Przetwarzanie danych osobowych w chmurze
Transkrypt
Przetwarzanie danych osobowych w chmurze
Prawo Przetwarzanie danych osobowych w chmurze OBOWIĄZUJĄCE PRZEPISY Przemysław Zegarek Zacznijmy od kilku ciekawostek. Termin chmury obliczeniowej jest używany dosyć powszechnie i zrobił już karierę. Sama nazwa wzięła się stąd, że w różnych infografikach, przedstawiających rozwiązania proponowane przez sektor biznesowy, internet był przedstawiany w postaci chmury (ang.: cloud). Większość z nas słyszała o chmurze bądź nawet na co dzień posługuje się tą nazwą. Z badania przeprowadzonego przez Wakefield Research w 2012 r. wynika jednak, że aż 22% Amerykanów tylko udaje, że wie, czym naprawdę jest cloud computing, chociaż jedna trzecia badanych mówi o tym w pracy, 14% na rozmowach kwalifikacyjnych, a co ciekawe, 17% podczas pierwszej randki. Dlaczego więc tak trudno jest zdefiniować pojęcie chmury obliczeniowej? Wynika to zapewne z tego, że termin ten jest wieloznaczny i obejmuje stale poszerzającą się i ewoluującą liczbę różnych usług z sektora IT. Idea Już na początku XX wieku H. Ford twierdził, że „jeśli jest coś, czego nie potrafimy zrobić wydajniej, taniej i lepiej niż inni, nie ma sensu, żebyśmy to robili i powinniśmy zatrudnić do wykonania tej pracy kogoś, kto zrobi to lepiej niż my”. Dzisiaj można byłoby nazwać to outsoursingiem. Chmury publiczne są obecnie najbardziej popularne wśród małych i średnich przedsiębiorstw. Dostarczają je zewnętrzni dostawcy (np. Google czy Microsoft). Chmury prywatne to takie, które przedsiębiorcy tworzą i udostępniają w ramach swoich firm, na własne potrzeby. Ze względu na koszty, z takich rozwiązań korzystają przede wszystkim większe firmy. Przykładem takiej prywatnej chmury obliczeniowej może być dedykowany system obsługujący dużą korporację w zakresie np. szkoleń e-learningowych. Chmury obliczeniowe możemy podzielić również ze względu na zakres usługi. Najprostsza wersja to tzw. Infrastructure as a Service – IaaS (czyli infrastruktura jako usługa). W tym modelu przedsiębiorca wykupuje jedynie dostęp do infrastruktury informatycznej. Może to być na przykład wirtualny serwer, na którym będzie znajdowała się jego strona internetowa. Zdecydowana większość małych i średnich przedsiębiorstw korzysta z tego typu rozwiązań. Są one znacznie tańsze i mniej czasochłonne, niż samodzielne stawianie serwerów. Rodzaje chmur Trochę bardziej złożone rozwiązanie to tzw. Software as a Service – SaaS (czyli oprogramowanie jako usługa). W tym modelu dostawca dostarcza nie tylko fizyczne miejsce na serwerze, ale i sam dostęp do oprogramowania. Bardzo często dostęp ten jest możliwy za pomocą przeglądarki internetowej i nie wymaga instalowania dodatkowego oprogramowania ani tym bardziej sprzętu. Przykładem rozwiązań dostarczanych według modeli SaaS są np. Google Aps, czy różnego rodzaju szkolenia e-learnigowe oferowane obecnie przez wielu dostawców. Chmury możemy podzielić po pierwsze na: 1) publiczne, 2) prywatne. Istnieją jeszcze inne formy i modele przetwarzania danych w chmurze. Zostawmy Cloud Computing jest spełnieniem tej idei w najczystszej postaci. Zamiast budować całą sieć informatyczną, stawiać serwery i budować systemy od podstaw – przedsiębiorca może skorzystać z wiedzy i umiejętności oferowanych przez dostawców. je jednak specjalistom z dziedziny informatyki. Z perspektywy ochrony danych osobowych, tematu przewodniego artykułu – wszystko będzie wyglądało podobnie, niezależnie od formy działania chmury obliczeniowej. Przetwarzanie danych osobowych w chmurze W chmurze są przetwarzane ogromne ilości informacji, zarówno dla celów biznesowych, jak i prywatnych. Chmura otacza nas, kiedy wykonujemy przelew internetowy czy korzystamy z mobilnych aplikacji telefonicznych. Bez większego ryzyka można pokusić się o stwierdzenie, że chmura jest wszędzie… Znajdują się w niej różne rodzaje informacji. Mogą to być np. tajemnice przedsiębiorstwa lub inne informacje prawnie chronione. Z całą pewnością będą to również dane osobowe. W chmurze są przetwarzane ogromne ilości informacji, zarówno dla celów biznesowych, jak i prywatnych. I tu pojawia się pytanie zasadnicze – co na to prawo? Czy dane osobowe również mogą być przetwarzane w modelu chmury obliczeniowej, na bliżej niezidentyfikowanych serwerach dostawcy usługi? Definicja danych osobowych, która znajduje się w art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: ustawa), jest bardzo szeroka. Dane osobowe to wszystkie informacje, które umożliwiają identyfikację osoby fizycznej, bez nadmiernych kosztów, czasu i działań. Biuletyn euro info (05) 11 Prawo syć dalekowzroczny i przewidujący. Przewidział bowiem tzw. operację powierzenia przetwarzania danych osobowych (art. 31 ustawy, art. 17 Dyrektywy 95/46/WE). Fot. Bartosz Bartosiński Powierzenie przetwarzania danych bardzo łatwo będzie opisać właśnie za pomocą… Cloud Computingu, który jest tego klasycznym przykładem. Wyobraźmy więc sobie firmę A, która wykupuje usługę szkolenia swoich pracowników z zakresu ochrony danych osobowych za pomocą e-learningu w modelu SaaS. Wielu przedsiębiorców próbuje uciec przed reżimem ustawy, stosując różne zabiegi. Jednym ze sposobów jest zbieranie samych adresów e-mail, a następnie próba wykazania, że dane te nie umożliwiają identyfikacji osoby fizycznej. Z jednej strony, zbieranie jak najmniejszej liczby danych od klientów to bardzo dobra praktyka. Z drugiej, niestety, Generalny Inspektor Ochrony Danych Osobowych stwierdza, że za daną osobową może zostać uznany już sam adres e-mail użytkownika, jeśli ma strukturę imię.nazwisko@nazwa instytucji, w której pracuje. W chmurze będziemy przetwarzali coraz więcej danych osobowych – i trzeba się z tym pogodzić. Czy warto więc próbować naginać przepisy prawa, próbując wykazać, że informacje, którymi dysponujemy, nie stanowią danych osobowych? Raczej nie. W chmurze będziemy przetwarzali coraz więcej danych osobowych i trzeba się z tym pogodzić. Pytanie zasadnicze brzmi: jak przetwarzać dane w chmurze, aby było to zgodne z przepisami polskimi i europejskimi? WE Parlamentu Europejskiego i Rady WE oraz jej pochodna – Polska ustawa o ochronie danych osobowych. Unijna dyrektywa została przygotowana w pierwszej połowie lat 90. Z perspektywy technologii informatycznych to cała wieczność. Nic więc dziwnego, że jej przepisy już dużo straciły na aktualności. Jednak funkcjonowanie jednolitej dyrektywy na całym terytorium UE ma też ogromną zaletę. Pozwala na ujednolicenie obowiązujących przepisów. Każda krajowa ustawa w zakresie danych osobowych musi chronić je co najmniej na takim samym poziomie jak unijna dyrektywa. Polska ustawa o ochronie danych osobowych jest niemal wierną kopią unijnej dyrektywy. Tylko w niektórych aspektach jest od niej trochę bardziej restrykcyjna (np. dane o nałogach zostały uznane również za dane wrażliwe). Co więc mówią przepisy unijne oraz polskie, jeśli chodzi o przetwarzanie danych w