Aktualny

Przetwarzanie danych osobowych w chmurze - zgodne z RODO

Michał Nosowski

Autor: Michał Nosowski

Dodano: 5 lipca 2024
Depositphotos_10301431_l-2015

Przedsiębiorcy powszechnie korzystają z usługi przetwarzania danych osobowych w chmurze (cloud computing). Rozwiązanie to umożliwia redukcję kosztów działalności przedsiębiorstwa z uwagi na jednoczesny outsourcing części usług IT, a jednocześnie pozwala na poprawę jakości ich działania.  Z drugiej strony nie należy zapominać o konieczności zapewnienia bezpieczeństwa przetwarzanych danych osobowych. Sprawdź, o czym pamiętać, przechowując dane osobowe w chmurze.

Przetwarzanie danych osobowych w chmurze obliczeniowej (cloud computing)

Powszechnym jest przechowywanie danych firm w chmurze. W tym celu firmy korzystają zarówno z dedykowanych rozwiązań w postaci aplikacji chmurowych (SaaS), jak również z całych platform (PaaS) czy też infrastruktury chmurowej (IaaS). W ramach tych danych przetwarzane są także dane osobowe. Przechowywane są one na serwerach zarządzanych przez usługodawcę (dostawcę usługi chmurowej), co oznacza konieczność wprowadzenia odpowiednich rozwiązań dotyczących ochrony danych osobowych pomiędzy użytkownikiem, a podmiotem świadczącym usługi cloud computing.

Usługa chmury obliczeniowej - kto ma status administratora

Zgodnie z przepisami o ochronie danych przedsiębiorca będący użytkownikiem usługi chmury chmurowej posiada status administratora danych osobowych, ponieważ samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Uwaga

To przedsiębiorca lub inna organizacja korzystająca z usług chmurowych decyduje o tym w jakim celu przetwarzane będą dane osobowe, jak również w jaki sposób mogą być przetwarzane – np. w zakresie obsługi klientów, prowadzenia rachunkowości czy wykonywania umów o pracę zawartych z pracownikami (art. 4 pkt 7 RODO).

Dostawca usługi chmurowej jako procesor

Z kolei dostawca usług chmurowych jedynie świadczy usługę, która pozwala administratorowi danych osobowych na zrealizowanie swoich celów w zakresie przetwarzania danych osobowych. Sam zaś nie decyduje o sposobie i celu przetwarzania tych danych. Dlatego dostawcę należy uznać za podmiot przetwarzający (art. 4 pkt 8 RODO). W konsekwencji dochodzi tu do powierzenia przetwarzania danych osobowych.

Przetwarzanie danych w chmurze wymaga zawarcia umowy powierzenia przetwarzania danych

Warunki tego powierzenia w tym treść umowy reguluje art. 28 RODO, który nakłada liczne obowiązki zarówno na administratora danych, jak i na podmiot przetwarzający. Obowiązki te powinny być skonkretyzowane w łączącej strony umowie o świadczenie usług ewentualnie w odrębnej umowie powierzenia przetwarzania danych. Nie wystarczy tu zatem samo zapoznanie się i podpisanie polityki prywatności prezentowanej przez dostawcę.

Zanim zawrzesz umowę powierzenia – wybierz bezpiecznego dostawcę chmury

Administrator powinien wykonać niektóre obowiązki w zakresie ochrony danych jeszcze przed zawarciem umowy z dostawcą usługi chmurowej (ewentualnie umowy powierzenia przetwarzania danych) i przekazaniem danych osobowych na podstawie tej umowy. Przede wszystkim musi wybrać taki podmiot przetwarzający, który zagwarantuje wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Jak zrealizować ten obowiązek? Przepisy tej kwestii nie określają. Należy jednak przyjąć, że mniejsi administratorzy, którzy przetwarzają stosunkową niewielką ilość danych osobowych (bez danych szczególnej kategorii takich jak np. dane o stanie zdrowia czy dane biometryczne) powinni przynajmniej zbadać, jakie standardy w zakresie bezpieczeństwa przetwarzania danych spełnia potencjalny procesor.

Przykład

Przykład

Chcesz zweryfikować dostawcę chmurowego pod kątem bezpieczeństwa przetwarzania danych? Zapoznaj się z informacjami dotyczącymi zasad zachowania poufności publikowanymi na stronie internetowej dostawcy. Jeżeli to nie będzie wystarczające, zadaj mu odpowiednie pytania, które pozwolą na pełną weryfikację. Odmowa ich udzielenia powinna eliminować potencjalnego dostawcę z listy podmiotów, które administrator bierze pod uwagę.

Uzasadnienie znajduje również zweryfikowanie doniesień medialnych na temat bezpieczeństwa danych w danym podmiocie lub opinii jego klientów (choć w praktyce takie doniesienia i opinie nie są jeszcze zbyt częste). Jeśli jednak administrator dotrze do takich informacji i wzbudzają one wątpliwości, gdyż np. świadczą o braku odpowiedniej reakcji dostawcy na przypadki naruszeń ochrony danych osobowych czy nieudzielania odpowiedzi na pytania klientów dotyczące przetwarzania danych osobowych, wówczas zasadna jest rezygnacja z usług podmiotu, którego te informacje dotyczą. Z kolei w sytuacji gdy administrator zamierza przekazać dane osobowe w szerszym zakresie lub będą to dane szczególnej kategorii, należy przeprowadzić audyt u potencjalnego podmiotu przetwarzającego.

Umowa powierzenia w związku z korzystaniem z usługi chmury - wg RODO

W następstwie wyboru odpowiedniego dostawcy usług chmurowych administrator danych osobowych powinien zawrzeć z nim umowę powierzenia przetwarzania danych osobowych, ewentualnie strony powinny przewidzieć odpowiednie zapisy w zakresie przetwarzania danych w umowie o świadczenie usług.

Uwaga

Na gruncie RODO umowa powierzenia przetwarzania danych w związku z usługą cloud computing musi regulować m.in. kategorie danych osobowych przechowywanych w chmurze.

Bezpieczeństwo danych w chmurze w umowie powierzenia

W umowie należy także przewidzieć zobowiązanie podmiotu przetwarzającego do stosowanie odpowiednich środków bezpieczeństwa przetwarzania danych. Procesor powinien być zobligowany do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zagwarantować stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, przy uwzględnieniu stanu wiedzy technicznej, kosztów wdrażania (art. 28 ust. 3 lit. c, art. 32 ust. 3 RODO).

Choć zgodne z prawem, to jednak samo przytoczenie wskazanych wyżej przepisów nie zawsze będzie wystarczające. Rozwiązanie takie pozwala bowiem podmiotowi przetwarzającemu na dość dowolny wybór zabezpieczeń danych osobowych przechowywanych w chmurze. Dlatego w zależności od potrzeb administratora danych osobowych warto rozważyć zobowiązanie dostawcy usług chmurowych do stosowania określonej metodologii związanej z dokonywaniem analizy ryzyka. Dzięki takiemu rozwiązaniu podmiot przetwarzający ma względną dowolność w wyborze określonych zabezpieczeń, niemniej jednak przy ich wyborze powinien jednak kierować się umówionymi metodami dokonywania oceny, które zabezpieczenia są adekwatne (np. zgodnie z normami ISO).

Uwaga

Niezależnie od przyjętych środków bezpieczeństwa podmiot przetwarzający nie jest zwolniony z odpowiedzialności za naruszenie ochrony danych, gdyby wybrane przez niego zabezpieczenia okazały się niewystarczające. Z drugiej strony uchybienie podmiotu przetwarzającego (np. nieuprawnione udostępnienie danych) godzi też w renomę administratora.

Jeszcze dalej idącym rozwiązaniem jest wprowadzenie do umowy (w jej treści lub w załączniku) konkretnych rodzajów zabezpieczeń, jakie zobligowany jest stosować podmiot przetwarzający. Dzięki takiej klauzuli w umowie administrator zyska stosunkowo dużą wiedzę na temat tego jakie zabezpieczenia są stosowane przez podmiot przetwarzający i poza tym ma realny wpływ na kształtowanie polityki ochrony danych przetwarzanych w chmurze. W takiej sytuacji ewentualna zmiana środków bezpieczeństwa np. w oprogramowaniu, którym posługuje się dostawca, czy na serwerach chmury będzie bowiem wymagała zgody obydwu stron umowy.

Odpowiedzialność za przechowywanie danych w chmurze ponosi także użytkownik

Niezależnie od przyjętych środków bezpieczeństwa należy mieć świadomość, że w przypadku naruszenia ochrony danych przechowywanych w chmurze finalną odpowiedzialność względem podmiotów danych poniesie administrator danych osobowych. Odpowiedzialność administratora obejmie bowiem obszar, w którym dane są przetwarzane przez podmiot przetwarzający. Dlatego właśnie tak istotne jest zbadania, jaki poziom zabezpieczeń został osiągnięty przez dostawcę usług chmurowych.

Podsumowanie

Reasumując, aspektem przetwarzania danych osobowych w chmurze jest zapewnienie bezpieczeństwa przetwarzania tych danych przez podmiot świadczący cloud computing. Nie każdy podmiot spełni w tym zakresie standardy bezpieczeństwa, dlatego niezwykle istotna jest ocena jakości stosowanych zabezpieczeń, którą należy przeprowadzić jeszcze przed faktycznym wyborem dostawcy usługi chmurowej. Następnie należy tak sformułować łączącą strony umowę powierzenia przetwarzania danych (ewentualnie zapisy dotyczące powierzenia w umowie o świadczenie usług chmurowych), aby administrator miał zagwarantowane, że procesor podejmuje należyte starania w zakresie ochrony przechowywanych danych.

Uwaga

Korzystanie z usług chmury może wiązać się z transferem danych osobowych do państw trzecich czyli poza EOG. Poznaj 8 narzędzi niezbędnych do transferu danych do państwa trzeciego.

Opracowanie: Michał Kowalski

na bazie artykułu Michała Nosowskiego

Michał Nosowski

Autor: Michał Nosowski

radca prawny, specjalizujący się w prawie nowych technologii i ochronie danych osobowych. www.michalnosowski.pl, www.wsroddanych.pl

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x