrażają zgodę na przekazanie niektórych zadań związanych z przetwarzaniem danych (np. utrzymanie serwera, przechowywanie danych, administrowanie bazą danych) podwykonawcy, który jest wyraźnie określony w umowie. Tym niemniej, w celu osiągnięcia większej elastyczności i uniknięcia konieczności otrzymywania oddzielnych zgód przy każdej zmianie lub zawarciu współpracy z nowym podwykonawcą, Importer może chcieć otrzymać szerszą zgodę, np. na zlecanie zadań wszystkim współpracującym z nim podwykonawcom.
Jeżeli Eksporter danych jest zaniepokojony legalnością takich ogólnych zezwoleń w ramach standardowych klauzul umownych, argumentować można, iż adekwatny poziom ochrony danych nie jest w ten sposób nadwyrężany, ponieważ Importer danych musi nakładać warunki standardowych klauzul umownych na każdego podwykonawcę. Ponadto, Importer danych powinien poinformować Eksportera o każdym podwykonawcy, zgodnie z punktem 5 lit.(J) klauzul. W ten sposób zagwarantować można, iż Eksporter posiada pełną wiedzę na temat każdej firmy odbierające dane, nawet jeżeli wydał zgodę „szeroką”.
Alternatywnie, strony mogą uzgodnić, iż Importer danych powiadomi Eksportera o swoim zamiarze skorzystania z usług podwykonawcy i o tym, iż zgodę Eksportera uważa się za udzieloną, jeżeli nie wyrazi on sprzeciwu w terminie uzgodnionym umownie.
2. NAŁOŻENIE WARUNKÓW
Jeśli chodzi o drugi warunek podwykonawstwa – nałożenie warunków standardowych klauzul umownych na podwykonawcę - przypis w decyzji Komisji Europejskiej tłumaczy, iż może być on spełniony poprzez dołączenie podwykonawcy do umowy pomiędzy Importerem i Eksporterem danych. Choć może się to wydawać praktycznym rozwiązaniem, ma ono kilka wad:
Po pierwsze, jeśli podwykonawca podpisuje umowę zawartą pomiędzy Eksporterem i Importerem danych, nie jest jasne w jakim stopniu musi on stosować się do postanowień Załączników. Załączniki zawierają szczegółowe informacje na temat przesyłanych danych, celów i środków przetwarzania oraz środków bezpieczeństwa stosowanych przez Importera. W wielu przypadkach Importer nie zleca całości procesu przetwarzania danych podwykonawcom, lecz tylko jego części. W takich przypadkach zapisy zawarte w Załącznikach wydają się nieadekwatne do relacji pomiędzy Importerem a podwykonawcami.
Po drugie, dołączenie podwykonawców do umów pomiędzy Importerem a Eksporterem danych może być trudne do wykonania. W wyżej opisanym przykładzie „CRM-Ready Inc”, w którym spółka CRM Ready jest dostawcą programów CRM w modelu SaaS, jej podwykonawcy musieliby podpisać każdy indywidualny kontrakt zawarty pomiędzy CRM-Ready Inc. a jej klientami w UE. Jeżeli podwykonawcy korzystają z usług własnych podwykonawców (schemat wyraźnie dozwolony przez Dyrektywę UE) ci pod-podwykonawcy również musieliby podpisać owe umowy. Lista podpisów na takiej umowie szybko stać mogłaby się dłuższa niż sama umowa!
Po trzecie, dołączenie podwykonawcy do umów pomiędzy Importerem a Eksporterem utrudnia podwykonawcy zrozumienie swoich zobowiązań prawnych, ponieważ musi on wtedy wybrać ze standardowych klauzul umownych te postanowienia, które odnoszą się do układów podwykonawczych.
Po czwarte, dołączenie podwykonawcy może być interpretowane w sposób, że podwykonawca zobowiązany jest prawnie nie tylko wobec Importera, lecz także Eksportera, z którym nie funkcjonuje w żadnym bezpośrednim układzie.
