Podmioty prowadzące przedsiębiorstwa przetwarzają na każdym kroku różnego rodzaju dane. Są to przede wszystkim dane osobowe wykorzystywane do konkretnych celów gospodarczych. Czy przetwarzanie takich danych, za pomocą tzw. cloud computingu jest w polskim prawie dozwolone? Z jakimi zagrożeniami z nim związane może spotkać się przedsiębiorca?
Zdjęcie royalty free z Fotolia
Uregulowania prawne
Za przetwarzanie danych, zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. W polskim prawie nie ma odrębnych uregulowań specjalnie dedykowanych przetwarzaniu danych osobowych w chmurze. W związku z tym zastosowanie znajdą przepisy wskazanej wyżej ustawy oraz Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady. Przetwarzanie danych osobowych w chmurze jest jak najbardziej dopuszczalne, jednakże może się ono odbywać wyłącznie z uwzględnieniem reżimu ustawowego i prawa wspólnotowego.
Na co powinni zwracać uwagę przedsiębiorcy
Dostawca autonomiczny
Przed podjęciem decyzji o wyborze usługodawcy przedsiębiorca musi zdecydować w jakiej chmurze przetwarzane będą zgromadzone przez niego dane. Wymienić można bowiem trzy rodzaje dostępnych infrastruktur: chmura publiczna zarządzana przez dostawców zewnętrznych, chmura prywatna zarządzana przez prywatnego dostawcę oraz chmura hybrydowa, łącząca w sobie cechy dwóch poprzednich rozwiązań. Z punktu widzenia bezpieczeństwa i ochrony danych najrozsądniejszym będzie wybór chmury prywatnej, a więc skorzystanie z usług dostawców autonomicznych oferujących rozwiązania dedykowane.
Miejsce przetwarzania
Przedsiębiorca korzystający z usług oferowanych przez dostawcę chmury zobowiązany będzie do podpisania umowy regulującej zakres przekazania i zarządzania danymi. W tym miejscu należy zwrócić uwagę na kilka ważnych elementów takiego kontraktu. Po pierwsze umowa powinna jasno wskazywać miejsce przetwarzania danych. Z zagadnieniem tym związane jest określenie jurysdykcji danego kraju. Kraje Unii Europejskiej stosują przepisy oparte na Dyrektywie 95/46/WE są to więc uregulowania zbliżone do siebie, zapewniające bezpieczeństwo. Przekazanie danych do tych państw jest więc dozwolone. Natomiast przekazanie danych osobowych do państw nie należących do Europejskiego Obszaru Gospodarczego nie daje pewności bezpiecznego korzystania z takich danych, a dodatkowo bezwzględnie wymaga zgody GIODO.
Przekazywanie danych
W umowie powinien zostać określony krąg podmiotów od strony usługodawcy, który posiadał będzie dostęp do danych. Jasne określenie tej kwestii pozwoli ograniczyć niebezpieczeństwo wycieku danych oraz ich wykorzystania przez osoby nieuprawnione. Również w przypadku gdyby dostawca chmury korzystał z usług podwykonawców, bezpiecznym rozwiązaniem będzie umieszenie klauzuli, w której zastrzeżony zostanie obowiązek każdorazowego uzyskania zgody przedsiębiorcy na przekazanie danych innym podmiotom.
Ciągłość dostępu
Przedsiębiorca, który zamierza przetwarzać dane osobowe w chmurze powinien zwrócić uwagę na środki techniczne i organizacyjne stosowane przez dostawcę w obszarze zabezpieczenia danych. Opis takiej infrastruktury technicznej powinien znaleźć swoje miejsce w paragrafach umowy. Częstym przypadkiem jest również sytuacja, w której ze względu na różne okoliczność takie jak awarie czy też ataki hakerskie wystąpić mogą problemy z dostępem do bazy danych. Rozsądnym posunięciem będzie wcześniejsze ustalanie czy rozwiązania oferowane przez dostawców chmury przewidują środki zapewnienia ciągłości dostępu do danych oraz zabezpieczenia przed ich całkowitą utratą, np. zapasowe serwery.
Usunięcie danych
W przypadku zakończenie stosunku umownego, należy określić również, co stanie się z przekazanymi danymi. Najczęściej będzie to określenie procedury usunięcia tych danych z systemów dostawcy chmury. W zakresie standardowych zapisów umownych, należałoby zwrócić uwagę przedsiębiorców na określenie czasu trwania umowy, warunków zakończenia kontraktu, właściwych kar i odpowiedzialności za poniesienie potencjalnych szkód oraz określenie prawa właściwego oraz właściwości sądowej w razie zajścia sporu.
Podsumowanie
Wskazane powyżej obowiązki dotyczące zapewnienia prawidłowego przetwarzania danych osobowych mają ogromne znaczenie dla przedsiębiorców i nie powinny być w żaden sposób lekceważone. Każdy przedsiębiorca musi być bowiem świadomy, że w większości przypadków przetwarzając dane jest on jednocześnie administratorem danych osobowych. Pod wspomnianym pojęciem administratora danych rozumie się organ, jednostkę organizacyjną bądź podmiot lub osobę, do której odnoszą się przepisy ustawy decydujące o celach i środkach przetwarzania danych osobowych.
Administrator danych zgodnie z prawem może powierzyć ich przetwarzanie innemu podmiotowi w drodze umowy zawartej na piśmie. Jednakże w żaden sposób nie zwalnia go to z odpowiedzialności. Dlatego dla zabezpieczenia własnych interesów konieczne będzie wnikliwe przeanalizowanie zapisów umów o korzystanie z chmury.
Maciej Zawadzki
Założyciel serwisu PrawnieSkuteczni.pl
Prawnik zajmujący się zagadnieniami związanymi z tematyką e-commerce. Swoje doświadczenia zdobywał w renomowanych krakowskich kancelariach pod okiem specjalistów. Interesuje się problematyką umów z zakresu prawa IT oraz umów obejmujących prawo autorskie.
