ЗАКОН УКРАЇНИ
Про хмарні послуги
(Відомості Верховної Ради України (ВВР), 2023, № 15, ст.52)( Із змінами, внесеними згідно із Законами № 3343-IX від 23.08.2023, ВВР, 2023, № 92, ст.357 № 3549-IX від 16.01.2024, ВВР, 2024, № 18, ст.76 № 3783-IX від 05.06.2024 )
Стаття 1. Сфера дії Закону
Цей Закон визначає правові відносини, що виникають при наданні хмарних послуг, та встановлює особливості використання хмарних послуг органами державної влади, органами влади Автономної Республіки Крим, органами місцевого самоврядування, військовими формуваннями, утвореними відповідно до законів України, державними підприємствами, установами та організаціями, суб’єктами владних повноважень та іншими суб’єктами, яким делеговані такі повноваження.
Стаття 2. Визначення термінів
1. У цьому Законі терміни вживаються у такому значенні:
комунікаційні послуги - хмарні послуги та послуги центрів обробки даних;
( Частину першу статті 2 доповнено терміном згідно із Законом № 3343-IX від 23.08.2023 )
користувач хмарних послуг - фізична або юридична особа, яка використовує хмарні послуги для забезпечення власних потреб;
надавач хмарних послуг - юридична особа або фізична особа - підприємець, яка надає одну або більше хмарні послуги самостійно або спільно з іншими надавачами хмарних послуг;
публічний користувач хмарних послуг (далі - публічний користувач) - орган державної влади, орган влади Автономної Республіки Крим, орган місцевого самоврядування, державне підприємство, державна установа, державна організація чи інший суб’єкт владних повноважень або інший суб’єкт, якому делеговані такі повноваження;
регулятор комунікаційних послуг - центральний орган виконавчої влади, що забезпечує формування та реалізацію державної політики у сферах організації спеціального зв’язку, захисту інформації;
( Частину першу статті 2 доповнено терміном згідно із Законом № 3343-IX від 23.08.2023 )
технологія хмарних обчислень - технологія забезпечення дистанційного доступу на вимогу користувача до хмарної інфраструктури через електронні комунікаційні мережі;
хмара (хмарна інфраструктура) - сукупність динамічно розподілюваних та налаштовуваних хмарних ресурсів, що можуть бути оперативно надані користувачу хмарних послуг і вивільнені через глобальну та локальні мережі передачі даних;
хмарна послуга - послуга з надання хмарних ресурсів за допомогою технології хмарних обчислень;
хмарні ресурси - будь-які технічні та програмні засоби або інші компоненти інформаційної (автоматизованої) системи, доступ до яких забезпечують технології хмарних обчислень, зокрема процесорний час (обчислювальна потужність), місце у сховищах даних, обчислювальні мережі, бази даних і комп’ютерні програми;
центр обробки даних - спеціалізований технічний комплекс, що складається з інженерної (системи безперебійного електроживлення, вентиляції, охолодження та регулювання вологості, пожежної безпеки, фізичної охорони), інформаційної, електронної комунікаційної та програмно-апаратної інфраструктури, засоби якого забезпечують або реалізують надання послуг із зберігання та обробки даних, у тому числі, але не обмежуючи: надання хмарних послуг, резервного копіювання даних, передачі даних, оренди комунікаційних стійок, послуг хостингу.
2. Інші терміни в цьому Законі вживаються у значеннях, наведених у Цивільному кодексі України, законах України "Про інформацію", "Про електронні довірчі послуги", "Про електронні документи та електронний документообіг", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про стандартизацію", "Про технічні регламенти та оцінку відповідності", "Про наукову і науково-технічну експертизу", "Про Національний банк України", "Про захист персональних даних", "Про авторське право і суміжні права", "Про основні засади забезпечення кібербезпеки України", "Про національну безпеку", "Про електронні комунікації".
Стаття 3. Види хмарних послуг
1. Хмарні послуги надаються користувачам хмарних послуг на договірних засадах надавачами хмарних послуг.
