Prawne aspekty przetwarzania danych osobowych w chmurze obliczeniowej

W literaturze słusznie zwraca się uwagę, że outsourcing usług chmurowych może prowadzić do tego, że osoby, których dane osobowe są przetwarzane, nie wiedzą tak naprawdę kto zajmuje się ich przechowywaniem, przetwarzaniem, ani nawet, kto ma do nich dostęp.

W poszczególnych krajach organy regulacyjne wydają konkretne zalecenia dotyczące postępowania z danymi wrażliwymi. Dla przykładu, w Polsce Komisja Nadzoru Finansowego co pewien czas aktualizuje tzw. komunikaty chmurowe zawierające wytyczne dotyczące rozwiązań, które powinny zostać wdrożone, aby zagwarantować integralność i bezpieczeństwo danych. Najnowszy komunikat pochodzi z 23 stycznia 2020 r. i dotyczy chmur publicznych oraz hybrydowych (w części publicznej).

Tego typu działania są potrzebne, ale nadal nie rozwiązują wszystkich problemów. Tym bardziej że komunikaty KNF nie dotyczą chmur prywatnych.

Czy administrowanie danymi osobowymi to duża odpowiedzialność?

Firma korzystająca z usług chmury obliczeniowej w rozumieniu RODO będzie administratorem danych. Zgodnie z art. 4 pkt 7 rozporządzenia jest to podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Z kolei firma oferująca usługę chmurową będzie podmiotem przetwarzającym, wskazanym w art. 4 pkt 8 rozporządzenia, czyli takim, który przetwarza dane w imieniu administratora.

O takim podziale ról przesądza, że to firma zlecająca cloud computing najczęściej będzie określała, które dane i w jaki sposób mają być przetwarzane w ramach zewnętrznej usługi.

Sprawowanie funkcji administratora danych osobowych wiąże się nie tylko z podziałem obowiązków, ale także odpowiedzialnością w przypadku wystąpienia ewentualnych incydentów naruszenia RODO. Choć to firma IT dostarcza rozwiązania technologiczne, administrator w razie kontroli UODO będzie musiał wykazać, że działał zgodnie z zasadą rozliczalności danych, czyli podjął działania, które w świetle obowiązujących przepisów można uznać za wystarczające do ochrony informacji.

Na barkach administratora danych spoczywa także konieczność przeprowadzenia ocenę ryzyka naruszenia danych. Jest to tzw. DPIA (ang. Data Privacy Impact Assessment), które najczęściej przyjmuje postać macierzy, gdzie do konkretnego ryzyka i skutku przypisane są wartości liczbowe.

Im większe ryzyko lub skutek, tym silniejsze środki ochrony powinny zostać podjęte. Co może być przykładowym ryzykiem przy korzystaniu z usług chmurowych? Będzie to np.:

• dostęp do danych osób nieupoważnionych,

• błąd ludzki,

• pożar,

• atak cyfrowy,

• naruszenie zasad compliance,

• uzależnienie od technologii lub usług dostawcy (tzw. vendor lock-in).

Bardzo ważne jest, aby przed wdrożeniem usług chmurowych w firmie skonsultować możliwości technologiczne dostawcy z działem compliance oraz działem ochrony danych osobowych. Warto także rozważyć skorzystanie z konsultacji prawniczych podczas sporządzania umowy.

O czym należy pamiętać w umowie między dostawcą usług chmurowych a ich odbiorcą?

Usługi cloud computing często są świadczone przez firmy mające siedzibę w innym państwie niż usługobiorca. Niezależnie od tego, serwery mogą znajdować się w jeszcze innym miejscu niż sama firma, co wymusza skorzystanie z usług podwykonawców, którzy siłą rzeczy otrzymają dostęp do danych chronionych na gruncie RODO. Dla bezpieczeństwa informacji kluczowe jest, aby strony umowy o usługę chmurową ustaliły:

• jakie zabezpieczenia powinien stosować dostawca usług chmurowych,

• czy dostawca cloud computing ma możliwość zlecenia wykonywania usługi podwykonawcy,

• jeżeli podwykonawstwo jest możliwe – jakie usługobiorca stawia wymagania względem podwykonawcy,

• względem jakiego rodzaju danych i na jakim obszarze geograficznym możliwe jest podwykonawstwo,

• jakie czynności dotyczące danych osobowych może wykonywać dostawca oraz podwykonawcy usługi,

• gdzie dokładnie są ulokowane serwery usługodawcy lub podwykonawcy,

• jakie uprawnienia w kontekście kontroli przetwarzania ma administrator,

• jaki jest zakres odpowiedzialności podmiotu przetwarzającego dane,

• czy dane osobowe mają kopię zapasową.

