Chmura obliczeniowa a RODO

Chmura obliczeniowa a RODO

 

W ostatnim czasie zainteresowanie zagadnieniami przechowywania danych osobowych w chmurze stale rośnie. Rozwiązanie to jest popularne, my zaś mamy co najmniej kilku godnych uwagi dostawców takiego rozwiązania. Najbardziej znanymi rozwiązaniami tego typu są Google Drive, DopBox czy też Icloud. Nie można jednak zapominać przy tym o zapewnieniu bezpieczeństwa przetwarzanych danych osobowych. Należy pamiętać, iż chmura w pewnym sensie funkcjonuje poza kontrolą użytkowników, zaś dostęp do przesłanych za jej pośrednictwem danych osobowych mają również podmioty zewnętrzne. Z tego względu powinniśmy pamiętać o zapewnieniu odpowiednich środków bezpieczeństwa, w tym zadbać o zawarcie stosownych umów powierzenia.

Zaznaczamy na wstępie, że niniejszy artykuł ma na celu przekazanie najważniejszych informacji. Zagadnienie to jest na tyle rozbudowane i skomplikowane, że nie sposób przedstawić je w formie jednego artykułu.

CZY KORZYSTAJĄC Z CHMURY POWIERZAM DANE OSOBOWE?

Pierwszym pytaniem, które powinniśmy sobie zadać, to  czym jest chmura i na czym polega korzystanie z niej. Otóż chmurą nazwiemy sieć zdalnych serwerów, dzięki którym możemy przechowywać różnego rodzaju dane a także nimi zarządzać. Inaczej można by rzec, że to nasz przenośny, wirtualny dysk.

Korzystanie z chmury obliczeniowej jest połączone z przetwarzaniem danych osobowych w sposób oczywisty i nierozerwalny. W chmurze co do zasady znajduje się wiele poufnych informacji, w tym dane o pracownikach, klientach, kontrahentach biznesowych, jak i również liczne dokumenty księgowe, które niewątpliwie będą zawierać szereg danych osobowych. Art. 4 pkt 2 RODO wskazuje, że przetwarzanie danych osobowych to wszelkiego rodzaju zbieranie, utrwalanie, przechowywanie, organizowanie, modyfikowanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. W związku z tym należy się zgodzić, iż każda usługa chmury będzie polegać na przetwarzaniu danych osobowych, a tym samym podlegać pod regulacje RODO.

WYBÓR DOSTAWCY CHMURY A RODO

Ważną kwestią w przypadku korzystania z chmury jest wybór właściwego dostawcy. Przede wszystkim należy zwrócić uwagę na to, aby dostawca chmury w ślad za treścią motywu 81 RODO zapewniał wystarczające gwarancje bezpiecznego przetwarzania powierzanych mu danych osobowych, tj. posiadał odpowiednią wiedzę, wiarygodność oraz zasoby, w tym stosował odpowiednie środki techniczne i organizacyjne mające na celu zapewnić odpowiednio wysoki stopień bezpieczeństwa danych. Art. 28 pkt. 1 RODO stanowi wyraźnie, że administrator powinien korzystać z usług takich podmiotów przetwarzających, które zapewniają gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych tak, aby przetwarzanie danych nie tylko spełniało wymogi RODO, ale przede wszystkim chroniło prawa osób, których te dane dotyczą. Z tego powodu przy wyborze dostawcy chmury powinniśmy się kierować tym kryterium, w ramach którego dostawca powinien spełniać powyższe wymagania RODO.

Z praktyki należy trzymać się następujących zasad:

  1. Nie wybieraj najtańszego dostawcy – cena bardzo często nie będzie szła w parze z oferowaną jakością usług. Wielu dostawców oferuje tzw. free trial, które umożliwi darmowe przetestowanie usługi. Może to być pomocne także w kontekście omawianego tu zagadnienia.
  2. Zweryfikuj, czy dostawca w ogóle uregulował zagadnienia przetwarzania danych osobowych w dokumentacji dotyczącej zawieranej z nim umowy. I tu pierwszeństwo powinny mieć podmioty legitymujące się certyfikatem ISO. Porównaj oferowanego przez niego rozwiązania z środkami fizycznymi i technicznymi, które stosujesz w swoim przedsiębiorstwie. Zweryfikuj też, w jakim stopniu dostawca zabezpiecza dane osobowe przed cyberatakami. Krótko mówiąc przeprowadź analizę ryzyka przyjęcia takiego rozwiązania w swojej instytucji.
  3. Zweryfikuj, gdzie zlokalizowane są serwery (takie informacje powinny być nam podane w formie stosownej dokumentacji z zakresu ochrony danych osobowych). Trzeba też powiedzieć sobie jasno, że w przypadku wyboru dostawcy pochodzącego np. ze Stanów Zjednoczonych może nie gwarantować zachowania wymogów stawianych przez unijny akt.
  4. Sprawdź, w jaki sposób tworzona jest kopia zapasowa zawartości chmury.
  5. Ustal, w jaki sposób dostawca reaguje na wystąpienie awarii po jego stronie. Czy Twoja instytucja będzie w stanie zapewnić ciągłość działania instytucji?
  6. Zerknij na opinie o Twoim dostawcy – to zawsze pożądana praktyka w przypadku dużego przedsięwzięcia.

UMOWA POWIERZENIA Z DOSTAWCĄ CHMURY

Powierzeniem danych osobowych jest ich przetwarzanie , dokonywanie na nich stosownych operacji przez określony podmiot na zlecenie administratora danych osobowych. To mogą być dane osobowe naszych pracowników, kontrahentów biznesowych tudzież klientów. Co istotne podmiot, który przetwarza dane osobowe nie staje się ich administratorem. Działa on w imieniu oraz zgodnie z celem i sposobem określonym przez administratora danych na podstawie umowy powierzenia.

Ważne jest, aby pamiętać, by w przypadku powierzenia przetwarzania danych osobowych zadbać o zawarcie stosownej umowy powierzenia przetwarzania danych. W takiej umowie należy określić:

  1. określić administratora danych,
  2. określić podmiot przetwarzający dane na zlecenie administratora,
  3. wskazać przedmiot i czas trwania przetwarzania,
  4. wskazać charakter i cel przetwarzania,
  5. określić rodzaj powierzanych danych osobowych oraz kategorie osób, których dane dotyczą,
  6. wskazać obowiązki i prawa administratora,
  7. wskazać oświadczenia procesora, określające jego obowiązki.

Art.28 pkt. 3 RODO wskazuje również na obowiązki podmiotu przetwarzającego, które również powinna zawierać umowa powierzenia. Podmiot przetwarzający przede wszystkim:

a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
c) podejmuje wszelkie środki wymagane na mocy 32 bezpieczeństwo przetwarzania;
d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;
e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art 32–36;
g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

Co istotne, część dużych dostawców usług chmurowych zadbała o tę kwestię i dostosowała swoje regulacje odpowiadając tym samym wymogom treści umowy powierzenia przetwarzania danych osobowych. W taki sposób postąpił np. Google. Oznacza to, iż w tej sytuacji nie ma konieczności zawierana odrębnej umowy powierzenia.

ODPOWIEDZIALNOŚĆ ZA KORZYSTANIE Z CHMURY W ŚWIETLE RODO

W sytuacji, gdy doszłoby do naruszenia danych osobowych przechowywanych w chmurze, w stosunku do podmiotów danych osobowych odpowiedzialność poniesie przede wszystkim administrator. To na nas spoczywa obowiązek zapewnienia odpowiedniego poziomu zabezpieczeń oraz wyboru dostawców usług, którzy do tego poziomu przystają. Co istotne, nie wyklucza to jednak odpowiedzialności dostawcy chmury. W rozumieniu RODO będzie on Podmiotem przetwarzającym co oznacza, że za wyrządzone szkody poniesie nie tylko odpowiedzialność z tytułu nienależytego wykonania zobowiązań umownych, ale również administracyjną za naruszenie swoich obowiązków, które wynikają z RODO. Nie należy przy tym zapominać o odpowiedzialności karnej, którą zawsze ponosi sprawca czynu zabronionego wypełniającego znamiona przestępstwa.

Mamy nadzieję, że powyższe kwestie pomogą Państwu w podjęciu właściwej decyzji i wyborze odpowiedniego dostawcy rozwiązań chmurowych.

Zakładam, że jesteś tu po to, bo szukasz informacji na konkretny temat. Jeśli powyższy post nie rozwiązał Twojego problemu, zachęcam Cię do konsultacji online.

Ostatnie posty

Dane wrażliwe (art. 9 RODO)
Dane wrażliwe (art. 9 RODO)

Czym są dane wrażliwe? Czy danymi wrażliwymi są wszystkie dane osobowe czy tylko wybrana część?

Rejestr czynności przetwarzania
Rejestr czynności przetwarzania

RODO nakłada na administratorów danych osobowych szereg obowiązków. Jednym z nich jest prowadzenie rejestru czynności przetwarzania. Czym zatem jest ten rejestr i w jakim celu należy go prowadzić?

Analiza ryzyka
Analiza ryzyka

Jednym z obowiązków Administratora, który nakładają na niego przepisy RODO jest wykonanie oceny skutków dla ochrony danych osobowych. W artykule kilka ważnych informacji dla osób dokonujących słynnego DPiA.