Cloud computing – ramy prawne

Cloud computing obejmuje zestaw technologii i modeli usług, które koncentrują się na wykorzystywaniu i dostarczaniu poprzez Internet aplikacji informatycznych, możliwości przetwarzania czy zasobów pamięci. Podkreślenia wymaga fakt, że istnieje szeroka gama usług oferowanych przez dostawców usług w chmurze, począwszy od wirtualnych systemów przetwarzania, a skończywszy na usługach wspierających rozwijanie aplikacji i zaawansowany hosting, aż po bazujące na Internecie rozwiązania w zakresie oprogramowania, które mogą zastąpić aplikacje tradycyjnie instalowane na komputerach osobistych użytkowników końcowych.

Grupa Robocza ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych (w skrócie: Grupa Robocza Art. 29) w opinii 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej podjęła się analizy kwestii istotnych dla dostawców usług przetwarzania danych w chmurze działających w Europejskim Obszarze Gospodarczym (EOG) oraz ich klientów, określając wszystkie mające zastosowanie zasady z dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych oraz dyrektywy o prywatności i łączności elektronicznej 2002/58/WE (zrewidowanej dyrektywą 2009/136/WE).

Jak wynika z treści opinii, kryteria stosowania właściwego ustawodawstwa zawarte są w artykule 4 dyrektywy 95/46/WE, który dotyczy prawa mającego zastosowanie do administratorów mających jedną lub więcej siedzib w ramach EOG, a także prawa mającego zastosowanie do administratorów będących poza EOG, ale wykorzystujących do przetwarzania danych osobowych środki zlokalizowane w ramach EOG.

Przetwarzanie w chmurze - zagrożenia

Jak jednak wspomniano we wstępie, przetwarzanie w chmurze wiązać się może z szeregiem zagrożeń. Do największych – zgodnie z omawianą opinią należą: brak kontroli nad danymi osobowymi oraz niewystarczające informacje na temat tego, w jaki sposób, gdzie i przez kogo dane są przetwarzane przez podmiot, któremu powierzono przetwarzanie (brak przejrzystości).

 - brak kontroli

Według Grupy Roboczej Art. 29 przekazując dane osobowe do systemów zarządzanych przez dostawcę usługi w chmurze, klienci tej usługi mogą nie mieć dalszej wyłącznej kontroli nad swoimi danymi. Oznacza to, że mogą nie mieć możliwości zastosowania środków technicznych i organizacyjnych na przykład w celu zapewnienia dostępności, integralności, poufności, przejrzystości, odizolowania czy możliwości interwencji i możliwości przenoszenia danych.

Przykłady braku kontroli:

• Brak dostępności ze względu na brak interoperacyjności (uzależnienie od dostawcy, tzw. „vendor lock-in),
• Brak integralności spowodowany przez dzielenie się zasobami,
• Brak poufności w odniesieniu do wniosków z zakresu egzekwowania prawa składanych bezpośrednio do dostawcy usługi w chmurze.

- brak przejrzystości

Z omawianej opinii wynika, że niewystarczające informacje na temat operacji przetwarzania w chmurze stanowią zagrożenie dla administratorów, jak i dla osób, których dane dotyczą. Mogą oni nie być świadomi potencjalnych zagrożeń i tym samym podjąć środków, które uważają za odpowiednie.

Przykłady braku przejrzystości wynikające z faktu, że administrator nie wie, iż:

• W przetwarzanie zaangażowani są liczni przetwarzający i podprzetwarzający (łańcuch przetwarzania),
• Dane osobowe są przetwarzane w różnych lokalizacjach geograficznych w ramach EOG,
• Dane osobowe są przekazywane do krajów trzecich poza EOG.

Jedną z kluczowych spraw jest, zdaniem Grupy Roboczej Art. 29 poinformowanie osób, których dane osobowe są przetwarzane w chmurze, o tożsamości administratora danych i celu przetwarzania (istniejący wymóg dla wszystkich administratorów na mocy dyrektywy o ochronie danych 95/46/WE).

Zalecenia Grupy Roboczej Art. 29

Jednym z głównych zaleceń sformułowanych przez Grupę Roboczą Art. 29 jest zaakcentowanie, by przedsiębiorstwa i organy administracji, które chcą skorzystać z usług przetwarzania danych w chmurze, przeprowadziły szczegółową i dokładną analizę zagrożeń.

Z omawianej opinii wynika, że organy publiczne i przedsiębiorstwa prywatne muszą dokładnie ocenić te zagrożenia, gdy rozważają skorzystanie z usług oferowanych przez dostawcę usług w chmurze.

Grupa Robocza Art. 29 podkreśla także odpowiedzialność klienta usługi w chmurze jako administratora i zaleca, aby klient wybrał takiego dostawcę usługi w chmurze, który gwarantuje zgodność z ustawodawstwem UE w zakresie ochrony danych.

W kwestii odpowiednich gwarancji umownych w opinii określono wymóg, że umowa między klientem usługi w chmurze i jej dostawcą powinna zapewniać odpowiednie gwarancje pod względem środków technicznych i organizacyjnych. Istotne, jak wynika z omawianej opinii, jest również zalecenie, zgodnie z którym klient usługi w chmurze powinien sprawdzić, czy dostawca tej usługi może zagwarantować legalność wszelkich operacji transgranicznego międzynarodowego przekazywania danych.