Cloud computing w świetle prawa

Należy pamiętać, że od każdego podmiotu zależy, czy chce z daną kluczową informacją wyjść na zewnątrz. Jeśli technologia produkcji jest kluczowa dla biznesu, to przekazanie jej do chmury zawsze będzie związane z ryzykiem, niezależnie od poziomu zabezpieczeń – stwierdza Agata Kowalska, radca prawny, partner w kancelarii Chabasiewicz Kowalska i Partnerzy.

CIO: Zagadnienie chmury i przechowywania w niej danych to głośny ostatnio temat, również w Polsce. Jak jesteśmy przygotowani na te wyzwania? Jak w polskim prawodawstwie jest regulowana kwestia przetwarzania danych w chmurze?

Agata Kowalska: W Polsce nie mamy jednej formuły dotyczącej cloud computingu. Nie mamy jednego wzorca postępowania, ponieważ usługi w chmurze mogą być tak różne, że stworzenie jednego szablonu jest nierealne. Dostawca usług w chmurze podlega różnym regulacjom, np. ustawie o świadczeniu usług drogą elektroniczną, ustawie o ochronie danych osobowych, Kodeksowi cywilnemu czy ustawie Prawo telekomunikacyjne. Musimy więc za każdym razem uwzględnić szereg współzależnych regulacji, zarówno o charakterze publicznoprawnym, jak i prywatnoprawnym. Niestety, czasami ich równoczesne stosowanie może wzbudzać kontrowersje i powodować problemy.

Zobacz również:

Mamy więc do czynienia z pewnym multiplikowaniem regulacji? Czy na tle Europy odstajemy regulacyjnie?

...gdy dane już wyciekną, mleko się rozlało.

Jeśli dana technologia produkcji jest kluczowa dla naszego biznesu, to przekazanie tego do chmury zawsze będzie w jakimś stopniu ryzykowne, niezależnie od poziomu jej zabezpieczeń. Oczywiście, możemy obwarować ten proces różnymi klauzulami umownymi i sankcjami w przypadku nienależytego wykonywania usługi, tylko pamiętajmy, że gdy dane już wyciekną, mleko się rozlało.

Co do zasady w europejskim prawodawstwie podstawowymi aktami prawnymi są rozporządzenia i dyrektywy. Rozporządzenia to akty, które obowiązują bezpośrednio w krajach członkowskich, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego. Odmiennie jest w przypadku dyrektyw, które wymagają wprowadzenia przepisów krajowych (tzw. implementacja). Bywa, że dyrektywa unijna jest dobrze napisana, ale polski ustawodawca wykazuje zbytnią gorliwość, co powoduje, że implementacja prowadzi do zbytniego zaostrzenia prawa. Dobrym przykładem jest nowa Ustawa o prawach konsumenta, która weszła w życie 25 grudnia zeszłego roku. Co do zasady dyrektywa zwiększała w sposób znaczący prawa konsumentów. Jednak w polskiej wersji, jaką chciano na początku przyjąć, wiele planowanych przepisów oznaczałoby ogromne problemy dla rynku e-commerce. Myślę, że gdyby nie konsultacje i głosy sprzeciwu, dyrektywa zostałaby zaimplementowana ze szkodą dla rynku. Natomiast obecna Ustawa o ochronie danych osobowych wcale nie jest najostrzejszą w Europie, uważam, że na ten moment stosowanie przepisów tej ustawy nie odbiega od innych krajów. Są oczywiście problemy, ale nie wyróżniamy się jakoś szczególnie negatywnie na tle innych krajów unijnych.

Przetwarzanie danych w chmurze cały czas rodzi pewne obawy, zwłaszcza gdy mówimy o danych osobowych. Jakie podstawowe obawy czy zastrzeżenia można zidentyfikować?

Jest ich co najmniej kilka: prywatność danych, dostępność usług i danych, integralność, poufność danych firmowych oraz obowiązek zachowania tajemnicy zawodowej, utrata kontroli nad przekazanymi danymi, problem transgraniczności czy kwestia regulacji cenowych. Wiele z tych obaw dotyczy przetwarzania danych osobowych, ponieważ to one budzą najwięcej kontrowersji.

Niepokój przedsiębiorców związany z zabezpieczeniem poufności danych firmowych wydaje się, z ich punktu widzenia, oczywisty.

