Miesięcznik informatyków i menedżerów IT sektora publicznego

Tomasz Cygan

Przepisy o korzystaniu z usług chmury w urzędzie

Wszelkie rozważania prawne dotyczące wykorzystania cloud computingu należy rozpocząć od zdefiniowania samego terminu. Jego rozumienie ma bowiem bezpośrednie przełożenie na obowiązki związane z zabezpieczeniem, lokalizacją czy wreszcie jurysdykcją chmury.

Uchwała nr 97 Rady Ministrów z dnia 11 września 2019 r. w sprawie inicjatywy „Wspólna Infrastruktura Informatyczna Państwa” (MP z 2019 r., poz. 862) wskazuje, że chmura obliczeniowa to model przetwarzania umożliwiający powszechny i wygodny dostęp za pośrednictwem sieci do wspólnej puli konfigurowalnych zasobów przetwarzania (np. sieci, serwerów, pamięci masowych, aplikacji i usług), które są szybko udostępniane z katalogu usług przy minimalnym wysiłku ze strony zespołów zarządzania lub dostawcy usług. Składa się z trzech modeli usług (SaaS, PaaS, IaaS), czterech sposobów wdrażania chmur (chmura prywatna, wspólnotowa, publiczna, hybrydowa) oraz charakteryzuje się pięcioma zasadniczymi cechami (samoobsługą na żądanie, szerokim dostępem do sieci, dynamicznym gromadzeniem zasobów, szybkim i elastycznym przydzielaniem i zwalnianiem zasobów, pomiarami i optymalizacją usług). Stosowana jest przy tym zasada współdzielonej odpowiedzialności między dostawcą i odbiorcą usług chmurowych, a kluczowe technologie wykorzystywane do budowy tego modelu obejmują: szybkie i wydajne sieci rozległe, wydajne oraz relatywnie niedrogie serwery (uwzględniając ich liczbę) oraz wysokowydajną wirtualizację sprzętu. Przekładając to na język prawniczy, należy odnaleźć takie akty prawne, które regulują dopuszczalność i zabezpieczenie sprzętu komputerowego, oprogramowania oraz zawartości takiego sprzętu (celowo nie piszemy o danych osobowych, żeby nie wywoływać błędnego przeświadczenia, że chodzi tylko o dane osobowe).

Chmura na gruncie rodo

Aby dokonać analizy, warto przejść od aktów prawnych o najbardziej powszechnym działaniu, zaś kończyć na szczególnych wymaganiach związanych z określonym typem danych czy scenariuszem użycia chmury. W przypadku, gdy w chmurze są przetwarzane dane osobowe, analizę warto rozpocząć od rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; DzUrz UE L 119 z 04.05.2016; dalej: rodo). Ogólne rozporządzenie o ochronie danych nie zawiera bowiem żadnych szczególnych regulacji dotyczących chmury obliczeniowej, a co najważniejsze – nie zabrania jej stosowania. Stosowanie rodo jest uzależnione wyłącznie od przetwarzania danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, a nie od stosowanej technologii. W pewnym sensie potwierdza to motyw 15 rodo, który stanowi, że „ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik”.

W tym przypadku należy wziąć pod uwagę przede wszystkim możliwość przekazywania danych do państw trzecich, co spowoduje konieczność zastosowania regulacji zawartych w rozdziale V rodo. Należy przy tym podkreślić, że w praktyce podstawę przekazywania danych osobowych mogą stanowić standardowe klauzule umowne. Stanowią one załącznik do decyzji Komisji Europejskiej 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (DzUrz UE L 39 z 12.02.2010) i mają zastosowanie do przekazywania danych osobowych w przypadku powierzenia przetwarzania danych osobowych. Z kolei przekazywanie danych osobowych w ramach Unii Europejskiej nie wymaga stosowania żadnych szczególnych regulacji prawnych. Potwierdza to wprost art. 1 ust. 3 rodo, który mówi, że:

Nie ogranicza się ani nie zakazuje swobodnego przepływu danych osobowych w Unii z powodów odnoszących się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.

W zakresie powierzenia przetwarzania danych osobowych warto zwrócić uwagę, że dla swej skuteczności nie musi ono przyjąć postaci umowy zawartej w formie pisemnej. Taki wymóg obowiązywał w poprzednim stanie prawnym, gdy nieobowiązujący już art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wskazywał wprost, że powierzenie przetwarzania danych osobowych musi mieć postać umowy w formie pisemnej. Natomiast zgodnie z art. 28 ust. 3 rodo przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego. Podstawę prawną powierzenia może stanowić choćby regulamin dostawcy. Niezbędne jest jednak, aby spełniał on wszystkie wymagania rodo w zakresie treści wynikające z art. 28. Co więcej, powierzenie przetwarzania danych nie musi odbyć się na piśmie. Z kolei art. 28 ust. 9 rodo wskazuje, że umowa lub inny akt prawny, o których mowa w art. 3 i 4, mają formę pisemną, w tym elektroniczną. Prawnie skuteczna będzie bowiem akceptacja regulaminu posiadającego postać elektroniczną. W praktyce oznacza to, że zamiast czekać na odesłanie podpisanej naszej pisemnej propozycji umowy powierzenia przetwarzania danych, warto sprawdzić, czy dostawca nie posiada zapisów wymaganych przez przepisy prawa w swoich dokumentach (regulaminach, politykach, ogólnych warunkach umów) dostępnych na stronie internetowej. Odesłania podpisanej propozycji umowy powierzenia można się bowiem nie doczekać. Zresztą praktyka w tym przypadku opiera się na rozwiązaniach zero-jedynkowych: albo akceptujesz regulamin, albo nie korzystasz z usługi. Nie oznacza to jednak, że zapisy regulaminu nie muszą spełniać wymagań wynikających z przepisów prawa. Wręcz przeciwnie – implementacja przepisów prawa do zapisów regulaminu świadczy o bezpieczeństwie oferowanego rozwiązania. Zwłaszcza że „kary z rodo” mogą być nakładane zarówno na administratora (użytkownika chmury), jak i na podmiot przetwarzający (dostawcę), więc zgodność zapisów z przepisami prawa jest w interesie obydwóch stron.

Free Flow of Data

W tym miejscu warto zwrócić uwagę na przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (DzUrz UE L 303 z 28.11.2018). Jego motyw 17 stanowi, że:

rozporządzenie powinno mieć zastosowanie do jak najszerzej rozumianego przetwarzania danych, obejmującego wykorzystanie wszelkiego rodzaju systemów informatycznych, niezależnie od tego, czy są one zlokalizowane w pomieszczeniach użytkownika, czy też są zlecane w ramach outsourcingu na rzecz dostawcy usług. Zakres tego pojęcia powinien obejmować różne stopnie intensywności przetwarzania danych, od przechowywania danych (infrastruktura jako usługa, ang. Infrastructure-as-a-Service, IaaS) po przetwarzanie danych na platformach (platforma jako usługa, ang. Platform-as-a-Service, PaaS) lub w aplikacjach (oprogramowanie jako usługa, ang. Software-as-a-Service, SaaS).

[...]

Autor jest adwokatem, doświadczonym konsultantem i wykładowcą, autorem publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautorem bloga poświęconego ochronie danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej