Chmura obliczeniowa stanowi platformę umożliwiającą realizację wielu celów biznesowych bez konieczności inwestycji w infrastrukturę informatyczną. Należy mieć jednak na uwadze ryzyko związane z tym, że korzystanie z chmury wiązać się może z dostępem dostawcy rozwiązań chmurowych do danych osobowych.
W praktyce z taką sytuacją możemy mieć do czynienia np. w modelu SaaS (Software as a Service), gdzie w chmurze udostępniania jest usługa. Udostępnienie dostawcy rozwiązań chmurowych danych osobowych administratora lub też użytkowników końcowych wiąże się m.in. z koniecznością zawarcia umowy o powierzeniu przetwarzania danych osobowych.
Należy też pamiętać o art.28 ust.1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, (RODO), który stanowi, że:
Administrator ma obowiązek korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Stąd też konieczna jest ocenaa tego, czy powierzenie przetwarzania danych osobowych konkretnemu dostawcy usług w chmurze spełnia powyższe wymagania.
Zazwyczaj wskazuje się na następujące ryzyka wynikające z powierzenia przez administratora danych osobowych przetwarzania danych dostawcy usług cloud computingu:
- Brak wiedzy na temat lokalizacji serwera dostawcy, a tym samym brak możliwości oceny tego, prawo jakiego państwa będzie mieć zastosowanie w stosunku do takiego dostawcy;
- Brak kontroli administratora danych osobowych nad przetwarzaniem danych przez dostawcę;
- Brak informacji na temat przetwarzania (przejrzystości), w szczególności administrator nie wie, czy w przetwarzanie zaangażowani są liczni przetwarzający i podprzetwarzający (łańcuch przetwarzania);
- Ograniczone możliwości wpływu na działania dostawcy.
W 2012 r. Grupa Robocza art. 29 ds. Ochrony Danych wydała opinię w sprawie przetwarzania danych w chmurze obliczeniowej. Wprawdzie opinia jest sprzed wejścia w życie RODO, niemniej jednak wiele jej elementów zachowuje aktualność. Zalecenia wynikające z opinii to:
- Przeprowadzenie szczegółowej i dokładnej analizy zagrożeń; szczególną uwagę należy zwrócić na oszacowanie zagrożeń prawnych związanych z ochroną danych, które dotyczą głównie obowiązków w zakresie bezpieczeństwa oraz dodatkowych zabezpieczeń;
- Przyjęte w ramach analizy wnioski mają na celu dostarczenie listy kontrolnej służącej weryfikacji zapewniania zgodności z zasadami ochrony danych przez klientów usług w chmurze i ich dostawców w oparciu o istniejące ramy prawne.
Relacja pomiędzy administratorem danych osobowych a dostawcą usług w chmurze jako tzw. procesorem znajduje swoje odzwierciedlenie w umowie powierzenia przetwarzania danych osobowych, a zgodnie z RODO:
- Powierzenie przez administratora przetwarzania danych osobowych wymaga zawarcia umowy w której należy określić przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora;
- Podmiot przetwarzający:
- przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
- zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
- podejmuje wszelkie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku
- przestrzega warunków korzystania z usług innego podmiotu przetwarzającego;
- biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
- uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w RODO w zakresie bezpieczeństwa danych;
- po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
- udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich
Minimalizacji ryzyka związanego z powierzeniem przetwarzania danych osobowych w chmurze służyć mogą następujące rozwiązania kontraktowe, coraz bardziej powszechne w obrocie prawnym:
- precyzyjne określenie zasad odpowiedzialności podmiotu przetwarzającego dane za naruszenie bezpieczeństwa danych osobowych;
- tworzenie kopii zapasowych danych zapisanych w chmurze,
- żądanie od dostawców usług w chmurze tzw. Recovery lub Disaster Plan, Exit Plan oraz Plan Ciągłości Działania (PCD, Business Continuity Planning – BCP);
- klauzule poufności;
- wskazanie listy lokalizacji, w których dane mogą być przetwarzane;
- restrykcyjne uprawnienia administratora w zakresie kontroli przetwarzania;
- jasne zdefiniowanie łańcucha przetwarzania.
Ponieważ specyfika cloud computingu polega na korzystaniu z serwerów, które zlokalizowane mogą być w różnych częściach świata, bardzo ważnym wątkiem jest weryfikacja lokalizacji serwera pod kątem spełniania obowiązujących w takim miejscu regulacji w zakresie ochrony danych osobowych.
- Materiał Partnera beinsured.pl: