Spiders Web: Chmura a ochrona danych osobowych

Temat technologicznej chmury wdziera się powoli do mainstreamowych mediów. Nie wszyscy jednak poruszają pewien problem, który może wiązać się z działalnością w chmurze - ochrona danych osobowych. Zanim jednak o tym, należy wyjaśnić czym jest ?cloud computing?, czyli przetwarzanie danych w chmurze.

Każda strona internetowa to aplikacja. Przechowywana jest najczęściej na serwerach należących do wydawcy. Posiadanie własnego serwera to wysokie koszty, w które wlicza się sprzęt, wynajem miejsca gdzie będzie przechowywana maszyna, dostęp do internetu oraz prądu, o czym spora część osób zapomina. Z pomocą przychodzą firmy hostingowe udostępniające własne serwery. Na jednej fizycznej maszynie często znajduje się nawet kilkadziesiąt niezależnych serwisów. Mimo niskiej ceny takiego rozwiązania, klient musi przewidzieć jakiej mocy obliczeniowej i ilości danych będzie potrzebował. Jeśli sytuacja z wykorzystaniem zasobów często ulega zmianie warto rozważyć przepisanie aplikacji i z hostingu przenieść się do chmury. Jest to nic innego jak grupa serwerów połączonych ze sobą. Użytkownik takiego rozwiązania instaluje jedną aplikację i w ciągu krótkiego czasu - zazwyczaj mniej niż minuty - może dostawić lub zmniejszyć liczbę wykorzystanych serwerów. W przeciwieństwie do typowego rozwiązania w architekturze rozproszonej, programista nie musi zajmować się zagadnieniami integracji aplikacji - tutaj wszystko dzieje się automatycznie w chmurze. Na świecie jest wielu dostawców tego typu rozwiązań a wśród nich Microsoft , Amazon , oraz Google .

Cloud computing zyskuje coraz większą popularność, choć w Polsce cały czas jest mało popularne, głównie ze względu na brak zaufania do tego typu rozwiązań. Nie do końca zrozumiałe jest dlaczego przedsiębiorcy boją się przechowywania swoich danych na zdalnych maszynach, podczas gdy użytkownicy indywidualni nie mają z tym problemu . Widać to chociażby na przykładzie rosnącej popularności Facebooka.

Temat przetwarzania danych osobowych w chmurze jest na tyle ciekawy, że zainteresował się nim Generalny Inspektor Ochrony Danych Osobowych . 30 listopada 2010 r. podczas konferencji "Przetwarzanie danych w chmurze obliczeniowej - Szanse i korzyści dla administracji samorządowej" zorganizowanej przez Microsoft w Warszawie, można było posłuchać GIODO, czyli Wojciecha Wiewiórowskiego, wygłaszającego referat pt. "Prawne aspekty przetwarzania danych w chmurze obliczeniowej".

Temat ochrony danych osobowych w chmurze stał się także przedmiotem zainteresowania Komisji Europejskiej , która 4 listopada 2010 r. przyjęła kompleksową strategię dotyczącą ochrony tych danych w Unii Europejskiej (szczegóły w komunikacie KOM (2010) 609/3). Dzięki temu spodziewać się można modernizacji istniejących ram prawnych w zakresie ochrony danych uwzględniając nowoczesne technologie. Wszystko przez to, że Komisja zauważyła, że przetwarzanie w dzielonych zasobach wiąże się z utratą kontroli nad poufnymi informacjami przechowywanymi w firmach trzecich.

Co zrobić, żeby mimo posiadania aplikacji w cloud computingu nie narazić się na niespodziewaną wizytę GIODO?

Zapytałem Urząd jak postępować w przypadku takiej działalności. Z odpowiedzi przesłanej przez rzecznika urzędu można przeczytać, że zagadnienie przetwarzania danych w chmurze należy rozpatrywać w oparciu o ogólne zasady przetwarzania danych, jakie zawarte są w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Sam cloud computing wg. GIODO jest jedynie swoistym modelem biznesowym i zbiorem technik, nie modyfikującym generalnych zasad przetwarzania danych osobowych. Zgodnie z obowiązującym prawem (konkretnie art. 40 ustawy o ochronie danych osobowych), administrator danych (czyli podmiot, który decyduje o celach i środkach przetwarzania danych osobowych) jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Administrator może być zwolniony z takiego obowiązku o ile dane spełniają odpowiednie kryteria określonych w art. 43 ust. 1 pkt 1-11 ustawy. Jednak to zawsze administrator danych powinien dokonać oceny, czy prowadzony przez niego zbiór, w którym przetwarzane są dane osobowe, może być zwolniony z rejestracji .

Zgłoszenie takiej bazy danych polega na wypełnieniu formularza rejestracyjnego i przesłaniu go do Generalnego Inspektora Ochrony Danych Osobowych. Najprostszą metodą jest droga informatyczna, za pośrednictwem "Elektronicznej platformy komunikacji z Generalnym Inspektorem Ochrony Danych Osobowych" (E-Giodo) dostępnej na stronie internetowej: www.giodo.gov.pl. Jeśli jesteśmy administratorem danych musimy dbać o ich bezpieczeństwo i mieć zapewnienia od firmy świadczącej takie usługi o ich zabezpieczeniu.

Bardzo ważną kwestią jest fakt, że umowa pomiędzy administratorem danych osobowych, a dostarczycielem chmury, musi spełniać wymogi stawiane powierzeniu przez przedsiębiorcę przetwarzania danych osobowych. Zgodnie z przepisami administrator danych może przekazać innemu podmiotowi przetwarzanie danych , ale umowa musi być zawarta na piśmie, określać zakres powierzonych danych i cel ich przetwarzania. Podmiot, któremu administrator udostępnił w ten sposób przetwarzanie danych osobowych, może je wykorzystywać wyłącznie w zakresie i celu wskazanym w tej umowie. Za prawidłowe przetwarzanie powierzonych danych osobowych, w tym ich właściwe zabezpieczenie, odpowiada i tak zawsze administrator, co jednak nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z ta umową.

Nie ma znaczenia czy administrator jest osobą fizyczną, prawną czy jednostką organizacyjną. Jeżeli przetwarzane dane osobowe są w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych i mają siedzibę na terytorium Rzeczypospolitej Polskiej albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej (art. 3 ust. 2).

Należy także zauważyć, iż ustawy o ochronie danych osobowych nie stosuje się do podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim , wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych (art. 3 ust. 1 pkt 2). Państwo trzecie w rozumieniu ustawy oznacza państwo nie należące do Europejskiego Obszaru Gospodarczego.

Temat bezpieczeństwa i ochrony przetwarzanych danych w chmurze jest dosyć obszerny. Zachęcam więc osoby zainteresowane do zaglądania na stronę www.giodo.gov.pl , gdzie znajduje się więcej informacji na ten temat.

Kamil Brzeziński

Spider's WebSpider's Web Fot. Spiders Web

Więcej o: