W ostatnim czasie zainteresowanie zagadnieniami przechowywania danych osobowych w chmurze stale rośnie. Rozwiązanie to jest popularne, my zaś mamy co najmniej kilku godnych uwagi dostawców takiego rozwiązania. Najbardziej znanymi rozwiązaniami tego typu są Google Drive, DopBox czy też Icloud. Nie można jednak zapominać przy tym o zapewnieniu bezpieczeństwa przetwarzanych danych osobowych. Należy pamiętać, iż chmura w pewnym sensie funkcjonuje poza kontrolą użytkowników, zaś dostęp do przesłanych za jej pośrednictwem danych osobowych mają również podmioty zewnętrzne. Z tego względu powinniśmy pamiętać o zapewnieniu odpowiednich środków bezpieczeństwa, w tym zadbać o zawarcie stosownych umów powierzenia.
Zaznaczamy na wstępie, że niniejszy artykuł ma na celu przekazanie najważniejszych informacji. Zagadnienie to jest na tyle rozbudowane i skomplikowane, że nie sposób przedstawić je w formie jednego artykułu.
Pierwszym pytaniem, które powinniśmy sobie zadać, to czym jest chmura i na czym polega korzystanie z niej. Otóż chmurą nazwiemy sieć zdalnych serwerów, dzięki którym możemy przechowywać różnego rodzaju dane a także nimi zarządzać. Inaczej można by rzec, że to nasz przenośny, wirtualny dysk.
Korzystanie z chmury obliczeniowej jest połączone z przetwarzaniem danych osobowych w sposób oczywisty i nierozerwalny. W chmurze co do zasady znajduje się wiele poufnych informacji, w tym dane o pracownikach, klientach, kontrahentach biznesowych, jak i również liczne dokumenty księgowe, które niewątpliwie będą zawierać szereg danych osobowych. Art. 4 pkt 2 RODO wskazuje, że przetwarzanie danych osobowych to wszelkiego rodzaju zbieranie, utrwalanie, przechowywanie, organizowanie, modyfikowanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. W związku z tym należy się zgodzić, iż każda usługa chmury będzie polegać na przetwarzaniu danych osobowych, a tym samym podlegać pod regulacje RODO.
Ważną kwestią w przypadku korzystania z chmury jest wybór właściwego dostawcy. Przede wszystkim należy zwrócić uwagę na to, aby dostawca chmury w ślad za treścią motywu 81 RODO zapewniał wystarczające gwarancje bezpiecznego przetwarzania powierzanych mu danych osobowych, tj. posiadał odpowiednią wiedzę, wiarygodność oraz zasoby, w tym stosował odpowiednie środki techniczne i organizacyjne mające na celu zapewnić odpowiednio wysoki stopień bezpieczeństwa danych. Art. 28 pkt. 1 RODO stanowi wyraźnie, że administrator powinien korzystać z usług takich podmiotów przetwarzających, które zapewniają gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych tak, aby przetwarzanie danych nie tylko spełniało wymogi RODO, ale przede wszystkim chroniło prawa osób, których te dane dotyczą. Z tego powodu przy wyborze dostawcy chmury powinniśmy się kierować tym kryterium, w ramach którego dostawca powinien spełniać powyższe wymagania RODO.
Z praktyki należy trzymać się następujących zasad:
Powierzeniem danych osobowych jest ich przetwarzanie , dokonywanie na nich stosownych operacji przez określony podmiot na zlecenie administratora danych osobowych. To mogą być dane osobowe naszych pracowników, kontrahentów biznesowych tudzież klientów. Co istotne podmiot, który przetwarza dane osobowe nie staje się ich administratorem. Działa on w imieniu oraz zgodnie z celem i sposobem określonym przez administratora danych na podstawie umowy powierzenia.
Ważne jest, aby pamiętać, by w przypadku powierzenia przetwarzania danych osobowych zadbać o zawarcie stosownej umowy powierzenia przetwarzania danych. W takiej umowie należy określić:
Art.28 pkt. 3 RODO wskazuje również na obowiązki podmiotu przetwarzającego, które również powinna zawierać umowa powierzenia. Podmiot przetwarzający przede wszystkim:
a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
c) podejmuje wszelkie środki wymagane na mocy 32 bezpieczeństwo przetwarzania;
d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;
e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art 32–36;
g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
Co istotne, część dużych dostawców usług chmurowych zadbała o tę kwestię i dostosowała swoje regulacje odpowiadając tym samym wymogom treści umowy powierzenia przetwarzania danych osobowych. W taki sposób postąpił np. Google. Oznacza to, iż w tej sytuacji nie ma konieczności zawierana odrębnej umowy powierzenia.
W sytuacji, gdy doszłoby do naruszenia danych osobowych przechowywanych w chmurze, w stosunku do podmiotów danych osobowych odpowiedzialność poniesie przede wszystkim administrator. To na nas spoczywa obowiązek zapewnienia odpowiedniego poziomu zabezpieczeń oraz wyboru dostawców usług, którzy do tego poziomu przystają. Co istotne, nie wyklucza to jednak odpowiedzialności dostawcy chmury. W rozumieniu RODO będzie on Podmiotem przetwarzającym co oznacza, że za wyrządzone szkody poniesie nie tylko odpowiedzialność z tytułu nienależytego wykonania zobowiązań umownych, ale również administracyjną za naruszenie swoich obowiązków, które wynikają z RODO. Nie należy przy tym zapominać o odpowiedzialności karnej, którą zawsze ponosi sprawca czynu zabronionego wypełniającego znamiona przestępstwa.
Mamy nadzieję, że powyższe kwestie pomogą Państwu w podjęciu właściwej decyzji i wyborze odpowiedniego dostawcy rozwiązań chmurowych.
Zakładam, że jesteś tu po to, bo szukasz informacji na konkretny temat. Jeśli powyższy post nie rozwiązał Twojego problemu, zachęcam Cię do konsultacji online.
Czym są dane wrażliwe? Czy danymi wrażliwymi są wszystkie dane osobowe czy tylko wybrana część?
RODO nakłada na administratorów danych osobowych szereg obowiązków. Jednym z nich jest prowadzenie rejestru czynności przetwarzania. Czym zatem jest ten rejestr i w jakim celu należy go prowadzić?
Jednym z obowiązków Administratora, który nakładają na niego przepisy RODO jest wykonanie oceny skutków dla ochrony danych osobowych. W artykule kilka ważnych informacji dla osób dokonujących słynnego DPiA.