Odpowiedzialność za dane w projektach cloud computing

Czy ustalenie odpowiedzialności za dane w projektach cloud computing jest niemożliwe? Niekoniecznie. Ale zagwarantowanie ich bezpieczeństwa w ramach istniejących regulacji prawnych, to już zupełnie inna sprawa…

Cloud computing, czyli model biznesowy oparty na dostarczaniu funkcji IT jako usług za pomocą Internetu, nie jest kategorią jednorodną. W jego skład mogą wchodzić rozmaite techniki i podmioty zewnętrzne oferujące zróżnicowane usługi i zasoby. W swojej zazwyczaj bogatej strukturze, cloud computing może pojawiać się pod postacią „chmur” prywatnych, publicznych czy hybryd i obejmować nie tylko nowości, ale również elementy znanych już wcześniej modeli, np. outsourcingu czy hostingu, jak i dobrze znanych usług, np. utrzymywania poczty na serwerze i programów antyspamowych. Ze względu na tę różnorodność, jak i towarzyszący jej odmienny stopień ryzyka, podejście dotyczące ochrony i odpowiedzialności za dane powinno być w każdym przypadku zindywidualizowane. Tematyka tego zagadnienia jest bardzo rozległa, ale na ile pozwalają ramy tego artykułu można wskazać kilka istotnych elementów.

kto pyta, ten rządzi

Z prawnego punktu widzenia, do najważniejszych pytań, które trzeba zadać, chcąc zagwarantować sobie bezpieczeństwo przetwarzanych danych, są pytania o kwestie prywatności. – Gdzie są zlokalizowane dane? Kto ma do nich wgląd? W jaki sposób ukształtowana jest ochrona przed nieautoryzowanym dostępem oraz czy będziemy mieli informację na temat ewentualnych incydentów bezpieczeństwa? Fakt popularyzacji modelu cloud computing niestety nie ułatwia nam w tym przypadku zadania. Przeciwnie, proponowane funkcjonalności znajdują coraz bardziej powszechne zastosowanie, należy pamiętać chociażby o tym, że wielu pracowników firm, bez konsultacji z działami IT, samodzielnie podejmuje decyzję o korzystaniu z proponowanych usług.

właściwa ocena, lepsza ochrona

Odpowiednia ocena prawna tego, co chcemy poddać przetwarzaniu, jest jednym z kluczowych elementów odpowiedzialnego zarządzania bezpieczeństwem danych. Wychodząc od konstrukcji polityki bezpieczeństwa oraz odpowiednich procedur, precyzyjnego określenia wymagają przede wszystkim zasoby informacji, wraz ze zidentyfikowanymi elementami do dalszego przekazania. Część z nich mogą stanowić informacje ustawowo chronione, podlegające szczególnym ograniczeniom. Mogą to być informacje stanowiące tajemnicę przedsiębiorstwa czy w skrajnym przypadku np. informacje niejawne. Prawidłowa ocena informacji pozwala wskazać odpowiednią do ich kategorii rolę ochrony danych przeznaczonych do przetwarzania w chmurze. W oparciu o stosowaną politykę, w kolejnym etapie zostaje wdrożona właściwa strategia kontroli danych, obejmująca narzędzia i procedury klasyfikacji informacji. Kontrola w przypadku modelu cloud computing jest co do zasady słabsza, aniżeli np. przy klasycznym outsourcingu. Mając przypisaną wagę poszczególnych informacji (lub ich kategorii) i odpowiadające im potencjalne zagrożenia, dobrane reguły definiujące pozwalają ustalić, które usługi w modelu cloud computing mogą być stosowane, a które nie powinny. Przed przekazaniem informacji sklasyfikowanych jako wymagające szczególnej ochrony, należy dokonać oceny zagrożenia podmiotów, którym przekazuje się takie dane. Umożliwia to m.in. analiza i audyt kwalifikacji dostawcy zabezpieczeń.

problem lokalizacji serwerów

Posiadając odpowiednie informacje na temat zasobów i związanych z nimi potrzeb, niezbędne jest określenie warunków umownych m.in. dotyczących poziomu jakości usług SLA (Service Level Agreement). Należy mieć na względzie, iż zarówno dostawca „chmury”, jak i jej użytkownicy często podlegają prawu innych państw. Szczególne wątpliwości może rodzić lokalizacja serwerów poza Europejskim Obszarem Gospodarczym (obejmującym państwa UE oraz Norwegię, Islandię i Liechtenstein). W tym kontekście należy zwrócić szczególną uwagę na poważne obostrzenia w przekazywaniu danych osobowych do państw trzecich. W przypadku polskich użytkowników, podstawową przesłanką umożliwiającą przekazanie danych na serwer znajdujący się poza EOG jest zapewnienie, iż państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium, przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej. Ocena adekwatności ochrony, a tym samym decyzja o transferze danych, należy do samego administratora danych, czyli osoby decydującej o celach i środkach przetwarzania. Do okoliczności, które każdorazowo powinny być uwzględniane przez administratora, należą m.in.: charakter danych, cel ich przekazywania, czy wreszcie czas trwania planowanej operacji w państwie, w którym zlokalizowane są centra przetwarzania danych. Jeśli zaistnieją wyjątki przewidziane w Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w omawianym przypadku jest to w szczególności zgoda osoby, której dane dotyczą), transfer danych jest dopuszczalny, pomimo iż państwo trzecie nie gwarantuje na swym terytorium odpowiedniej ochrony. W sekwencyjnym ukształtowaniu systemu podstaw transferu konieczne może być uzyskanie zgody Generalnego Inspektora Ochrony Danych Osobowych. W tym przypadku dla pozytywnej oceny przydatne jest np. wykorzystanie klauzul umownych przygotowanych przez Komisję Europejską. Kwestią odrębną jest natomiast możliwość zastosowania w określonych przypadkach Wiążących Reguł Korporacyjnych (BCR).

chmura nad UE

W „Programie prac na lata 2010-2011”, przyjętym 15 lutego 2010 r. przez „Grupę roboczą ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych”, cloud computing został uznany za jedno z najistotniejszych obecnie wyzwań w obszarze ochrony danych. Grupa robocza ds. ochrony osób fizycznych, powszechnie nazywana „Grupą roboczą art. 29” jest najważniejszym, niezależnym ciałem doradczym w sprawach dotyczących danych osobowych i ochrony prywatności, powołanym na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady UE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Pomimo iż grupa robocza nie może stanowić prawnie sankcjonowanych regulacji, wprowadzane przez nią zalecenia są uwzględniane na bieżąco w działaniach organów unijnych, w zakresie ochrony danych osobowych użytkowników oraz ich prawa do prywatności. Dlatego też, wskazane jest ich monitorowanie i uwzględnianie w całokształcie przygotowywanej wielopłaszczyznowej strategii prawnej.
Cloud computing to ciągle nowość i dla wielu niepewność. Fizyczna lokalizacja danych w „chmurze” jest przecież nieznana docelowemu użytkownikowi, rodząc wiele pytań wykraczających poza poruszone w tym krótkim artykule. Jako fenomen, podlegający stałemu rozwojowi już na tym etapie wymaga jednak rozbudowanych działań zapewniających bezpieczeństwo prawne.