Z tych powodów wydaje się, iż lepszym rozwiązaniem jest układ, w którym Importer oraz podwykonawca zawierają oddzielną umowę, która nakłada na podwykonawcę odpowiednie zobowiązania wytyczone w standardowych klauzulach. Taka umowa może być dostosowana do podstawowej umowy o świadczenie usług zawartej pomiędzy Importerem danych i podwykonawcą. Jako że Importer zobowiązany jest do dostarczenia umowy o podwykonawczym przetwarzaniu danych (pkt. 5 lit (j) Klauzul) zarówno Eksporterowi, jak i w pewnych przypadkach – osobom, których dane dotyczą (pkt. 5 lit (g) Klauzul), umowa powinna być formalnie oddzielna od umowy podstawowej w celu uniknięcia konieczności ujawnienia warunków handlowych zawartych w umowie podstawowej.
W celu zmniejszenia obciążeń administracyjnych związanych z przedstawianiem Eksporterowi umów o podwykonawczym przetwarzaniu danych, Importer i Eksporter danych mogą stworzyć uproszczony mechanizm, w którym Importer udostępnia wersje elektroniczne wyżej wspomnianych umów on-line, używając zabezpieczonych serwerów, a następnie informuje Eksportera o wszelkich zachodzących w nich zmianach. Tego rodzaju układ byłby zgodny z wymogiem utrzymywania rokrocznie uaktualnianych list umów o podwykonawczym przetwarzaniu danych (pkt 11 ust. (4) Klauzul).
D. Jaki wpływ mają nowe klauzule na przedsiębiorstwa spoza UE?
1. IMPORTERZY DANYCH
Organizacje spoza UE otrzymujące dane osobowe od przedsiębiorstw unijnych są zobowiązane do zapewnienia odpowiedniego poziomu ochrony danych. Spełnienie tego wymogu może być często ułatwione poprzez zawarcie standardowych klauzul umownych. Firmy, które przystąpiły do takich porozumień na podstawie starego zestawu standardowych klauzul umownych mogą być zmuszone do aktualizacji umów z uwzględnieniem nowych klauzuli, jeżeli przetwarzanie danych ulega zmianie po 15 grudnia 2010 roku, lub jeżeli dane są udostępniane przez Importera jego podwykonawcom.
Importerzy, którzy korzystają z usług podwykonawców, muszą zapewnić, iż dzieje się to zgodnie z podwykonawczym systemem zawartym w Klauzulach, tj. Eksporter musi wyrazić zgodę na podwykonawstwo, zaś warunki standardowych klauzul umownych muszą być nałożone na podwykonawców.
Ponadto Importerzy danych korzystający z usług podwykonawców w oparciu o standardowe klauzule umowne powinni być świadomi, iż są oni odpowiedzialni za przetwarzanie danych przez podwykonawców wobec Eksportera (pkt 5 lit. (I)) oraz wobec osób, których dane dotyczą (pkt 11 ust. (1) zdanie 3) oraz iż powinni przekazać Eksporterowi kopię umowy z podwykonawcą (klauzula 5 (j)).
2. WPŁYW NA PODWYKONAWCÓW
Wraz z wprowadzeniem nowego zestawu standardowych klauzul umownych coraz więcej Importerów zwróci się do swoich podwykonawców by zapewnić zgodność ich relacji z mechanizmem podwykonawstwa klauzul. W szczególności, podwykonawca może zostać poproszonym o pisemne wyrażenie zgody na dopełnienie warunków standardowych klauzul umownych. Z powodów podanych powyżej, Eksporter powinien rozważyć sporządzenie odrębnej umowy z Importerem danych w tym celu zamiast dołączania podwykonawcy do umowy Importer-Eksporter.
