Przetwarzanie danych osobowych w chmurze - zgodne z RODO

Zgodnie z przepisami o ochronie danych przedsiębiorca będący użytkownikiem usługi chmury chmurowej posiada status administratora danych osobowych, ponieważ samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Z kolei dostawca usług chmurowych jedynie świadczy usługę, która pozwala administratorowi danych osobowych na zrealizowanie swoich celów w zakresie przetwarzania danych osobowych. Sam zaś nie decyduje o sposobie i celu przetwarzania tych danych. Dlatego dostawcę należy uznać za podmiot przetwarzający (art. 4 pkt 8 RODO). W konsekwencji dochodzi tu do powierzenia przetwarzania danych osobowych.

Warunki tego powierzenia w tym treść umowy reguluje art. 28 RODO, który nakłada liczne obowiązki zarówno na administratora danych, jak i na podmiot przetwarzający. Obowiązki te powinny być skonkretyzowane w łączącej strony umowie o świadczenie usług ewentualnie w odrębnej umowie powierzenia przetwarzania danych. Nie wystarczy tu zatem samo zapoznanie się i podpisanie polityki prywatności prezentowanej przez dostawcę.

Administrator powinien wykonać niektóre obowiązki w zakresie ochrony danych jeszcze przed zawarciem umowy z dostawcą usługi chmurowej (ewentualnie umowy powierzenia przetwarzania danych) i przekazaniem danych osobowych na podstawie tej umowy. Przede wszystkim musi wybrać taki podmiot przetwarzający, który zagwarantuje wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Jak zrealizować ten obowiązek? Przepisy tej kwestii nie określają. Należy jednak przyjąć, że mniejsi administratorzy, którzy przetwarzają stosunkową niewielką ilość danych osobowych (bez danych szczególnej kategorii takich jak np. dane o stanie zdrowia czy dane biometryczne) powinni przynajmniej zbadać, jakie standardy w zakresie bezpieczeństwa przetwarzania danych spełnia potencjalny procesor.

Uzasadnienie znajduje również zweryfikowanie doniesień medialnych na temat bezpieczeństwa danych w danym podmiocie lub opinii jego klientów (choć w praktyce takie doniesienia i opinie nie są jeszcze zbyt częste). Jeśli jednak administrator dotrze do takich informacji i wzbudzają one wątpliwości, gdyż np. świadczą o braku odpowiedniej reakcji dostawcy na przypadki naruszeń ochrony danych osobowych czy nieudzielania odpowiedzi na pytania klientów dotyczące przetwarzania danych osobowych, wówczas zasadna jest rezygnacja z usług podmiotu, którego te informacje dotyczą. Z kolei w sytuacji gdy administrator zamierza przekazać dane osobowe w szerszym zakresie lub będą to dane szczególnej kategorii, należy przeprowadzić audyt u potencjalnego podmiotu przetwarzającego.

W następstwie wyboru odpowiedniego dostawcy usług chmurowych administrator danych osobowych powinien zawrzeć z nim umowę powierzenia przetwarzania danych osobowych, ewentualnie strony powinny przewidzieć odpowiednie zapisy w zakresie przetwarzania danych w umowie o świadczenie usług.

W umowie należy także przewidzieć zobowiązanie podmiotu przetwarzającego do stosowanie odpowiednich środków bezpieczeństwa przetwarzania danych. Procesor powinien być zobligowany do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zagwarantować stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, przy uwzględnieniu stanu wiedzy technicznej, kosztów wdrażania (art. 28 ust. 3 lit. c, art. 32 ust. 3 RODO).

Choć zgodne z prawem, to jednak samo przytoczenie wskazanych wyżej przepisów nie zawsze będzie wystarczające. Rozwiązanie takie pozwala bowiem podmiotowi przetwarzającemu na dość dowolny wybór zabezpieczeń danych osobowych przechowywanych w chmurze. Dlatego w zależności od potrzeb administratora danych osobowych warto rozważyć zobowiązanie dostawcy usług chmurowych do stosowania określonej metodologii związanej z dokonywaniem analizy ryzyka. Dzięki takiemu rozwiązaniu podmiot przetwarzający ma względną dowolność w wyborze określonych zabezpieczeń, niemniej jednak przy ich wyborze powinien jednak kierować się umówionymi metodami dokonywania oceny, które zabezpieczenia są adekwatne (np. zgodnie z normami ISO).

Jeszcze dalej idącym rozwiązaniem jest wprowadzenie do umowy (w jej treści lub w załączniku) konkretnych rodzajów zabezpieczeń, jakie zobligowany jest stosować podmiot przetwarzający. Dzięki takiej klauzuli w umowie administrator zyska stosunkowo dużą wiedzę na temat tego jakie zabezpieczenia są stosowane przez podmiot przetwarzający i poza tym ma realny wpływ na kształtowanie polityki ochrony danych przetwarzanych w chmurze. W takiej sytuacji ewentualna zmiana środków bezpieczeństwa np. w oprogramowaniu, którym posługuje się dostawca, czy na serwerach chmury będzie bowiem wymagała zgody obydwu stron umowy.

Niezależnie od przyjętych środków bezpieczeństwa należy mieć świadomość, że w przypadku naruszenia ochrony danych przechowywanych w chmurze finalną odpowiedzialność względem podmiotów danych poniesie administrator danych osobowych. Odpowiedzialność administratora obejmie bowiem obszar, w którym dane są przetwarzane przez podmiot przetwarzający. Dlatego właśnie tak istotne jest zbadania, jaki poziom zabezpieczeń został osiągnięty przez dostawcę usług chmurowych.

Reasumując, aspektem przetwarzania danych osobowych w chmurze jest zapewnienie bezpieczeństwa przetwarzania tych danych przez podmiot świadczący cloud computing. Nie każdy podmiot spełni w tym zakresie standardy bezpieczeństwa, dlatego niezwykle istotna jest ocena jakości stosowanych zabezpieczeń, którą należy przeprowadzić jeszcze przed faktycznym wyborem dostawcy usługi chmurowej. Następnie należy tak sformułować łączącą strony umowę powierzenia przetwarzania danych (ewentualnie zapisy dotyczące powierzenia w umowie o świadczenie usług chmurowych), aby administrator miał zagwarantowane, że procesor podejmuje należyte starania w zakresie ochrony przechowywanych danych.

Opracowanie: Michał Kowalski

na bazie artykułu Michała Nosowskiego