2. До хмарних послуг належать:
інфраструктура як послуга - хмарна послуга, що полягає у наданні користувачу хмарних послуг обчислювальних ресурсів, ресурсів зберігання або систем електронних комунікацій за допомогою технології хмарних обчислень;
платформа як послуга - хмарна послуга, що полягає у наданні користувачу хмарних послуг доступу до інфраструктури та наборів комп’ютерних програм (операційних систем, системних комп’ютерних програм, програмних засобів для комп’ютерного програмування, програмних засобів управління базами даних) за допомогою технології хмарних обчислень;
програмне забезпечення як послуга - хмарна послуга, що полягає у наданні користувачу хмарних послуг доступу до прикладних комп’ютерних програм за допомогою технології хмарних обчислень через онлайн-сервіс або комп’ютерні програми-агенти;
безпека як послуга - послуга з кіберзахисту, що надається користувачу хмарних послуг з використанням хмарних ресурсів;
інші послуги, що відповідають визначенню хмарних послуг.
3. Хмарні послуги надаються в один із таких способів:
приватна хмара - хмарна інфраструктура, що підготовлена для використання єдиним користувачем хмарних послуг та контролюється ним;
колективна хмара - хмарна інфраструктура, що поділена між визначеною групою взаємопов’язаних користувачів хмарних послуг, які мають спільні потреби, та контролюється користувачами хмарних послуг самостійно або їх представниками;
публічна хмара - хмарна інфраструктура, що потенційно доступна для невизначеного кола користувачів хмарних послуг та контролюється надавачем хмарних послуг;
гібридна хмара - хмарна інфраструктура, що є композицією з двох або більше різних хмарних інфраструктур (приватні, колективні або публічні), що є самостійними об’єктами, пов’язаними між собою технологіями, що дозволяють переносити дані або комп’ютерні програми між цими об’єктами.
4. До послуг центру обробки даних належать послуги з:
технічного адміністрування інформаційних (автоматизованих), електронних комунікаційних мереж та інформаційно-комунікаційних систем;
технічної підтримки користувача хмарних послуг;
розміщення обладнання у центрі обробки даних, включаючи надання у користування окремих приміщень для розміщення обладнання;
надання у користування технічних засобів, розміщених у центрі обробки даних;
кіберзахисту.
5. Кожна хмарна послуга може надаватися окремо і в сукупності з іншими послугами центру обробки даних.
Стаття 4. Використання хмарних послуг
1. Вимоги у сфері електронних довірчих послуг за допомогою технології хмарних обчислень затверджуються Кабінетом Міністрів України.
2. Захист прав користувачів хмарних послуг та/або послуг центру обробки даних, а також механізм реалізації захисту цих прав регулюються цим Законом, законами України "Про захист прав споживачів" та "Про електронні комунікації".
3. Порядок застосування технології хмарних обчислень та надання хмарних послуг банками, особами, що провадять діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, платіжними організаціями та/або учасниками платіжних систем, операторами послуг платіжної інфраструктури визначається Національним банком України відповідно до вимог цього Закону.
4. Особливості порядку застосування технології хмарних обчислень та надання хмарних послуг та послуг центру обробки даних з питань національної безпеки у воєнній і оборонній сферах, у тому числі питання, пов’язані із зверненням за одержанням хмарних послуг в інтересах оборони та порядок отримання хмарних послуг, вирішуються Міністерством оборони України з урахуванням вимог цього Закону, виходячи із позиції посилення національної безпеки у воєнній і оборонній сферах та виконання завдань у сфері оборони з урахуванням міжнародних договорів України, згоду на обов’язковість яких надано Верховною Радою України.
Стаття 5. Учасники відносин у сфері хмарних послуг
1. Учасниками відносин у сфері хмарних послуг є:
користувач хмарних послуг, включаючи публічного користувача;
надавач хмарних послуг;
надавач послуг центру обробки даних;
органи державної влади.
Стаття 6. Державне управління і регулювання у сфері хмарних послуг
( Назва статті 6 із змінами, внесеними згідно із Законом № 3343-IX від 23.08.2023 )
1. Організаційну систему державного управління і регулювання у сфері хмарних послуг становлять:
( Абзац перший частини першої статті 6 із змінами, внесеними згідно із Законом № 3343-IX від 23.08.2023 )
1) Кабінет Міністрів України;
2) регулятор комунікаційних послуг;
3) центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сфері хмарних послуг;
( Пункт 3 частини першої статті 6 із змінами, внесеними згідно із Законом № 3343-IX від 23.08.2023 )
4) орган, уповноважений здійснювати контроль за додержанням законодавства про захист персональних даних;
5) Міністерство оборони України;
6) Національний банк України;
7) Центральна виборча комісія.
Стаття 7. Повноваження регулятора комунікаційних послуг
1. Регулятор комунікаційних послуг:
реалізує державну політику у сфері хмарних послуг;
( Абзац другий частини першої статті 7 в редакції Закону № 3343-IX від 23.08.2023 )
веде Перелік надавачів хмарних послуг та/або послуг центру обробки даних (далі - перелік), вносить, змінює або виключає відомості про надавачів хмарних послуг та/або послуг центру обробки даних;
здійснює реєстрацію надавачів хмарних послуг та/або послуг центру обробки даних;
затверджує порядок ведення переліку;
розглядає заяви про внесення до переліку, подані надавачами хмарних послуг та/або послуг центру обробки даних, приймає та оприлюднює рішення за результатами розгляду таких заяв;
перевіряє інформацію, що міститься у заявах про внесення відомостей до переліку, поданих надавачами хмарних послуг та/або послуг центру обробки даних, щодо відповідності вимогам до надавачів кожного виду хмарних послуг та/або послуг центру обробки даних;
розробляє пропозиції щодо вдосконалення законодавства та подає їх в установленому порядку на розгляд Кабінету Міністрів України;
готує пропозиції до визначення структури, порядку формування та використання електронних каталогів хмарних послуг та/або послуг центру обробки даних;
узагальнює практику застосування законодавства та надає методичні рекомендації з питань, що належать до його компетенції;
готує зауваження і пропозиції до прийнятих Верховною Радою України законів, що надійшли на підпис Президенту України.
Стаття 8. Вимоги до надавача хмарних послуг та/або послуг центру обробки даних
1. Надавач хмарних послуг та/або послуг центру обробки даних зобов’язаний не використовувати для надання хмарних послуг технічні засоби, розміщені на території, на якій органи державної влади України тимчасово не здійснюють свої повноваження, на території держави, визнаної Верховною Радою України державою-агресором або державою-окупантом, а також не використовувати технічні засоби, якими володіють держави або суб’єкти, до яких застосовано санкції відповідно до Закону України "Про санкції".
Надавач хмарних послуг та/або послуг центру обробки даних повинен вжити відповідних пропорційних технічних та організаційних заходів для управління ризиками, що виникають для безпеки електронної комунікаційної мережі, електронної комунікаційної послуги та інформаційних систем, які використовуються для надання хмарних послуг.
Такі заходи мають забезпечувати рівень безпеки електронної комунікаційної мережі, електронної комунікаційної послуги та інформаційних систем, які використовуються для надання хмарних послуг, що відповідає ризику, який виник, та враховувати такі елементи:
безпеку систем та устаткування;
врегулювання інцидентів;
управління безперервністю бізнесу;
моніторинг, аудит та випробування;
відповідність міжнародним стандартам.
Надавач хмарних послуг та/або послуг центру обробки даних без необґрунтованої затримки повинен повідомляти регулятора комунікаційних послуг та CERT-UA про будь-який інцидент, який має значний негативний вплив на надання хмарної послуги та/або послуг центру обробки даних, у порядку, затвердженому регулятором комунікаційних послуг.
Надавач хмарних послуг та/або послуг центру обробки даних повинен:
надавати державному органу, призначеному для формування та реалізації державної політики у сфері кіберзахисту, інформацію, необхідну для оцінювання безпеки електронної комунікаційної мережі, електронної комунікаційної послуги та інформаційних систем, у тому числі документально встановленої політики безпеки;
усувати будь-яку невідповідність вимогам, затвердженим регулятором комунікаційних послуг.
Надавач хмарних послуг та/або послуг центру обробки даних публічним користувачам та критично важливим об’єктам інфраструктури до початку надання цих послуг повинен повідомити публічному користувачу та критично важливим об’єктам інфраструктури інформацію про ризики безпеки інформації у зв’язку з її обробленням у системі хмарних обчислень.
2. Для надання хмарних послуг та/або послуг центру обробки даних публічним користувачам та/або критично важливим об’єктам інфраструктури відомості про надавачів хмарних послуг та/або послуг центру обробки даних мають бути внесені до переліку.
3. Надавачі хмарних послуг та/або послуг центру обробки даних для внесення відомостей про них до переліку подають до регулятора комунікаційних послуг:
1) заяву про внесення до переліку із зазначенням відповідних видів хмарних послуг та/або послуг центру обробки даних, передбачених цим Законом, за формою, затвердженою регулятором комунікаційних послуг;
2) документи, передбачені частиною другою або четвертою статті 8 Закону України "Про захист інформації в інформаційно-телекомунікаційних системах";
3) документи, що визначають порядок обробки персональних даних чи політики, якими регламентовано дотримання конфіденційності обробки персональних даних;
4) засвідчені в установленому порядку копії документів, що підтверджують право власності або право користування засобами, що використовуються при наданні хмарних послуг;
5) для надавачів послуг центру обробки даних - засвідчені в установленому порядку копії документів, що підтверджують право власності або право користування нежилими приміщеннями, що використовуються для розміщення всіх складових програмно-технічного комплексу, що забезпечують надання хмарних послуг;
6) документ про відповідність, виданий органом з оцінки відповідності у сфері електронних комунікацій, що підтверджує відповідність юридичних осіб, фізичних осіб - підприємців, які мають намір надавати хмарні послуги та/або послуги центру обробки даних, вимогам до надавачів хмарних послуг та/або послуг центру обробки даних, затвердженим Кабінетом Міністрів України.
4. Надавачі хмарних послуг, визначених абзацами третім - п’ятим частини другої статті 3 цього Закону, додатково подають засвідчені в установленому порядку копії документів, що підтверджують право користування або розповсюдження апаратного або програмного забезпечення, що буде застосовуватися при наданні хмарних послуг.
Стаття 9. Ведення переліку надавачів хмарних послуг та/або послуг центру обробки даних
1. Ведення переліку здійснює регулятор комунікаційних послуг.
2. Регулятор комунікаційних послуг за результатами розгляду заяви про внесення до переліку та інших поданих документів протягом 15 робочих днів з дня отримання заяви про внесення до переліку приймає одне з таких рішень:
про внесення надавача хмарних послуг та/або послуг центру обробки даних до переліку;
про мотивовану відмову у внесенні надавача хмарних послуг та/або послуг центру обробки даних до переліку.
Регулятор комунікаційних послуг оприлюднює рішення протягом одного робочого дня з моменту його прийняття на своєму офіційному веб-сайті.
У разі прийняття рішення про внесення надавача хмарних послуг та/або послуг центру обробки даних до переліку регулятор комунікаційних послуг вносить відомості про надавача хмарних послуг та/або послуг центру обробки даних до переліку протягом одного робочого дня з моменту прийняття рішення.
3. Регулятор комунікаційних послуг приймає рішення про відмову у внесенні відомостей до переліку у разі:
подання не в повному обсязі документів, передбачених статтею 8 цього Закону;
виявлення в заяві про внесення надавача хмарних послуг та/або послуг центру обробки даних до переліку та документах, що додаються до неї, недостовірної інформації, пошкоджень, які не дають змоги однозначно тлумачити зміст, виправлень або дописок.
4. Зміна відомостей про надавача хмарних послуг та/або послуг центру обробки даних, що містяться в переліку, є підставою для внесення змін до цього переліку.
5. Надавач хмарних послуг та/або послуг центру обробки даних у разі виникнення підстав для внесення змін до переліку зобов’язаний протягом п’яти робочих днів з дня настання таких підстав подати до регулятора комунікаційних послуг заяву про внесення змін до переліку разом з документами, що підтверджують відповідні зміни.
6. Регулятор комунікаційних послуг протягом п’яти календарних днів з дня реєстрації заяви про внесення змін до переліку зобов’язаний внести відповідні зміни до переліку або надати рішення про мотивовану відмову у внесенні змін.
