Prawne zawiłości wokół chmur

Cloud computing to dla wielu firm już teraźniejszość, jednak prawo, jak często w przypadku nowych technologii czy rozwiązań biznesowych, jest o krok za praktyką. Na co warto zwrócić uwagę przy korzystaniu z usług w chmurze?

CIO rozważający skorzystanie z usług w modelu powinien wziąć pod uwagę kilka najważniejszych, z prawnego punktu widzenia, aspektów, takich jak: ochrona danych osobowych, zapewnienie bezpieczeństwa poufnych danych przedsiębiorstwa, ustalenie, jakiej jurysdykcji prawnej podlega podmiot świadczący usługi (na ogół są to firmy działające za granicą) i to, czy dane firmy nie zostaną przekazane do kolejnego podmiotu będącego podwykonawcą usługi.

Dane wędrują do chmury

Jednym z największych wyzwań prawnych w cloud computingu jest kwestia ochrony danych osobowych. "Przetwarzanie (zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie) danych przy wykonywaniu usługi cloud computingu w zasadzie nie będzie podlegało żadnym innym ograniczeniom prawnym niż tym wynikającym z Ustawy o ochronie danych osobowych z 29 sierpnia 1997 r., a więc dotyczącym także pozostałych modeli usług informatycznych" - mówi mecenas Monika Brzozowska z Kancelarii Pasieka, Derlikowski, Brzozowska i Partnerzy

Należy pamiętać, że przekazanie danych osobowych do państwa trzeciego (spoza Europejskiego Obszaru Gospodarczego) może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Polski. Jeśli zatem dane osobowe, w ramach korzystania z usługi cloud computingu, zostaną przekazane np. do USA, a tam mogą być zlokalizowane serwery dostawcy tychże usług, to - jak podkreśla mecenas Bartosz Tomaszewski z kancelarii Baker&McKenzie - musimy zwrócić szczególną uwagę na kwestię ich zabezpieczenia i transferu.

W takiej sytuacji przekazanie danych osobowych do przetwarzania wymaga spełnienia co najmniej jednej z przesłanek wymienionych w Ustawie o ochronie danych osobowych. "Podstawową przesłanką jest zapewnienie, że kraj docelowy daje gwarancję adekwatnej ochrony danych, tj. ochrony na poziomie co najmniej takim, jaki jest w Polsce. Warto zauważyć, że spełnienie przesłanki adekwatnej ochrony w przypadku niektórych krajów, m.in. Argentyna, Kanada czy Szwajcaria, zostało potwierdzone decyzją Komisji Europejskiej" - wyjaśnia prawnik Katarzyna Krupa z Kancelarii Prawnej SSW Spaczyński, Szczepaniak i Wspólnicy.

Natomiast, jeśli ten warunek nie jest spełniony, przesłankami usprawiedliwiającymi przekazywanie danych osobowych do państw trzecich są np.: "wykonywanie umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych i dostawcą; uzyskanie zgody Generalnego Inspektora Ochrony Danych Osobowych; uzyskanie pisemnej zgody osoby, której dane dotyczą, co jednak wiąże się z ryzykiem odwołania udzielonej zgody" - wymienia Katarzyna Krupa.

Takie powierzenie danych powinno odbyć się przez zawarcie umowy w formie pisemnej. Dostawca "chmury" przed rozpoczęciem przetwarzania danych musi podjąć środki zabezpieczające ich zbiór, przewidziane w przepisach ustawy, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. "W zakresie przestrzegania tych przepisów podmiot (dostawca) ponosi odpowiedzialność jak administrator danych, co jednak nie wyłącza odpowiedzialności tego drugiego za zabezpieczenie danych osobowych" - podkreśla mec. Monika Brzozowska.

O czym pamiętać przy podpisywaniu umowy na usługi cloud computing?


TOP 200
Na ten temat
Magazyny CXO
Partnerzy Klubu CIO
O Klubie

Klub CIO to niezależna organizacja, która istnieje od 2003 roku. Powstał z inicjatywy International Data Group Poland S.A., amerykańskiego wydawnictwa, które prowadzi Kluby CIO w wielu różnych krajach.

Stworzony dla dyrektorów IT Klub CIO, to przede wszystkim dwie wartości najczęściej podkreślane przez samych członków Klubu. Po pierwsze - poszerzanie zakresu swojej wiedzy oraz - po drugie - możliwość spotkania się w swobodnej atmosferze, w gronie znakomitych menedżerów i porozmawianie o tym, co ważne dla każdego CIO.

Jak działa Klub CIO?
  • regularne spotkania w gronie kilkudziesięciu CxO (w większości CIO)
  • 2,5 godziny programu merytorycznego plus 1-2 godziny networkingu
  • spotkania w Warszawie i innch miastach (Gdańsk, Wrocław, i in.)
  • komunikacja w ramach grupy Klub CIO na LinkedIn
  • serwis cxo.pl – służy wymianie wiedzy, doświadczeń, przedstawia historie i dokonania członków Klubu CIO
  • udział w badaniach i dostęp do ich wyników – unikalne źródło wiedzy o opiniach i doświadczeniach innych CIO
Warto brać udział w Klubie CIO, aby
  • rozwijać wiedzę o dobrych praktykach zarządzania IT
  • wymieniać doświadczenia z najlepszymi CIO
  • zyskać uznanie na forum firmy i w społeczności IT
  • poprawiać własną skuteczność w realizacja celów IT i firmy
  • budować lepsze zrozumienie roli i zadań nowoczesnego CIO
  • uzyskać realny wpływ na strategię firmy