Идет загрузка документа (34 kByte)
Главный правовой
портал Украины
Главный правовой
портал Украины
Остаться Попробовать

Об облачных услугах

Проект закона Украины от 20.12.2019 № 2655
Дата рассмотрения: 20.12.2019 Карта проходжения проекта

ЗАКОН УКРАЇНИ

Про хмарні послуги

Стаття 1. Сфера дії Закону

Цей Закон регулює правові відносини, які виникають при наданні хмарних послуг та визначає особливості використання хмарних послуг органами державної влади, органами влади Автономної Республіки Крим, органами місцевого самоврядування, військовими формуваннями, утвореними відповідно до законів України, державними підприємствами, установами та організаціями, суб'єктами владних повноважень та іншими суб'єктами, яким делеговані такі повноваження.

Стаття 2. Визначення термінів

1. У цьому Законі терміни вживаються у такому значенні:

користувач хмарних послуг - це будь-яка фізична або юридична особа, яка використовує хмарні послуги для забезпечення власних потреб;

надавач хмарних послуг - юридична особа або фізична особа - підприємець, яка надає одну або більше хмарні послуги самостійно або спільно з іншими надавачами хмарних послуг;

публічний користувач хмарних послуг (далі - Публічний користувач) - орган державної влади, орган влади Автономної Республіки Крим, орган місцевого самоврядування, державне підприємство, державна установа, державна організація чи інший суб'єкт владних повноважень або інший суб'єкт, якому делеговані такі повноваження;

супутні послуги - послуги, які полягають у залученні зовнішніх ресурсів для задоволення потреб у сфері інформатизації;

технологія хмарних обчислень - технологія забезпечення дистанційного доступу на вимогу до хмарної інфраструктури через електронні комунікаційні мережі;

уповноважений орган - орган державного регулювання у сфері використання технології хмарних обчислень Публічними користувачами та надання їм хмарних послуг;

хмара (хмарна інфраструктура) - це сукупність динамічно розподілюваних та налаштовуваних хмарних ресурсів, які можуть бути оперативно надані користувачу хмарних послуг і вивільнені через глобальну та локальні мережі передачі даних;

хмарна послуга - послуга надання хмарних ресурсів за допомогою технології хмарних обчислень;

хмарні ресурси - будь-які технічні та програмні засоби або інші компоненти інформаційної (автоматизованої) системи, які доступні за допомогою технології хмарних обчислень, такі як процесорний час (обчислювальна потужність), місце в сховищах даних, обчислювальні мережі, бази даних і комп'ютерні програми;

центр обробки даних (далі - ЦОД) - спеціалізований технічний майданчик, що складається з інженерної (системи безперебійного електроживлення, вентиляції, охолодження та регулювання вологості, пожежної безпеки, фізичної охорони), інформаційної, електронної комунікаційної та програмно-апаратної інфраструктури, засоби якого забезпечують або реалізують надання послуг зберігання та обробки даних, в тому числі, але не обмежуючи: надання хмарних послуг, резервного копіювання даних, передачі даних, оренди (колокейшн) комунікаційних стійок, послуг хостингу;

2. Інші терміни вживаються у значеннях, наведених у Цивільному кодексі України, законах України "Про інформацію", "Про електронні довірчі послуги", "Про електронні документи та електронний документообіг", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про стандартизацію", "Про технічні регламенти та оцінку відповідності", "Про наукову і науково-технічну експертизу", "Про Національний банк України", "Про захист персональних даних", "Про авторське право і суміжні права", "Про основні засади забезпечення кібербезпеки України", "Про національну безпеку".

Стаття 3. Види хмарних та супутніх послуг

1. Хмарні послуги надаються користувачам хмарних послуг на договірних засадах надавачами хмарних послуг або уповноваженими ними особами.

2. До хмарних послуг, які надаються надавачами хмарних послуг належать:

Інфраструктура як послуга - хмарна послуга, що полягає у наданні обчислювальних ресурсів, ресурсів зберігання або систем електронних комунікацій за допомогою технологій хмарних обчислень.

Платформа як послуга - хмарна послуга, що полягає у наданні разом з інфраструктурою доступу до наборів комп'ютерних програм (операційних систем, системних комп'ютерних програм, програмних засобів для комп'ютерного програмування, програмних засобів управління базами даних) за допомогою технологій хмарних обчислень.