7. Регулятор комунікаційних послуг надає рішення про мотивовану відмову у внесенні змін до переліку у разі:
неподання документів, що є підставою для внесення відповідних змін до переліку;
виявлення в заяві про внесення змін до переліку та документах, що додаються до неї, недостовірної інформації, пошкоджень, які не дають змоги однозначно тлумачити зміст, виправлень або дописок.
8. Регулятор комунікаційних послуг приймає рішення про виключення надавача хмарних послуг та/або послуг центру обробки даних з переліку в разі отримання:
заяви надавача хмарних послуг та/або послуг центру обробки даних про виключення відомостей про нього з переліку у зв’язку з припиненням ним діяльності надавача хмарних послуг та/або послуг центру обробки даних;
інформації про припинення юридичної особи, позбавлення статусу підприємця фізичною особою, підтвердженої витягом з Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань;
інформації про здійснення заходів щодо державного нагляду (контролю) за додержанням законодавства про електронні комунікації та радіочастотний спектр у порядку, передбаченому статтею 10 Закону України "Про електронні комунікації".
Стаття 10. Надання хмарних послуг та/або послуг центру обробки даних
1. Хмарні послуги та/або послуги центру обробки даних надаються на договірних засадах з урахуванням положень цього Закону.
Договір про надання хмарних послуг та/або послуг центру обробки даних може включати положення, викладені в іншому електронному документі, включені шляхом посилання на такий електронний документ.
Договір про надання хмарних послуг та/або послуг центру обробки даних укладається у письмовій формі.
За договором про надання хмарних послуг та/або послуг центру обробки даних надавач хмарних послуг зобов’язується надати у визначений спосіб одну чи декілька визначених користувачем послуг, а користувач зобов’язується оплатити надавачу хмарних послуг зазначену послугу.
2. Кабінет Міністрів України затверджує Типовий договір про надання хмарних послуг та/або послуг центру обробки даних публічному користувачу та об’єкту критичної інформаційної інфраструктури.
3. Істотними умовами договору про надання хмарних послуг та/або послуг центру обробки даних для публічних користувачів та об’єктів критичної інформаційної інфраструктури є:
предмет договору та строк його дії;
порядок та умови надання користувачеві доступу до хмарних ресурсів;
порядок доступу користувача хмарних послуг до даних, що обробляються під час виконання договору про надання хмарних послуг та/або послуг центру обробки даних;
порядок захисту даних (у тому числі персональних) при наданні послуг, у тому числі порядок захисту від несанкціонованих дій (внутрішніх та зовнішніх загроз, інцидентів кібербезпеки, кібератак), та порядок оповіщення про це користувача;
вимоги щодо негайного оповіщення про інцидент кібербезпеки, що має істотний вплив при наданні хмарних послуг та/або послуг центру обробки даних;
вимоги до рівня безперебійності роботи системи, що використовує технологію хмарних обчислень;
порядок передачі користувачу хмарних послуг даних (інформації), у тому числі їх резервних копій, що були накопичені, створені у процесі виконання договору;
порядок та строки передачі даних, операційних та інформаційних систем (за наявності) від користувача хмарних послуг до надавача хмарних послуг для забезпечення надання послуги та виконання договору;
порядок припинення договору, у тому числі строки та процедури передачі даних, їх резервних копій, систем (за наявності) від надавача хмарних послуг до користувача хмарних послуг;
порядок видалення (знищення) даних (інформації), їх резервних копій, що були створені, накопичені та/ або передані надавачу хмарних послуг у ході та для виконання договору;
наявність чи відсутність обов’язку надавача хмарних послуг здійснювати резервне копіювання інформації (за наявності такого обов’язку), істотною умовою також є порядок та частота здійснення резервного копіювання;
відповідальність сторін договору;
порядок повідомлення сторін про можливі зміни в істотних умовах договору;
ціна послуг, порядок, строки і розміри платежів;
порядок та умови припинення, у тому числі дострокового розірвання, договору;
до договору застосовується право України;
у разі виникнення спору між сторонами договору справа підсудна судам України.
Укладаючи договір користувач хмарних послуг та надавач хмарних послуг можуть також визнати істотними й інші умови.
4. Хмарні послуги одному користувачу хмарних послуг для забезпечення єдиної мети можуть надаватися декількома надавачами хмарних послуг.
