Przetwarzanie danych osobowych w chmurze

Prawo
Przetwarzanie danych
osobowych w chmurze
OBOWIĄZUJĄCE PRZEPISY
Przemysław Zegarek
Zacznijmy od kilku ciekawostek. Termin
chmury obliczeniowej jest używany dosyć powszechnie i zrobił już karierę. Sama
nazwa wzięła się stąd, że w różnych infografikach, przedstawiających rozwiązania
proponowane przez sektor biznesowy, internet był przedstawiany w postaci chmury (ang.: cloud).
Większość z nas słyszała o chmurze bądź
nawet na co dzień posługuje się tą nazwą.
Z badania przeprowadzonego przez Wakefield Research w 2012 r. wynika jednak, że aż
22% Amerykanów tylko udaje, że wie, czym
naprawdę jest cloud computing, chociaż jedna trzecia badanych mówi o tym w pracy,
14% na rozmowach kwalifikacyjnych, a co
ciekawe, 17% podczas pierwszej randki.
Dlaczego więc tak trudno jest zdefiniować
pojęcie chmury obliczeniowej? Wynika
to zapewne z tego, że termin ten jest wieloznaczny i obejmuje stale poszerzającą
się i ewoluującą liczbę różnych usług z sektora IT.
Idea
Już na początku XX wieku H. Ford twierdził, że „jeśli jest coś, czego nie potrafimy
zrobić wydajniej, taniej i lepiej niż inni, nie
ma sensu, żebyśmy to robili i powinniśmy
zatrudnić do wykonania tej pracy kogoś,
kto zrobi to lepiej niż my”. Dzisiaj można
byłoby nazwać to outsoursingiem.
Chmury publiczne są obecnie najbardziej
popularne wśród małych i średnich przedsiębiorstw. Dostarczają je zewnętrzni dostawcy (np. Google czy Microsoft).
Chmury prywatne to takie, które przedsiębiorcy tworzą i udostępniają w ramach swoich firm, na własne potrzeby. Ze
względu na koszty, z takich rozwiązań korzystają przede wszystkim większe firmy.
Przykładem takiej prywatnej chmury obliczeniowej może być dedykowany system
obsługujący dużą korporację w zakresie
np. szkoleń e-learningowych.
Chmury obliczeniowe możemy podzielić
również ze względu na zakres usługi. Najprostsza wersja to tzw. Infrastructure as a Service – IaaS (czyli infrastruktura jako usługa).
W tym modelu przedsiębiorca wykupuje
jedynie dostęp do infrastruktury informatycznej. Może to być na przykład wirtualny
serwer, na którym będzie znajdowała się
jego strona internetowa. Zdecydowana
większość małych i średnich przedsiębiorstw korzysta z tego typu rozwiązań. Są
one znacznie tańsze i mniej czasochłonne,
niż samodzielne stawianie serwerów.
Rodzaje chmur
Trochę bardziej złożone rozwiązanie to tzw.
Software as a Service – SaaS (czyli oprogramowanie jako usługa). W tym modelu dostawca dostarcza nie tylko fizyczne miejsce
na serwerze, ale i sam dostęp do oprogramowania. Bardzo często dostęp ten jest
możliwy za pomocą przeglądarki internetowej i nie wymaga instalowania dodatkowego oprogramowania ani tym bardziej sprzętu. Przykładem rozwiązań dostarczanych
według modeli SaaS są np. Google Aps, czy
różnego rodzaju szkolenia e-learnigowe oferowane obecnie przez wielu dostawców.
Chmury możemy podzielić po pierwsze na:
1) publiczne,
2) prywatne.
Istnieją jeszcze inne formy i modele przetwarzania danych w chmurze. Zostawmy
Cloud Computing jest spełnieniem tej idei
w najczystszej postaci. Zamiast budować
całą sieć informatyczną, stawiać serwery
i budować systemy od podstaw – przedsiębiorca może skorzystać z wiedzy i umiejętności oferowanych przez dostawców.
je jednak specjalistom z dziedziny informatyki. Z perspektywy ochrony danych
osobowych, tematu przewodniego artykułu – wszystko będzie wyglądało podobnie, niezależnie od formy działania chmury
obliczeniowej.
Przetwarzanie danych
osobowych w chmurze
W chmurze są przetwarzane ogromne ilości
informacji, zarówno dla celów biznesowych,
jak i prywatnych. Chmura otacza nas, kiedy
wykonujemy przelew internetowy czy korzystamy z mobilnych aplikacji telefonicznych.
Bez większego ryzyka można pokusić się
o stwierdzenie, że chmura jest wszędzie…
Znajdują się w niej różne rodzaje informacji. Mogą to być np. tajemnice przedsiębiorstwa lub inne informacje prawnie
chronione. Z całą pewnością będą to również dane osobowe.
W chmurze są
przetwarzane ogromne
ilości informacji, zarówno
dla celów biznesowych,
jak i prywatnych.
I tu pojawia się pytanie zasadnicze – co
na to prawo? Czy dane osobowe również
mogą być przetwarzane w modelu chmury obliczeniowej, na bliżej niezidentyfikowanych serwerach dostawcy usługi?
Definicja danych osobowych, która znajduje się w art. 6 ustawy z dnia 29 sierpnia
1997 r. o ochronie danych osobowych
(dalej: ustawa), jest bardzo szeroka. Dane
osobowe to wszystkie informacje, które
umożliwiają identyfikację osoby fizycznej,
bez nadmiernych kosztów, czasu i działań.
Biuletyn euro info (05)
11
Prawo
syć dalekowzroczny i przewidujący. Przewidział bowiem tzw. operację powierzenia
przetwarzania danych osobowych (art. 31
ustawy, art. 17 Dyrektywy 95/46/WE).
Fot. Bartosz Bartosiński
Powierzenie przetwarzania danych bardzo
łatwo będzie opisać właśnie za pomocą…
Cloud Computingu, który jest tego klasycznym przykładem. Wyobraźmy więc sobie
firmę A, która wykupuje usługę szkolenia
swoich pracowników z zakresu ochrony
danych osobowych za pomocą e-learningu w modelu SaaS.
Wielu przedsiębiorców próbuje uciec przed
reżimem ustawy, stosując różne zabiegi.
Jednym ze sposobów jest zbieranie samych
adresów e-mail, a następnie próba wykazania, że dane te nie umożliwiają identyfikacji
osoby fizycznej. Z jednej strony, zbieranie
jak najmniejszej liczby danych od klientów
to bardzo dobra praktyka. Z drugiej, niestety, Generalny Inspektor Ochrony Danych
Osobowych stwierdza, że za daną osobową
może zostać uznany już sam adres e-mail
użytkownika, jeśli ma strukturę imię.nazwisko@nazwa instytucji, w której pracuje.
W chmurze będziemy
przetwarzali coraz więcej
danych osobowych
– i trzeba się z tym
pogodzić.
Czy warto więc próbować naginać przepisy prawa, próbując wykazać, że informacje,
którymi dysponujemy, nie stanowią danych osobowych? Raczej nie. W chmurze
będziemy przetwarzali coraz więcej danych
osobowych i trzeba się z tym pogodzić.
Pytanie zasadnicze brzmi: jak przetwarzać dane w chmurze, aby było to zgodne
z przepisami polskimi i europejskimi?
WE Parlamentu Europejskiego i Rady
WE oraz jej pochodna – Polska ustawa
o ochronie danych osobowych.
Unijna dyrektywa została przygotowana
w pierwszej połowie lat 90. Z perspektywy technologii informatycznych to cała
wieczność. Nic więc dziwnego, że jej przepisy już dużo straciły na aktualności.
Jednak funkcjonowanie jednolitej dyrektywy na całym terytorium UE ma też
ogromną zaletę. Pozwala na ujednolicenie
obowiązujących przepisów. Każda krajowa ustawa w zakresie danych osobowych
musi chronić je co najmniej na takim samym poziomie jak unijna dyrektywa.
Polska ustawa o ochronie danych osobowych jest niemal wierną kopią unijnej dyrektywy. Tylko w niektórych aspektach jest
od niej trochę bardziej restrykcyjna (np.
dane o nałogach zostały uznane również
za dane wrażliwe).
Co więc mówią przepisy unijne oraz polskie, jeśli chodzi o przetwarzanie danych
w chmurze? Ustawodawca okazał się do-
12
Biuletyn euro info (05)
Funkcjonowanie
jednolitej dyrektywy
na całym terytorium UE
ma też ogromną zaletę.
I tutaj warto wprowadzić ustawowe pojęcie administratora danych osobowych
(nie mylić z administratorem bazy etc.).
Administrator danych – to podmiot, który decyduje o celach i środkach ich przetwarzania. Oczywiście o celach i środkach
przetwarzania danych swoich pracowników decyduje tylko i wyłącznie firma A.
Kim więc w tej operacji będzie firma B? Firma B będzie tzw. procesorem (z ang. processor), podmiotem przetwarzającym dane, ale
nie mającym do nich żadnych praw. Firma
B może przetwarzać dane osobowe jedynie
w celu realizacji e-learningu i w taki sposób,
w jaki zostało to uprzednio ustalone.
Firma B
Firma A
procesor,
podmiot przetwarzający
powierzone dane
Administrator Danych
Podmiot powierzający
POWIERZENIE
dane osobowe
pracowników A
Co na to wszystko przepisy
polskie i europejskie?
O jakich więc przepisach mówimy? Przede
wszystkim są to: unijna dyrektywa 95/45/
Firma B udostępnia swój program do
realizacji szkoleń za pośrednictwem
przeglądarki internetowej, ale nie tylko
sam program. Żeby wystawić certyfikaty
o ukończeniu szkolenia, potrzebne są również dane osobowe uczestników szkolenia
– pracowników firmy A.
Źródło: opracowanie własne.
Prawo
Mówiąc językiem ustawowym, firma A powierza dane osobowe firmie B. Ale to nie
wszystko. Takie powierzenie powinno być
udokumentowane zawarciem tzw. umowy
powierzenia przetwarzania danych osobowych (art. 31 ustawy oraz art. 17 pkt 3
Dyrektywy 95/46/WE). GIODO stoi na stanowisku, że taka umowa powinna zostać
zawarta w formie pisemnej mimo że są tu
pewne spory w doktrynie prawnej.
Umowa powierzenia nie musi być odrębną
umową. Jeśli umowa ramowa będzie opisywała cel i zakres powierzonych danych,
wtedy to wystarczy.
b) ewentualne zastrzeżenie kar umownych w przypadku wycieku danych osobowych,
c) ustalenie formy zakończenia współpracy – co stanie się z niepotrzebnymi już
danymi osobowymi.
Deklaracja, o której mowa w pkt. a), polega na oświadczeniu, że firma dostawcy
spełnia wymogi, które i tak są wymogami ustawowymi i obowiązują wszystkich.
Dlaczego więc tak wielu dostawców boi
się ją podpisać? Zapewne właśnie dlatego,
że wymogi te nie są przez nich spełniane
i wręczenie tekstu umowy przypomina
dostawcy o dosyć istotnym braku.
Praktyka
W praktyce zawarcie umowy powierzenia
z niektórymi dostawcami oprogramowania
przetwarzanego w chmurze to prawdziwa
droga krzyżowa. Część z nich nie zna dobrze
przepisów w zakresie ochrony danych osobowych. Na wszelkie próby przypomnienia
im o fakcie, że staną się podmiotem je przetwarzającym, reagują wręcz alergicznie.
Tymczasem większość umów powierzenia
nie jest w żaden sposób niebezpieczna dla
dostawcy. Najczęściej po prostu sprowadza
się do potwierdzenia stosowania wymogów przepisów ustawy o ochronie danych
osobowych. Natomiast już dla podmiotu
zamawiającego usługę w chmurze, zawarcie umowy powierzenia przetwarzania
danych jest dosyć istotnym obowiązkiem.
To administrator danych w pierwszej kolejności będzie odpowiadał prawnie za ewentualne naruszenie przepisów ustawy. Oczywiście sąd czy GIODO każdą sprawę będzie
rozpatrywał indywidualnie. Dlatego jeśli
dostawca odmówi nam podpisania umowy
powierzenia, jest ważne, żebyśmy wcześniej w ogóle poprosili go o dopełnienie tej
formalności. Naturalnie o ile dostawca sam
nie wystąpi wcześniej z taką inicjatywą.
Forma i kształt umowy
powierzenia przetwarzania
danych osobowych
Jak powinna wyglądać umowa powierzenia przetwarzania danych osobowych?
