Ostatnie posty poświęcone były przetwarzaniu danych w chmurze obliczeniowej z punktu widzenia administratora planującego skorzystanie z tego rozwiązania. Warto przy tej okazji wspomnieć o prawnych ramach przetwarzania danych w chmurze, a także o zagrożeniach, jakie przetwarzanie z wykorzystaniem chmury może za sobą pociągać.
Przede wszystkim – ochrona!
Jak już niejednokrotnie wskazywano w postach, administrator danych obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Jednym z najważniejszych obowiązków administratora jest więc zapewnienie odpowiedniej kontroli nad przetwarzanymi danymi.
A jakie ryzyko? – Brak kontroli w chmurze
Jednym z największych zagrożeń związanych z przetwarzaniem danych w chmurze obliczeniowej jest właśnie brak kontroli nad danymi osobowymi przekazanymi do systemów dostawcy chmury. Analizując ten problem, Grupa Robocza Art. 29 w opinii 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej wskazuje, że brak kontroli administratora nad danymi przetwarzanymi z wykorzystaniem cloud computingu przejawiać się może m.in. w braku dostępności, integralności czy możliwości interwencji.
Przez brak dostępności (spowodowany brakiem interoperacyjności) rozumieć należy niemożność przenoszenia przez administratora danych między różnymi systemami wykorzystującymi rozwiązania chmurowe lub też wymiany informacji z innymi podmiotami przetwarzającymi dane w chmurze ze względu na oparcie się przez dostawcę usług chmurowych na technologiach zastrzeżonych.
Brak integralności wiąże się z korzystaniem z chmury przez wiele różnych podmiotów o czasem sprzecznych interesach i koniecznością współkorzystania z infrastruktury chmurowej przez te podmioty.
Brak możliwości interwencji jest natomiast rozumiany dwojako. Z jednej strony, jako potencjalne ryzyko niezapewnienia administratorowi narzędzi niezbędnych do zapewnienia merytorycznej poprawności danych czy skutecznego ich usuwania Z drugiej, jako brak efektywnego wpływu na cały łańcuch outsourcingowy oraz brak kompletnych informacji na temat kolejnych dostawców usług chmurowych, jeśli dostawca, któremu administrator powierza dane korzysta z pomocy kolejnych podmiotów. Może się więc zdarzyć, że administrator nie będzie nawet wiedział, że w całym procesie przetwarzania bierze udział więcej podmiotów niż tylko ten, z którym zawarł umowę.
Czy tylko brak kontroli stwarza zagrożenie dla danych?
Grupa Robocza wskazuje, że administrator danych, przekazując je do chmury, musi liczyć się nie tylko z utratą pełnej kontroli nad danymi, ale również z brakiem przejrzystości, czyli brakiem bądź niewystarczającym zakresem informacji na temat operacji wykonywanych na danych.
Jak już wskazywano w poprzednich postach, poświęconych przetwarzaniu danych w chmurze, może się również zdarzyć, że dane przetwarzane będą w różnych państwach Europejskiego Obszaru Gospodarczego lub też poza tym obszarem. Okoliczność ta ma znaczenie przy określaniu prawa właściwego dla sporów, wynikłych na gruncie ochrony danych osobowych. Poza tym, może okazać się, że państwo usługodawcy nie zapewnia odpowiedniego poziomu ochrony i przekazanie danych do chmury w takim układzie jest utrudnione.
Jak w takim razie przekazać dane do chmury? – Podsumowanie
O tym, jak powinna wyglądać umowa między klientem a dostawcą usług chmurowych przeczytać będzie można w kolejnym poście. Warto jednak już dziś zasygnalizować, że na gruncie przepisów prawa, przekazanie danych do chmury stanowi ich powierzenie i powinno być odpowiednio uregulowane w umowie. Korzystający z usług chmurowych administrator danych powinien więc zagwarantować przejrzystość danych wobec osoby, której dane dotyczą, powinien zagwarantować również poszanowanie zasady celowości czy też ograniczenia czasowego. To na kliencie korzystającym z rozwiązań chmurowych spoczywa więc obowiązek wyboru takiego dostawcy usług, który zagwarantuje wystarczający poziom ochrony zarówno pod względem technicznych jak i organizacyjnych środków ochrony przetwarzanych danych.