Tło strzałki Strzałka
0 0
dni
0 0
godz
0 0
min
0 0
sek

Ochrona danych osobowych a cloud computing

Wielkość tekstu:

Cloud computing, czyli przetwarzanie danych w chmurze obliczeniowej, stało się ostatnimi czasy jedną z bardziej popularnych usług IT dla biznesu. Jego głównymi zaletami są przede wszystkim redukcja kosztów oraz łatwy dostęp do danych, możliwy z każdego miejsca na świecie i o każdej porze, o ile oczywiście ma się dostęp do Internetu i komputera. Wiele firm, aby utrzymać swoją pozycję na rynku, stawia na postęp technologiczny i decyduje się na korzystanie z coraz to bardziej innowacyjnych rozwiązań, do których cloud computing z pewnością należy. Jednak czy przetwarzanie danych w chmurze jest legalne? Jak wygląda ochrona danych osobowych?

Cloud computing - co to takiego?

Chmura obliczeniowa, najprościej rzecz ujmując, jest modelem przetwarzania danych, który polega na zdalnym udostępnieniu użytkownikowi usług czy zasobów koniecznych do przetwarzania informacji. Korzystając z chmury, nie nabywa się ani nośnika, na którym można przechowywać dane, ani programu komputerowego, który wykorzystywałby dane (nie ma więc konieczności kupowania licencji na dany program, instalowania go, czy zakupu odpowiedniego sprzętu). Użytkownik w ramach chmury otrzymuje infrastrukturę czy też oprogramowanie, z którego można korzystać - odbywa się to więc na zasadzie oferowania usługi. Usługi te świadczone są na danym serwerze, do którego użytkownik ma dostęp. Cały ciężar obsługi serwera spoczywa więc na świadczącym usługę cloud computingu. Użytkownik nie musi martwić się takimi sprawami jak aktualizacja oprogramowania, zakup nowego sprzętu, ponieważ stary nie obsługuje już programu itp. Jedyne, czego wymaga się od użytkownika, to logowanie się do serwera z jakiegokolwiek komputera z dostępem do Internetu.

Wyróżnia się trzy rodzaje chmur: prywatną, publiczną i hybrydową. Prywatne chmury najczęściej tworzone są dla dużych firm czy organizacji - są najbezpieczniejsze (ale też najdroższe, bo wymagają największych nakładów finansowych), ponieważ stanowią własność tych organizacji i udostępniane są tylko w ich ramach. Chmury publiczne są najbardziej popularne i powszechne - należą do zewnętrznych, ogólnie dostępnych dostawców (np. Google). Funkcjonowanie hybrydowej polega na połączeniu chmur publicznych i prywatnych (część aplikacji czy infrastruktury udostępniona jest na chmurze publicznej, część na prywatnej).

Każda z chmur może działać w ramach innego modelu. Do najpopularniejszych modeli chmur należą:

  1. IaaS (Infrastructure as a Service) - w ramach usługi oferuje się dostęp do określonej infrastruktury informatycznej (sprzęt, oprogramowanie, serwisowanie). Polega to na tym, że użytkownik wykupuje dostęp do określonej przestrzeni dyskowej lub do określonej ilości serwerów.

  2. SaaS (Software as a Service) - w ramach usługi użytkownik otrzymuje konkretne funkcjonalności, oprogramowanie czy narzędzia do pracy, które działają na serwerze dostawcy, więc nie ma konieczności nabywania na nie licencji.

  3. PaaS (Platform as a Service) - w ramach usługi użytkownik otrzymuje dostęp do całej, pełnej platformy, która składa się na zintegrowany ze sobą interfejs i komplet aplikacji.

Cloud computing a przetwarzanie danych osobowych

Cloud computing polega na przetwarzaniu danych, tak więc w każdym z zaprezentowanych modeli może dojść do przetwarzania danych osobowych. Przedsiębiorcy używają chmur do przeróżnych celów: często przetwarzają tam dane klientów czy dokumentację kadrową. Czy takie korzystanie z cloud computingu jest zgodne z prawem? Czy jest bezpieczne dla danych osobowych?

Przetwarzanie danych osobowych w chmurze jest zgodne z prawem, o ile przestrzegane są odpowiednie przepisy dotyczące ochrony danych osobowych (nie istnieją odrębne regulacje prawne, dotyczące bezpośrednio zagadnienia cloud computingu).

Należy mieć na uwadze, że z przetwarzaniem danych osobowych w chmurze może wiązać się szereg niebezpieczeństw. Często podmioty, oferujące usługi cloud computingu, same korzystają z infrastruktury zewnętrznej, współdzielonej przez kilku usługodawców, czy też posiłkują się podwykonawcami ze względu na złożoność procesów zachodzących w chmurze. Skutkiem tego jest brak sprawowania kontroli przez przedsiębiorcę, który umieszcza dane osobowe w chmurze, nad tymi danymi, mimo że jest ich administratorem. Nie ma on bowiem możliwości stwierdzenia, czy inne wyżej wspomniane podmioty mają dostęp do tych danych. Nie jest też w stanie stwierdzić, komu dostawca usługi cloud computingu może udostępnić te dane, np. na podstawie przepisów prawa. Jest bowiem możliwe, że przedsiębiorcę nie będzie obowiązywało prawo polskie, ponieważ - co jest kolejnym ryzykiem - przedsiębiorca nie zawsze wie, w jakim miejscu będą przetwarzane dane (czyli gdzie znajduje się infrastruktura chmurowa).