chmurze? Ustawodawca okazał się do- 12 Biuletyn euro info (05) Funkcjonowanie jednolitej dyrektywy na całym terytorium UE ma też ogromną zaletę. I tutaj warto wprowadzić ustawowe pojęcie administratora danych osobowych (nie mylić z administratorem bazy etc.). Administrator danych – to podmiot, który decyduje o celach i środkach ich przetwarzania. Oczywiście o celach i środkach przetwarzania danych swoich pracowników decyduje tylko i wyłącznie firma A. Kim więc w tej operacji będzie firma B? Firma B będzie tzw. procesorem (z ang. processor), podmiotem przetwarzającym dane, ale nie mającym do nich żadnych praw. Firma B może przetwarzać dane osobowe jedynie w celu realizacji e-learningu i w taki sposób, w jaki zostało to uprzednio ustalone. Firma B Firma A procesor, podmiot przetwarzający powierzone dane Administrator Danych Podmiot powierzający POWIERZENIE dane osobowe pracowników A Co na to wszystko przepisy polskie i europejskie? O jakich więc przepisach mówimy? Przede wszystkim są to: unijna dyrektywa 95/45/ Firma B udostępnia swój program do realizacji szkoleń za pośrednictwem przeglądarki internetowej, ale nie tylko sam program. Żeby wystawić certyfikaty o ukończeniu szkolenia, potrzebne są również dane osobowe uczestników szkolenia – pracowników firmy A. Źródło: opracowanie własne. Prawo Mówiąc językiem ustawowym, firma A powierza dane osobowe firmie B. Ale to nie wszystko. Takie powierzenie powinno być udokumentowane zawarciem tzw. umowy powierzenia przetwarzania danych osobowych (art. 31 ustawy oraz art. 17 pkt 3 Dyrektywy 95/46/WE). GIODO stoi na stanowisku, że taka umowa powinna zostać zawarta w formie pisemnej mimo że są tu pewne spory w doktrynie prawnej. Umowa powierzenia nie musi być odrębną umową. Jeśli umowa ramowa będzie opisywała cel i zakres powierzonych danych, wtedy to wystarczy. b) ewentualne zastrzeżenie kar umownych w przypadku wycieku danych osobowych, c) ustalenie formy zakończenia współpracy – co stanie się z niepotrzebnymi już danymi osobowymi. Deklaracja, o której mowa w pkt. a), polega na oświadczeniu, że firma dostawcy spełnia wymogi, które i tak są wymogami ustawowymi i obowiązują wszystkich. Dlaczego więc tak wielu dostawców boi się ją podpisać? Zapewne właśnie dlatego, że wymogi te nie są przez nich spełniane i wręczenie tekstu umowy przypomina dostawcy o dosyć istotnym braku. Praktyka W praktyce zawarcie umowy powierzenia z niektórymi dostawcami oprogramowania przetwarzanego w chmurze to prawdziwa droga krzyżowa. Część z nich nie zna dobrze przepisów w zakresie ochrony danych osobowych. Na wszelkie próby przypomnienia im o fakcie, że staną się podmiotem je przetwarzającym, reagują wręcz alergicznie. Tymczasem większość umów powierzenia nie jest w żaden sposób niebezpieczna dla dostawcy. Najczęściej po prostu sprowadza się do potwierdzenia stosowania wymogów przepisów ustawy o ochronie danych osobowych. Natomiast już dla podmiotu zamawiającego usługę w chmurze, zawarcie umowy powierzenia przetwarzania danych jest dosyć istotnym obowiązkiem. To administrator danych w pierwszej kolejności będzie odpowiadał prawnie za ewentualne naruszenie przepisów ustawy. Oczywiście sąd czy GIODO każdą sprawę będzie rozpatrywał indywidualnie. Dlatego jeśli dostawca odmówi nam podpisania umowy powierzenia, jest ważne, żebyśmy wcześniej w ogóle poprosili go o dopełnienie tej formalności. Naturalnie o ile dostawca sam nie wystąpi wcześniej z taką inicjatywą. Forma i kształt umowy