Poradnik Przedsiębiorcy

Cloud Computing a ochrona danych osobowych - co na to RODO?

Zastanawiasz się nad wprowadzeniem do swojej firmy chmury obliczeniowej (Cloud Computing)? Boisz się, że przetwarzanie w ten sposób danych nie jest zgodne z ustawą RODO? Z tego artykułu dowiesz się, jak ochrona danych osobowych a Cloud Computing są postrzegane przez prawo oraz jak działa ta usługa.

Jak działa Cloud Computing?

Chmura obliczeniowa (Cloud Computing) pozwala na zdalne udostępnianie użytkownikom usług oraz zasobów do przetwarzania informacji, w tym danych osobowych. Chmura obliczeniowa dostarcza usługi obliczeniowe za pośrednictwem Internetu takie jak: serwery, magazyny, bazy danych, sieci, oprogramowania i wiele innych. Najważniejsze korzyści chmury obliczeniowej to niskie koszty, szybkość działania, skala globalna działania, produktywność (np. nie trzeba konfigurować sprzętu), wydajność i niezawodność i bogaty zestaw zabezpieczeń, a więc istnieje ochrona danych osobowych w Cloud Computing.

Rodzaje chmur:

  • Publiczna – ogólnie dostępna chmura np. Dysk Google.
  • Prywatna – należy do zewnętrznych dostawców usług w chmurze. Oni je obsługują i dostarczają zasoby. Stanowią w pewnym sensie własność podmiotów obsługujących. To najdroższa wersja chmury.
  • Hybrydowa – łączy chmurę publiczną z prywatną. W ramach serwera publicznego zostaje wydzielona część prywatna, do której dostęp mają jedynie konkretni użytkownicy.

W chmurze występują takie usługi jak:

  1. IaaS – infrastruktura jako usługa. Wynajęcie infrastruktury IT (serwery, sieci, systemy operacyjne, maszyny wirtualne) od dostawcy chmury.
  2. Paas – platforma jako usługa. Dostarczanie środowiska służącego do testowania, opracowywania, dostarczania aplikacji i zarządzania nimi.
  3. Saas – oprogramowanie jako usługa. To dostarczanie aplikacji za pośrednictwem Internetu – użytkownik łączy się z aplikacją najczęściej przy użyciu przeglądarki na swoim urządzeniu.

Ochrona danych osobowych a Cloud Computing – co na to ustawa RODO?

Ochrona danych osobowych a Cloud Computing to trudne zagadnienie w świetle zapisów ustawy RODO, ponieważ w chmurze mogą się znajdować informacje o kontrahentach, klientach, pracownikach, operacjach księgowych. Wszystkie te dane stanowią dane osobowe zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych:

Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności”.

Zgodnie z ustawą RODO dane osobowe to informacje, które umożliwiają identyfikację danej osoby fizycznej, a zgodnie z 4 ust. 2 RODO przetwarzanie to operacja wykonywana na danych osobowych. Zatem zbieranie danych w chmurze to rodzaj przetwarzania danych osobowych. W przypadku usługi Cloud Computingu ochrona danych osobowych to obowiązek administratora danych, który korzysta z tej usługi. Niestety, nawet jeśli administrator zadba o wysoki poziom bezpieczeństwa danych udostępnionych w chmurze, to i tak nie może mieć pewności, że wszystko odbywa się zgodnie z RODO.

By przetwarzane dane były zabezpieczane zgodnie z prawem unijnym (RODO), należy wybierać chmury, których serwer znajduje się w Europejskim Obszarze Gospodarczym, a operator ma siedzibę w Unii Europejskiej – to gwarancja, że operator przestrzega prawa unijnego. Zgodnie z art. 40 RODO chmura powinna stosować zatwierdzony kodeks branżowy postępowania oraz zgodnie z art. 42 RODO używać zatwierdzonego mechanizmu certyfikacji.

Ochrona danych osobowych a Cloud Computing podsumowując, wygląda następująco – jeśli operator chmury posiada odpowiednie certyfikaty: norma ISO/IEC 27001 i norma ISO/IEC 27018, to oznacza, że stosuje on tzw. kodeks dobrych praktyk. Jednak warto wiedzieć, że RODO nie wymaga konkretnie tych certyfikatów, dlatego nie każda chmura je ma. Należy pamiętać, że operator chmury dostarcza jedynie usługę, a za zabezpieczenia danych odpowiada ich administrator.