Użytkownik pozostaje odpowiedzialny za dane

Wykorzystanie cloud computing, tłumaczonego jako „chmura obliczeniowa” lub „przetwarzanie w chmurze”, jest dziś jednym z kluczowych trendów w dziedzinie ICT (usługi technologii informacyjno-komunikacyjnych).

Jako model korzystania z usług teleinformatycznych przynosi niewątpliwe korzyści finansowe i organizacyjne. Aby jednak stosować go z powodzeniem i zgodnie z prawem, konieczne jest uwzględnienie wielu kwestii z zakresu ochrony danych osobowych.

[srodtytul]Model biznesowy[/srodtytul]

To model biznesowy oparty na udostępnianiu zasobów teleinformatycznych za pomocą Internetu. W modelu tym przechowywanie i przetwarzanie aplikacji oraz danych odbywa się na serwerach dostawcy usług (providera) zamiast na lokalnym komputerze użytkownika. Oznacza to, między innymi, brak konieczności inwestycji w infrastrukturę, instalację oprogramowania oraz w zakup licencji.

Funkcje te są bowiem dostarczane użytkownikowi w formie internetowej usługi na zasadzie pay-per-use. W ramach „chmury” można wyróżnić trzy główne modele dostaw:

Software as a Service (SaaS), czyli dostarczanie funkcjonalności i oprogramowania, Platform as a Service (PaaS), czyli dostarczanie dostosowanego do potrzeb użytkownika kompletu aplikacji oraz Infrastructure as a Service (IaaS), czyli dostarczanie infrastruktury informatycznej.

[srodtytul]Ryzyko nieprawidłowości[/srodtytul]

Rozwiązania chmury obliczeniowej stają się coraz bardziej powszechne w polskich przedsiębiorstwach. Najbardziej popularną z nich formą jest SaaS, w szczególności w zakresie dostępu do systemów zarządzania, relacji z klientami, poczty elektronicznej oraz obsługi finansowo-księgowej.

W ramach „chmury” użytkownik powierza zwykle przetwarzanie – w szczególności pod postacią przechowywania – danych będących w jego posiadaniu, w tym danych osobowych.

Dane osobowe są przetwarzane na serwerach dostawcy, do których użytkownik uzyskuje dostęp w ramach świadczonych na jego rzecz usług. Infrastruktura wykorzystywana przez dostawcę do przetwarzania danych osobowych może być zlokalizowana w dowolnym miejscu na świecie.

Tak więc użytkownicy często nie znają faktycznego miejsca przetwarzania będących w ich posiadaniu danych. To samo dotyczy zakresu przetwarzania danych oraz osób, którym są one udostępniane. Jakie mogą być konsekwencje takiej sytuacji?

Przede wszystkim wiąże się to z ryzykiem powstania wielu nieprawidłowości przy przetwarzaniu danych osobowych w ramach chmury obliczeniowej, w szczególności brakiem odpowiedniego zabezpieczenia danych osobowych przed ich utratą lub dostępem do nich osób nieupoważnionych.

Z tego względu niezwykle istotne jest w tym modelu zapewnienie przestrzegania wymogów prawa ochrony danych osobowych. Wszystko po to, by zapewnić prawidłowość i bezpieczeństwo procesu ich przetwarzania.

[srodtytul]Co w umowie[/srodtytul]

Zgodnie z ustawą [link=http://akty-prawne.rp.pl/Dokumenty/Ustawy/2002/DU2002Nr101poz%20926.asp]o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926)[/link] administrator danych może powierzyć przetwarzanie danych osobowych innemu podmiotowi.

Powierzenie przetwarzania danych osobowych wymaga jednak umowy zawartej na piśmie. Z tego powodu umowa o chmurze obliczeniowej powinna zawierać postanowienia o powierzeniu dostawcy usług przetwarzania danych osobowych będących w posiadaniu użytkownika.

W umowie należy wyraźnie określić, co chcemy poddać przetwarzaniu, a więc wskazać zakres (kategorie) danych, których dotyczy powierzenie, oraz zakres (rodzaj operacji) i cel przetwarzania danych osobowych. Dostawca usług będzie uprawniony do przetwarzania naszych danych wyłącznie w zakresie i w celu wskazanym w umowie.

