Przechowywanie danych osobowych w chmurze – o czym pamiętać

Michał Nosowski

Autor: Michał Nosowski

Dodano: 2 kwietnia 2019
Depositphotos_10301431_l-2015

Coraz częściej przedsiębiorcy wybierają cloud computing, czyli rozwiązanie polegające na przechowywaniu danych w tzw. chmurze. Rozwiązanie to pozwala na redukcję kosztów działalności przedsiębiorstwa z uwagi na jednoczesny outsourcing części usług IT, a jednocześnie pozwala na poprawę jakości ich działania.  Z drugiej strony nie należy zapominać o konieczności zapewnienia bezpieczeństwa przetwarzanych danych osobowych. Sprawdź, o czym pamiętać, przechowując dane osobowe w chmurze.

Z tematu tygodnia dowiesz się m.in.:

  • jak wybrać dostawcę usługi chmurowej w kontekście ochrony danych,
  • czy z dostawcą usługi chmurowej należy zawrzeć umowę powierzenia przetwarzania danych
  • kto odpowiada za naruszenie ochrony danych przechowywanych w chmurze.

Dostawca usługi chmurowej jako procesor

Przedsiębiorcy przechowują dane w chmurze, korzystając zarówno z dedykowanych rozwiązań w postaci aplikacji chmurowych (SaaS), jak również z całych platform (PaaS) czy też infrastruktury chmurowej (IaaS). W ramach tych danych przetwarzane są także dane osobowe. Przechowywane są one na serwerach zarządzanych przez usługodawcą, co oznacza konieczność wprowadzenia odpowiednich rozwiązań w zakresie ochrony danych pomiędzy przedsiębiorcą, a podmiotem świadczącym usługi cloud computing.

Przedsiębiorca korzystający z usługi chmurowej posiada status administratora danych osobowych, ponieważsamodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Innymi słowy podmiot korzystający z usług chmurowych decyduje o tym w jakim celu przetwarzane będą dane osobowe, jak również w jaki sposób mogą być przetwarzane – np. w zakresie obsługi klientów czy wykonywania umów o pracę zawartych z pracownikami (art. 4 pkt 7 RODO)

Z kolei dostawca usług chmurowych jedynie świadczy usługę, która pozwala administratorowi danych osobowych na zrealizowanie swoich celów w zakresie przetwarzania danych osobowych. Sam zaś nie decyduje o sposobie i celu przetwarzania tych danych. Dlatego dostawcę należy uznać za podmiot przetwarzający (art. 4 pkt 8 RODO). W konsekwencji dochodzi tu do powierzenia przetwarzania danych osobowych. Warunki tego powierzenia reguluje art. 28 RODO, który nakłada liczne obowiązki zarówno na administratora danych, jak i na podmiot przetwarzający. Obowiązki te powinny być skonkretyzowane w łączącej strony umowie o świadczenie usług ewentualnie w odrębnej umowie powierzenia przetwarzania danych.

Zanim zawrzesz umowę powierzenia – wybierz bezpiecznego dostawcę

Administrator powinien wykonać niektóre obowiązki w zakresie ochrony danych jeszcze przed zawarciem umowy z dostawcą usługi chmurowej (ewentualnie umowy powierzenia przetwarzania danych) i przekazaniem danych osobowych na podstawie tej umowy. Administrator musi bowiem wybrać taki podmiot przetwarzający, który zagwarantuje wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Jak zrealizować ten obowiązek? Przepisy tej kwestii nie określają. Należy jednak przyjąć, że mniejsi administratorzy, którzy przetwarzają stosunkową niewielką ilość danych osobowych (bez danych szczególnej kategorii takich jak np. dane o stanie zdrowia czy dane biometryczne) powinni przynajmniej zbadać, jakie standardy w zakresie bezpieczeństwa przetwarzania danych spełnia potencjalny procesor.

Przykład

Chcesz zweryfikować dostawcę chmurowego pod kątem bezpieczeństwa przetwarzania danych? Zapoznaj się z informacjami dotyczącymi zasad zachowania poufności publikowanymi na stronie internetowej dostawcy. Jeżeli to nie będzie wystarczające, zadaj mu odpowiednie pytania, które pozwolą na pełną weryfikację. Odmowa ich udzielenia powinna eliminować potencjalnego dostawcę z listy podmiotów, które administrator bierze pod uwagę.

Uzasadnienie znajduje również zweryfikowanie doniesień medialnych na temat bezpieczeństwa danych w danym podmiocie lub opinii jego klientów (choć w praktyce takie doniesienia i opinie nie są jeszcze zbyt częste). Jeśli jednak administrator dotrze do takich informacji i wzbudzają one wątpliwości, gdyż np. świadczą o braku odpowiedniej reakcji dostawcy na przypadki naruszeń ochrony danych osobowych czy nieudzielania odpowiedzi na pytania klientów dotyczące przetwarzania danych osobowych, wówczas zasadna jest rezygnacja z usług podmiotu, którego te informacje dotyczą.

Z kolei w sytuacji gdy administrator zamierza przekazać dane osobowe w szerszym zakresie lub będą to dane szczególnej kategorii, należy przeprowadzić audyt u potencjalnego podmiotu przetwarzającego.

Co w umowie powierzenia

W następstwie wyboru odpowiedniego dostawcy usług chmurowych administrator danych osobowych powinien zawrzeć z nim umowę powierzenia przetwarzania danych osobowych, ewentualnie strony powinny przewidzieć odpowiednie zapisy w zakresie przetwarzania danych w umowie o świadczenie usług. W umowie należy w szczególności przewidzieć zobowiązanie podmiotu przetwarzającego do stosowanie odpowiednich środków bezpieczeństwa przetwarzania danych. Procesor powinien być zobligowany do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zagwarantować stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, przy uwzględnieniu stanu wiedzy technicznej, kosztów wdrażania (art. 28 ust. 3 lit. c, art. 32 ust. 3 RODO).

Choć zgodne z prawem, to jednak samo przytoczenie wskazanych wyżej przepisów nie zawsze będzie wystarczające. Rozwiązanie takie pozwala bowiem podmiotowi przetwarzającemu na dość dowolny wybór zabezpieczeń danych osobowych przechowywanych w chmurze. Dlatego w zależności od potrzeb administratora danych osobowych warto rozważyć zobowiązanie dostawcy usług chmurowych do stosowania określonej metodologii związanej z dokonywaniem analizy ryzyka. Dzięki takiemu rozwiązaniu podmiot przetwarzający ma względną dowolność w wyborze określonych zabezpieczeń, niemniej jednak przy ich wyborze powinien jednak kierować się umówionymi metodami dokonywania oceny, które zabezpieczenia są adekwatne (np. zgodnie z normami ISO).

Uwaga

Niezależnie od przyjętych środków bezpieczeństwa podmiot przetwarzający nie jest zwolniony z odpowiedzialności za naruszenie ochrony danych, gdyby wybrane przez niego zabezpieczenia okazały się niewystarczające. Z drugiej strony uchybienie podmiotu przetwarzającego (np. nieuprawnione udostępnienie danych) godzi też w renomę administratora.

Jeszcze dalej idącym rozwiązaniem jest wprowadzenie do umowy (w jej treści lub w załączniku) konkretnych rodzajów zabezpieczeń, jakie zobligowany jest stosować podmiot przetwarzający. Dzięki takiemu zapisowiadministrator zyska stosunkowo dużą wiedzę na temat tego jakie zabezpieczenia są stosowane przez podmiot przetwarzający i poza tym ma realny wpływ na kształtowanie polityki ochrony danych przetwarzanych w chmurze. W takiej sytuacji ewentualna zmiana środków bezpieczeństwa będzie bowiem wymagała zgody obydwu stron umowy.

Odpowiedzialność za dane w chmurze ponosi także administrator

Niezależnie od przyjętych środków bezpieczeństwa należy mieć świadomość, że w przypadku naruszenia ochrony danych przechowywanych w chmurze finalną odpowiedzialność względem podmiotów danych poniesie administrator danych osobowych. Odpowiedzialność administratora obejmie bowiem obszar, w którym dane są przetwarzane przez podmiot przetwarzający. Dlatego właśnie tak istotne jest zbadania, jaki poziom zabezpieczeń został osiągnięty przez dostawcę usług chmurowych.

Reasumując …

… najważniejszym aspektem przetwarzania danych osobowych w chmurze jest zapewnienie bezpieczeństwa przetwarzania tych danych przez podmiot świadczący cloud computing. Nie każdy podmiot spełni w tym zakresie standardy bezpieczeństwa, dlatego niezwykle istotna jest ocena jakości stosowanych zabezpieczeń, którą należy przeprowadzić jeszcze przed faktycznym wyborem dostawcy usługi chmurowej. Następnie należy tak sformułować łączącą strony umowę powierzenia przetwarzania danych (ewentualnie zapisy dotyczące powierzenia w umowie o świadczenie usług chmurowych), aby administrator miał zagwarantowane, że procesor podejmuje należyte starania w zakresie ochrony przechowywanych danych.

Michał Nosowski

Autor: Michał Nosowski

radca prawny, specjalizujący się w prawie nowych technologii i ochronie danych osobowych. www.michalnosowski.pl, www.wsroddanych.pl

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x