Dane w chmurze: przedsiębiorca musi uważać na zapisy umowy

Przedsiębiorca, który chce odnieść sukces, musi być elastyczny i skłonny do korzystania z nowych rozwiązań, w szczególności technologicznych. Postawa taka pozwala przede wszystkim na bycie konkurencyjnym w stosunku do innych firm i równocześnie prowadzi do optymalizacji kosztów ponoszonych przez przedsiębiorców w związku z prowadzoną działalnością.

Niezależnie od sytuacji gospodarczej, panujących nastrojów i uzasadnienia ekonomicznego, rozwój technologiczny jest dziś immanentną cechą firmy, która chce się utrzymać w czołówce. Przedsiębiorca powinien jednak pamiętać, że korzystanie z nowych technologii musi pozostawać w zgodzie z obowiązującymi przepisami prawa, co jak się okazuje, często może być dosyć problematyczne i wymagać pogłębionej analizy.

Odróżniaj zwykłe od szczególnych

Jednym z przejawów rozwoju technologicznego, na który warto zwrócić uwagę w kontekście prowadzenia działalności, jest technologia przetwarzania danych w chmurze obliczeniowej (cloud computing). Przedsiębiorcy w swojej działalności przetwarzają różne rodzaje danych.

Jednym z nich są dane osobowe, które podlegają szczególnym regulacjom prawnym. Dlatego też przedsiębiorcy, którzy zdecydują się na przetwarzanie danych w chmurze, muszą pamiętać, aby odróżnić tzw. zwykłe dane od danych będących danymi osobowymi. Wspomniane szczególne regulacje prawne znajdą bowiem również zastosowanie w przypadku przetwarzania danych osobowych w chmurze.

Przedsiębiorca, który w jakikolwiek sposób przetwarza dane osobowe, musi dbać o to, aby dane te były przetwarzane w sposób legalny. Najogólniej rzecz ujmując, dane osobowe będą przetwarzane w sposób legalny, jeśli będą przetwarzane zgodnie z przepisami ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: u.o.d.o.).

Przepisy u.o.d.o. nie odwołują się wprost do przetwarzania danych osobowych w chmurze, a w Polsce, oprócz u.o.d.o., nie istnieją przepisy, które w sposób odrębny regulują przetwarzanie danych osobowych w chmurze. Co więcej, zagadnienie cloud computing nie znajduje również bezpośredniego odzwierciedlenia w przepisach wspólnotowych.

Ile legalności

Powstaje więc pytanie, czy przetwarzanie danych osobowych w chmurze jest legalne z punktu widzenia u.o.d.o., a szerzej z punktu widzenia prawa wspólnotowego? Czy brak bezpośrednich regulacji powoduje brak możliwości korzystania z modelu przetwarzania danych osobowych w chmurze?

Generalny inspektor ochrony danych osobowych stoi na stanowisku, że w obecnym stanie prawnym przetwarzanie danych osobowych w chmurze jest dopuszczalne. Korzystanie z modelu przetwarzania danych osobowych w chmurze nie jest jednak pozbawione ryzyka.

Przedsiębiorca musi bacznie przyjrzeć się umowie, którą ma zamiar podpisać z dostarczycielem chmury. Okazuje się bowiem, że jej postanowienia często mogą prowadzić do powstawania wątpliwości, czy dane osobowe są przetwarzane w sposób zgodny z obowiązującym prawem.

Jakie modele funkcjonują

Przede wszystkim pojawia się pytanie, czy każdy model przetwarzania danych osobowych w chmurze jest prawnie dopuszczalny?

Poszczególne modele przetwarzania danych osobowych różnią się rodzajem chmury obliczeniowej, w której dane osobowe będą przetwarzane. Przedsiębiorcy powinni pamiętać, że rodzaj chmury obliczeniowej może mieć istotne znaczenie dla bezpieczeństwa danych osobowych przetwarzanych w chmurze.

Ogólnie rzecz ujmując, możemy wyróżnić trzy rodzaje chmur:

- chmury publiczne – udostępniane przez zewnętrznych dostawców,

- chmury prywatne – zlokalizowane wewnątrz danej organizacji, jak również

- chmury hybrydowe, które łączą właściwości dwóch poprzednich chmur.

Wydaje się, że najbardziej wątpliwa, z punktu widzenia przepisów u.o.d.o, jest możliwość przetwarzania danych osobowych w chmurze publicznej. Zastosowanie takiego modelu, w szczególności ze względu na sposób przetwarzania danych osobowych w chmurze publicznej, może nie zapewniać wystarczającego poziomu bezpieczeństwa danych osobowych. Jednak należy pamiętać, że tak naprawdę dopuszczalność zastosowania wybranego modelu przetwarzania danych osobowych w dużej mierze zależy od treści umowy, jaką przedsiębiorca zawrze z dostarczycielem chmury.

Jaki poziom bezpieczeństwa

W kontekście zapewnienia odpowiedniego poziomu bezpieczeństwa danych osobowych przetwarzanych w chmurze nie można zapomnieć o kwestii miejsca, gdzie dane będą przetwarzane. Podpisując umowę z dostarczycielem chmury, przedsiębiorca często nie wie, w jakim kraju dane osobowe będą przetwarzane.