Jak wynika z powyższego, przedsiębiorca, nawet jeśli sam dba o wysoki poziom bezpieczeństwa przetwarzanych danych osobowych, nie ma pewności, czy poziom bezpieczeństwa danych udostępnionych w chmurze będzie tak samo wysoki. A takiej wiedzy wymaga od niego ustawa o ochronie danych osobowych.

Cloud computing a ustawa o ochronie danych osobowych

Zgodnie z art. 52 ustawy o ochronie danych osobowych:

 

Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

 

Należy pamiętać, że Głównemu Inspektorowi Ochrony Danych Osobowych (GIODO) przysługuje prawo do przeprowadzenia kontroli w celu sprawdzenia, czy dany przedsiębiorca, przetwarzając dane osobowe w chmurze, zapewnia wysoki poziom ochrony tych danych. Jeśli poziom ten nie jest dostatecznie wysoki i istnieje ryzyko, że dane dostaną się w niepowołane ręce, może nałożyć na przedsiębiorcę surową karę (art. 52 ustawy).

Co więc może zrobić przedsiębiorca, aby korzystać z usług cloud computingu w sposób legalny? Jak zapewnić odpowiedni poziom bezpieczeństwa danym osobowym umieszczonym w chmurze?

Wybór odpowiedniego rodzaju chmury

Przedsiębiorca przede wszystkim powinien wybrać odpowiedni rodzaj chmury, na której chce przetwarzać dane osobowe. Jak już zostało wspomniane, chmura prywatna jest najbezpieczniejsza (ponieważ jeśli jest tworzona w ramach własnego przedsiębiorstwa, to ono nią zarządza, nie ma więc mowy o dostępie do niej niepowołanych osób trzecich),  wymaga jednak największych nakładów finansowych.

Chmura publiczna jest najtańsza, ale korzystanie z niej wiąże się z największym ryzykiem, ponieważ zarządza nią podmiot zewnętrzny. Aby legalnie przetwarzać dane na takiej chmurze, przedsiębiorca powinien zawrzeć odpowiednie umowy powierzenia przetwarzania danych osobowych z owym dostawcą.

Umowy powierzenia przetwarzania danych osobowych

Jeśli przedsiębiorca wie, że będzie umieszczał w chmurze dane osobowe, powinien zawrzeć umowę powierzenia przetwarzania danych osobowych z dostawcą usługi cloud computingu. W umowie takiej należy określić zakres przekazania i zarządzania danymi osobowymi. Ponadto umowa ta powinna zawierać określenie miejsca przetwarzania tych danych. Należy bowiem pamiętać, że zgodnie z art. 48 ustawy, przekazanie danych osobowych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, może nastąpić tylko po uzyskaniu zgody GIODO. Umowa o cloud computing powinna również regulować kwestie, jakie podmioty po stronie usługodawcy będą miały dostęp do danych przetwarzanych w chmurze, jakie zabezpieczenia techniczne i fizyczne będą stosowane przez usługodawcę oraz jaka będzie procedura usuwania danych w przypadku rozwiązania umowy.

Bardzo ważne jest, aby wszystkie te kwestie były uregulowane w umowie, ponieważ zgodnie z art. 31 ust. 4 ustawy o ochronie danych osobowych odpowiedzialność za przestrzeganie przepisów ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, z którym administrator zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

Dostawca usług cloud computingu podlega ustawie o świadczeniu usług drogą elektroniczną (dane zostają przekazane przez użytkownika przez Internet). Jeżeli więc usługa jest świadczona na terytorium Polski, dostawca powinien spełnić wymagania nakładane tą ustawą: posiadać regulamin określający rodzaj świadczonych usług, warunki świadczenia tych usług, zawierania i rozwiązywania umowy, tryb reklamacji. Ustawa ta określa także warunki, kiedy dostawca nie będzie ponosił odpowiedzialności za treść przekazanych mu danych. Takie informacje na pewno będą bardzo ważne dla przedsiębiorcy, który będzie zastanawiał się nad skorzystaniem z usług cloud computingu u tego dostawcy.

Zasady stosowania usług chmurowych opublikowane przez GIODO

Przed zawarciem umowy cloud computingu warto przeanalizować tzw. dekalog chmuroluba, czyli 10 zasad, które opublikował GIODO, podpowiadające, na co zwracać uwagę przy stosowaniu cloud computingu i zawieraniu umów z dostawcami. Choć dokument jest skierowany do administracji publicznej i nie ma charakteru prawotwórczego, może stanowić źródło cennych wskazówek dla przedsiębiorców. GIODO zaleca bowiem, aby w umowach m.in. nałożyć na dostawcę obowiązek wskazania fizycznej lokalizacji serwerów, na których będą przetwarzane dane, czy obowiązek zapewnienia dostępu do zasad bezpieczeństwa oraz środków technicznych przyjmowanych przez dostawcę.

Zasady te mogą stanowić punkt wyjścia do konkretnych rozwiązań umownych, a tym samym zapewnić przedsiębiorcy, który będzie korzystał z usług cloud computingu, bezpieczeństwo i pewność, że przepisy prawa nie są łamane.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów