Przedsiębiorca, który chce odnieść sukces, musi być elastyczny i skłonny do korzystania z nowych rozwiązań, w szczególności technologicznych. Postawa taka pozwala przede wszystkim na bycie konkurencyjnym w stosunku do innych firm i równocześnie prowadzi do optymalizacji kosztów ponoszonych przez przedsiębiorców w związku z prowadzoną działalnością.
Niezależnie od sytuacji gospodarczej, panujących nastrojów i uzasadnienia ekonomicznego, rozwój technologiczny jest dziś immanentną cechą firmy, która chce się utrzymać w czołówce. Przedsiębiorca powinien jednak pamiętać, że korzystanie z nowych technologii musi pozostawać w zgodzie z obowiązującymi przepisami prawa, co jak się okazuje, często może być dosyć problematyczne i wymagać pogłębionej analizy.
Odróżniaj zwykłe od szczególnych
Jednym z przejawów rozwoju technologicznego, na który warto zwrócić uwagę w kontekście prowadzenia działalności, jest technologia przetwarzania danych w chmurze obliczeniowej (cloud computing). Przedsiębiorcy w swojej działalności przetwarzają różne rodzaje danych.
Jednym z nich są dane osobowe, które podlegają szczególnym regulacjom prawnym. Dlatego też przedsiębiorcy, którzy zdecydują się na przetwarzanie danych w chmurze, muszą pamiętać, aby odróżnić tzw. zwykłe dane od danych będących danymi osobowymi. Wspomniane szczególne regulacje prawne znajdą bowiem również zastosowanie w przypadku przetwarzania danych osobowych w chmurze.
Przedsiębiorca, który w jakikolwiek sposób przetwarza dane osobowe, musi dbać o to, aby dane te były przetwarzane w sposób legalny. Najogólniej rzecz ujmując, dane osobowe będą przetwarzane w sposób legalny, jeśli będą przetwarzane zgodnie z przepisami ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: u.o.d.o.).
Przepisy u.o.d.o. nie odwołują się wprost do przetwarzania danych osobowych w chmurze, a w Polsce, oprócz u.o.d.o., nie istnieją przepisy, które w sposób odrębny regulują przetwarzanie danych osobowych w chmurze. Co więcej, zagadnienie cloud computing nie znajduje również bezpośredniego odzwierciedlenia w przepisach wspólnotowych.
Ile legalności
Powstaje więc pytanie, czy przetwarzanie danych osobowych w chmurze jest legalne z punktu widzenia u.o.d.o., a szerzej z punktu widzenia prawa wspólnotowego? Czy brak bezpośrednich regulacji powoduje brak możliwości korzystania z modelu przetwarzania danych osobowych w chmurze?
Generalny inspektor ochrony danych osobowych stoi na stanowisku, że w obecnym stanie prawnym przetwarzanie danych osobowych w chmurze jest dopuszczalne. Korzystanie z modelu przetwarzania danych osobowych w chmurze nie jest jednak pozbawione ryzyka.
Przedsiębiorca musi bacznie przyjrzeć się umowie, którą ma zamiar podpisać z dostarczycielem chmury. Okazuje się bowiem, że jej postanowienia często mogą prowadzić do powstawania wątpliwości, czy dane osobowe są przetwarzane w sposób zgodny z obowiązującym prawem.
Jakie modele funkcjonują
Przede wszystkim pojawia się pytanie, czy każdy model przetwarzania danych osobowych w chmurze jest prawnie dopuszczalny?
Poszczególne modele przetwarzania danych osobowych różnią się rodzajem chmury obliczeniowej, w której dane osobowe będą przetwarzane. Przedsiębiorcy powinni pamiętać, że rodzaj chmury obliczeniowej może mieć istotne znaczenie dla bezpieczeństwa danych osobowych przetwarzanych w chmurze.
Ogólnie rzecz ujmując, możemy wyróżnić trzy rodzaje chmur:
- chmury publiczne – udostępniane przez zewnętrznych dostawców,
- chmury prywatne – zlokalizowane wewnątrz danej organizacji, jak również
- chmury hybrydowe, które łączą właściwości dwóch poprzednich chmur.
Wydaje się, że najbardziej wątpliwa, z punktu widzenia przepisów u.o.d.o, jest możliwość przetwarzania danych osobowych w chmurze publicznej. Zastosowanie takiego modelu, w szczególności ze względu na sposób przetwarzania danych osobowych w chmurze publicznej, może nie zapewniać wystarczającego poziomu bezpieczeństwa danych osobowych. Jednak należy pamiętać, że tak naprawdę dopuszczalność zastosowania wybranego modelu przetwarzania danych osobowych w dużej mierze zależy od treści umowy, jaką przedsiębiorca zawrze z dostarczycielem chmury.
Jaki poziom bezpieczeństwa
W kontekście zapewnienia odpowiedniego poziomu bezpieczeństwa danych osobowych przetwarzanych w chmurze nie można zapomnieć o kwestii miejsca, gdzie dane będą przetwarzane. Podpisując umowę z dostarczycielem chmury, przedsiębiorca często nie wie, w jakim kraju dane osobowe będą przetwarzane.
Dostarczyciele chmur publicznych, w trosce o swoje interesy, pracują nad zwiększaniem poziomu bezpieczeństwa danych osobowych przetwarzanych w chmurze, w szczególności w chmurze publicznej będącej, co do zasady, najtańszym narzędziem ze wszystkich rodzajów chmur. W ślad za tymi pracami pojawiają się nowe rozwiązania, które na przykład mają zapewnić przedsiębiorcy, że jego dane będą przetwarzane w chmurze jedynie na terytorium Unii Europejskiej.
Powstaje pytanie – dlaczego terytorium ma istotne znaczenie dla przetwarzania danych w chmurze?
Powodem są wewnętrzne regulacje kraju, w którym dane osobowe maja być przetwarzane w chmurze. Poziom bezpieczeństwa danych osobowych, w tym w szczególności możliwość dostępu do danych osobowych przez organy i instytucje państwowe, może być odmiennie uregulowany w poszczególnych państwach. Problem pojawia się, jeżeli przepisy innego państwa są sprzeczne czy o wiele bardziej liberalne niż polskie ustawodawstwo.
Niemniej jednak, na poziomie wspólnotowym obowiązuje dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dalej: dyrektywa). Ustawodawstwa krajowe poszczególnych państw członkowskich, które, co do zasady, muszą być zgodne z dyrektywą, są zbliżone do siebie i dają większą gwarancję zapewnienia odpowiedniego poziomu bezpieczeństwa danych osobowych przetwarzanych w chmurze.
Dlatego postanowienia umowne z dostarczycielem chmury w tym zakresie są niezwykle istotne. Dodatkowo, przedsiębiorca powinien pamiętać, że zgodnie z przepisami u.o.d.o., transfer danych do państwa spoza Europejskiego Obszaru Gospodarczego (EOG) wiąże się z koniecznością spełnienia dodatkowych wymogów.
Wiążące regułu korporacyjne
Należy nadmienić, że jednym z pomysłów, które mają zapewnić bezpieczeństwo danych osobowych przetwarzanych w chmurze i będących alternatywą dla terytorialnego podejścia do przetwarzania danych osobowych, jest koncepcja tzw. wiążących reguł korporacyjnych (Binding Corporate Rules), zgodnie z którą dany dostarczyciel chmury mógłby być traktowany jako podmiot zapewniający legalność przetwarzania danych osobowych. Rozwiązanie takie, choć godne uwagi, nie jest obecnie stosowane w Polsce.
Z miejscem przetwarzania danych osobowych w chmurze wiąże się kolejny zasadniczy problem, z którym mogą spotkać się przedsiębiorcy. Dotyczy on możliwości sprawowania kontroli przez przedsiębiorcę będącego administratorem nad danymi osobowymi przetwarzanymi w chmurze.
W czym przejawia się brak wspomnianej kontroli? Otóż administrator nie ma możliwości stwierdzenia, czy inne podmioty mają dostęp do danych przetwarzanych w chmurze, w stosunku do których jest on administratorem. Nie posiada również wiedzy, komu dane przetwarzane w chmurze mogą być udostępniane, chociażby na podstawie przepisów prawa, często obcego, którymi związany jest dostarczyciel chmury.
Brak kontroli może również występować w sytuacji, gdy dostarczyciele chmury podzlecają innym zewnętrznym podmiotom wykonanie części usług związanych z przetwarzaniem danych w chmurze, co prowadzi do udostępnienia danych osobowych nie tylko dostarczycielowi chmury, ale także innym podmiotom. Chociaż problem sprawowania kontroli wydaje się trudny do rozwiązania, wydaje się, że odpowiednie zapisy w umowie pomiędzy przedsiębiorcą i dostarczycielem chmury powinny móc go rozwiązać, a przynajmniej skutecznie zminimalizować.
Opinia grupy roboczej
Dowodem potwierdzającym wzrost znaczenia modelu przetwarzania danych osobowych w chmurze jest przyjęta przez Grupę Roboczą Artykułu 29 ds. Ochrony Danych („Grupa Robocza") 1 lipca 2012 r. ppinia 05/2012 w sprawie przetwarzania danych osobowych w chmurze obliczeniowej.
Grupa Robocza jest organem doradczym powołanym na mocy art. 29 dyrektywy, którego zadaniem jest badanie kwestii dotyczących stosowania krajowych środków przyjętych na mocy dyrektywy, aby przyczynić się w ten sposób do jednolitego stosowania tych środków.
Grupa Robocza wskazała w swojej opinii na dwie główne kategorie zagrożeń występujących w kontekście przetwarzania danych osobowych w chmurze, tj. wspomniany już wcześniej brak kontroli nad danymi oraz niewystarczające informacje dotyczące samej operacji przetwarzania, co w konsekwencji może prowadzić do braku świadomości na temat potencjalnych zagrożeń oraz do braku możliwości podjęcia środków odpowiednich do zagrożeń.
Grupa Robocza w swoich wnioskach wskazała, że przedsiębiorca, który chciałby skorzystać z przetwarzania danych osobowych w chmurze, powinien w pierwszej kolejności dokonać szczegółowej analizy zagrożeń. Jest to potwierdzenie stanowiska, że chociaż przetwarzanie danych osobowych w chmurze jest możliwe, to jednak przedsiębiorca powinien rozważnie podejść do tego zagadnienia.
Niewątpliwie lektura opinii może pomóc przedsiębiorcy, który zamierza rozpocząć przetwarzanie danych osobowych w chmurze, aby skutecznie zabezpieczyć się przed zagrożeniami, które wiążą się z tym modelem przetwarzania danych.
Pojawiają się głosy, że przetwarzanie w chmurze nie prowadzi do rewolucji w podejściu do przetwarzania danych osobowych. Jednak, chociaż sam GIODO dopuszcza możliwość przetwarzania danych osobowych w chmurze, nie można jednak odmówić racji tym, którzy twierdzą, że jest kwestią dyskusyjną, czy poziom bezpieczeństwa danych w chmurze jest zawsze na tyle wysoki, aby w chmurze mogły być przetwarzane dane osobowe.
Nie można w związku z tym wykluczyć ryzyka, że ewentualna kontrola, do przeprowadzenia której uprawniony jest GIODO. wykaże, iż przedsiębiorca, który przetwarza dane osobowe w chmurze, nie zapewnia wystarczającego poziomu ochrony danych osobowych, co może skutkować nałożeniem na przedsiębiorcę surowych kar.
Są dolegliwe sankcje
Zgodnie z art. 52 u.o.d.o., kto administrując danymi osobowymi, narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zebraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Ponadto, w przypadku wykrycia nieprawidłowości GIODO może w drodze decyzji administracyjnej nałożyć na administratora obowiązek ich usunięcia.
Warto zaznaczyć, że w przypadku braku realizacji obowiązku wynikającego z decyzji GIODO posiada kompetencję do nałożenia na administratora będącego osobą prawną lub jednostką organizacyjną kary grzywny w wysokości do 50 tys. zł.
Kara ta może zostać nałożona wielokrotnie, a łączna kwota kar nie może przekroczyć 200 tys. zł. W przypadku administratora będącego osobą fizyczną jednorazowa kara grzywny może wynieść do 10 tys. zł, natomiast łączna wysokość kar do 50 tys. zł. -
Anna Witkowska prawnik w Deloitte Legal
Komentuje Anna Witkowska prawnik w Deloitte Legal
Przedsiębiorcy powinni, pomimo medialnego szumu, rozważyć wszelkie za i przeciw oraz w najbardziej możliwy sposób dostosować model przetwarzania w chmurze do swoich potrzeb i kategorii danych, które będą przetwarzane.
Podobnie bowiem jak w tradycyjnych modelach przetwarzania danych osobowych, przetwarzanie danych w chmurze powinno się odbywać w sposób legalny, czyli zgodny z prawem, o czym w przypadku danych osobowych decydują zarówno zastosowane rozwiązania prawne, jak i technologiczne.
Przedsiębiorca musi uważać na zapisy umowy, którą zawiera z dostarczycielem chmury.