У разі якщо надавач хмарних послуг надає хмарну послугу та/або послугу центру обробки даних спільно або з використанням хмарних послуг надавача хмарних послуг, вони несуть перед користувачем солідарну відповідальність за зобов’язаннями, що виникають з договору про надання такої хмарної послуги та/або послуги центру обробки даних, якщо інше не передбачено договором з користувачем.
Стаття 11. Особливості використання хмарних послуг та/або послуг центру обробки даних публічними користувачами хмарних послуг
1. У разі появи у публічного користувача хмарних послуг потреби у технічних та/або програмних засобах, у тому числі для організації забезпечення інфраструктурних потреб розвитку інформаційного суспільства, формування і використання національних електронних інформаційних ресурсів, упровадження сучасних інформаційних та інформаційно-комунікаційних технологій, для підтримки своєї діяльності, а також реалізації повноважень та виконання покладених завдань соціально-економічної, екологічної, науково-технічної, оборонної, національно-культурної та іншої діяльності у сферах загальнодержавного значення, публічний користувач хмарних послуг зобов’язаний ініціювати закупівлю відповідних хмарних послуг та/ або послуг центрів обробки даних.
2. Публічні користувачі хмарних послуг обирають надавача хмарних послуг з переліку відповідно до процедур, визначених Законом України "Про публічні закупівлі".
3. Надання хмарних послуг та/або послуг центру обробки даних публічним користувачам хмарних послуг здійснюється з дотриманням вимог законодавства про захист персональних даних, про захист інформації та про кібербезпеку.
У період дії воєнного стану Міністерство оборони України та Збройні Сили України можуть обробляти інформацію у воєнній і оборонній сферах, у тому числі службову інформацію та інформацію, що становить державну таємницю, в інформаційних, інформаційно-комунікаційних, електронних комунікаційних системах, власником (держателем, розпорядником) яких є Міністерство оборони України та/або Збройні Сили України, за допомогою хмарних ресурсів та/або центрів обробки даних, що розміщені за кордоном, з дотриманням вимог законодавства у сфері охорони службової інформації та державної таємниці.
( Абзац другий частини третьої статті 11 в редакції Закону № 3783-IX від 05.06.2024 )
Забороняється обробка службової інформації та інформації, що становить державну таємницю, за допомогою хмарних ресурсів та/або центрів обробки даних, що розміщені за кордоном (крім випадків, передбачених абзацом другим цієї частини) чи на тимчасово окупованих територіях України, територіях держав, визнаних Верховною Радою України державою-агресором та/або державою-окупантом або які входять до митних та воєнних союзів з такими державами, або держав, до яких застосовано санкції, а також за допомогою хмарних ресурсів та/або центрів обробки даних, які належать фізичним та юридичним особам, до яких застосовано персональні економічні та інші обмежувальні заходи (санкції).
( Абзац третій частини третьої статті 11 в редакції Закону № 3783-IX від 05.06.2024 )( Частина третя статті 11 в редакції Закону № 3549-IX від 16.01.2024 )
Стаття 12. Порядок надання хмарних послуг, пов’язаних з обробкою державних інформаційних ресурсів або інформації з обмеженим доступом
1. Кабінет Міністрів України встановлює порядок надання хмарних послуг та/або послуг центру обробки даних, пов’язаних з обробкою державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, що базується на принципах інтероперабельності та збереження конкуренції, і визначає порядок:
обов’язкового резервного копіювання та збереження резервних копій у незалежних системах;
передачі даних від користувача хмарних послуг до надавача хмарних послуг та/або послуг центру обробки даних для забезпечення надання хмарних послуг, а також від надавача хмарних послуг до користувача хмарних послуг;
передачі даних від одного надавача хмарних послуг та/або послуг центру обробки даних до іншого;
надання інформації, необхідної для оцінювання безпеки мережевих та інформаційних систем надавачів хмарних послуг та/або послуг центру обробки даних, у тому числі документально встановленої політики безпеки.
