Poradnik Przedsiębiorcy

Kto ponosi odpowiedzialność za przetwarzanie danych osobowych w chmurze?

Przetwarzanie danych osobowych w chmurze jest dość nowym rozwiązaniem, które pojawiło się globalnym rynku informatycznym. Mimo że jej popularność rośnie z każdym rokiem, to wraz z jej rozrostem pojawia się także coraz więcej problemów natury prawnej oraz zagrożenia dla osób z niej korzystających. Dzieje się tak, gdyż chmura funkcjonuje poza kontrolą jej użytkowników, natomiast do danych przesłanych do niej dostęp mają również podmioty zewnętrzne.

Chmura obliczeniowa jest narzędziem, do którego dostęp mogą uzyskać wszystkie osoby korzystające z sieci, niezależnie od szerokości geograficznej, w jakiej funkcjonują. Dla użytkowników jest to wielkie ułatwienie, pozwalające na korzystanie z udogodnień technologicznych w każdym zakątku świata, w którym tylko znajduje się dostęp do internetu. Jednakże z punktu widzenia prawnego, chmura obliczeniowa sprawa wiele problemów, głównie w kwestiach związanych z zakresem ochrony danych osobowych.

Czym jest chmura obliczeniowa?

Chmura obliczeniowa (ang. Cloud Computing) to narzędzie służące do przetwarzania danych, które polega na zdalnym udostępnianiu użytkownikowi usług czy zasobów koniecznych do przetwarzania informacji. Chmura bazuje na współdzieleniu i korzystaniu z zewnętrznych zasobów infrastruktury informatycznej, tj. sprzętu komputerowego, serwerów, oraz innych urządzeń do przechowywania danych, niezależnie od geograficznej lokalizacji poszczególnych jej elementów oraz wykorzystywanych kanałów komunikacyjnych. Technologia ta umożliwia użytkownikom korzystanie z różnego rodzaju oprogramowania, niezależnie od miejsca jego instalacji, udostępnianiu i rozpowszechnianiu wyników swojej pracy (utworów) w wielu miejscach jednocześnie, pomaga również we współpracy z innymi osobami niezależnie od odległości, która ich dzieli.

W ramach usługi chmury, osoba korzystająca otrzymuje oprogramowanie, którym może się posługiwać. Usługa ta świadczona jest na danym serwerze, do którego użytkownik otrzymuje dostęp. Może on z niej korzystać w każdym momencie, niezależnie od tego, gdzie się znajduje oraz z jakiego sprzętu komputerowego korzysta. Ciężar obsługi serwera spoczywa na operatorze chmury, co sprawia, że użytkownik nie musi martwić się o aktualizacje oprogramowania czy zakup nowego sprzętu.

W ramach cloud computingu wyróżnić można trzy rodzaje chmur:

  1. prywatną – są najczęściej tworzone i udostępniane dużym firmom i organizacjom. Z racji tego, że stanowią niejako własność tych podmiotów i udostępniane są tylko w ich ramach, stanowią najdroższą alternatywę. Ich utrzymanie oraz zachowanie wymaganego bezpieczeństwa wymaga wysokich środków finansowych, natomiast z racji ich prywatnego charakteru operator nie ma możliwości rozłożenia kosztów na większą liczbę użytkowników.

  2. publiczną – chmury publiczne są najbardziej popularne i powszechne. Z uwagi na ich otwarty charakter są również najtańsze, gdyż operator jest w stanie rozłożyć koszty utrzymania serwerów na liczną grupę użytkowników. Przykładem chmury publicznej jest Dysk Google.

  3. hybrydową – stanowi połączenie chmury publicznej z prywatną. Usługa ta polega na tym, że w ramach serwera publicznego wyodrębniona zostaje część prywatna, udostępniona jedynie konkretnym użytkownikom.

Ponadto w ramach każdej chmury obliczeniowej możemy wyróżnić dodatkowo różne modele jej funkcjonowania. Do najpopularniejszych modeli należą:

  1. Infrastructure as a Service (IaaS) – ang. infrastruktura jako usługa – jest to model polegający na dostarczaniu przez operatora użytkownikowi sprzętu komputerowego, oprogramowania oraz usługi serwisowania. Polega na wykupieniu przez użytkownika dostępu do określonej liczby serwerów lub określonej przestrzeni dyskowej.

  2. Platform as a Service (PaaS) – ang. platforma jako usługa – użytkownik otrzymuje gotowy zestaw aplikacji. Nie musi przy tym kupować odrębnego sprzętu ani dodatkowego oprogramowania. Wszystkie potrzebne programy znajdują się na serwerach operatora, a użytkownik może z nich korzystać z dowolnego urządzenia połączonego z internetem.

  3. Software as a Service (SaaS) – ang. oprogramowanie jako usługa –  w ramach usługi użytkownik otrzymuje konkretne oprogramowanie oraz narzędzia do pracy, które działają na serwerze dostawcy. Nie ma konieczności nabywania na nie oddzielnych licencji.

Chmury obliczeniowe a dane osobowe

Cloud computing jest nierozerwalnie połączony z problematyką przetwarzania danych osobowych. Jednakże należy zastanowić się, czy każda usługa chmury obliczeniowej wiąże się z obowiązkiem dostosowania jej do wymogów, jakie stawiają przepisy dotyczące ochrony danych osobowych

W chmurze znajdują się informacje o klientach, kontrahentach biznesowych, pracownikach, nierzadko również wszelkiego rodzaju dokumenty księgowe, które zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (Dz.Urz.UE.L Nr 119), tj. RODO stanowią dane osobowe. Z kolei przepis art. 4 ust. 2 RODO jasno wskazuje, że przetwarzanie danych osobowych to każda operacja wykonywana na danych osobowych, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, modyfikowanie, przeglądanie lub rozpowszechnianie tych danych, wykonywane w systemach informatycznych. Tak więc uznać trzeba, że każda usługa cloud computingu polega na przetwarzaniu danych i podlega pod RODO.

Chmura obliczeniowa – jakie niesie ze sobą ryzyko?

Zgodnie z powyższym akapitem, największym zagrożeniem, jakie niesie za sobą usługa cloud computingu, jest brak kontroli administratorów danych korzystających z chmur nad danymi osobowymi, które zostały tam przekazane. Usługa ta polega głównie na wydzieleniu użytkownikom określonego miejsca na serwerze, oznacza to, że w większości wypadków operator nie będzie odpowiedzialny za przetwarzanie danych udostępnionych w chmurze. Uznać należy więc, że ochrona danych spoczywa na barkach administratorów danych, którzy korzystają z usług cloud computingu.

Problem, który pojawia się w takim stanie rzeczy, wynika głównie z braku lub znacznego utrudnienia dostępności, integralności i możliwości interwencji administratorów danych. Brak dostępności objawia się niemożnością przenoszenia przez administratora danych między różnymi systemami wykorzystującymi rozwiązania chmurowe lub też wymiany informacji z innymi podmiotami przetwarzającymi dane w chmurze ze względu na oparcie się przez operatora usług na własnych, niekompatybilnych z innymi, technologiach. Co więcej, dochodzi tutaj brak integralności, który wiąże się z korzystaniem z chmury przez wiele różnych podmiotów, przy czym nie wszystkie z nich działają zgodnie z prawem. Największy problem stanowi natomiast ograniczenie możliwości interwencji administratora w działania operatora serwerów chmury. Po pierwsze może dojść do sytuacji, w której administrator nie otrzyma od operatora niezbędnych narzędzi do zapewnienia potrzebnej ochrony danych osobowych przesłanych do chmury. Po drugie administrator danych nie ma wpływu na łańcuch outsourcingowy, z którego może korzystać operator. Istnieje duże ryzyko, że administrator, korzystając z cloud computingu, nawet nie wie, jakie dokładnie podmioty biorą udział w procesie przetwarzania danych znajdujących się w chmurze.

Dochodzi do tego, że nawet jeśli dba on o wysoki poziom bezpieczeństwa przetwarzanych danych osobowych, nie ma pewności, czy poziom bezpieczeństwa danych udostępnionych w chmurze będzie tak samo wysoki i spełniający wszelkie wymagania nałożone na niego przez RODO.

Kto więc powinien zadbać o bezpieczeństwo danych osobowych?

Z uwagi na fakt, że to na administratorze danych osobowych spoczywa największa odpowiedzialność za powierzone mu przez osoby trzecie dane osobowe, to on powinien podjąć wszelkie kroki, aby korzystając z chmury obliczeniowej, wyeliminować lub zminimalizować ryzyko, jakie niesie za sobą ta usługa. Jakie działania powinien wykonać użytkownik chmury będący administratorem danych?

Kontrola lokalizacji serwerów chmury

Najistotniejsze z punktu widzenia przetwarzania danych, jest zminimalizowanie ryzyka związanego z lokalizacją serwerów w państwach trzecich. RODO stanowi akta prawa unijnego, co stanowi, że jego jurysdykcja obejmuje jedynie Europejski Obszar Gospodarczy. Oznacza to, że jedynie serwery chmury znajdujące się w EOG są gwarantem przestrzegania przez operatora przepisów RODO. Należy pamiętać, że rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez podmioty mające siedzibę w Unii, co oznacza, że lokalizacja fizyczna takich podmiotów w UE stanowi czynnik decydujący o stosowaniu RODO, niezależnie od faktycznego miejsca przetwarzania przez nie danych. Jeśli chcemy zadbać o jak największe bezpieczeństwo danych, zaleca się wybieranie chmur, których operator ma siedzibę w Unii Europejskiej.