powierzenia przetwarzania danych osobowych Jak powinna wyglądać umowa powierzenia przetwarzania danych osobowych? Przepisy ustawy są tutaj bardzo ogólne. Jedyne obligatoryjne elementy to doprecyzowanie zakresu powierzonych danych osobowych (np. imiona, nazwiska, adresy) oraz celu powierzenia. To oczywiście absolutne minimum. W praktyce warto dodać również zapisy dotyczące: a) deklaracji dostawcy o spełnieniu wszystkich norm i wytycznych ustawy, Kary umowne z pkt. b) to rzecz bardzo indywidualna. W niektórych sytuacjach warto je zastrzec, w innych mogą postawić dostawcę w bardzo trudnej sytuacji i zniechęcić do podpisania umowy. Zakończenie współpracy to zawsze dosyć newralgiczny moment. Warto z góry ustalić, w jakich terminach bazy zostaną zniszczone i odebrać gwarancję dostawcy o tym, że nie będą wykorzystywane do jego celów biznesowych. W przypadkach szczególnie dużych baz danych o dużej wartości może warto będzie osobiście nadzorować proces usuwania bazy. Jeśli chodzi o formę umowy, to niestety mamy pewne dość istotne rozbieżności w orzecznictwie i doktrynie prawnej. Część prawników (w tym GIODO) twierdzi, że umowa powierzenia musi być zawarta w formie pisemnej. Inni są zdania, że forma pisemna jest potrzebna jedynie dla celów dowodowych. Dlaczego ta kwestia jest tak istotna? Znacząca liczba powierzeń danych polega na udostępnianiu miejsca na serwerze (różnego rodzaju usługi hostingowe). Jednolite przepisy dotyczące ochrony danych osobowych obowiązują na terenie całego Europejskiego Obszaru Gospodarczego. Koszt takiej usługi często może wynosić 50–100 PLN netto w skali roku. Jeśli do tego doliczymy koszt sporządzenia oraz wysyłki umowy powierzenia, okaże się, że będzie to dość znacząca część całej transakcji. Przy tego rodzaju drobnych usługach umowy powierzenia w formie pisemnej wydają się dosyć znacząco i niepotrzebnie komplikować cały proces. W tej sytuacji dostawcy powinni według mnie zawrzeć elementy umowy powierzenia przynajmniej w wersji elektronicznej. Zupełnie inną sytuacją będą powierzenia dużych baz danych osobowych w ramach oprogramowania działającego np. w formie SaaS, kiedy i tak są zawierane ramowe umowy w formie pisemnej. Wtedy nic nie będzie już mogło wytłumaczyć braku podpisanej umowy powierzenia. Warto pamiętać też o tym, że umowa powierzenia nie musi być odrębną umową. Jej elementy mogą znaleźć się w umowie ramowej i będzie to w zupełności wystarczające dla GIODO czy innych organów kontrolnych. Cloud Computing na terenie Europejskiego Obszaru Gospodarczego Jednolite przepisy dotyczące ochrony danych osobowych obowiązują na terenie całego Europejskiego Obszaru Gospodarczego. A więc poza państwami UE także w Norwegii, Islandii i Liechtensteinie. Jeśli więc powierzymy nasze dane osobowe do chmury firmowanej przez dostawcę pochodzącego z jednego z wyżej wymienionych państw, to powinniśmy móc spać spokojnie. Sytuacja staje się znacznie bardziej skomplikowana, kiedy dochodzi do powierzenia przetwarzania tzw. państwu trzeciemu. Ustawa o ochronie danych osobowych zezwala na eksport danych do państwa trzeciego jedynie w enumeratywnie wskazanych przypadkach. Kwestie te reguluje art. 47, zgodnie z którym: 1. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej. 2. Przepisu ust. 1 nie stosuje się, gdy przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postano- Biuletyn euro info (05) 13 Prawo wieniami ratyfikowanej umowy międzynarodowej. 