Podmiot świadczący usługi chmurowe powinien także zawrzeć umowę NDA oraz przedstawić plan kontynuacji działania w przypadku awarii (tzw. Business Continuity Planning, BCP).

Formalne uregulowanie tych kwestii pozwoli na utrzymanie jednolitego poziomu ochrony danych, a także ustalenia prawa właściwego do oceny jakości zastosowanych rozwiązań. Planujesz wdrożyć w swojej firmie technologię cloud computing? Skorzystaj z pomocy kancelarii prawnej, która świadczy kompleksową obsługę podmiotów z branży IT. To gwarancja najwyższej jakości stosowanych rozwiązań, a także ich personalizacja.

Jak jeszcze można zabezpieczyć przetwarzanie danych osobowych?

Jednym z popularnych błędów jest zawarcie umowy o usługę chmurową z podmiotem, który ma siedzibę poza terytorium UE i późniejsza próba egzekwowania standardów wynikających z rozporządzenia o ochronie danych osobowych.

Należy pamiętać, że RODO jest aktem unijnym, co oznacza, że obowiązuje wyłącznie na terenie państw członkowskich Unii Europejskiej, a także Europejskiego Obszaru Gospodarczego. Warto wskazać także na art. 45 ust. 1 rozporządzenia, z którego wynika, że przekazanie przez danych do państwa trzeciego jest możliwe jedynie w sytuacji, kiedy zapewnia ono podstawowy poziom ochrony dotyczący m.in.:

• praworządności, poszanowania praw człowieka i podstawowych wartości,

• istnienia przynajmniej jednego niezależnego organu sprawującego nadzór nad ochroną danych osobowych,

• zobowiązań wynikających z umów międzynarodowych.

Pomocne mogą okazać się także mechanizmy, certyfikaty, czy kodeksy postępowania. Dane państwo trzecie powinno zostać uznane przez Komisję Europejską. Na administratorze ciąży obowiązek zapewnienia mechanizmów pozwalających na realizację postanowień umowy.

Administrator danych osobowych powinien także zwrócić uwagę, czy podmiot przetwarzający dane wdrożył odpowiednie certyfikaty, gwarantujące przestrzeganie ochrony danych osobowych. Są to normy:

• ISO/IEC 27001 w sprawie zarządzania bezpieczeństwem informacji,

• ISO/IEC 27017 w sprawie zwiększenia bezpieczeństwa danych w chmurze,

• ISO/IEC 27018 w sprawie bezpieczeństwa danych osobowych w chmurze publicznej.

Jaka jest przyszłość przetwarzania danych w chmurze?

Przetwarzanie danych osobowych z wykorzystaniem usługi cloud computing nie musi rodzić niebezpieczeństwa dla administratora danych oraz jego klientów lub kontrahentów pod warunkiem, że zostaną wdrożone odpowiednie mechanizmy ochronne.

Warto wskazać, że w maju 2021 roku został przyjęty pierwszy paneuropejski kodeks postępowania w zakresie przetwarzania danych osobowych w chmurze obliczeniowej. Dotyczy on relacji B2B i obejmuje wszystkie rodzaje usług chmurowych. Przystąpienie do kodeksu jest dobrowolne. Przestrzeganie jego unormowań monitoruje europejskie stowarzyszenie SCOPE Europe. Podobne przeznaczenie ma kodeks CISPE, ale jego zakres jest węższy (odnosi się głównie do modelu IaaS).

Można się spodziewać, że nie będą to jedyne tego rodzaju inicjatywy, a chmurowe usługi w zakresie RODO z biegiem czasu staną się coraz lepiej uregulowane.