Cloud computing pod unijną kontrolą

W umowie dotyczącej przetwarzania danych w modelu chmury obliczeniowej należy dążyć do tego, aby wskazać, w jakim kraju znajdują się serwery służące do przetwarzania danych – mówi dr Paweł Litwiński, członek grupy eksperckiej ds. umów cloud computing, powołanej w październiku br. przez Komisję Europejską.

<b>DR PAWEŁ LITWIŃSKI</b>
Adwokat, partner w kancelarii Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, członek sekcji prawa własności intelektualnej Instytutu Allerhanda. Autor i współautor licznych publikacji naukowych i popularnonaukowych, w tym komentarza do ustawy o ochronie danych osobowych.

<b>DR PAWEŁ LITWIŃSKI</b>

Adwokat, partner w kancelarii Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, członek sekcji prawa własności intelektualnej Instytutu Allerhanda. Autor i współautor licznych publikacji naukowych i popularnonaukowych, w tym komentarza do ustawy o ochronie danych osobowych.

Na co odbiorcy usług powinni zwrócić uwagę, podpisując umowę dotyczącą cloud computingu?

Przede wszystkim na to, co się dzieje z informacjami przetwarzanymi w chmurze: gdzie (w jakim kraju) znajdują się serwery służące do przetwarzania danych, kto ma dostęp do danych, w jaki sposób dane są zabezpieczone. Nie wolno poprzestawać na ogólnych stwierdzeniach, że dane będą przetwarzane zgodnie z obowiązującym prawem – jeżeli nie wiemy, w jakim kraju będą się znajdować dane, to trudno nawet powiedzieć, jakie prawo będzie właściwe wobec przetwarzania takich danych osobowych. Tymczasem administrator danych osobowych będący polskim przedsiębiorcą powinien przestrzegać polskiego prawa ochrony danych osobowych.

Zobacz również:

Po drugie, w przypadku chmury szczególnego znaczenia nabierają kwestie znane z klasycznych umów wdrożeniowych: jaka będzie gwarantowana dostępność usługi? co należy robić w przypadku, gdy usługa będzie niedostępna przez dłuższy czas? Bo co nam z tego, że będziemy mieli całe nasze zasoby w chmurze, skoro ta chmura będzie miała długą przerwę konserwacyjną?

Jak odbiorca powinien uregulować postanowienia odnoszące się do przedmiotu umowy, żeby była ona dla niego korzystna?

Kluczem jest odpowiedź na pytanie, co powędruje do chmury: dane osobowe, inne informacje chronione przez prawo (np. tajemnica przedsiębiorstwa czy tajemnice zawodowe: adwokacka, radcowska, lekarska itp.), czy informacje, co do których nie istnieje żaden szczególny obowiązek ochrony. Jeżeli dane osobowe, wówczas umowa musi odpowiadać wymaganiom przewidzianym przez przepisy o ochronie danych osobowych. Ale jeżeli przedmiotem umowy będą np. informacje objęte tajemnicą zawodową, wtedy kluczowe staje się ustalenie, czy odpowiednie przepisy w ogóle zezwalają na zawarcie takiej umowy. Jeżeli odpowiedź na to pytanie jest twierdząca, umowa musi przede wszystkim odpowiadać wymaganiom określonym przez te właśnie przepisy.

Często tego typu usługi są realizowane z różnych lokalizacji. Jak Pan ocenia ryzyko czy możliwość dodatkowego zabezpieczenia dla zamawiającego? Czy podpisując umowę, należy uwzględnić w zapisie tzw. Business Continuity Planning (planowanie ciągłości działania)?

Odniesienie się do BCP przy tego rodzaju umowach jest często koniecznością. Wynika to nie tylko ze swoistego „odmiejscowienia” usług świadczonych w chmurze (serwery mogą być rozrzucone po całym świecie). Potencjalny problem dotyczący zapewnienia ciągłości działania organizacji jest bowiem tym większy, im większy procent zasobów wędruje do chmury. Proszę sobie wyobrazić, co by się stało, gdyby organizacja wszystkie swoje dane (dane klientów, pracowników, kontrahentów, zbiory marketingowe, obsługowe itp.) przeniosła do chmury z dostępem przez stałe łącze, które następnie odmówiłoby posłuszeństwa? BCP w takim przypadku powinien więc obejmować także tak prozaiczne, wydawałoby się, kwestie, jak postępowanie w przypadku odcięcia organizacji od dostępu do chmury.

Jakie są pułapki w zapisach, na które obie strony, tj. dostawca i odbiorca, powinny zwrócić szczególną uwagę?

Podam prosty przykład – umowa przetwarzania danych osobowych w chmurze zawierana masowo przez internet, poprzez akceptację regulaminu. W umowie znajduje się klauzula, zgodnie z którą dane mogą być przetwarzane wyłącznie przez podmioty wymienione w umowie przez podanie nazwy i adresu siedziby wraz z nazwą państwa. Wydawałoby się, że wszystko jest w porządku… Ale wykaz podmiotów, które mogą przetwarzać dane, to nie klauzula w regulaminie, ale link odsyłający do innej strony internetowej. A na tej stronie wykaz podmiotów to już nie zamknięty katalog, ale wyliczenie przykładowe. Co więcej, zmiana takiego przykładowego wyliczenia odbywa się nie w trybie zmiany regulaminu (wymagana akceptacja zamawiającego), ale przez jednostronną zmianę treści na stronie internetowej. W rezultacie zamawiający nie wie, kto i gdzie przetwarza jego dane osobowe.