3. Administrator danych może jednak przekazać dane osobowe do państwa trzeciego, jeżeli: 1) osoba, której dane dotyczą, udzieliła na to zgody na piśmie, 2) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą lub jest podejmowane na jej życzenie, 3) przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem, 4) przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych, 5) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, 6) dane są ogólnie dostępne. Jak nietrudno wywnioskować, państwem trzecim będą również Stany Zjednoczone, ojczyzna Cloud computingu. Na szczęście powierzanie danych osobowych firmom z USA zostało znacząco ułatwione dzięki tzw. porozumieniu Safe Harbour, zatwierdzonego przez Unię Europejską decyzją Komisji 2000/520/WE z dnia 26 lipca 2000 r. (O.J. L 215, 25.08.2000 s. 0007–0047). bezpieczeństwa danych osobowych jest taki sam jak na terenie Unii, w: Argentynie, Australii, Guernsey, Izraela, Jersey, Kanady, Nowej Zelandii, Szwajcarii, oraz na Wyspie Man, Wyspach Owczych. Podsumowanie W skrócie, wszystkie firmy ze Stanów Zjednoczonych, które zostały umieszone na liście znajdującej się pod poniższym adresem: https://safeharbor.export.gov/list. aspx, traktowane są jak firmy z terenu europejskiego obszaru gospodarczego. Na liście znajdują się oczywiście tacy giganci jak Google czy Microsoft, z których usług świadczonych w chmurze szczególnie często korzystają mali i średni przedsiębiorcy. W obecnym stanie prawnym przetwarzanie danych osobowych w chmurze jest legalne. Jednak warto pamiętać o dwóch niezwykle ważnych elementach, które decydują o naszym bezpieczeństwie prawnym: 1) umowie powierzenia, 2) powierzeniu danych osobowych firmie działającej na terenie UE bądź posiadającej ważny certyfikat Safe Harbour. Niestety, powierzanie danych firmom ze Stanów Zjednoczonych łączy się z jeszcze innym ryzykiem. Chodzi oczywiście o nieuregulowane i niejasne powiązania gigantów informatycznych z National Security Agency (NSA) i ogromną skalę monitorowania internetu przez Agencję. Im więcej mamy do stracenia, im bardziej wrażliwe dane osobowe przetwarzamy, tym lepiej przetwarzać je w chmurze udostępnianej przez dostawców europejskich. ■ Przemysław Zegarek Kancelaria Lex Artist www.lex-artist.pl Poza Stanami Zjednoczonymi Komisja wydała arbitralne decyzje uznając, że poziom Prawo europejskie eIDAS IDENTYFIKACJA ELEKTRONICZNA I USŁUGI ZAUFANIA NA RYNKU WEWNĘTRZNYM Anna Kujaszewska Coraz więcej usług, w tym publicznych, jesteśmy w stanie załatwić przez internet. Z tego powodu, zdaniem prawodawcy wspólnotowego, budowanie zaufania do internetu jest kluczowym elementem rozwoju gospodarczego i społecznego. Brak zaufania spowodowany w szczególności odczuwanym brakiem pewności prawa sprawia, że konsumenci, przedsiębiorstwa i organy administracji wahają się, czy pro- 14 Biuletyn euro info (05) wadzić transakcje elektroniczne i korzystać z nowych usług. Rozporządzenie eIDAS gulation of the European Parliament and of the Council on electronic identification and trust for electronic transactions in the internal market) dalej: Rozporządzenie eIDAS. 3 kwietnia 2014 r. Parlament Europejski przyjął w pierwszym czytaniu projekt Rozporządzenia Parlamentu Europejskiego i Rady w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do e-transakcji na rynku wewnętrznym (Re- Celem Rozporządzenia eIDAS jest zwiększenie zaufania do transakcji elektronicznych poprzez zapewnienie wspólnej podstawy interakcji elektronicznej pomiędzy przedsiębiorstwami, obywate-