Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Dane w chmurze, czyli gdzie?

Cloud_computing_mapW dzisiejszym świecie coraz częściej mamy do czynienia z postępującą specjalizacją. Zjawisko przejawia się w niemal wszystkich dziedzinach ludzkiej działalności.

Wybitny amerykański chirurg, doradca do spraw służby zdrowia, w kampanii prezydenckiej Billa Clintona – Atul Gawande w swojej książce „Komplikacje. Zapiski chirurga o niedoskonałej nauce” porusza temat dążenia do maksymalizacji korzyści przez amerykańskie szpitale. Na przykładzie prostego zabiegu, jakim jest korekcja przepukliny ukazuje, jakie korzyści niesie za sobą specjalizacja. Przytacza dane, według których od 10 do 15 procent tego typu operacji kończy się niepowodzeniem i nawrotem choroby. Istnieje jednak szpital w Shouldice, ok. 30 km na północ od Toronto, gdzie wykonuje się wyłącznie takie zabiegi. Nie dość, że koszt leczenia jest o połowę niższy niż w innych ośrodkach, to wskaźnik nawrotu choroby nie wykracza poza magiczny jeden procent.

Autor zauważa, iż chirurdzy, którzy wykonują wiele różnych zabiegów, często są zmuszeni do wypracowywania nowatorskich rozwiązań, co zajmuje więcej czasu i sprawia, że zabieg staje się trudniejszy. Implikuje to oczywiście wzrost liczby błędów.

Natomiast częste powtórzenia tych samych czynności sprawiają, że umysł zaczyna funkcjonować automatycznie i bez wysiłku, tak samo jak podczas kierowania samochodem. To właśnie specjalizacja stała się kluczem do sukcesu Szpitala w Shouldice.

Dokładnie te same zasady funkcjonują w innych dziedzinach naszego życia. Dążenie do maksymalizacji korzyści poprzez ciągłe ulepszanie produktu, zwiększanie wydajności pracy oraz obniżenie kosztów własnych, sprawia, iż nawet mali przedsiębiorcy coraz częściej korzystają z usług firm outsourcingowych.

Naprzeciw wychodzą firmy zajmujące się obszarem IT. Błyskawiczny rozwój tej dziedziny sprawia, iż coraz częściej napotykamy problem niedoskonałego prawa. System prawny, który nie nadąża za zmieniającą się rzeczywistością, zamiast porządkować stosunki społeczne oraz zapewniać ochronę obywateli, powodować może utrudnienia w prowadzeniu działalności gospodarczej, a co za tym idzie – straty dla całej gospodarki. Jak jest jednak w przypadku chmury obliczeniowej?

ABC Cloud computing

National Institute of Standards and Technology w USA definiuje cloud computing jako: “model umożliwiający wygodne korzystanie z każdego miejsca w sieci z pełni konfigurowalnych zasobów komputerowych (np. serwerów, pamięci masowej, aplikacji i usług), które mogą być szybko przydzielone i zwolnione z minimalnym zaangażowaniem ze strony usługodawcy”. Istotą modelu jest więc umożliwienie przedsiębiorcy skorzystania z wiedzy, umiejętności oraz zasobów dostawcy.

Istnieją dwa główne rodzaje chmur – chmury publiczne oraz chmury prywatne. W sektorze małych i średnich przedsiębiorstw najbardziej popularne są obecnie te publiczne. Przykładowymi dostawcami usług w ramach tych chmur są tacy giganci jak Google, czy Microsoft. Chmury prywatne natomiast to takie, które przedsiębiorcy tworzą i udostępniają w ramach swoich firm, na własne potrzeby. Wysokie koszty takich rozwiązań powodują, iż mogą sobie na nie pozwolić wyłącznie większe firmy. Przykładem takiej prywatnej chmury obliczeniowej, może być dedykowany system obsługujący dużą korporację w zakresie np. szkoleń e-learningowych z zakresu ochrony danych osobowych.

Możemy wyróżnić kilka podstawowych warstw chmury zależnych od pakietu, jaki jest dostarczany usługobiorcom.

Pierwszym z nich jest IaaS – ang. Infrastructure as a Service – infrastruktura jako usługa. Model ten zakłada, iż przedsiębiorca dokonuje zakupu wyłącznie dostępu do infrastruktury informatycznej. Usługa ta występuje niezwykle często – polega np. na dostępie do wirtualnego serwera, na którym umieszczona jest strona internetowa usługobiorcy. Rozwiązanie to jest o wiele tańsze niż samodzielne stawianie serwerów. Cieszy się zainteresowaniem przede wszystkim w sektorze małych i średnich przedsiębiorstw.

Drugim, bardziej skomplikowanym modelem jest SaaS – ang. Software as a Service – oprogramowanie jako usługa. Model ten zakłada nie tylko fizyczne dostarczenie miejsca na serwerze, ale także sam dostęp do oprogramowania. Kierując się zasadami prakseologii, usługodawcy umożliwiają dostęp do modelu poprzez przeglądarkę internetową – nie jest wymagane instalowanie dodatkowego oprogramowania, czy sprzętu.

Trzecim, szerszym modelem chmury jest Paas – ang. Platform as a Service – platforma jako usługa. Różnica między Paas a IaaS polega na tym, że użytkownik ma do dyspozycji platformę stworzoną z np. wielu maszyn wirtualnych oraz systemów operacyjnych, budujących wspólnie duże środowisko, np. programistyczne. Usługodawca zobowiązuje się do przygotowania zgodnej konfiguracji maszyn wirtualnych oraz systemów, o żądanej w danej chwili przez usługobiorcę, mocy obliczeniowej.

Ochrona danych osobowych a chmura

Z nowoczesnych systemów informatycznych coraz chętniej korzystają instytucje finansowe – np. banki. Wynajęcie przestrzeni serwerowej od firmy hostingowej, bez konieczności samodzielnego troszczenia się o sprawne funkcjonowanie serwera, jest jak najbardziej korzystne z ekonomicznego punktu widzenia. Ponadto należy wskazać, iż centra obliczeniowe oferują znacznie większą moc niż jakiekolwiek stacje robocze.

W chmurze przetwarzane są nie tylko dane wykorzystywane przez przedsiębiorców w celach biznesowych, ale również ogromne ilości prywatnych informacji, takich jak maile, prace naukowe, czy zdjęcia z wakacji. Z chmury korzystamy wykonując przelew internetowy, czy grając w część gier na smartfonie.

Ostatnio świat obiegła informacja o tym, iż do sieci wyciekły nagie zdjęcia ponad stu znanych, wpływowych kobiet ze świata show-businessu (np. Jennifer Lawrence czy Kirsten Dunst). Oczywiście, należy brać poprawkę na to, iż świat ten rządzi się swoimi, dosyć specyficznymi prawami i niewykluczone, że za akcją hakera stała po prostu któraś z celebrytek lub agencji. Prawdopodobnie jednak, jeden z hakerów chciał po prostu w szybkim czasie zarobić ogromne pieniądze. Skandal ten wywołał dyskusję na temat bezpieczeństwa klientów, korzystających z chmury. Przyjrzyjmy się polskim regulacjom prawnym i zobaczmy, czy jesteśmy bezpieczni.

Nie ulega wątpliwości, iż ogromna część danych, które wysyłane są do chmury, to w rozumieniu polskiego prawa dane osobowe. Definicję tego pojęcia możemy znaleźć w przepisie art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO). Dane osobowe to wszystkie informacje, które umożliwiają identyfikacje osoby fizycznej, bez konieczności ponoszenia nadmiernych kosztów, czasu i działań. Może to więc być już nawet sam adres mailowy, jeśli jego struktura umożliwia identyfikacje konkretnej osoby, np. imię.nazwisko@nazwauczelni.edu.pl.

Kwestie ochrony danych osobowych reguluje również unijna dyrektywa 95/46/WE Parlamentu Europejskiego i Rady WE. To właśnie na niej bazuje ustawodawstwo wszystkich państw Unii Europejskiej, w tym Polski. Mimo, iż akt prawny powstał w pierwszej połowie lat 90-tych, należy zauważyć, iż pewne przyjęte w nim rozwiązania, znajdują zastosowanie do nowej technologii, jaką jest cloud computing. Mowa tutaj o instytucji powierzenia danych osobowych. Przewiduje ją przepis art. 31 UODO oraz przepis art. 17 Dyrektywy 95/46/WE.

