Poradnik Przedsiębiorcy

Powered by

wFirma.pl

Poznaj
niezbędne narzędzia
do zarządzania
Twoją firmą!

Dostępne
na wszystkie
platformy

Apple Windows Android BlackBerry

Ochrona danych osobowych a cloud computing

Cloud computing, czyli przetwarzanie danych w chmurze obliczeniowej, stało się ostatnimi czasy jedną z bardziej popularnych usług IT dla biznesu. Jego głównymi zaletami są przede wszystkim redukcja kosztów oraz łatwy dostęp do danych, możliwy z każdego miejsca na świecie i o każdej porze, o ile oczywiście ma się dostęp do Internetu i komputera. Wiele firm, aby utrzymać swoją pozycję na rynku, stawia na postęp technologiczny i decyduje się na korzystanie z coraz to bardziej innowacyjnych rozwiązań, do których cloud computing z pewnością należy. Jednak czy przetwarzanie danych w chmurze jest legalne? Jak wygląda ochrona danych osobowych?

Cloud computing - co to takiego?

Chmura obliczeniowa, najprościej rzecz ujmując, jest modelem przetwarzania danych, który polega na zdalnym udostępnieniu użytkownikowi usług czy zasobów koniecznych do przetwarzania informacji. Korzystając z chmury, nie nabywa się ani nośnika, na którym można przechowywać dane, ani programu komputerowego, który wykorzystywałby dane (nie ma więc konieczności kupowania licencji na dany program, instalowania go, czy zakupu odpowiedniego sprzętu). Użytkownik w ramach chmury otrzymuje infrastrukturę czy też oprogramowanie, z którego można korzystać - odbywa się to więc na zasadzie oferowania usługi. Usługi te świadczone są na danym serwerze, do którego użytkownik ma dostęp. Cały ciężar obsługi serwera spoczywa więc na świadczącym usługę cloud computingu. Użytkownik nie musi martwić się takimi sprawami jak aktualizacja oprogramowania, zakup nowego sprzętu, ponieważ stary nie obsługuje już programu itp. Jedyne, czego wymaga się od użytkownika, to logowanie się do serwera z jakiegokolwiek komputera z dostępem do Internetu.

Wyróżnia się trzy rodzaje chmur: prywatną, publiczną i hybrydową. Prywatne chmury najczęściej tworzone są dla dużych firm czy organizacji - są najbezpieczniejsze (ale też najdroższe, bo wymagają największych nakładów finansowych), ponieważ stanowią własność tych organizacji i udostępniane są tylko w ich ramach. Chmury publiczne są najbardziej popularne i powszechne - należą do zewnętrznych, ogólnie dostępnych dostawców (np. Google). Funkcjonowanie hybrydowej polega na połączeniu chmur publicznych i prywatnych (część aplikacji czy infrastruktury udostępniona jest na chmurze publicznej, część na prywatnej).

Każda z chmur może działać w ramach innego modelu. Do najpopularniejszych modeli chmur należą:

  1. IaaS (Infrastructure as a Service) - w ramach usługi oferuje się dostęp do określonej infrastruktury informatycznej (sprzęt, oprogramowanie, serwisowanie). Polega to na tym, że użytkownik wykupuje dostęp do określonej przestrzeni dyskowej lub do określonej ilości serwerów.

  2. SaaS (Software as a Service) - w ramach usługi użytkownik otrzymuje konkretne funkcjonalności, oprogramowanie czy narzędzia do pracy, które działają na serwerze dostawcy, więc nie ma konieczności nabywania na nie licencji.

  3. PaaS (Platform as a Service) - w ramach usługi użytkownik otrzymuje dostęp do całej, pełnej platformy, która składa się na zintegrowany ze sobą interfejs i komplet aplikacji.

Cloud computing a przetwarzanie danych osobowych

Cloud computing polega na przetwarzaniu danych, tak więc w każdym z zaprezentowanych modeli może dojść do przetwarzania danych osobowych. Przedsiębiorcy używają chmur do przeróżnych celów: często przetwarzają tam dane klientów czy dokumentację kadrową. Czy takie korzystanie z cloud computingu jest zgodne z prawem? Czy jest bezpieczne dla danych osobowych?

Przetwarzanie danych osobowych w chmurze jest zgodne z prawem, o ile przestrzegane są odpowiednie przepisy dotyczące ochrony danych osobowych (nie istnieją odrębne regulacje prawne, dotyczące bezpośrednio zagadnienia cloud computingu).

Należy mieć na uwadze, że z przetwarzaniem danych osobowych w chmurze może wiązać się szereg niebezpieczeństw. Często podmioty, oferujące usługi cloud computingu, same korzystają z infrastruktury zewnętrznej, współdzielonej przez kilku usługodawców, czy też posiłkują się podwykonawcami ze względu na złożoność procesów zachodzących w chmurze. Skutkiem tego jest brak sprawowania kontroli przez przedsiębiorcę, który umieszcza dane osobowe w chmurze, nad tymi danymi, mimo że jest ich administratorem. Nie ma on bowiem możliwości stwierdzenia, czy inne wyżej wspomniane podmioty mają dostęp do tych danych. Nie jest też w stanie stwierdzić, komu dostawca usługi cloud computingu może udostępnić te dane, np. na podstawie przepisów prawa. Jest bowiem możliwe, że przedsiębiorcę nie będzie obowiązywało prawo polskie, ponieważ - co jest kolejnym ryzykiem - przedsiębiorca nie zawsze wie, w jakim miejscu będą przetwarzane dane (czyli gdzie znajduje się infrastruktura chmurowa).

Jak wynika z powyższego, przedsiębiorca, nawet jeśli sam dba o wysoki poziom bezpieczeństwa przetwarzanych danych osobowych, nie ma pewności, czy poziom bezpieczeństwa danych udostępnionych w chmurze będzie tak samo wysoki. A takiej wiedzy wymaga od niego ustawa o ochronie danych osobowych.

Cloud computing a ustawa o ochronie danych osobowych

Zgodnie z art. 52 ustawy o ochronie danych osobowych:

 

Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

 

Należy pamiętać, że Głównemu Inspektorowi Ochrony Danych Osobowych (GIODO) przysługuje prawo do przeprowadzenia kontroli w celu sprawdzenia, czy dany przedsiębiorca, przetwarzając dane osobowe w chmurze, zapewnia wysoki poziom ochrony tych danych. Jeśli poziom ten nie jest dostatecznie wysoki i istnieje ryzyko, że dane dostaną się w niepowołane ręce, może nałożyć na przedsiębiorcę surową karę (art. 52 ustawy).

Co więc może zrobić przedsiębiorca, aby korzystać z usług cloud computingu w sposób legalny? Jak zapewnić odpowiedni poziom bezpieczeństwa danym osobowym umieszczonym w chmurze?