Prawne aspekty przetwarzania danych osobowych w chmurze obliczeniowej

Na czym polega usługa chmury obliczeniowej?

Chmura obliczeniowa (ang. cloud computing) polega na udostępnieniu zasobów informatycznych na żądanie. Usługa jest realizowana przez zewnętrznego dostawcę, który w praktyce najczęściej przyjmuje na siebie odpowiedzialność za:

utrzymanie infrastruktury,
zapewnienie dostępności danych,
prawidłową ochronę danych.

Zaletą cloud computing jest możliwość uzyskania dostępu do baz danych, aplikacji i oprogramowania z wielu miejsc jednocześnie. To także sposób na ograniczenie kosztów prowadzonej działalności, ponieważ firma nie musi projektować własnego centrum IT i płaci jedynie za usługę, z której korzysta.

Odpowiednią infrastrukturę dostarcza firma zewnętrzna. Technologia chmurowa pozwala też na szybkie skalowanie działalności i dostosowanie informatycznych rozwiązań do potrzeb rozwijającej się firmy.

Usługi cloud computing mogą funkcjonować w jednym z trzech modeli:

Oprogramowanie jako usługa (ang. Software as a Service, SaaS) – polega na udostępnieniu przez usługodawcę konkretnych aplikacji, które działają na jego komputerach i są udostępniane zamawiającemu; to popularne rozwiązanie np. w branży marketingowej oraz SEO/SEM (np. platforma Senuto, czy SurferSEO),
Platforma jako usługa (ang. Platform as a Service, PaaS) – opiera się na udostępnieniu kompleksowo działającej platformy zamiast pojedynczych aplikacji. Dzięki takiemu środowisku tworzenie nowego software’u lub obsługa dużej grupy klientów jest tańsze, ponieważ zamawiający nie musi sam wykupywać dostępu do poszczególnych programów oraz utrzymywać infrastruktury. Przykładem PaaS jest np. platforma VOD Netflix,
Infrastruktura jako usługa (ang. Infrastructure as a Service, IaaS) – w tym przypadku chodzi o udostępnienie komponentów sprzętowych, jak serwery, stacje robocze, banki pamięci. To przede wszystkim ogromna oszczędność finansowa po stronie zamawiającego, który jedynie wydzierżawia sprzęt.

Cloud computing występuje jako chmury publiczne, prywatne lub hybrydowe, w zależności od struktury przedsiębiorstwa oraz jego docelowych klientów.

Chmury publiczne są dostępne dla nieograniczonego kręgu adresatów, którzy mogą skorzystać z danej usługi. Chmury prywatne są wyłączną częścią danej struktury i mogą z nich korzystać wyłącznie osoby posiadające dane autoryzacyjne. Wreszcie, chmury hybrydowe łączą w sobie cechy chmur publicznych i prywatnych. Oznacza to, że dostęp do nich (lub ich części) jest szeroki, ale newralgiczne dane lub aplikacje mogą być udostępnione wyłącznie określonej grupie użytkowników.

Kluczową cechą usług w modelu chmurowym – bez względu na ich model – jest ochrona danych w przypadku utraty sprzętu w wyniku awarii lub ataku cyfrowego.

Usługi chmurowe a RODO – jak je ze sobą połączyć?

Zasadniczą kwestią jeżeli chodzi o cloud computing w kontekście RODO (ang. General Data Protection Act, GDPR) jest bardzo szeroki zakres informacji, które akt unijny klasyfikuje jako dane osobowe. Zgodnie z art. 4 pkt 1 rozporządzenia za dane osobowe uważa się informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, tzw. osobie, której dane dotyczą. W szczególności jest to:

imię i nazwisko,
numer identyfikacyjny,
dane o lokalizacji,
identyfikator internetowy,
szczególny czynnik lub czynniki określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Nie ulega więc wątpliwości, że większość informacji w firmie zawierających dane klientów, kontrahentów lub usługobiorców to właśnie dane osobowe objęte ochroną w rozumieniu RODO.

Z kolei art. 4 pkt 2 rozporządzenia określa pojęcie przetwarzania danych osobowych, za które należy uznać m.in. ich:

zbieranie,
utrwalanie,
organizowanie,
porządkowanie,
przechowywanie,
pobieranie,
przeglądanie.

De facto więc każda operacja na danych w chmurze – bez względu na to, czy będzie ona zautomatyzowana, czy nie – będzie podlegała regulacjom rozporządzenia.

Zapewnienie bezpieczeństwa przetwarzania danych w chmurze wymaga dobrze skonstruowanej umowy, a także wielopoziomowej współpracy między providerem usług cloud computing a usługobiorcą. Warto przy tym wskazać, że nie wypracowano odrębnych reguł dla ochrony danych osobowych ulokowanych w chmurze, dlatego pojawia się konieczność odpowiedniego stosowania norm RODO.

Dlaczego bezpieczeństwo usług chmurowych rodzi wątpliwości w kontekście RODO?

W literaturze słusznie zwraca się uwagę, że outsourcing usług chmurowych może prowadzić do tego, że osoby, których dane osobowe są przetwarzane, nie wiedzą tak naprawdę kto zajmuje się ich przechowywaniem, przetwarzaniem, ani nawet, kto ma do nich dostęp.

W poszczególnych krajach organy regulacyjne wydają konkretne zalecenia dotyczące postępowania z danymi wrażliwymi. Dla przykładu, w Polsce Komisja Nadzoru Finansowego co pewien czas aktualizuje tzw. komunikaty chmurowe zawierające wytyczne dotyczące rozwiązań, które powinny zostać wdrożone, aby zagwarantować integralność i bezpieczeństwo danych. Najnowszy komunikat pochodzi z 23 stycznia 2020 r. i dotyczy chmur publicznych oraz hybrydowych (w części publicznej).

Tego typu działania są potrzebne, ale nadal nie rozwiązują wszystkich problemów. Tym bardziej że komunikaty KNF nie dotyczą chmur prywatnych.

Czy administrowanie danymi osobowymi to duża odpowiedzialność?

Firma korzystająca z usług chmury obliczeniowej w rozumieniu RODO będzie administratorem danych. Zgodnie z art. 4 pkt 7 rozporządzenia jest to podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Z kolei firma oferująca usługę chmurową będzie podmiotem przetwarzającym, wskazanym w art. 4 pkt 8 rozporządzenia, czyli takim, który przetwarza dane w imieniu administratora.

O takim podziale ról przesądza, że to firma zlecająca cloud computing najczęściej będzie określała, które dane i w jaki sposób mają być przetwarzane w ramach zewnętrznej usługi.

Sprawowanie funkcji administratora danych osobowych wiąże się nie tylko z podziałem obowiązków, ale także odpowiedzialnością w przypadku wystąpienia ewentualnych incydentów naruszenia RODO. Choć to firma IT dostarcza rozwiązania technologiczne, administrator w razie kontroli UODO będzie musiał wykazać, że działał zgodnie z zasadą rozliczalności danych, czyli podjął działania, które w świetle obowiązujących przepisów można uznać za wystarczające do ochrony informacji.

Na barkach administratora danych spoczywa także konieczność przeprowadzenia ocenę ryzyka naruszenia danych. Jest to tzw. DPIA (ang. Data Privacy Impact Assessment), które najczęściej przyjmuje postać macierzy, gdzie do konkretnego ryzyka i skutku przypisane są wartości liczbowe.

Im większe ryzyko lub skutek, tym silniejsze środki ochrony powinny zostać podjęte. Co może być przykładowym ryzykiem przy korzystaniu z usług chmurowych? Będzie to np.:

dostęp do danych osób nieupoważnionych,
błąd ludzki,
pożar,
atak cyfrowy,
naruszenie zasad compliance,
uzależnienie od technologii lub usług dostawcy (tzw. vendor lock-in).

Bardzo ważne jest, aby przed wdrożeniem usług chmurowych w firmie skonsultować możliwości technologiczne dostawcy z działem compliance oraz działem ochrony danych osobowych. Warto także rozważyć skorzystanie z konsultacji prawniczych podczas sporządzania umowy.

O czym należy pamiętać w umowie między dostawcą usług chmurowych a ich odbiorcą?

Usługi cloud computing często są świadczone przez firmy mające siedzibę w innym państwie niż usługobiorca. Niezależnie od tego, serwery mogą znajdować się w jeszcze innym miejscu niż sama firma, co wymusza skorzystanie z usług podwykonawców, którzy siłą rzeczy otrzymają dostęp do danych chronionych na gruncie RODO. Dla bezpieczeństwa informacji kluczowe jest, aby strony umowy o usługę chmurową ustaliły:

jakie zabezpieczenia powinien stosować dostawca usług chmurowych,
czy dostawca cloud computing ma możliwość zlecenia wykonywania usługi podwykonawcy,
jeżeli podwykonawstwo jest możliwe – jakie usługobiorca stawia wymagania względem podwykonawcy,
względem jakiego rodzaju danych i na jakim obszarze geograficznym możliwe jest podwykonawstwo,
jakie czynności dotyczące danych osobowych może wykonywać dostawca oraz podwykonawcy usługi,
gdzie dokładnie są ulokowane serwery usługodawcy lub podwykonawcy,
jakie uprawnienia w kontekście kontroli przetwarzania ma administrator,
jaki jest zakres odpowiedzialności podmiotu przetwarzającego dane,
czy dane osobowe mają kopię zapasową.

Podmiot świadczący usługi chmurowe powinien także zawrzeć umowę NDA oraz przedstawić plan kontynuacji działania w przypadku awarii (tzw. Business Continuity Planning, BCP).

Formalne uregulowanie tych kwestii pozwoli na utrzymanie jednolitego poziomu ochrony danych, a także ustalenia prawa właściwego do oceny jakości zastosowanych rozwiązań. Planujesz wdrożyć w swojej firmie technologię cloud computing? Skorzystaj z pomocy kancelarii prawnej, która świadczy kompleksową obsługę podmiotów z branży IT. To gwarancja najwyższej jakości stosowanych rozwiązań, a także ich personalizacja.

Jak jeszcze można zabezpieczyć przetwarzanie danych osobowych?

Jednym z popularnych błędów jest zawarcie umowy o usługę chmurową z podmiotem, który ma siedzibę poza terytorium UE i późniejsza próba egzekwowania standardów wynikających z rozporządzenia o ochronie danych osobowych.

Należy pamiętać, że RODO jest aktem unijnym, co oznacza, że obowiązuje wyłącznie na terenie państw członkowskich Unii Europejskiej, a także Europejskiego Obszaru Gospodarczego. Warto wskazać także na art. 45 ust. 1 rozporządzenia, z którego wynika, że przekazanie przez danych do państwa trzeciego jest możliwe jedynie w sytuacji, kiedy zapewnia ono podstawowy poziom ochrony dotyczący m.in.:

praworządności, poszanowania praw człowieka i podstawowych wartości,
istnienia przynajmniej jednego niezależnego organu sprawującego nadzór nad ochroną danych osobowych,
zobowiązań wynikających z umów międzynarodowych.

Pomocne mogą okazać się także mechanizmy, certyfikaty, czy kodeksy postępowania. Dane państwo trzecie powinno zostać uznane przez Komisję Europejską. Na administratorze ciąży obowiązek zapewnienia mechanizmów pozwalających na realizację postanowień umowy.

Administrator danych osobowych powinien także zwrócić uwagę, czy podmiot przetwarzający dane wdrożył odpowiednie certyfikaty, gwarantujące przestrzeganie ochrony danych osobowych. Są to normy:

ISO/IEC 27001 w sprawie zarządzania bezpieczeństwem informacji,
ISO/IEC 27017 w sprawie zwiększenia bezpieczeństwa danych w chmurze,
ISO/IEC 27018 w sprawie bezpieczeństwa danych osobowych w chmurze publicznej.

Jaka jest przyszłość przetwarzania danych w chmurze?

Przetwarzanie danych osobowych z wykorzystaniem usługi cloud computing nie musi rodzić niebezpieczeństwa dla administratora danych oraz jego klientów lub kontrahentów pod warunkiem, że zostaną wdrożone odpowiednie mechanizmy ochronne.

Warto wskazać, że w maju 2021 roku został przyjęty pierwszy paneuropejski kodeks postępowania w zakresie przetwarzania danych osobowych w chmurze obliczeniowej. Dotyczy on relacji B2B i obejmuje wszystkie rodzaje usług chmurowych. Przystąpienie do kodeksu jest dobrowolne. Przestrzeganie jego unormowań monitoruje europejskie stowarzyszenie SCOPE Europe. Podobne przeznaczenie ma kodeks CISPE, ale jego zakres jest węższy (odnosi się głównie do modelu IaaS).

Można się spodziewać, że nie będą to jedyne tego rodzaju inicjatywy, a chmurowe usługi w zakresie RODO z biegiem czasu staną się coraz lepiej uregulowane.

Pytania i odpowiedzi:

Co grozi za naruszenie przepisów RODO?

Rozporządzenie przewiduje dotkliwe sankcje finansowe dla administratora w wysokości do 20 milionów euro lub 4% całkowitego światowego rocznego obrotu. Wysokość sankcji jest każdorazowo ustalana po dokonaniu oceny okoliczności sprawy (m.in. charakteru i wagi naruszenia, kategorii naruszonych danych osobowych). Niezależnie od kar administracyjnych pracownikowi, który dopuścił się naruszenia grozi odpowiedzialność karna.

Co mogą zrobić osoby, których dane osobowe zostały naruszone?

Zgodnie z art. 77 ust. 1 rozporządzenia w przypadku podejrzenia naruszenia danych osobowych, poszkodowanemu przysługuje prawo do złożenia skargi do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych. Od decyzji organu można złożyć skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, a następnie do Naczelnego Sądu Administracyjnego.

W jaki sposób administrator danych może wykazać przetwarzanie danych zgodnie z zasadą rozliczalności?

W zależności od okoliczności może być to np. powołanie inspektora ochrony danych, wdrożenie polityki bezpieczeństwa, regularny audyt ochrony danych wraz z certyfikacją, edukowanie pracowników, minimalizowanie zakresu przetwarzanych informacji, czy nadzór nad sposobem administrowania danymi przez podmiot przetwarzający. W praktyce najlepiej sprawdza się łączenie ze sobą różnych metod.

MAM PYTANIA | JESTEM ZAINTERESOWANY / A OFERTĄ

Zaufali nam: