Cloud computing pod unijną kontrolą

W umowie dotyczącej przetwarzania danych w modelu chmury obliczeniowej należy dążyć do tego, aby wskazać, w jakim kraju znajdują się serwery służące do przetwarzania danych – mówi dr Paweł Litwiński, członek grupy eksperckiej ds. umów cloud computing, powołanej w październiku br. przez Komisję Europejską.

dr Paweł Litwiński

Adwokat, partner w kancelarii Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, członek sekcji prawa własności intelektualnej Instytutu Allerhanda. Autor i współautor licznych publikacji naukowych i popularnonaukowych z zakresu prawa ochrony danych osobowych, prawa nowych technologii i prawa telekomunikacyjnego, w tym komentarza do ustawy o ochronie danych osobowych. Wykładowca Kolegium Studiów Społecznych Instytutów Polskiej Akademii Nauk oraz na Wydziale Prawa i Administracji Uniwersytetu Śląskiego w Katowicach.

CIO: Jest Pan jednym z dwóch Polaków, którzy wchodzą w skład unijnej grupy eksperckiej ds. umów w chmurze obliczeniowej. To ogromne wyróżnienie, ale i obowiązek…

Traktuję to także w kategoriach wyróżnienia, choć głównie jako docenienie polskiej myśli prawniczej. Spośród trzynastu tzw. ekspertów indywidulanych (niereprezentujących w grupie żadnej organizacji) dwóch to Polacy. Oczywiście, z członkostwem w grupie wiążą się obowiązki – od początku procesu rekrutacji było wiadomo, że decydujemy się na intensywną pracę nad przygotowywanymi przez Komisję Europejską wzorami umów.

Zobacz również:

  • Agenda CIO 2018

CIO: Skąd wzięła się potrzeba utworzenia takiej grupy?

Inicjatywa Komisji Europejskiej jest konsekwencją rosnącej popularności usług przetwarzania danych osobowych świadczonych w modelu tzw. chmury obliczeniowej. Taki model przetwarzania danych rodzi nowe, niespotykane dotychczas ryzyko dla ich bezpieczeństwa. W klasycznym modelu chmury publicznej usługobiorca może nawet nie wiedzieć, gdzie są jego dane i kto je przetwarza (kto ma do nich dostęp). Chmura oznacza też niespotykane dotychczas korzyści – z punktu widzenia usługobiorcy usługa ma po prostu działać, a zapewnienie odpowiednich zasobów sprzętu i oprogramowania bierze na siebie usługodawca. Chmura obliczeniowa jest więc niezwykle atrakcyjnym modelem przetwarzania danych osobowych, ale wymaga pilnego uregulowania, aby w największym stopniu ograniczyć potencjalne ryzyko dla bezpieczeństwa danych. Stąd właśnie inicjatywa Komisji, żeby przygotować wzory umów o świadczenie usług przetwarzania danych w modelu chmury obliczeniowej. A ponieważ temat jest nowy i trudny, Komisja postanowiła posiłkować się opiniami ekspertów m.in. w zakresie prawa ochrony danych osobowych.

CIO: Na co odbiorcy usług powinni zwrócić uwagę, podpisując umowę dotyczącą cloud computingu?

Przede wszystkim na to, co się dzieje z informacjami przetwarzanymi w chmurze: gdzie (w jakim kraju) znajdują się serwery służące do przetwarzania danych, kto ma dostęp do danych, w jaki sposób dane są zabezpieczone. Nie wolno poprzestawać na ogólnych stwierdzeniach, że dane będą przetwarzane zgodnie z obowiązującym prawem – jeżeli nie wiemy, w jakim kraju będą się znajdować dane, to trudno nawet powiedzieć, jakie prawo będzie właściwe wobec przetwarzania takich danych osobowych. Tymczasem administrator danych osobowych będący polskim przedsiębiorcą powinien przestrzegać polskiego prawa ochrony danych osobowych.

Po drugie, w przypadku chmury szczególnego znaczenia nabierają kwestie znane z klasycznych umów wdrożeniowych: jaka będzie gwarantowana dostępność usługi? co należy robić w przypadku, gdy usługa będzie niedostępna przez dłuższy czas? Bo co nam z tego, że będziemy mieli całe nasze zasoby w chmurze, skoro ta chmura będzie miała długą przerwę konserwacyjną?

CIO: Jak odbiorca powinien uregulować postanowienia odnoszące się do przedmiotu umowy, żeby była ona dla niego korzystna?

Kluczem jest odpowiedź na pytanie, co powędruje do chmury: dane osobowe, inne informacje chronione przez prawo (np. tajemnica przedsiębiorstwa czy tajemnice zawodowe: adwokacka, radcowska, lekarska itp.), czy informacje, co do których nie istnieje żaden szczególny obowiązek ochrony. Jeżeli dane osobowe, wówczas umowa musi odpowiadać wymaganiom przewidzianym przez przepisy o ochronie danych osobowych. Ale jeżeli przedmiotem umowy będą np. informacje objęte tajemnicą zawodową, wtedy kluczowe staje się ustalenie, czy odpowiednie przepisy w ogóle zezwalają na zawarcie takiej umowy. Jeżeli odpowiedź na to pytanie jest twierdząca, wówczas umowa musi przede wszystkim odpowiadać wymaganiom określonym przez te właśnie przepisy.

CIO: Jak Pan ocenia ryzyko czy możliwość dodatkowego zabezpieczenia dla zamawiającego? Czy podpisując umowę, należy uwzględnić w zapisie tzw. Business Continuity Planning (planowanie ciągłości działania)?

Odniesienie się do BCP przy tego rodzaju umowach to często konieczność. Wynika to nie tylko ze swoistego „odmiejscowienia” usług świadczonych w chmurze (serwery mogą być rozrzucone po całym świecie). Potencjalny problem dotyczący zapewnienia ciągłości działania organizacji jest bowiem tym większy, im większy procent zasobów wędruje do chmury. Proszę sobie wyobrazić, co by się stało, gdyby organizacja wszystkie swoje dane (dane klientów, pracowników, kontrahentów, zbiory marketingowe, obsługowe itp.) przeniosła do chmury z dostępem przez stałe łącze, które następnie odmówiłoby posłuszeństwa? BCP w takim przypadku powinien więc obejmować także tak prozaiczne, wydawałoby się, kwestie, jak postępowanie w przypadku odcięcia organizacji od dostępu do chmury.

CIO: Jak regulować kwestie ewentualnej kontroli przebiegu realizacji umowy przez zamawiającego bądź przez firmy zewnętrzne?

Kontrola prawidłowego wykonywania umowy przetwarzania danych (nie tylko danych osobowych) jest z punktu widzenia klienta kluczowa: czy backup rzeczywiście jest wykonywany w ustalonych odstępach czasu? czy dostęp do serwerowni jest rzeczywiście ograniczony? Bez odpowiednich postanowień w umowie z kontrahentem, ten może nie czuć się w obowiązku umożliwienia zamawiającemu dokonania audytu wykonywania umowy przetwarzania danych. Dlatego też w każdej umowie dotyczącej przetwarzania danych (i to nie tylko danych osobowych) powinny się znaleźć postanowienia o prawie kontroli prawidłowego wykonywania umowy.

Oczywiście, sytuacja komplikuje się wtedy, gdy dane przetwarzane są w chmurze, a serwery zlokalizowano daleko poza granicami Polski – wtedy wizyta i naoczne sprawdzenie prawidłowości wykonywania umowy na miejscu stają się najczęściej niemożliwe. A skoro tak, to umowa powinna gwarantować przestrzeganie pewnych parametrów np. za pomocą systemu sankcji.

CIO: Inną ważną kwestią jest ochrona danych osobowych. Czy i kiedy należy zwracać się do Generalnego Inspektora Danych Osobowych o wyrażenie zgody na transfer danych za granicę?

Usługi świadczone w modelu chmury obliczeniowej są wręcz stworzone dla międzynarodowych transferów danych. Można zaryzykować tezę, że tak dynamiczny rozwój cloud computingu nie byłby możliwy bez upowszechnienia międzynarodowych transferów danych, co z kolei jest konsekwencją rozwoju sieci teleinformatycznych.

Jeżeli przedmiotem przetwarzania w chmurze są dane osobowe, należy liczyć się z tym, że przekazywanie takich danych do innych państw może napotykać istotne ograniczenia. Co do zasady, administratorzy danych z Polski mają pełną swobodę przekazywania danych osobowych do innych podmiotów z terenu Europejskiego Obszaru Gospodarczego. Jeżeli więc chmura oznacza w praktyce przetwarzanie danych na terenie EOG, nie ma potrzeby zwracania się do GIODO o zgodę na transfer danych. Jeżeli natomiast chmura wykorzystuje zasoby położone poza EOG, wówczas zgoda GIODO może być jedyną podstawą prawną dla przekazania danych do takiej chmury. Oczywiście, ocena prawna zależy od konkretnego przypadku. Może się np. zdarzyć, że serwery będą należały do przedsiębiorcy z terenu Stanów Zjednoczonych, który jest stroną tzw. porozumienia Safe Harbor, i wówczas zgoda GIODO nie będzie wymagana. Nie zmienia to faktu, że zawsze w umowie dotyczącej przetwarzania danych w modelu chmury należy dążyć do tego, aby wskazać, gdzie (w jakim kraju) znajdują się serwery służące do przetwarzania danych. Bez tego nie da się odpowiedzieć na pytanie, czy do przetwarzania danych wymagana jest zgoda GIODO na transfer danych osobowych poza teren EOG.

CIO: Jakie są pułapki w zapisach, na które obie strony, tj. dostawca i odbiorca, powinny zwrócić szczególną uwagę?

Podam prosty przykład – umowa przetwarzania danych osobowych w chmurze zawierana masowo przez internet, poprzez akceptację regulaminu. W umowie znajduje się klauzula, zgodnie z którą dane mogą być przetwarzane wyłącznie przez podmioty wymienione w umowie przez podanie nazwy i adresu siedziby wraz z nazwą państwa. Wydawałoby się, że wszystko jest w porządku… Ale wykaz podmiotów, które mogą przetwarzać dane, to nie klauzula w regulaminie, ale link odsyłający do innej strony internetowej. A na tej stronie wykaz podmiotów to już nie zamknięty katalog, ale wyliczenie przykładowe. Co więcej, zmiana takiego przykładowego wyliczenia odbywa się nie w trybie zmiany regulaminu (wymagana akceptacja zamawiającego), ale przez jednostronną zmianę treści na stronie internetowej. W rezultacie zamawiający nie wie, kto i gdzie przetwarza jego dane osobowe.

CIO: Poproszę o przykład sporu dotyczący ochrony danych osobowych w przypadku ich transferu za granicę?

Takich sporów w Polsce jest niewiele. Wynika to z jednej strony z niskiej jeszcze świadomości prawnej, jeżeli chodzi o rynek masowy (kto, korzystając z popularnych pakietów biurowych, zastanawia się, dokąd wędrują jego dane, gdy zapisuje je w chmurze oferowanej przez taki pakiet?). Z drugiej strony duże podmioty korzystają najczęściej z rozwiązań sprawdzonych już w skali międzynarodowej, które nie generują istotnego ryzyka prawnego. Wystarczy powiedzieć, że w całym 2012 r. GIODO wydał tylko 51 decyzji administracyjnych dotyczących zgody (lub odmowy udzielenia zgody) na transfer danych poza teren EOG. W skali całego kraju to niewiele.

CIO: Czy w umowie powinien być zapis regulujący kwestie odpowiedzialności, także dla działu IT?

Umowne uregulowanie odpowiedzialności stron w przypadku umów przetwarzania danych (zwłaszcza danych osobowych) w chmurze to jeden z kluczowych problemów dla tego rodzaju umów. Myślę, że będzie to jedno z zagadnień, nad którym pracować będziemy w ramach grupy ekspertów przy Komisji Europejskiej.

Trudno w tym momencie powiedzieć, jak konkretnie te postanowienia umowy powinny wyglądać. Jest to zagadnienie, w którym ogniskują się jak w soczewce sprzeczne interesy stron: zamawiający chce przerzucić odpowiedzialność na dostawcę w możliwie największym zakresie, dostawca stara się tego uniknąć. Jedno jest pewne: nie wolno tego problemu unikać – trzeba pamiętać, że umowę zawiera się na złe czasy, a sięga do niej najczęściej wtedy gdy pomiędzy stronami rodzi się spór.

CIO: Gdzie strony mogą szukać pomocy przed podpisaniem umowy?

Temat przetwarzania danych w chmurze wymaga specjalistycznej pomocy – ze strony prawnika, ale też ze strony osób rozumiejących wymagania współczesnego bezpieczeństwa teleinformatycznego. Na pewno powinny to być usługi eksperckie, które gwarantują nie tylko wiedzę merytoryczną, ale też zrozumienie specyfiki chmury.