Przepisy ustawy są tutaj bardzo ogólne.
Jedyne obligatoryjne elementy to doprecyzowanie zakresu powierzonych danych
osobowych (np. imiona, nazwiska, adresy)
oraz celu powierzenia.
To oczywiście absolutne minimum. W praktyce warto dodać również zapisy dotyczące:
a) deklaracji dostawcy o spełnieniu wszystkich norm i wytycznych ustawy,
Kary umowne z pkt. b) to rzecz bardzo indywidualna. W niektórych sytuacjach warto je zastrzec, w innych mogą postawić
dostawcę w bardzo trudnej sytuacji i zniechęcić do podpisania umowy.
Zakończenie współpracy to zawsze dosyć newralgiczny moment. Warto z góry
ustalić, w jakich terminach bazy zostaną
zniszczone i odebrać gwarancję dostawcy o tym, że nie będą wykorzystywane do
jego celów biznesowych. W przypadkach
szczególnie dużych baz danych o dużej
wartości może warto będzie osobiście
nadzorować proces usuwania bazy.
Jeśli chodzi o formę umowy, to niestety
mamy pewne dość istotne rozbieżności w orzecznictwie i doktrynie prawnej.
Część prawników (w tym GIODO) twierdzi,
że umowa powierzenia musi być zawarta
w formie pisemnej. Inni są zdania, że forma pisemna jest potrzebna jedynie dla
celów dowodowych.
Dlaczego ta kwestia jest tak istotna? Znacząca liczba powierzeń danych polega
na udostępnianiu miejsca na serwerze
(różnego rodzaju usługi hostingowe).
Jednolite przepisy
dotyczące ochrony danych
osobowych obowiązują
na terenie całego
Europejskiego Obszaru
Gospodarczego.
Koszt takiej usługi często może wynosić
50–100 PLN netto w skali roku. Jeśli do
tego doliczymy koszt sporządzenia oraz
wysyłki umowy powierzenia, okaże się, że
będzie to dość znacząca część całej transakcji. Przy tego rodzaju drobnych usługach
umowy powierzenia w formie pisemnej
wydają się dosyć znacząco i niepotrzebnie
komplikować cały proces. W tej sytuacji
dostawcy powinni według mnie zawrzeć
elementy umowy powierzenia przynajmniej w wersji elektronicznej.
Zupełnie inną sytuacją będą powierzenia
dużych baz danych osobowych w ramach
oprogramowania działającego np. w formie SaaS, kiedy i tak są zawierane ramowe
umowy w formie pisemnej.
Wtedy nic nie będzie już mogło wytłumaczyć braku podpisanej umowy powierzenia. Warto pamiętać też o tym, że umowa
powierzenia nie musi być odrębną umową.
Jej elementy mogą znaleźć się w umowie
ramowej i będzie to w zupełności wystarczające dla GIODO czy innych organów
kontrolnych.
Cloud Computing na terenie
Europejskiego Obszaru
Gospodarczego
Jednolite przepisy dotyczące ochrony danych osobowych obowiązują na terenie
całego Europejskiego Obszaru Gospodarczego. A więc poza państwami UE także w
Norwegii, Islandii i Liechtensteinie. Jeśli więc
powierzymy nasze dane osobowe do chmury firmowanej przez dostawcę pochodzącego z jednego z wyżej wymienionych państw,
to powinniśmy móc spać spokojnie.
Sytuacja staje się znacznie bardziej skomplikowana, kiedy dochodzi do powierzenia
przetwarzania tzw. państwu trzeciemu.
Ustawa o ochronie danych osobowych
zezwala na eksport danych do państwa
trzeciego jedynie w enumeratywnie wskazanych przypadkach. Kwestie te reguluje
art. 47, zgodnie z którym:
1. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony
danych osobowych na swoim terytorium
przynajmniej takie, jakie obowiązują na
terytorium Rzeczypospolitej Polskiej.
2. Przepisu ust. 1 nie stosuje się, gdy przesłanie danych osobowych wynika z obowiązku nałożonego na administratora
danych przepisami prawa lub postano-
Biuletyn euro info (05)
13
Prawo
wieniami ratyfikowanej umowy międzynarodowej.