Tak, ale nie należy zapominać, że nie można przerzucać odpowiedzialności wyłącznie na usługodawcę. Dane sensytywne mogą dotyczyć np. zdrowia, pochodzenia etnicznego, wyznania, preferencji seksualnych itp. Mamy rygorystyczne przepisy, które nakładają na świadczących usługi w tym zakresie obowiązek ustanowienia dodatkowych zabezpieczeń dotyczących zachowania poufności takich danych. Przy świadczeniu usług w chmurze dla sektora np. medycznego czy bankowego spełnienie rygorystycznych wymogów dotyczących poufności danych dotyczy także podmiotów, które te usługi dostarczają. Dlatego tak istotne jest zawieranie przez podmioty, które takimi danymi dysponują, umów o świadczeniu usług powierzania danych na piśmie, ponieważ inaczej nie ma możliwości zagwarantowania adekwatnego poziomu bezpieczeństwa danych. Jak już wspomniałam, dużo zależy od nas, jeśli podejdziemy do zagadnienia zbyt swobodnie, w rodzaju „zacznijmy świadczyć usługę, a potem ją sformalizujemy”, to „potem” może być już za późno.

A tajemnica przedsiębiorstwa?

Jest ona w polskim prawie zdefiniowana tylko w Ustawie o zwalczaniu nieuczciwej konkurencji. I tu, podobnie jak w przypadku danych wrażliwych, w interesie każdego przedsiębiorcy powinno być takie zorganizowanie polityki bezpieczeństwa informacji wewnątrz firmy, aby zapobiec niekontrolowanemu wyciekowi takich danych, aby mieć gwarancję, że gdy wypracowane zostanie know-how czy unikalna technologia produkcji, wyróżniająca przedsiębiorcę na tle konkurencji, to będzie ona dobrze chroniona. Firmy muszą też rozumieć, że dużo zależy od ich własnych działań. To ja, jako osoba odpowiedzialna za firmę, muszę nałożyć pewne obostrzenia na swoich pracowników. Muszę wiedzieć, w jaki sposób komunikują firmę na zewnątrz, ograniczyć dostęp do kluczowych danych w firmie do osób, które – z uwagi na wykonywane obowiązki – taki dostęp muszą mieć. Niezbędne są również regulaminy wewnętrzne porządkujące zarządzanie informacją. Dopiero w dalszej kolejności, posiadając taką podstawę, zapewniającą odpowiedni poziom zabezpieczeń danych w firmie, można się zastanawiać, jak chronić dane w ramach zewnętrznej usługi. Musimy jednak pamiętać, że to, czy chcemy z daną kluczową informacją wyjść na zewnątrz, zależy od nas, i to my podejmujemy ryzyko. Jeśli dana technologia produkcji jest kluczowa dla naszego biznesu, to przekazanie tego do chmury zawsze będzie w jakimś stopniu ryzykowne, niezależnie od poziomu jej zabezpieczeń. Oczywiście, możemy obwarować ten proces różnymi klauzulami umownymi i sankcjami w przypadku nienależytego wykonywania usługi, tylko pamiętajmy, że gdy dane już wyciekną, mleko się rozlało. Może więc warto na początku zastanowić się np. nad opatentowaniem naszego wynalazku, zarejestrowaniem wzoru przemysłowego itp.

Czy firmy mogą zatem wykorzystywać mechanizmy wyprzedzające? Na przykład mieć możliwość kontroli usługodawcy, zanim mleko się wyleje?

Oczywiście, po to mamy właśnie SLA, by zapewnić sobie możliwość kontroli usługodawcy, po to jest umowa, by takie zapisy się w niej znalazły. Nie chodzi o to, by tylko nakazać zapisami umowy raportowanie o ewentualnych odstępstwach od zakładanego poziomu zabezpieczeń, ale aby mieć możliwość fizycznej kontroli pewnych procedur, na przykład związanych z tajemnicą bankową czy działalnością ubezpieczeniową.

A co z ceną usług w chmurze? Ostatnio standardy się zmieniły.

określić potrzeby

Jeśli nie określimy swoich potrzeb na początku, żaden usługodawca nie będzie później skłonny do negocjowania ceny w dół.

Rzeczywiście, dotychczasowy model płatności się zmienia, szczególnie przy usługach SaaS. Dotychczas te usługi funkcjonowały na rozliczeniach ryczałtowych, teraz najczęściej usługobiorcy próbują wywrzeć na dostawcy, i to zaczyna być standardem, presję, by cena zależała od rzeczywistego wykorzystania usług. Z definicji usługa cloud computingu ma być dostępna na żądanie i opierać się na współdzielonej puli zasobów. Dziś już nikt nie chce kupować gigantycznego miejsca w chmurze i płacić za nie, niezależnie od tego, czy je wykorzystuje, czy też nie. Klient chce usługi szytej na miarę, dostosowanej do jego rzeczywistych potrzeb. Tu znów kłaniają się umowy: jeśli nie określimy swoich potrzeb na początku, żaden usługodawca nie będzie później skłonny do negocjowania ceny w dół. Tu pojawia się też odpowiedź na kolejne obawy przedsiębiorstw, dotyczące trudności migracji do chmury. Jeśli w firmie mamy dane „niepoukładane”, chaotyczne, to określenie rzeczywistego zapotrzebowania na usługę cloud computingu pozwoli też nam wewnętrznie zrobić z danymi porządek, więc i problem z migracją zniknie, ponieważ nasze zasoby zostaną uporządkowane.

Spójrzmy przez chwilę na dane osobowe, ponieważ ich przetwarzanie i gromadzenie jest kluczowe dla wielu firm. Jak tu wyglądają regulacje prawne?

Podstawową regulacją zasad przetwarzania danych osobowych jest Ustawa o ochronie danych osobowych. Na poziomie europejskim mamy jeszcze obowiązującą dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Od dłuższego już czasu planowane jest jej zastąpienie rozporządzeniem Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych. Dzięki jego wprowadzeniu nastąpiłaby pełna harmonizacja prawa materialnego w ramach UE i swobodnego przepływu tych danych. Z chwilą, gdy to rozporządzenie wejdzie w życie, Polska będzie zobowiązana do jego bezpośredniego stosowania.

Myślę, że warto zdefiniować sobie, co to są dane osobowe, ponieważ w Polsce pokutuje przeświadczenie, że jeśli np. tylko wysyłam newsletter do moich klientów, to nie naruszam prawa. Pamiętać trzeba, że danymi osobowymi są wszelkie informacje, takie jak: imię, nazwisko i adres, zdjęcia, filmy, zarejestrowane głosy, dane biometryczne – pod warunkiem, że mogą służyć do zidentyfikowania osoby. W efekcie danymi osobowymi są również adresy e-mailowe i adres IP komputera. Informacja staje się daną osobową, jeżeli można tę informację powiązać z konkretną osobą bez ponoszenia nadmiernych kosztów. Jeśli mamy wątpliwości, co jest daną osobową, a co nie, odsyłam do strony GIODO, gdzie mamy zamieszczone wytyczne, które wskazują na kierunki i sposoby interpretowania przepisów przez Generalnego Inspektora. Przetwarzaniem danych są natomiast wszelkie operacje wykonywane na tych danych. Już samo ich zbieranie jest przetwarzaniem, na przykład, gdy uruchamiamy sklep internetowy czy świadczymy inną usługę, do której należy się zarejestrować, to już w tym momencie zaczynamy gromadzić dane i mamy obowiązek zgłoszenia zbioru danych do GIODO. Jeszcze do początku tego roku istniał generalny obowiązek zgłaszania zbiorów danych. Teraz, od stycznia, mamy możliwość zatrudnienia w naszej firmie tzw. ABI, czyli administratora bezpieczeństwa informacji, który zdejmie z nas obowiązek dokonywania zgłoszeń.

Agata Kowalska na spotkaniu Klubu CIO

Agata Kowalska na spotkaniu Klubu CIO

Czyli na własne życzenie możemy „zainstalować” agenta GIODO w swojej firmie?

To ciekawy przypadek, ponieważ z jednej strony to nasz pracownik, wykonujący dla nas pracę, z drugiej strony to profesjonalista specjalizujący się w przepisach dotyczących ochrony danych osobowych, który ma dbać o to, by w naszej firmie nie dochodziło do nadużyć związanych z ich przetwarzaniem. Pojawiają się pytania, co w sytuacji, gdy coś będzie nie tak. Jak ABI ma zareagować? Czy powinien donieść na firmę do GIODO? To wywołuje obawy, ale to dobry krok, zwłaszcza że nowe projektowane rozporządzenie ustanowi obowiązek powołania ABI w dużych firmach, by sprofesjonalizować przetwarzanie i przechowywanie danych osobowych.