Administrator danych powinien także poinformować osoby, których dane dotyczą, o udostępnieniu ich danych osobowych dostawcy. Ponadto, zgodnie z nowelizacją ustawy o ochronie danych osobowych, która wejdzie w życie z 7 marca 2011 r., administrator danych będzie zobowiązany do zgłoszenia powierzenia przetwarzania do rejestracji generalnemu inspektorowi ochrony danych osobowych.

Przed rozpoczęciem ich przetwarzania dostawca usług zobowiązany jest do wdrożenia środków technicznych i organizacyjnych zabezpieczających dane osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem, utratą, uszkodzeniem lub zniszczeniem a także przetwarzaniem danych niezgodnie z prawem.

Środki te obejmują nie tylko prowadzenie wymaganej zgodnie z prawem dokumentacji przetwarzania danych, lecz także prowadzenie ewidencji osób upoważnionych do przetwarzania, zobowiązanie ich do zachowania poufności i ograniczenie dostępu do pomieszczeń, w których odbywa się przetwarzanie.

W przypadku przekazywania danych wymagających szczególnej ochrony przekazujący je może zwrócić się do przetwarzającego o umożliwienie audytu posiadanych przez niego zabezpieczeń w celu dokonania samodzielnej oceny stopnia zabezpieczenia i potencjalnych zagrożeń. Jest to ważne zwłaszcza ze względu na zasady dotyczące odpowiedzialności za przetwarzanie danych osobowych.

[srodtytul]Odpowiedzialność za dane[/srodtytul]

Pomimo zlecenia przetwarzania danych osobowych innemu podmiotowi (dostawcy usług) użytkownik pozostaje nadal odpowiedzialny za naruszenie przepisów prawa ochrony danych osobowych przez dostawcę.

Odpowiedzialności tej nie można ograniczyć ani wyłączyć bez względu na brzmienie umowy zawartej z dostawcą jako przetwarzającym.

[srodtytul]Potęga informacji[/srodtytul]

Użytkownik może więc zostać pociągnięty do odpowiedzialności za przetwarzanie danych osobowych niezgodnie z celem, dla którego zostały one zebrane, lub za brak kontroli nad ich przekazywaniem osobom trzecim przez dostawcę.

Ten ostatni natomiast będzie ponosił odpowiedzialność za naruszenia przepisów ustawy jedynie w razie przetwarzania danych osobowych niezgodnie z zawartą z użytkownikiem umową, oczywiście równocześnie ponosząc odpowiedzialność za wdrożenie wymaganych zgodnie z prawem środków zabezpieczających dane w takim samym zakresie jak administrator danych.

Regulacje prawne, które mają zapewnić bezpieczeństwo danych osobowych, oparte są na założeniu, że w każdym momencie powinno być wiadomo, gdzie i przez kogo są one przetwarzane, czyli zlecający ich przetwarzanie musi wiedzieć, kto ponosi odpowiedzialność za tę czynność.

Z tego też względu przedsiębiorca przed podjęciem decyzji o skorzystaniu z chmury obliczeniowej powinien uzyskać kluczową dla siebie informację o fizycznej lokalizacji przechowywania danych, kategoriach osób, które będą mogły mieć do nich wgląd lub którym dane będą przekazywane. Musi on też wiedzieć o stosowanych przez dostawcę środkach bezpieczeństwa.

Wiedza ta pozwoli przedsiębiorcy nie tylko na dokonanie odpowiedniego wyboru dostawcy usług, ale i skonstruowanie umowy w sposób odpowiadający indywidualnemu wymaganiu. W konsekwencji zapewni bezpieczeństwo przechowywanych i przetwarzanych danych osobowych.

[ramka] [b]Komentuje Patrycja Poppe, prawnik w kancelarii Linklaters[/b]

Model chmury obliczeniowej nieuchronnie wiąże się z przekazywaniem danych osobowych pomiędzy centrami danych zlokalizowanymi na całym świecie.