Chmura obliczeniowa a ochrona danych osobowych

Chmura obliczeniowa stanowi platformę umożliwiającą realizację wielu celów biznesowych bez konieczności inwestycji w infrastrukturę informatyczną. Należy mieć jednak na uwadze ryzyko związane z tym, że korzystanie z chmury wiązać się może z dostępem dostawcy rozwiązań chmurowych do danych osobowych.

W praktyce z taką sytuacją możemy mieć do czynienia np. w modelu SaaS (Software as a Service), gdzie w chmurze udostępniania jest usługa. Udostępnienie dostawcy rozwiązań chmurowych danych osobowych administratora lub też użytkowników końcowych wiąże się m.in. z koniecznością zawarcia umowy o powierzeniu przetwarzania danych osobowych.

Należy też pamiętać o  art.28 ust.1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, (RODO), który stanowi, że:

Administrator ma obowiązek korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Stąd też konieczna jest ocena tego, czy powierzenie przetwarzania danych osobowych konkretnemu dostawcy usług w chmurze spełnia powyższe wymagania.

Zazwyczaj wskazuje się na następujące ryzyka wynikające z powierzenia przez administratora danych osobowych przetwarzania danych dostawcy usług cloud computingu:

  • Brak wiedzy na temat lokalizacji serwera dostawcy, a tym samym brak możliwości oceny tego, prawo jakiego państwa będzie mieć zastosowanie w stosunku do takiego dostawcy;
  • Brak kontroli administratora danych osobowych nad przetwarzaniem danych przez dostawcę;
  • Brak informacji na temat przetwarzania (przejrzystości), w szczególności administrator nie wie, czy w przetwarzanie zaangażowani są liczni przetwarzający i podprzetwarzający (łańcuch przetwarzania);
  • Ograniczone możliwości wpływu na działania dostawcy.

W 2012 r. Grupa Robocza art. 29 ds. Ochrony Danych wydała opinię w sprawie przetwarzania danych w chmurze obliczeniowej. Wprawdzie opinia jest sprzed wejścia w życie RODO, niemniej jednak wiele jej elementów zachowuje aktualność. Zalecenia wynikające z opinii to:

  • Przeprowadzenie szczegółowej i dokładnej analizy zagrożeń; szczególną uwagę należy zwrócić na oszacowanie zagrożeń prawnych związanych z ochroną danych, które dotyczą głównie obowiązków w zakresie bezpieczeństwa oraz dodatkowych zabezpieczeń;
  • Przyjęte w ramach analizy wnioski mają na celu dostarczenie listy kontrolnej służącej weryfikacji zapewniania zgodności z zasadami ochrony danych przez klientów usług w chmurze i ich dostawców w oparciu o istniejące ramy prawne.

Relacja pomiędzy administratorem danych osobowych a dostawcą usług w chmurze jako tzw. procesorem znajduje swoje odzwierciedlenie w umowie powierzenia przetwarzania danych osobowych, a zgodnie z RODO:

  • Powierzenie przez administratora przetwarzania danych osobowych wymaga zawarcia umowy w której należy określić przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora;
  • Podmiot przetwarzający:
    • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
    • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
    • podejmuje wszelkie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku
  • przestrzega warunków korzystania z usług innego podmiotu przetwarzającego;
  • biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
  • uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w RODO w zakresie bezpieczeństwa danych;
  • po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich

Minimalizacji ryzyka związanego z powierzeniem przetwarzania danych osobowych w chmurze służyć mogą następujące rozwiązania kontraktowe, coraz bardziej powszechne w obrocie prawnym:

  • precyzyjne określenie zasad odpowiedzialności podmiotu przetwarzającego dane za naruszenie bezpieczeństwa danych osobowych;
  • tworzenie kopii zapasowych danych zapisanych w chmurze,
  • żądanie od dostawców usług w chmurze tzw. Recovery lub Disaster Plan, Exit Plan oraz Plan Ciągłości Działania (PCD, Business Continuity Planning – BCP);
  • klauzule poufności;
  • wskazanie listy lokalizacji, w których dane mogą być przetwarzane;
  • restrykcyjne uprawnienia administratora w zakresie kontroli przetwarzania;
  • jasne zdefiniowanie łańcucha przetwarzania.

Ponieważ specyfika cloud computingu polega na korzystaniu z serwerów, które zlokalizowane mogą być w różnych częściach świata, bardzo ważnym wątkiem jest weryfikacja lokalizacji serwera pod kątem spełniania obowiązujących w takim miejscu regulacji w zakresie ochrony danych osobowych.

chmura obliczeniowa ochrona danych osobowych

Dodaj komentarz