3. Administrator danych może jednak
przekazać dane osobowe do państwa
trzeciego, jeżeli:
1) osoba, której dane dotyczą, udzieliła
na to zgody na piśmie,
2) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane
dotyczą lub jest podejmowane na jej
życzenie,
3) przekazanie jest niezbędne do wykonania umowy zawartej w interesie
osoby, której dane dotyczą, pomiędzy administratorem danych a innym
podmiotem,
4) przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,
5) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której
dane dotyczą,
6) dane są ogólnie dostępne.
Jak nietrudno wywnioskować, państwem
trzecim będą również Stany Zjednoczone,
ojczyzna Cloud computingu. Na szczęście
powierzanie danych osobowych firmom
z USA zostało znacząco ułatwione dzięki
tzw. porozumieniu Safe Harbour, zatwierdzonego przez Unię Europejską decyzją
Komisji 2000/520/WE z dnia 26 lipca 2000 r.
(O.J. L 215, 25.08.2000 s. 0007–0047).
bezpieczeństwa danych osobowych jest
taki sam jak na terenie Unii, w: Argentynie, Australii, Guernsey, Izraela, Jersey,
Kanady, Nowej Zelandii, Szwajcarii, oraz
na Wyspie Man, Wyspach Owczych.
Podsumowanie
W skrócie, wszystkie firmy ze Stanów Zjednoczonych, które zostały umieszone na
liście znajdującej się pod poniższym adresem: https://safeharbor.export.gov/list.
aspx, traktowane są jak firmy z terenu europejskiego obszaru gospodarczego. Na
liście znajdują się oczywiście tacy giganci
jak Google czy Microsoft, z których usług
świadczonych w chmurze szczególnie często korzystają mali i średni przedsiębiorcy.
W obecnym stanie prawnym przetwarzanie danych osobowych w chmurze jest
legalne.
Jednak warto pamiętać o dwóch niezwykle ważnych elementach, które decydują
o naszym bezpieczeństwie prawnym:
1) umowie powierzenia,
2) powierzeniu danych osobowych firmie
działającej na terenie UE bądź posiadającej ważny certyfikat Safe Harbour.
Niestety, powierzanie danych firmom ze
Stanów Zjednoczonych łączy się z jeszcze
innym ryzykiem. Chodzi oczywiście o nieuregulowane i niejasne powiązania gigantów informatycznych z National Security
Agency (NSA) i ogromną skalę monitorowania internetu przez Agencję.
Im więcej mamy do stracenia, im bardziej
wrażliwe dane osobowe przetwarzamy, tym
lepiej przetwarzać je w chmurze udostępnianej przez dostawców europejskich. ■
Przemysław Zegarek
Kancelaria Lex Artist
www.lex-artist.pl
Poza Stanami Zjednoczonymi Komisja wydała arbitralne decyzje uznając, że poziom
Prawo europejskie
eIDAS
IDENTYFIKACJA ELEKTRONICZNA I USŁUGI ZAUFANIA
NA RYNKU WEWNĘTRZNYM
Anna Kujaszewska
Coraz więcej usług, w tym publicznych,
jesteśmy w stanie załatwić przez internet.
Z tego powodu, zdaniem prawodawcy
wspólnotowego, budowanie zaufania do
internetu jest kluczowym elementem rozwoju gospodarczego i społecznego. Brak
zaufania spowodowany w szczególności
odczuwanym brakiem pewności prawa
sprawia, że konsumenci, przedsiębiorstwa
i organy administracji wahają się, czy pro-
14
Biuletyn euro info (05)
wadzić transakcje elektroniczne i korzystać z nowych usług.
Rozporządzenie eIDAS
gulation of the European Parliament and of
the Council on electronic identification and
trust for electronic transactions in the internal market) dalej: Rozporządzenie eIDAS.
3 kwietnia 2014 r. Parlament Europejski
przyjął w pierwszym czytaniu projekt
Rozporządzenia Parlamentu Europejskiego i Rady w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do
e-transakcji na rynku wewnętrznym (Re-
Celem Rozporządzenia eIDAS jest zwiększenie zaufania do transakcji elektronicznych poprzez zapewnienie wspólnej
podstawy interakcji elektronicznej pomiędzy przedsiębiorstwami, obywate-