Gwarancje RODO

Wybierając operatora chmury, administrator danych powinien zwrócić szczególną uwagę na gwarancje ochrony danych operatora. Takimi gwarancjami są m.in. stosowanie zatwierdzonego branżowego kodeksu postępowania (art. 40 RODO) oraz stosowanie zatwierdzonego mechanizmu certyfikacji (art. 42. RODO). Zatwierdzenia kodeksu postępowania dokonuje organ nadzorczy danego państwa UE. Jeżeli natomiast kodeks obowiązuje w obszarze większej liczby państw członkowskich, wówczas organ musi wcześniej wystąpić o opinię Europejskiej Rady Ochrony Danych. Z kolei dzięki certyfikacjom i znakom jakości oraz oznaczeniom w dziedzinie ochrony danych, użytkownicy chmury mają możliwość szybkiej oceny stopnia ochrony danych przy oferowanych i świadczonych usługach w ramach cloud computingu. Poddanie się przez operatora chmury weryfikacji przez organy kontrolne UE świadczy o jego wiarygodności i zaangażowaniu w kwestię ochrony danych osobowych. 

Normy techniczne

Posiadanie przez operatorów certyfikatów norm technicznych powinno stanowić ważną wskazówkę dla administratora danych podczas procesu wyboru konkretnej chmury obliczeniowej. W Europie tworzenie norm i ich certyfikowanie zostało powierzone Europejskiemu Instytutowi Norm Telekomunikacyjnych (ETSI). Najistotniejsze są dwa akty: norma ISO/IEC 27001 dotycząca zarządzania bezpieczeństwem informacji oraz norma ISO/IEC 27018 odnosząca się bezpośrednio do bezpieczeństwa danych osobowych w chmurze. Jeżeli operator dostosował swoje działania do wyżej wskazanych norm technicznych, możemy uznać, że stosuje się on do tzw. kodeksu dobrych praktyk.

Niestety RODO nie wprowadza konkretnych wymogów wdrożenia mechanizmów i norm bezpieczeństwa technologicznego. Oznacza to, że opisywane normy nie stanowią wymogu, a ich przestrzeganie nie jest powszechne wśród operatorów podlegających pod prawo Unii Europejskiej. 

Transfer danych z państwami trzecimi

Transfer danych z państwami trzecimi jest dopuszczalny, jednakże nie gwarantuje on odpowiedniej ochrony danych. Aby jednak do niego doszło, muszą zaistnieć okoliczności przewidziane w art. 45 i 46 RODO. Po pierwsze transfer może nastąpić z państwem trzecim, które zostało zweryfikowane i pozytywnie ocenione przez Komisję Europejską. Po drugie administrator danych powinien zadbać o odpowiednie zabezpieczenie podstawowych praw i wolności oraz prywatności jednostki wraz z mechanizmami umożliwiającymi ich realizację.  

Zawieranie umów transferu

Zalecanym rozwiązaniem jest zawarcie przez administratora danych z operatorem chmury tzw. umowy transferu. Umowa ta powinna być oparta o klauzule standardowe, rekomendowane przez Komisję Europejską. Klauzule te są sprawdzone i zweryfikowane przez organy unijne, co oznacza, że ich zastosowanie w stosunkach między administratorem (użytkownikiem) a operatorem chmury znacznie zredukuje ryzyko wystąpienia nieprawidłowości w kwestii ochrony danych osobowych, a w razie dojścia do takiej sytuacji zminimalizuje odpowiedzialność administratora.

Czy przetwarzanie danych osobowych w chmurze jest więc zgodne z prawem?

Należy uznać, że przetwarzanie danych osobowych w chmurze jest zgodne z prawem, o ile przestrzegane są odpowiednie przepisy dotyczące ochrony danych osobowych. Niestety nie istnieją odrębne regulacje prawne dotyczące bezpośrednio zagadnienia cloud computingu. Operatorzy chmur jedynie wydzielają swoim użytkownikom określone miejsce na serwerze, co oznacza, że nie są odpowiedzialni za dane przetwarzane w serwerach chmury.

Ochrona danych spoczywa więc na barkach administratorów danych, którzy korzystają z usług cloud computingu. W związku z tym, to oni powinni zabezpieczyć się i zadbać o jak najpewniejszy i najbezpieczniejszy wybór operatora chmury. Jego pierwotna kontrola a następnie podpisanie umowy transferowej mogą znacznie zniwelować stopień ryzyka, jaki niesie ze sobą przekazywanie danych osobowych osób trzecich do chmury obliczeniowej.