A co z przechowywaniem danych w ramach hostingu?

Co do zasady, to też jest ich przetwarzanie. Wyjątkiem jest sytuacja, gdy mamy do czynienia z danymi nieodwracalnie zaszyfrowanymi, czyli takimi, których na przykład nawet na wniosek prokuratury nie jesteśmy w stanie udostępnić. Jeśli jednak jest techniczna możliwość dostępu do danych, nie możemy zasłaniać się tym, że ich nie przetwarzamy. Należy też pamiętać, że dostawca usług związanych z hostingiem nie ma obowiązku sprawdzania przechowywanych, przetwarzanych i udostępnianych danych, a więc nie musi sprawdzać, czy wśród przekazanych mu danych znajdują się np. dane osobowe.

Czy GIODO odnosi się w jakikolwiek sposób do zjawiska przetwarzania danych w chmurze?

Tak, stwierdza, że przechowywanie danych osobowych w chmurze jest dopuszczalne, natomiast zwraca uwagę na to, że musimy zapewnić realną kontrolę nad tymi danymi i gwarancję ich ochrony. Do tej pory jednym z największych problemów było przekazywanie tych danych za granicę. Świadcząc usługę cloud computingu, musimy zachować takie same standardy ochrony danych osobowych, jakie stosowane są w kraju usługodawcy. Większość dużych dostawców usług hostingowych ma serwery rozsiane po całym świecie i w pewnym momencie w praktyce tracimy wiedzę na temat tego, gdzie nasze dane obecnie się znajdują.

Tu należy przypomnieć sprawę Schrems przeciwko Facebookowi.

Umowy na czas wojny

Pamiętajmy, że – jak często powtarzam moim klientom – umowę spisujemy na czas wojny, a nie pokoju. Dlatego już na początku współpracy powinniśmy przewidzieć wszelkie scenariusze.

Mamy świeży wyrok Trybunału Sprawiedliwości UE z 6 października stwierdzający nieważność decyzji Komisji Europejskiej, która uznała w 2000 r. USA za Safe Harbour i zaakceptowała przepływ danych o Europejczykach za Atlantyk. Mówiąc najprościej, Trybunał orzekł, że Stany Zjednoczone nie mogą być bezwzględnie uznawane za „bezpieczną przystań” dla naszych danych. Organy takie jak GIODO mogą badać amerykańskie firmy i mogą nawet zawiesić przekazywanie danych do USA. Mamy swobodę przepływu danych w UE, ale jeśli podmiot, któremu powierzamy dane, ma siedzibę w państwie spoza EOG, to musi on dać gwarancję ochrony danych na takim samym poziomie jak w UE. Komisja Europejska określiła, które kraje taki poziom zapewniają, np. Argentyna, USA, Kanada, Australia. Te kraje otrzymały status tzw. Bezpiecznej Przystani. Problem wrócił, gdy Austriak Max Schrems wniósł skargę do irlandzkiego organu ochrony danych (ponieważ tam znajduje się europejska siedziba spółki-córki amerykańskiego giganta), twierdząc, że w świetle informacji podanych do wiadomości przez Edwarda Snowdena, Stany Zjednoczone nie zapewniają żadnej rzeczywistej ochrony danych przed amerykańskimi władzami. Organ irlandzki oddalił skargę, powołując się na „Safe Harbour”. Schrems się jednak nie poddał, sprawa trafiła najpierw do irlandzkiego sądu, a następnie pytanie o tę sprawę trafiło do Trybunału Sprawiedliwości UE. Teraz po wyroku, sprawa wróci przed irlandzki sąd.

Czy poza ciekawą historią walki Dawida z Goliatem, ta sprawa ma szersze znaczenie?