Програмне забезпечення як послуга - хмарна послуга, що полягає у наданні доступу до прикладних комп'ютерних програм за допомогою технологій хмарних обчислень через онлайн-сервіс або комп'ютерні програми-агенти.

Безпека як послуга - послуга кіберзахисту, яка надається з використанням хмарних ресурсів.

Інші послуги, що відповідають визначенню хмарних послуг.

3. Кожна хмарна послуга може надаватися як окремо, так і в сукупності з іншими хмарними послугами або супутніми послугами, визначеними цим Законом.

4. Хмарні послуги надають у один з таких способів:

Приватна хмара - хмарна інфраструктура, що підготовлена для використання єдиним користувачем хмарних послуг та контролюється ним.

Колективна хмара - хмарна інфраструктура, що поділена між особливою групою взаємопов'язаних користувачів хмарних послуг, які мають спільні потреби, та що контролюється представником або представниками цієї групи.

Публічна хмара - хмарна інфраструктура, що потенційно доступна для невизначеного кола користувачів хмарних послуг та контролюється надавачем хмарних послуг.

Гібридна хмара - хмарна інфраструктура, що є композицією з двох або більше різних хмарних інфраструктур (приватні, колективні або публічні), що є самостійними об'єктами, пов'язаними між собою технологіями, що дозволяють переносити дані або комп'ютерні програми між цими об'єктами.

5. До супутніх послуг, передбачених цим Законом належать:

послуги технічного адміністрування інформаційних (автоматизованих), телекомунікаційних та інформаційно-телекомунікаційних систем;

послуги технічної підтримки користувача хмарних послуг;

послуга розміщення обладнання у ЦОД (колокейшн), включаючи надання в користування окремих приміщень для розміщення обладнання;

надання у віддалене користування технічних засобів, розміщених, у ЦОД, без застосування технологій хмарних обчислень (оренда виділеного серверу);

послуги кіберзахисту.

Стаття 4. Використання хмарних послуг

1. Порядок надання електронних довірчих послуг за допомогою технологій хмарних обчислень визначається Законом України "Про електронні довірчі послуги".

2. Захист прав споживачів хмарних послуг, а також механізм реалізації захисту цих прав регулюються цим Законом та Законом України "Про захист прав споживачів".

3. Порядок застосування технології хмарних обчислень та надання хмарних послуг в банківській системі України, суб'єктами переказу коштів, страховими лізинговими та фінансовими компаніями, кредитними спілками, ломбардами та бюро кредитними історіями визначається Національним банком України з урахуванням вимог цього Закону.

4. Особливості порядку застосування технології хмарних обчислень та надання хмарних та супутніх послуг для цілей національної безпеки та оборони, в тому числі питання, пов'язані із зверненням за одержанням хмарних послуг та юрисдикцію їх отримання вирішуються Міністерством оборони України з урахуванням вимог цього Закону виходячи із позиції посилення національної безпеки та виконання завдань у сфері оборони з урахуванням чинних міжнародних зобов'язань України (діючих міжнародних договорів України).

Стаття 5. Учасники відносин у сфері хмарних послуг

1. Учасниками відносин у сфері хмарних послуг є:

користувачі хмарних послуг, включаючи Публічних користувачів хмарних послуг;

надавачі хмарних послуг;

надавачі супутні послуг, передбачених цим Законом;

особи, майно або послуги яких використовують надавачі хмарних послуг або надавачі супутніх послуг для надання послуг;

уповноважений орган.

Стаття 6. Державне регулювання надання хмарних послуг

1. Організаційну систему державного регулювання у сфері використання технології хмарних обчислень та надання хмарних послуг становлять:

1) Кабінет Міністрів України;

2) уповноважений орган, який визначається Кабінетом Міністрів України.

2. Порядок організації діяльності уповноваженого органу в частині державного регулювання хмарних послуг, визначається цим Законом та у положенні про нього.

Стаття 7. Уповноважений орган

Уповноважений орган:

веде Перелік надавачів хмарних послуг, вносить відомості про надавачів хмарних послуг до Переліку, вносить зміни до нього та вилучає записи з нього;

розглядає заяви про внесення до Переліку та інших документів, поданих надавачами хмарних послуг та приймає та оприлюднює рішення за результатами розгляду;

перевіряє інформацію, що міститься у заявах про внесення до Переліку та інших документів, поданих надавачами хмарних послуг;

забезпечує формування та реалізацію державної політики у сфері надання хмарних послуг;

розробляє пропозиції щодо вдосконалення законодавства та подає їх в установленому порядку на розгляд Кабінету Міністрів України;

готує пропозиції до визначення структури, порядку формування та використання електронних каталогів хмарних та супутніх послуг;

узагальнює практику застосування законодавства та надає методичні рекомендації з питань, що належать до його компетенції;

готує зауваження і пропозиції до прийнятих Верховною Радою України законів, що надійшли на підпис Президентові України;

звертається до суду у зв'язку із виявленням невідповідності інформації, поданої для внесення (зміни) в Перелік надавачем хмарних послуг.

Стаття 8. Вимоги до надавача хмарних послуг Публічним користувачам

1. Для надання хмарних або супутніх послуг Публічним користувачам, надавачі мають бути внесені до Переліку надавачів хмарних послуг (далі - Перелік).

2. Надавачі хмарних послуг для внесення відомостей про них до Переліку подають до Уповноваженого органу:

1) заяву про внесення до Переліку із зазначенням відповідних видів хмарних або супутніх послуг, передбачених цим Законом;

2) документ, що підтверджує повноваження представника Надавача хмарних послуг або супутніх послуг;

3) інші інформацію та документи, передбачені цією статтею або визначені відповідно до неї.

3. За наявності можливості використання технічних та програмних засобів надавача хмарних послуг для обробки державних інформаційних ресурсів відповідно до вимог Закону України "Про захист інформації в інформаційно-телекомунікаційних системах", такий надавач може подати разом із заявою засвідчені в установленому законодавством порядку копії документів, які підтверджують таку можливість.

4. Надавачі послуг "Платформа як послуга", "Програмне забезпечення як послуга" та "Безпека як послуга" додатково подають засвідчені в установленому законодавством порядку копії документів, які підтверджують право використання або право розповсюдження комп'ютерних програм, що будуть надаватися в рамках надання хмарних послуг.

5. Якщо надавач послуг - заявник планує надавати Публічним користувачам певну хмарну чи супутню послугу спільно з вже внесеним до Переліку надавачем або з використанням його майна чи послуг, такий заявник додатково подає засвідчену в установленому законодавством порядку копію договору з таким надавачем, яким передбачена можливість включення заявника до Переліку за відповідним видом хмарних або супутніх послуг. При цьому заявник може не подавати документи, які вже подані таким надавачем Уповноваженому органу.

6. Кабінет Міністрів України встановлює вимоги до надавачів кожного виду хмарних та супутніх послуг, яким надавач має відповідати для включення до Переліку за відповідними видами послуг та порядок підтвердження відповідності цим вимогам.

7. Заява про внесення до Переліку та інші документи, передбачені цією статтею подаються в письмовій формі - електронній або паперовій формі, за вибором заявника.

Документи, які передбачені цією статтею і можуть складатися лише в паперовій формі, можуть бути подані у формі електронних копій документів, виготовлених шляхом сканування та накладення кваліфікованого електронного підпису уповноваженого представника заявника.

Стаття 9. Ведення Переліку надавачів хмарних послуг

1. Ведення Переліку здійснює Уповноважений орган.

2. Уповноважений орган за результатами розгляду Заяви про внесення до Переліку та інших поданих документів, протягом 15 робочих днів з дня отримання заяви про внесення до Переліку, приймає одне з таких рішень:

про внесення надавача хмарних послуг до Переліку;

про мотивовану відмову у внесенні надавача до Переліку.

Уповноважений орган оприлюднює рішення протягом 1 робочого дня з моменту його прийняття на відповідному веб-сайті.

В разі прийняття рішення про внесення надавача хмарних послуг до Переліку, Уповноважений орган вносить відомості про надавача хмарних послуг до Переліку протягом 1 робочого дня з моменту прийняття рішення.

3. Уповноважений орган приймає рішення про відмову у внесенні відомостей до Переліку надавачів хмарних послуг в разі:

подання не в повному обсязі документів, передбачених цією статтею;

виявлення в заяві про внесення до Переліку та документах, що додаються до неї, недостовірної інформації, пошкоджень, які не дають змоги однозначно тлумачити зміст, виправлень або дописок.

4. Зміна відомостей про надавача хмарних послуг, що містяться в Переліку надавачів хмарних послуг, є підставою для внесення змін до цього Переліку.

5. Надавач хмарних послуг у разі виникнення підстав для внесення змін до Переліку зобов'язаний протягом п'яти робочих днів з дня настання таких підстав подати до Уповноваженого органу про внесення відомостей про нього до Переліку, заяву про внесення змін до Переліку разом з документами, що підтверджують відповідні зміни.

6. Уповноважений орган протягом п'яти календарних днів з дня реєстрації заяви про внесення змін до Переліку зобов'язаний внести відповідні зміни до Переліку або надати рішення про мотивовану відмову.

7. Уповноважений орган надає рішення про мотивовану відмову у внесенні змін до Переліку в разі:

неподання документів, що є підставою для внесення відповідних змін до Переліку;

виявлення в заяві про внесення змін до Переліку надавачів харних послуг та документах, що додаються до неї, недостовірної інформації, пошкоджень, які не дають змоги однозначно тлумачити зміст, виправлень або дописок.

8. Уповноважений орган приймає рішення про виключення надавача хмарних послуг з Переліку в разі отримання:

заяви надавача хмарних послуг про виключення відомостей про нього з Переліку;

інформації про припинення діяльності надавача хмарних послуг (державної реєстрації припинення діяльності в установленому законодавством порядку юридичної особи);

інформації про набрання законної сили рішенням суду про виключення надавача хмарних послуг з Переліку чи про визнання надавача хмарних послуг банкрутом.

Стаття 10. Надання хмарних послуг

1. Хмарні послуги надаються на договірних засадах.

Договір про надання хмарних послуг Публічному користувачу укладається у письмовій (електронній формі).

Договір про надання хмарних послуг може включати положення, викладені в іншому електронному документі, включені шляхом посилання на такий електронний документ.

За договором про надання хмарних послуг надавач зобов'язується за завданням користувача надати у визначений спосіб одну чи кілька послуг, а користувач зобов'язується оплатити надавачу зазначену послугу.

2. Кабінет Міністрів України встановлює Типовий договір про надання хмарних послуг Публічному користувачу.

3. Істотним умовами договору про надання хмарних послуг для Публічних користувачів є:

предмет договору (визначення способу надання та виду хмарних послуг) та строк його дії;

порядок та умови надання користувачеві доступу до хмарних ресурсів;

порядок доступу користувачів до даних, які обробляються під час виконання договору про надання хмарних послуг;

порядок захисту даних (у тому числі персональних) при наданні послуг, у тому числі визначається порядок захисту від несанкціонованих дій (внутрішніх та зовнішніх загроз, кібератак) та порядок оповіщення про це користувача;

вимоги до рівня безперебійності роботи системи, де використовується технологія хмарних обчислень;

порядок передачі користувачу даних (інформації), які були накопичені, створені у процесі виконання договору;

порядок та строки передачі даних, операційних та інформаційних систем (за наявності) від користувача до надавача для забезпечені надання послуги та виконання договору;

порядок припинення договору, у тому числі строки та процедури передачі даних, систем (за наявності) від надавача до користувача;

порядок видалення (знищення) даних (інформації), які були створені, накопичені та/ або передані надавачу в ході та для виконання договору;

наявність чи відсутність обов'язку надавача хмарних послуг здійснювати резервне копіювання інформації; в разі наявності такого обов'язку, істотною умовою також є порядок та частота здійснення резервного копіювання;

зобов'язання надавача хмарних послуг не використовувати для надання хмарних послуг за договором технічні засоби, які розміщені на територіях, де органи державної влади України тимчасово не здійснюють свої повноваження, на територіях держав, які визнані Верховною Радою України державами-агресорами або щодо яких застосовані санкції відповідно до Закону України "Про санкції", а також технічні засоби, якими володіють суб'єкти, до яких застосовано санкції відповідно до Закону України "Про санкції";

відповідальність сторін договору;

порядок повідомлення сторін про можливі зміни в істотних умовах договору;

ціна послуг, порядок, строки і розміри платежів;

порядок та умови припинення, у тому числі дострокового розірвання, договору.