2. Порядок надання хмарних послуг та/або послуг центру обробки даних повинен включати:
вимоги щодо передачі даних у структурованому вигляді, загальновживаних та машинозчитувальних форматах;
вимогу до обсягу інформації щодо процесів, технічних вимог, строків та платежів, що застосовуються у разі переходу до іншого надавача хмарних послуг та/або послуг центру обробки даних або відмови від хмарних послуг, яка має бути надана користувачу хмарних послуг у чіткій та доступній формі до визначення переможця процедури закупівлі (спрощеної процедури закупівлі);
підходи, що полегшують порівняння хмарних послуг та/або послуг центру обробки даних та хмарної інфраструктури, що включають, зокрема інформацію про управління якістю, управління інформаційною безпекою, управління безперервністю надання послуг, про оцінку впливу на довкілля.
Стаття 13. Обробка персональних даних при наданні хмарних послуг та/або послуг центру обробки даних
1. Захист персональних даних при використанні для їх обробки технології хмарних обчислень та наданні хмарних послуг та/або послуг центру обробки даних здійснюється відповідно до вимог Закону України "Про захист персональних даних".
Стаття 14. Захист інформації при наданні хмарних послуг та/або послуг центру обробки даних
1. Надавач хмарних послуг та/або послуг центру обробки даних забезпечує та створює належні умови для захисту даних у системі хмарних обчислень у порядку, визначеному законодавством України та договором між сторонами.
2. На вимогу користувача хмарних послуг та/або у порядку, визначеному договором, надавач хмарних послуг та/або послуг центру обробки даних надає інформацію щодо захисту інформації в системі хмарних обчислень від внутрішніх та зовнішніх загроз, кібератак.
Стаття 15. Міжнародне співробітництво
1. Україна бере участь у міжнародному співробітництві у сфері хмарних обчислень та наданні хмарних послуг, зокрема на основі міжнародних договорів України.
2. Участь України у міжнародному співробітництві у сфері хмарних обчислень та наданні хмарних послуг здійснюється в порядку, встановленому законом.
3. У разі якщо міжнародними договорами України, згоду на обов’язковість яких надано Верховною Радою України, встановлено інші правила, ніж ті, що містяться у цьому Законі, застосовуються правила міжнародних договорів України.
Стаття 16. Прикінцеві положення
1. Цей Закон набирає чинності через шість місяців з дня його опублікування.
2. Внести зміни до таких законів України:
1) статтю 7Закону України "Про Національний банк України" (Відомості Верховної Ради України, 1999 р., № 29, ст. 238 із наступними змінами) доповнити пунктом 38 такого змісту:
"38) визначає порядок застосування технології хмарних обчислень та надання хмарних послуг банками, особами, що провадять діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк, платіжними організаціями та/або учасниками платіжних систем, операторами послуг платіжної інфраструктури";
2) друге речення частини п’ятої статті 6 Закону України "Про захист персональних даних" (Відомості Верховної Ради України, 2010 р., № 34, ст. 481; із змінами, внесеними законами України від 18 листопада 2021 року № 1907-IX та від 16 грудня 2021 року № 1971-IX) виключити.
3. Кабінету Міністрів України:
1) у шестимісячний строк з дня набрання чинності цим Законом:
привести свої нормативно-правові акти у відповідність із цим Законом;
визначити структуру, порядок формування та використання електронних каталогів хмарних послуг та/або послуг центру обробки даних;
визначити вимоги до надавачів хмарних послуг та/або послуг центру обробки даних, яким надавач хмарних послуг має відповідати для внесення до переліку за відповідними видами послуг, та порядок підтвердження відповідності цим вимогам;
встановити порядок надання хмарних послуг та/або послуг центру обробки даних, пов’язаних з обробкою державних інформаційних ресурсів;
визначити порядок підготовки пропозицій щодо використання хмарних послуг та/або послуг центру обробки даних органами державної влади, органами влади Автономної Республіки Крим та їх розгляду;
забезпечити перегляд та приведення міністерствами та іншими центральними органами виконавчої влади їх нормативно-правових актів у відповідність із цим Законом;
2) включити інформацію про виконання цього Закону до звіту про хід і результати виконання Програми діяльності Кабінету Міністрів України за 2021 рік.
Президент України | В. ЗЕЛЕНСЬКИЙ |
м. Київ 17 лютого 2022 року № 2075-IX | |