CIO rozważający skorzystanie z usług w modelu cloud computing powinien wziąć pod uwagę kilka najważniejszych, z prawnego punktu widzenia, aspektów, takich jak: ochrona danych osobowych, zapewnienie bezpieczeństwa poufnych danych przedsiębiorstwa, ustalenie, jakiej jurysdykcji prawnej podlega podmiot świadczący usługi (na ogół są to firmy działające za granicą) i to, czy dane firmy nie zostaną przekazane do kolejnego podmiotu będącego podwykonawcą usługi.

Dane wędrują do chmury

Jednym z największych wyzwań prawnych w cloud computingu jest kwestia ochrony danych osobowych. "Przetwarzanie (zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie) danych przy wykonywaniu usługi cloud computingu w zasadzie nie będzie podlegało żadnym innym ograniczeniom prawnym niż tym wynikającym z Ustawy o ochronie danych osobowych z 29 sierpnia 1997 r., a więc dotyczącym także pozostałych modeli usług informatycznych" - mówi mecenas Monika Brzozowska z Kancelarii Pasieka, Derlikowski, Brzozowska i Partnerzy

Zobacz również:

• Cyfrowa transformacja z AI - co nowego na Google Cloud Next 24
• Rząd Ghany pracuje nad regulacjami dotyczącymi AI
• 9 cech wielkich liderów IT

Należy pamiętać, że przekazanie danych osobowych do państwa trzeciego (spoza Europejskiego Obszaru Gospodarczego) może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Polski. Jeśli zatem dane osobowe, w ramach korzystania z usługi cloud computingu, zostaną przekazane np. do USA, a tam mogą być zlokalizowane serwery dostawcy tychże usług, to - jak podkreśla mecenas Bartosz Tomaszewski z kancelarii Baker&McKenzie - musimy zwrócić szczególną uwagę na kwestię ich zabezpieczenia i transferu.

W takiej sytuacji przekazanie danych osobowych do przetwarzania wymaga spełnienia co najmniej jednej z przesłanek wymienionych w Ustawie o ochronie danych osobowych. "Podstawową przesłanką jest zapewnienie, że kraj docelowy daje gwarancję adekwatnej ochrony danych, tj. ochrony na poziomie co najmniej takim, jaki jest w Polsce. Warto zauważyć, że spełnienie przesłanki adekwatnej ochrony w przypadku niektórych krajów, m.in. Argentyna, Kanada czy Szwajcaria, zostało potwierdzone decyzją Komisji Europejskiej" - wyjaśnia prawnik Katarzyna Krupa z Kancelarii Prawnej SSW Spaczyński, Szczepaniak i Wspólnicy.

Natomiast, jeśli ten warunek nie jest spełniony, przesłankami usprawiedliwiającymi przekazywanie danych osobowych do państw trzecich są np.: "wykonywanie umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych i dostawcą; uzyskanie zgody Generalnego Inspektora Ochrony Danych Osobowych; uzyskanie pisemnej zgody osoby, której dane dotyczą, co jednak wiąże się z ryzykiem odwołania udzielonej zgody" - wymienia Katarzyna Krupa.

Takie powierzenie danych powinno odbyć się przez zawarcie umowy w formie pisemnej. Dostawca "chmury" przed rozpoczęciem przetwarzania danych musi podjąć środki zabezpieczające ich zbiór, przewidziane w przepisach ustawy, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. "W zakresie przestrzegania tych przepisów podmiot (dostawca) ponosi odpowiedzialność jak administrator danych, co jednak nie wyłącza odpowiedzialności tego drugiego za zabezpieczenie danych osobowych" - podkreśla mec. Monika Brzozowska.