Укладаючи договір користувач та надавач хмарних послуг можуть також визнати істотними й інші умови.

4. Хмарні послуги одному користувачу для забезпечення єдиної мети можуть надаватися декількома надавачами.

Якщо надавач надає хмарну чи супутню послугу спільно з іншим надавачем, то вони несуть перед користувачем солідарну відповідальність за зобов'язаннями, що витікають з договору про надання такої хмарної чи супутньої послуги, якщо інше не передбачено договором з користувачем.

Якщо надавач надає хмарну чи супутню послугу з використанням послуг іншого надавача, то такий основний і залучений надавачі несуть перед користувачем солідарну відповідальність за зобов'язаннями, що відповідають зобов'язанням залученого надавача перед основним надавачем, якщо інше не передбачено договором з користувачем.

Стаття 11. Особливості використання хмарних послуг Публічними користувачами

1. В разі появи у Публічного користувача потреби у технічних та/або програмних засобах, в тому числі для організації забезпечення інфраструктурних потреб розвитку інформаційного суспільства, формування і використання національних електронних інформаційних ресурсів, впровадження сучасних інформаційних та інформаційно-комунікаційних технологій, для підтримки власної діяльності, а також реалізації повноважень та виконання покладених завдань соціально-економічної, екологічної, науково-технічної, оборонної, національно-культурної та іншої діяльності у сферах загальнодержавного значення, Публічний користувач зобов'язаний ініціювати закупівлю відповідних хмарних послуг.

У разі відсутності у надавачів хмарних послуг, внесених до Переліку, пропозицій щодо надання хмарних послуг, здатних задовольнити відповідну потребу Публічного користувача у технічних та/або програмних засобах, Публічний користувач має право провести закупівлю таких технічних або програмних засобів у будь-яких інших постачальників.

2. Публічні користувачі, готують пропозиції про укладення договору щодо закупівлі хмарних послуг та подають їх на розгляд до Уповноваженого органу.

Порядок підготовки пропозиції щодо використання хмарних послуг органами державної влади, органами влади Автономної Республіки Крим та їх розгляду визначається Кабінетом Міністрів України.

3. Публічні користувачі обирають надавача хмарних послуг з Переліку відповідно до процедур визначених Законом України "Про публічні закупівлі".

4. Для хмарних послуг "Інфраструктура як послуга" та "Платформа як послуга" забороняється обробка персональних даних та інформації з обмеженим доступом Публічних користувачів, вимога щодо захисту якої встановлена законом, за допомогою технології хмарних обчислень та ЦОД, що розміщені за межами адміністративно-територіальних кордонів України, на тимчасово окупованій території та/ або належать суб'єктам діяльність яких підпадає під дію Закону України "Про санкції" та щодо яких прийнято рішення про застосування санкцій в Україні та / або іншій країні світу, а також при недотриманні вимог передбачених Законом України "Про захист інформації в інформаційно-телекомунікаційних системах".

Стаття 12. Окремі аспекти виконання договорів про надання хмарних послуг Публічним користувачам

1. Кабінет Міністрів України встановлює порядок надання хмарних послуг, пов'язаних з обробкою державних інформаційних ресурсів, який базується на принципах інтероперабельності та збереження конкуренції і визначає:

- порядок обов'язкового резервного копіювання та збереження резервних копій у незалежних системах;

- порядок передачі даних, користувача до надавача хмарних послуг для забезпечення надання хмарних послуг, а також у зворотному напрямку;

- порядок передачі даних від одного постачальника хмарних послуг до іншого;

2. Порядок надання хмарних послуг має щонайменше включати наступне:

вимоги щодо передачі даних у структурованому вигляді, загальновживаних та машинозчитуваних форматах;

вимогу до обсягу інформації щодо процесів, технічних вимог, строків та платежів, що застосовуються у випадку переходу до іншого надавача хмарних послуг або відмови від хмарних послуг, яка має бути надана користувачу марних послуг у чіткій та доступній формі до визначення переможця процедури закупівлі (спрощеної процедури закупівлі);

підходи, що полегшують порівняння хмарних послуг та хмарної інфраструктури; такі підходи можуть, серед іншого включати порівняння управління якістю, управління інформаційною безпекою, управління безперервністю надання послуг, управління впливом на довкілля.