Ten wyrok ma nie tylko znaczenie praktyczne, ale także wymiar polityczny. Jeśli Amerykanie nie zdecydują się na wzmocnienie standardów ochrony danych, przynajmniej w sferze ich udostępniania organom publicznym, może to spowodować trudności w ich przekazywaniu. Będzie to miało znaczenie nie tylko dla prac nad rozporządzeniem unijnym, ale też dla negocjacji umowy TTIP. Ten wyrok może wywrócić do góry nogami obecny porządek i bez wątpienia będzie miał poważne konsekwencje dla wszystkich – organów ochrony danych, osób, których dane dotyczą, i przedsiębiorstw. Ze względu na konieczność przyjęcia jednolitego podejścia przez wszystkie organy ochrony danych osobowych w Unii Europejskiej wyrok jest obecnie przedmiotem analizy Grupy Roboczej Artykułu 29 zrzeszającej europejskie organy ochrony danych, w tym GIODO. Trudno przewidzieć, jak zakończy się ta sprawa, musimy jeszcze chwilę poczekać.

Zostawmy Schremsa i rozciągnijmy pytanie na cały rynek – przecież, jeśli nie jestem jako konsument czy firma zadowolony z usług i mam wątpliwości, mogę wypowiedzieć umowę.

Klauzule wyjścia ze świadczenia usług – mówię tu o przedsiębiorcach – powinny znaleźć się w umowie. Pamiętajmy, że – jak często powtarzam moim klientom – umowę spisujemy na czas wojny, a nie pokoju. Dlatego już na początku współpracy powinniśmy przewidzieć wszelkie scenariusze. Warto opisać klauzule wyjścia, czyli kiedy możemy rozwiązać umowę i pod jakimi warunkami. Najważniejsza w tym momencie sprawa po rozwiązaniu umowy to zwrot danych i nakazanie usunięcia ich kopii. Na pewno powinniśmy o to zadbać.

W Polsce do umów o świadczenie usług stosuje się odpowiednio przepisy o zleceniu. Uważam więc, że nawet jeśli umowa ta została zawarta na określony czas, to da się ją wypowiedzieć. Uważam, że umowę o świadczeniu usług można wypowiedzieć zawsze, ponieważ tak stanowi polski Kodeks cywilny. Można to ograniczyć do ważnych przyczyn, ale warto te przyczyny wcześniej określić.

Jakie więc mogą być przyczyny wyjścia?

Na pewno wykrycie, że dane są przetwarzane w nienależyty sposób, że poziom ich bezpieczeństwa nie został należycie zagwarantowany przez usługodawcę. Kolejny, według mnie ważny powód, to nieusuwanie awarii na czas. Na przykład mieliśmy zagwarantowane, że w ciągu 24 godzin od awarii dostęp do usług zostanie przywrócony, gdy tymczasem czekamy na to trzy dni, co dezorganizuje działanie firmy. Tu znów powinniśmy się odwołać się do umowy: jeśli nie zawrzemy w niej konkretnych postanowień, na które będziemy się mogli powoływać, pozostaje wywodzenie naszych racji z ogólnych przepisów o sankcjach za nienależyte świadczenie usług, a to może nie być wystarczające.

Agata Kowalska, radca prawny w kancelarii Chabasiewicz, Kowalska i Partnerzy

Agata Kowalska, radca prawny w kancelarii Chabasiewicz, Kowalska i Partnerzy

Agata Kowalska, radca prawny, kancelaria Chabasiewicz, Kowalska i Partnerzy

Specjalizuje się w transakcjach fuzji i przejęć, obsłudze prawnej inwestycji VC/PE oraz w prawie spółek. Ma kilkunastoletnie doświadczenie w doradztwie związanym z ochroną praw własności intelektualnej oraz prawie telekomunikacyjnym. Współpracuje z funduszami inwestycyjnymi oraz start-up’ami, głównie z branży nowych technologii, uczestniczy w przeprowadzaniu i koordynowaniu prawnych due diligence podmiotów oraz doradza przy wprowadzaniu spółek na New Connect. Prowadzi liczne szkolenia i warsztaty dla przedsiębiorców, w szczególności z zakresu prawa Internetu, ochrony własności intelektualnej oraz umów inwestycyjnych. Publikuje artykuły eksperckie. Zasiada w radach nadzorczych spółek z branży nowych technologii, w holdingu tłumaczeniowym notowanym na Giełdzie - Summa Linguae S.A. Jest również Przewodniczącą Rady Nadzorczej Lechii Gdańsk S.A. oraz Wiceprezes Stowarzyszenia Piękne Anioły, które remontuje pokoje najuboższych dzieci w Polsce.