Dostarczyciele chmur publicznych, w trosce o swoje interesy, pracują nad zwiększaniem poziomu bezpieczeństwa danych osobowych przetwarzanych w chmurze, w szczególności w chmurze publicznej będącej, co do zasady, najtańszym narzędziem ze wszystkich rodzajów chmur. W ślad za tymi pracami pojawiają się nowe rozwiązania, które na przykład mają zapewnić przedsiębiorcy, że jego dane będą przetwarzane w chmurze jedynie na terytorium Unii Europejskiej.

Powstaje pytanie – dlaczego terytorium ma istotne znaczenie dla przetwarzania danych w chmurze?

Powodem są wewnętrzne regulacje kraju, w którym dane osobowe maja być przetwarzane w chmurze. Poziom bezpieczeństwa danych osobowych, w tym w szczególności możliwość dostępu do danych osobowych przez organy i instytucje państwowe, może być odmiennie uregulowany w poszczególnych państwach. Problem pojawia się, jeżeli przepisy innego państwa są sprzeczne czy o wiele bardziej liberalne niż polskie ustawodawstwo.

Niemniej jednak, na poziomie wspólnotowym obowiązuje dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dalej: dyrektywa). Ustawodawstwa krajowe poszczególnych państw członkowskich, które, co do zasady, muszą być zgodne z dyrektywą, są zbliżone do siebie i dają większą gwarancję zapewnienia odpowiedniego poziomu bezpieczeństwa danych osobowych przetwarzanych w chmurze.

Dlatego postanowienia umowne z dostarczycielem chmury w tym zakresie są niezwykle istotne. Dodatkowo, przedsiębiorca powinien pamiętać, że zgodnie z przepisami u.o.d.o., transfer danych do państwa spoza Europejskiego Obszaru Gospodarczego (EOG) wiąże się z koniecznością spełnienia dodatkowych wymogów.

Wiążące regułu korporacyjne

Należy nadmienić, że jednym z pomysłów, które mają zapewnić bezpieczeństwo danych osobowych przetwarzanych w chmurze i będących alternatywą dla terytorialnego podejścia do przetwarzania danych osobowych, jest koncepcja tzw. wiążących reguł korporacyjnych (Binding Corporate Rules), zgodnie z którą dany dostarczyciel chmury mógłby być traktowany jako podmiot zapewniający legalność przetwarzania danych osobowych. Rozwiązanie takie, choć godne uwagi, nie jest obecnie stosowane w Polsce.

Z miejscem przetwarzania danych osobowych w chmurze wiąże się kolejny zasadniczy problem, z którym mogą spotkać się przedsiębiorcy. Dotyczy on możliwości sprawowania kontroli przez przedsiębiorcę będącego administratorem nad danymi osobowymi przetwarzanymi w chmurze.

W czym przejawia się brak wspomnianej kontroli? Otóż administrator nie ma możliwości stwierdzenia, czy inne podmioty mają dostęp do danych przetwarzanych w chmurze, w stosunku do których jest on administratorem. Nie posiada również wiedzy, komu dane przetwarzane w chmurze mogą być udostępniane, chociażby na podstawie przepisów prawa, często obcego, którymi związany jest dostarczyciel chmury.

Brak kontroli może również występować w sytuacji, gdy dostarczyciele chmury podzlecają innym zewnętrznym podmiotom wykonanie części usług związanych z przetwarzaniem danych w chmurze, co prowadzi do udostępnienia danych osobowych nie tylko dostarczycielowi chmury, ale także innym podmiotom. Chociaż problem sprawowania kontroli wydaje się trudny do rozwiązania, wydaje się, że odpowiednie zapisy w umowie pomiędzy przedsiębiorcą i dostarczycielem chmury powinny móc go rozwiązać, a przynajmniej skutecznie zminimalizować.

Opinia grupy roboczej

Dowodem potwierdzającym wzrost znaczenia modelu przetwarzania danych osobowych w chmurze jest przyjęta przez Grupę Roboczą Artykułu 29 ds. Ochrony Danych („Grupa Robocza") 1 lipca 2012 r. ppinia 05/2012 w sprawie przetwarzania danych osobowych w chmurze obliczeniowej.

Grupa Robocza jest organem doradczym powołanym na mocy art. 29 dyrektywy, którego zadaniem jest badanie kwestii dotyczących stosowania krajowych środków przyjętych na mocy dyrektywy, aby przyczynić się w ten sposób do jednolitego stosowania tych środków.

Grupa Robocza wskazała w swojej opinii na dwie główne kategorie zagrożeń występujących w kontekście przetwarzania danych osobowych w chmurze, tj. wspomniany już wcześniej brak kontroli nad danymi oraz niewystarczające informacje dotyczące samej operacji przetwarzania, co w konsekwencji może prowadzić do braku świadomości na temat potencjalnych zagrożeń oraz do braku możliwości podjęcia środków odpowiednich do zagrożeń.

Grupa Robocza w swoich wnioskach wskazała, że przedsiębiorca, który chciałby skorzystać z przetwarzania danych osobowych w chmurze, powinien w pierwszej kolejności dokonać szczegółowej analizy zagrożeń. Jest to potwierdzenie stanowiska, że chociaż przetwarzanie danych osobowych w chmurze jest możliwe, to jednak przedsiębiorca powinien rozważnie podejść do tego zagadnienia.

Niewątpliwie lektura opinii może pomóc przedsiębiorcy, który zamierza rozpocząć przetwarzanie danych osobowych w chmurze, aby skutecznie zabezpieczyć się przed zagrożeniami, które wiążą się z tym modelem przetwarzania danych.