Z powierzeniem przetwarzania danych osobowych bardzo często spotykamy się w codziennym życiu.

Powierzenie danych osobowych, możemy porównać do służbowego samochodu. Możemy z niego korzystać, jedynie w określonym czasie i na określonych zasadach. Bycie administratorem danych z kolei przypomina posiadanie samochodu na własność.

Administratorem danych jest sklep, który decyduje o celach i środkach przetwarzania tych danych. Jest on niezależny oraz przysługuje mu władztwo decyzyjne. Nie jest już administratorem danych osoba, której administrator powierzył ich przetwarzanie. W przypadku sklepu internetowego będzie to np. firma kurierska, która jedynie dostarcza zamawiane towary pod wskazane adresy konkretnym adresatom.

Podobnie sytuacja wygląda w przypadku chmur. Wyobraźmy sobie, że Zarząd dobrze prosperującej spółki, rozumiejąc coraz większe znaczenie ochrony danych osobowych w informatyzującym się świecie, wykupuję usługę szkolenia swoich pracowników z zakresu ochrony danych osobowych za pomocą e-learningu w modelu SaaS.

Dostawca usługi udostępnia swój program, za pomocą którego poprzez przeglądarkę internetową pracownicy wykonują konkretne zadania. Usługobiorca natomiast, powierza dane swoich pracowników – co jest konieczne w celu utworzenia kont na platformie e-learningowej, czy wydania certyfikatów. W opisanej sytuacji firma dostarczająca usługę szkolenia jest tzw. procesorem – ang. procesor – podmiotem przetwarzającym dane, ale nie mającym do nich żadnych praw. Firma ta może przetwarzać dane osobowe jedynie w celu, w jakim zostały jej powierzone przez administratora danych – w celu realizacji usługi e-learningu.

Co zrobić, aby korzystanie z usługi było zgodne z prawem?

Powierzenie danych osobowych, zgodnie z przepisem art. 31 UODO oraz 17 pkt. 3 Dyrektywy 95/46/WE, powinno być udokumentowane zawarciem umowy powierzenia przetwarzania danych osobowych. Należy dodać, iż nie musi być to oddzielna umowa – postanowienia dot. powierzenia danych mogą być zawarte w umowie ramowej.

W praktyce zawarcie umowy powierzenia w wypadku niektórych dostawców napotyka na trudności i niezrozumienie.

Część firm oferujących usługi z zakresu chmury boi się, iż umowy te nałożą na nie dodatkowe zobowiązania.

Tymczasem, umowy powierzenia, nie muszą stwarzać wyższych standardów, niż przepisy ustawy. W praktyce często umowy powierzenia są jedynie powtórzeniem przepisów ustawy o ochronie danych osobowych. A przepisy ustawy wiążą, niezależnie od tego, czy podpiszemy umowę powierzenia, czy nie.

Z punktu widzenia administratora danych, ważne jest dopełnienie tej formalności, gdyż to administrator danych w pierwszej kolejności odpowiada za naruszenie przepisów UODO.

W umowie powierzenia należy bezwzględnie określić zakres powierzonych danych oraz cel powierzenia (wymóg ustawy).

Warto zawrzeć w umowie również takie postanowienia, jak deklaracje dostawcy o spełnieniu wszystkich norm i wytycznych ustawy, czy ustalenie formy zakończenia współpracy.

Orzecznictwo i doktryna nie są zgodne, co do formy zawarcia tej umowy. Część prawników, jak również Generalny Inspektor Ochrony Danych Osobowych (GIODO) twierdzą, iż wymaganą formą, jest forma pisemna.

Inni wywodzą, iż forma pisemna jest istotna wyłącznie dla celów dowodowych. Praktyka pokazuje, iż koszt usługi może niekiedy być zbliżony do kosztu zawarcia samej umowy na piśmie (np. różnego rodzaju usługi hostingowe). W tych wypadkach zaleca się zawarcie umowy powierzenia przynajmniej w wersji elektronicznej.