Ponadto, podwykonawcy powinni wziąć pod uwagę następujące konsekwencje standardowych klauzul umownych:
podwykonawca musi wyrazić zgodę na poddanie się pewnym prawom osób trzecich w przypadku, w którym osoba, której dane dotyczą, nie jest w stanie wnieść roszczeń odszkodowawczych przeciwko Importerowi danych za szkody wyrządzone wskutek naruszenia danych z winy podwykonawcy (pkt 11 ust. 2, pkt 6 pkt (1). klauzul).
Jeśli podwykonawca udostępniania dane osobowe otrzymane od Importera innym firmom, musi uzyskać zgodę na te działania od Importera danych oraz nałożyć warunki standardowych klauzul umownych na odbiorcę tych danych. Podwykonawca staje się odpowiedzialny za przetwarzanie danych przez swoich podwykonawców, i musi wysłać kopię umowy o podwykonawczym przetwarzaniu danych Importerowi danych.
Zgodnie z punktem 8 (2) klauzul, podwykonawca musi wyrazić zgodę na fakt, iż organ nadzoru kraju, w którym znajduje się dane Eksporter ma prawo do przeprowadzania audytów w strukturach podwykonawcy. Kontrole te odbywają się na warunkach, które stosuje się do kontroli Eksportera na mocy prawa właściwego dla miejsca siedziby Eksportera.
W razie rozwiązania umowy o podwykonawstwie, podwykonawca musi zwrócić wszelkie otrzymane od Importera dane oraz zniszczyć ich wszelkie kopie, a następnie poinformować o tym fakcie Eksportera (pkt. 12 para (1) klauzul).
Jest to ostatnia część raportu "Prawne aspekty Cloud Computing".
Autorzy raportu
Stefan Cieśla - radca prawny
Jest ekspertem ds. zagadnień prawnych związanych z informatyką i wdrażaniem rozwiązań technologicznych w przedsiębiorstwach i jednostkach administracji publicznej. Doradza on przy licencjonowaniu, transakcjach kupna-sprzedaży (również w drodze przetargów) i wdrażaniu systemów informatycznych. Ponadto, mec. Cieśla specjalizuje się w problematyce Cloud Computing i ochrony danych.
W trakcie swojej kariery zawodowej pełnił on również obowiązki prezesa zarządu w licznych instytucjach finansowych, gdzie zdobył praktyczne doświadczenie w zarządzaniu transakcjami IT. Mec. Cieśla jest członkiem Warszawskiej Izby Radców Prawnych. Ukończył on z wyróżnieniem studia na Wydziale Prawa i Administracji Uniwersytetu Wrocławskiego, a następnie podyplomowe studium legislacyjne na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego.
Adres www kancelarii: www.radcaprawny-ciesla.pl
Thomas Helbing - rechtsanwalt (niem. radca prawny)
Dr. Thomas Helbing w latach 2004-2009 zatrudniony był w wiodącej międzynarodowej kancelarii prawniczej w dziale technologii, mediów i telekomunikacji. Obecnie jest on niezależnym prawnikiem działającym w Niemczech jako konsultant prawny wspierający regionalne i międzynarodowe przedsiębiorstwa.
Doradza w zakresie problematyki ochrony danych, prywatności, informatyki, licencjonowania oraz prawa internetowego. Ponadto, Dr. Thomas Helbing jest odpowiedzialny za globalny program ochrony danych wiodącego niemieckiego koncernu przemysłowego z indeksu DAX, skupiającego 30 największe niemieckie społki giełdowe.
Dr. Helbing jest członkiem grupy "Law and Compliance" wewnątrz organizacji EuroCloud Deutschland (www.eurocloud.de) oraz współautorem kodu dobrych praktyk "Chmura Obliczeniowa & Ochrona Danych". Pan Helbing regularnie występuje w roli prelegenta na spotkaniach dotyczących chmury obliczeniowej, takich jak niedawne CloudConf2010 (www.cloudconf.de) w Stuttgart i CloudSlam (www.clodslam10.com).
Adres www kancelarii: www.thomashelbing.com
