wtorek, 27 lutego 2018

Dane osobowe w chmurze

Dane osobowe w chmurze


Autor: Alfred Spychała


Każda czynność związana z przetwarzaniem danych osobowych powinna odbywać się z poszanowaniem zasad wynikających z powszechnie obowiązujących przepisów prawa tj. Ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. i wydanych na jej podstawie aktów wykonawczych.


Definicja Cloud Computing z 2011 roku mówi o modelowym zapewnieniu powszechnego i wygodnego sieciowego dostępu na żądanie do dzielonej puli konfigurowanych zasobów obliczeniowych, które mogą być szybko przydzielone i uwolnione przy minimalnym wysiłku zarządczym lub interakcji z dostawcą usługi. W dużym uproszczeniu mówiąc Cloud Computing to udostępnianie określonych zasobów informatycznych przez Internet. Działanie takie charakteryzuje się pięcioma podstawowymi cechami:

samoobsługą na żądanie;

szeroką dostępnością sieciową;

pulą zasobów;

mierzalnością wykorzystania zasobów.

Z założenia przetwarzanie w chmurze wiąże się z przechowywaniem danych w środowisku o charakterze zewnętrznym z zapewnieniem stałego do nich dostępu. Obecnie obowiązujące przepisy o ochronie danych osobowych dopuszczają takie rozwiązanie zwłaszcza, gdy chmura umiejscowiona jest w infrastrukturze informatycznej administratora danych. W takim przypadku nie zachodzi, bowiem sytuacja, że jakakolwiek wyodrębniona część danych przetwarzane jest przy udziale podmiotu zewnętrznego.

W sytuacji, gdy chmura znajduje się poza infrastrukturą administratora staje się on klientem usługi, który wykorzystuje udostępnioną mu strukturę (platforma, aplikacja) do przetwarzania danych. W takich przypadkach dostawca owej usługi staje się przetwarzającym dane osobowe. Wiąże się to z określonymi zagrożeniami, które wymagają od administratora danych osobowych przeprowadzenia szczegółowej analizy prawnej, która zbada i zdefiniuje relacje pomiędzy administratora danych (klientem) a dostawca usługi.

„Kluczowe staje się więc sprawdzenie przez administratora czy zasady ochrony danych gwarantują zapewnienie bezpieczeństwa przekazywanych informacji, ich poufność i integralność. Problem staje się o wiele bardziej skomplikowany w sytuacji, w której przetwarzanie odbywa się na terenie kilku państw bądź nawet podległym wyłącznie jurysdykcji międzynarodowej.”[1]

Na administratorze danych osobowych spoczywa obowiązek przeprowadzenia audytu prawnego który szczegółowo zbada sytuacje prawną stron umowy ze szczególnym uwzględnieniem takich zagadnień jak: prawo wewnętrzne państwa na terenie, którego znajduje się siedziba lub infrastruktura usługodawcy; obowiązujące umowy międzynarodowe; przepisy sektorowe dotyczące administratora danych osobowych.

ADO musi być pewien, że warunki świadczenia usługi dadzą mu pełną kontrolę nad sposobem przetwarzania danych w chmurze i uniemożliwią usługodawcy przetwarzanie danych do celów innych niż cele administratora. Kluczowe znaczenie ma też pełna współpraca usługodawcy z administratorem danych w zakresie osiągnięcia założonych standardów usługi i adekwatnego poziomu jej ochrony. Pełnej współpracy wymagają też działania nadzorcze i kontrolne prowadzone periodycznie jak i te, które wdraża się w konsekwencji naruszenia bezpieczeństwa systemu.

Biorąc pod uwagę charakter przetwarzanych danych w chmurze zapisy umowy pomiędzy administratorem danych osobowych a usługodawcą uregulowane być muszą takie między innymi zagadnienia jak:

procedury kontroli dostępu do danych przetwarzanych w chmurze,

sposoby szyfrowania danych przekazywanych pomiędzy systemami usługodawcy i ADO,

możliwość natychmiastowego usunięcia danych w przypadku incydentu bezpieczeństwa.

Polityka bezpieczeństwa, Instrukcja zarządzania systemem informatycznym oraz Umowa powierzenia przetwarzania danych osobowych powinny „(…) obejmować całokształt przetwarzania danych osobowych przez usługodawcę i uwzględniać zmienność charakterystyczną dla chmury (np. zmianę serwera i jego lokalizacji z powodu awarii czy obciążenia sieci) poprzez zapewnienie jednolitych procedur we wszystkich wariantach usługi.”[2] Jest to niezwykle istotne zagadnienie zwłaszcza, że zgodnie z Ustawą o ochronie danych osobowych z 29 sierpnia 1997 r. administrator ma obowiązek wskazania miejsca przetwarzania danych osobowych oraz wdrożenia odpowiednich środków bezpieczeństwa. Bez precyzyjnego określenia wykorzystywanej infrastruktury jest to niemożliwe.


[1] T. A. J. Banyś, Joanna Łuczak, Ochrona danych osobowych w praktyce. Jak unikać błędów i ich konsekwencji prawnych, Presscom Sp. z o. o. 2014, s. 170.

[2] Ibidem s. 172.


Alfred Spychała

www.abi-24.com.pl

Licencjonowane artykuły dostarcza Artelis.pl.

Brak komentarzy:

Prześlij komentarz