Natomiast powierzenie dużych baz danych, np. w formie SaaS, i tak najczęściej wiąże się z podpisaniem umowy ramowej. Wysoce pożądane i wskazane jest więc zawarcie w owych umowach postanowień dotyczących powierzenia danych osobowych. Umowy takie mogą ponadto stanowić o karach umownych w przypadku wycieku danych osobowych.

Chmura a Europejski Obszar Gospodarczy

Jednolite ustawodawstwo opisane powyżej występuje na terenie całego Europejskiego Obszaru Gospodarczego. Poza państwami Unii Europejskiej w jego skład wchodzą: Norwegia, Islandia i Lichtenstein. Sytuacja prawna kształtuje się w sposób odmienny, jeśli dane osobowe chcemy przekazać poza ten obszar. Mówimy wówczas o tzw. przekazaniu danych osobowych do państwa trzeciego. Kwestię tę reguluje przepis art. 47 UODO:

1. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej.

2. Przepisu ust. 1 nie stosuje się, gdy przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej.

3. Administrator danych może jednak przekazać dane osobowe do państwa trzeciego, jeżeli:

1) osoba, której dane dotyczą, udzieliła na to zgody na piśmie,

2) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,

3) przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,

4) przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,

5) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,

6) dane są ogólnie dostępne.

O wymaganiach dotyczących przekazania danych osobowych do państwa trzeciego traktuje również rozdział VII Dyrektywy 95/46/WE.

Co ciekawe, Komisja Europejska na podstawie omawianej dyrektywy może doprowadzić do uniemożliwienia przeprowadzenia transferu ze względu na to, iż państwo trzecie nie mogłoby zapewnić wystarczającej ochrony.

Najczęstszym tzw. państwem trzecim, do którego przekazywane są dane osobowe, są oczywiście Stany Zjednoczone – lider wśród dostawców omawianej usługi. Podmiot polski musi każdorazowo uzyskać zgodę GIODO lub dysponenta na przekazanie danych do Stanów Zjednoczonych. Ogromnym ułatwieniem dla przedsiębiorców jest jednak program Safe Harbour. Porozumienie to zostało zatwierdzone przez Unię Europejską decyzją Komisji 2000/520/WE z dnia 26 lipca 2000 r. (O.J. L 215, 25.08.2000s. 0007-0047). Wszystkie firmy pochodzące ze Stanów Zjednoczonych, które znalazły się na specjalnej liście, traktowane są jak firmy należące do Europejskiego Obszaru Gospodarczego. (dot. to oczywiście takich gigantów jak Google czy Microsoft).

Podsumowanie

Reasumując, należy stwierdzić, iż przetwarzanie danych osobowych w chmurze jest w pełni legalne, wymaga jednak spełnienia ustawowych wymogów dotyczących powierzenia danych osobowych.

W omawianej materii, prawo, mimo, iż sporządzone w połowie lat 90-tych wydaje się funkcjonować dosyć poprawnie. Wątpliwości mogą budzić niektóre regulacje dotyczące przekazania danych do państwa trzeciego – np. do firm, które nie należą do porozumienia Safe Harbour. W ich przypadku mamy do czynienia z odwiecznym dylematem: więcej bezpieczeństwa czy więcej wolności? W mojej opinii prawo w tej materii powinno zostać mądrze zliberalizowane, co postuluje również GIODO.

Przekazując dane do chmury powinniśmy zwrócić uwagę na umowę powierzenia danych osobowych. Pamiętajmy, iż im cenniejsze dane przekazujemy, tym większą uwagę powinniśmy zwrócić na ich właściwe zabezpieczenie oraz na świadomość prawną usługodawcy. Jest to szczególnie ważne w wypadku instytucji finansowych, które słusznie korzystając z usług outsourcingowych, muszą należycie zadbać o poziom zaufania swoich klientów.

W kolejnym artykule zajmę się analizą konkretnych zapisów umowy powierzenia, pod kątem ich legalności oraz praktycznego funkcjonowania.

Powiązane artykuły

Umowa powierzenia przetwarzania danych osobowych dziś i według RODO
Powierzenie danych osobowych – odpowiedzialność i orzecznictwo
Przekazywanie danych do USA – Privacy Shield

Zostaw odpowiedź