Стаття 13. Відповідальність надавача хмарних послуг та Публічного користувача перед третіми особами

Публічний користувач та надавач хмарних послуг несуть субсидіарну відповідальність за зобов'язаннями при виконанні договорів при наданні хмарних послуг в частині забезпечення кібербезпеки.

Стаття 14. Обробка персональних даних при наданні хмарних послуг

1. Захист персональних даних при використанні для їх обробки технологій хмарних обчислень та наданні хмарних послуг, забезпечується надавачем хмарних послуг та користувачем відповідно до вимог Закону України "Про захист персональних даних" з урахуванням особливостей визначених цим Законом.

Стаття 15. Захист інформації при наданні хмарних послуг

1. Надавач хмарних послуг забезпечує та створює належні умови для захисту даних в системі хмарних обчислень в порядку визначеному законодавством України та договором між сторонами.

2. На вимогу користувача та/або у порядку визначеному в договорі, надавач хмарних послуг надає інформацію щодо захисту інформації в системі хмарних обчислень від внутрішніх та зовнішніх загроз, кібератак тощо.

Стаття 16. Міжнародне співробітництво

1. Україна бере участь у міжнародному співробітництві у сферах хмарних обчислень та наданні хмарних послуг, зокрема на основі міжнародних договорів України.

2. Участь України у міжнародному співробітництві у сферах хмарних обчислень та наданні хмарних послуг здійснюється в порядку, встановленому законом.

3. У разі якщо міжнародними договорами України встановлено інші правила, ніж ті, що містяться в цьому Законі, застосовуються правила міжнародних договорів України.

Стаття 17. Прикінцеві положення

1. Цей Закон набирає чинності з дня його опублікування, крім статті 11, яка набирає чинності через шість місяців з дня опублікування цього Закону.

До затвердження Кабінетом Міністрів України Порядку використання хмарних послуг органами державної влади, органами влади Автономної Республіки Крим, Публічні користувачі готують пропозиції про укладення договору щодо закупівлі хмарних послуг та подають їх на розгляд до Уповноваженого органу у порядку, передбаченому Законом України "Про Національну програму інформатизації".

2. Внести зміни до таких законів України:

1. У Законі України "Про захист інформації в інформаційно-телекомунікаційних системах" (Відомості Верховної Ради України, 2005 р., N 26, ст. 347; 2009 р., N 24, ст. 296; 2014 р., N 17, ст. 593, N 22, ст. 816) преамбулу доповнити словами "а також у системах, де використовується технологія хмарних обчислень";

2. У Законі України "Про захист персональних даних" частину третю статті 4 Закону України "Про захист персональних даних" (Відомості Верховної Ради України, 2010 р., N 34, ст. 481; 2013 р., N 51, ст. 715) доповнити реченням в такій редакції:

"За погодженням з володільцями, такі підприємства державної або комунальної форми власності можуть залучити підрядників (суб-розпорядників) до обробки персональних даних відповідно до договору, укладеного згідно з вимогами Закону України "Про хмарні послуги".";

3. Кабінету Міністрів України у шестимісячний строк з дня набрання чинності цим Законом:

привести свої нормативно-правові акти у відповідність із цим Законом;

визначити структуру, порядок формування та використання електронних каталогів хмарних та супутніх послуг;

визначити вимоги до надавачів хмарних та супутніх послуг, яким надавач має відповідати для включення до Переліку за відповідними видами послуг та порядок підтвердження відповідності цим вимогам;

встановити порядок надання хмарних послуг, пов'язаних з обробкою державних інформаційних ресурсів;

визначити порядок підготовки пропозицій щодо використання хмарних послуг органами державної влади, органами влади Автономної Республіки Крим та їх розгляду;

забезпечити перегляд та приведення міністерствами та іншими центральними органами виконавчої влади їх нормативно-правових актів у відповідність із цим Законом.

 

Голова Верховної Ради
України

Д. РАЗУМКОВ

Опрос