Usługi chmurowe a ochrona danych osobowych

Opublikowane przez: Polskie Forum Call Center
Kategoria: Prawo, technologia

Znaczenie usług chmurowych stale rośnie. Jest to związane z oczywistymi korzyściami tego typu rozwiązań tj. z niższymi kosztami, łatwą dostępnością takiej infrastruktury, większą wydajnością czy też dodatkowymi funkcjonalnościami, które zyskać można przechodząc do chmury. Poza korzyściami, cloud computing to także ryzyko i zagrożenia, których minimalizacja powinna być jednym z istotnych czynników determinujących wybór dostawcy usług chmurowych. Warto o tym pamiętać zwłaszcza w sytuacjach, w których w chmurze przetwarzane są dane osobowe.Zgodnie z art. 6 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (czyli takiej, której tożsamość można określić bezpośrednio lub pośrednio). Dla tego rodzaju danych przepisy prawa przewidują bowiem odpowiedni reżim ochrony. Z punktu widzenia w/w ustawy, niezależnie od tego, czy korzystamy z modelu SaaS, PaaS czy IaaS musimy odpowiednio ułożyć współpracę z dostawcą danego rozwiązania i odpowiednio zabezpieczyć przepływ danych związanych w korzystaniem z chmury.
Korzystanie z usług chmurowych w przypadku przetwarzania danych osobowych wiąże się z instytucją powierzenia ujętą w art. 31 ustawy o ochronie danych osobowych. Zgodnie z art. 31 ustawy, administrator danych może powierzyć innemu podmiotowi przetwarzanie danych w drodze umowy zawartej na piśmie. W przypadku usług chmurowych administratorem danych przekazywanych do przetwarzania w chmurze jest usługobiorca, korzystający z chmury, a podmiotem przetwarzającym (tzw. procesorem) dostawca usługi chmurowej. Podmiot, któremu dane powierzono do przetwarzania może je przetwarzać wyłącznie w celu i w zakresie określonych w umowie, a przed rozpoczęciem przetwarzania jest obowiązany podjąć środki zabezpieczające zbiór danych i spełnić określone wymogi z ustawy (art. 36-39a ustawy o ochronie danych osobowych). Cel wprowadzenia instytucji powierzenia przetwarzania danych jest związany z jednym z podstawowych obowiązków administratora danych, czyli z obowiązkiem zapewnienia odpowiedniej kontroli nad przetwarzanymi danymi (w tym poprzez zastosowanie odpowiednich do zagrożeń oraz kategorii danych zabezpieczeń technicznych i organizacyjnych). W przypadku outsourcingu jakichkolwiek procesów przetwarzania danych, administrator danych musi mieć gwarancję i pewność, że dane przetwarzane w jego imieniu przez podmiot trzeci będą należycie zabezpieczone i że standard tej ochrony u danego dostawcy będzie co najmniej tak wysoki, jak ten wdrożony u administratora danych. Dokonując wyboru dostawcy usług chmurowych usługobiorca musi pamiętać także (i to nie odnosi się wyłącznie do bezpieczeństwa prawnego) o zweryfikowaniu, jak dany dostawca zagwarantuje poufność, integralność i dostępność danych, czyli kluczowe właściwości bezpieczeństwa.

Ustawa o ochronie danych osobowych, wymagając w art. 31 ust. 1 zawarcia umowy na piśmie wyznacza określone ramy korzystania z rozwiązań chmurowych. Jeżeli w chmurze przetwarzane mają być dane osobowe  z dostawcą chmury musi zostać podpisana umowa powierzenia. Usługobiorca powinien więc wybierać dostawcę tylko spośród tych, którzy na podpisanie takiej umowy się zgodzą (a najlepiej, którzy mają odpowiednią umowę wprowadzoną jako standard przy określaniu zasad świadczenia usługi). W umowie określić należy zakres i cel przetwarzania danych i wskazać, jakie operacje przetwarzania danych będą wykonywane przez dostawcę usługi. Zakres tych operacji będzie oczywiście zależał od wybranego przez usługobiorcę modelu chmury.

W związku z wymaganiami określonymi w art. 31 ust. 2 ustawy, w umowie powierzenia powinny znaleźć się również oświadczenia usługodawcy chmurowego o spełnieniu tych wymogów tak, by usługobiorca miał pewność, że powierza dane dostawcy usługi, utrzymującemu działający i skuteczny system ochrony danych osobowych. Uwzględniając fakt, że same oświadczenia dostawcy usługi nie stwarzają wystarczających gwarancji, administrator danych powinien zadbać, by w umowie znalazły się określone uprawnienia kontrolne przewidziane względem dostawcy. Dobrą praktyką, coraz częściej stosowaną przez starannie działających administratorów danych są audyty drugiej strony, w których uczestniczą przedstawiciele usługobiorcy i usługodawcy chmurowego i których celem jest weryfikacja całego procesu powierzenia, gwarancji bezpieczeństwa spełnianych przed dostawcę, jakość i bezpieczeństwo zastosowanych przez niego rozwiązań, ocena ryzyka związanego z danym transferem danych.

Administrator danych powinien także zobowiązać procesora do informowania go o wszelkich incydentach mogących mieć wpływ na bezpieczeństwo powierzonych do przetwarzania danych oraz o wszelkich kontrolach związanych z ich przetwarzaniem (np. kontroli GIODO).

Uregulowania wymaga także bardzo istotna kwestia związana z dokonywaniem przed dostawcę usługi dalszych powierzeń. Administrator danych powinien określić, czy i w jakich wypadkach zgadza się na dalsze powierzanie danych. Regulując tę kwestię odnieść się można do opracowywanego w Unii Europejskiej nowego aktu prawnego tj. do rozporządzenia ogólnego w sprawie ochrony danych osobowych, które przewiduje możliwość wyrażenia zgody na dalsze powierzenia w dwojaki sposób: albo poprzez wyrażenie uprzedniej szczegółowej zgody lub zgody ogólnej pisemnej (w przypadku takiej zgody procesor musi informować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian).

W umowie należy również uregulować kwestię zakończenia współpracy, okres jej obowiązywania. Dla zabezpieczenia interesów administratora danych do umów wprowadzane są także kary umowne za określone naruszenia bezpieczeństwa danych.

Czynnikiem wymagającym uwzględnienia w umowie, a także na etapie wyboru dostawcy jest także czynnik lokalizacyjny. Jeżeli dane przekazywane są do dostawcy w Europejskim Obszarze Gospodarczym, administrator danych korzystający z chmury musi zapewnić zgodność procesu przetwarzania z wymogami art. 31 ustawy. Jeżeli jednak korzystanie z usług chmurowych wiąże się z transferem danych osobowych do państw trzecich, administrator danych musi uwzględnić także wymogi określone w rozdziale 7 w art. 47-48 ustawy. Oznacza to, że przekazanie danych do takiego dostawcy może nastąpić, jeżeli państwo docelowe zapewni na swoim terytorium odpowiedni poziom ochrony danych osobowych oraz w przypadkach określonych w art. 47 ust. 2 i 3 (np. po udzieleniu zgody na piśmie przez osobę, której dane dotyczą), a także w przypadku skorzystania ze standardowych klauzul umownych, wiążących reguł korporacyjnych lub po uzyskaniu zgody GIODO.

Nawet usługobiorca chmurowy, który nie przekazuje do chmury żadnych danych osobowych powinien rozważyć zastosowanie w/w rozwiązań. Ustawę o ochronie danych osobowych warto bowiem postrzegać jako akt prawny, który może dostarczać rozwiązań wspierających nie tylko bezpieczeństwo danych osobowych, ale danych w ogóle.

Autor: Katarzyna Witkowska / Kancelaria Radców Prawnych Lubasz i Wspólnicy