Mobi | CEO | CFO | Klub CIO | Programy

Magazyn Wydanie: 01/2011

Prawne zawiłości wokół chmur

Wanda Żółcińska

Cloud computing to dla wielu firm już teraźniejszość, jednak prawo, jak często w przypadku nowych technologii czy rozwiązań biznesowych, jest o krok za praktyką. Na co warto zwrócić uwagę przy korzystaniu z usług w chmurze?

CIO rozważający skorzystanie z usług w modelu cloud computing powinien wziąć pod uwagę kilka najważniejszych, z prawnego punktu widzenia, aspektów, takich jak: ochrona danych osobowych, zapewnienie bezpieczeństwa poufnych danych przedsiębiorstwa, ustalenie, jakiej jurysdykcji prawnej podlega podmiot świadczący usługi (na ogół są to firmy działające za granicą) i to, czy dane firmy nie zostaną przekazane do kolejnego podmiotu będącego podwykonawcą usługi.

Dane wędrują do chmury

Jednym z największych wyzwań prawnych w cloud computingu jest kwestia ochrony danych osobowych. "Przetwarzanie (zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie) danych przy wykonywaniu usługi cloud computingu w zasadzie nie będzie podlegało żadnym innym ograniczeniom prawnym niż tym wynikającym z Ustawy o ochronie danych osobowych z 29 sierpnia 1997 r., a więc dotyczącym także pozostałych modeli usług informatycznych" - mówi mecenas Monika Brzozowska z Kancelarii Pasieka, Derlikowski, Brzozowska i Partnerzy

Należy pamiętać, że przekazanie danych osobowych do państwa trzeciego (spoza Europejskiego Obszaru Gospodarczego) może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Polski. Jeśli zatem dane osobowe, w ramach korzystania z usługi cloud computingu, zostaną przekazane np. do USA, a tam mogą być zlokalizowane serwery dostawcy tychże usług, to - jak podkreśla mecenas Bartosz Tomaszewski z kancelarii Baker&McKenzie - musimy zwrócić szczególną uwagę na kwestię ich zabezpieczenia i transferu.

W takiej sytuacji przekazanie danych osobowych do przetwarzania wymaga spełnienia co najmniej jednej z przesłanek wymienionych w Ustawie o ochronie danych osobowych. "Podstawową przesłanką jest zapewnienie, że kraj docelowy daje gwarancję adekwatnej ochrony danych, tj. ochrony na poziomie co najmniej takim, jaki jest w Polsce. Warto zauważyć, że spełnienie przesłanki adekwatnej ochrony w przypadku niektórych krajów, m.in. Argentyna, Kanada czy Szwajcaria, zostało potwierdzone decyzją Komisji Europejskiej" - wyjaśnia prawnik Katarzyna Krupa z Kancelarii Prawnej SSW Spaczyński, Szczepaniak i Wspólnicy.

Natomiast, jeśli ten warunek nie jest spełniony, przesłankami usprawiedliwiającymi przekazywanie danych osobowych do państw trzecich są np.: "wykonywanie umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych i dostawcą; uzyskanie zgody Generalnego Inspektora Ochrony Danych Osobowych; uzyskanie pisemnej zgody osoby, której dane dotyczą, co jednak wiąże się z ryzykiem odwołania udzielonej zgody" - wymienia Katarzyna Krupa.

Takie powierzenie danych powinno odbyć się przez zawarcie umowy w formie pisemnej. Dostawca "chmury" przed rozpoczęciem przetwarzania danych musi podjąć środki zabezpieczające ich zbiór, przewidziane w przepisach ustawy, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. "W zakresie przestrzegania tych przepisów podmiot (dostawca) ponosi odpowiedzialność jak administrator danych, co jednak nie wyłącza odpowiedzialności tego drugiego za zabezpieczenie danych osobowych" - podkreśla mec. Monika Brzozowska.

O czym pamiętać przy podpisywaniu umowy na usługi cloud computing?

Prawnik Katarzyna Krupa z Kancelarii Prawnej Spaczyński, Szczepaniak i Wspólnicy sp.k. - powierzenie przetwarzania danych osobowych wymaga umowy zawartej na piśmie; - umowa powinna zawierać w szczególności: . postanowienie o powierzeniu dostawcy usług przetwarzania danych osobowych będących w posiadaniu użytkownika; . postanowienie zobowiązujące dostawcę do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem; . postanowienie dotyczące zapewnienia administratorowi danych kontroli nad procesem przetwarzania danych osobowych przez podmiot, któremu dane powierzono do przetwarzania; . postanowienie dotyczące zapewnienia administratorowi danych uprawnienia do kontrolowania przestrzegania zasad przetwarzania danych osobowych przez dostawcę; . wskazanie zakresu (kategorii danych osobowych), których dotyczy powierzenie; . wskazanie zakresu i celu przetwarzania danych osobowych; . określenie sposobu postępowania przez dostawcę z powierzoną do przetwarzania bazą danych w sytuacji, gdy przestanie być ona użyteczna; . w zależności od stosunków łączących administratora danych z dostawcą można również zastrzec kary umowne za naruszenie postanowień umowy.

Najnowsze | Na ten temat | Najpopularniejsze

---

---