Przetwarzanie danych osobowych w chmurze

Cloud computing to technologia, obok której żaden przedsiębiorca nie może przejść obojętnie. Chmura pozwala bowiem na obniżenie kosztów oraz szybki dostęp do danych o każdej porze i zkażdego miejsca na świecie. Z chmurą związane są znaczne oszczędności w pakiecie z niezawodnością i bezpieczeństwem danych.

Przedsiębiorcy z głową w chmurze

Ogromna ilość firm decyduje się na rozpoczęcie korzystania z chmury obliczeniowej. Przedsiębiorcy używają chmury do rozmaitych celów: często zapisują tam dane klientów czy dokumentację
księgową. Na początku jednak każdy z nich zadaje sobie pytanie: Czy mogę przetwarzać dane osobowe za pomocą cloud computing-u? Czy takie korzystanie z chmury jest zgodne z prawem? Czy jest bezpieczne dla danych osobowych?
Odpowiedź brzmi: tak. Przetwarzanie danych osobowych w chmurze jest zgodne z prawem, pod warunkiem, że firmy przestrzegają odpowiednich przepisów dotyczących ochrony danych
osobowych.

Co zrobić, aby korzystanie z chmury było zgodne z prawem?

Jeśli już o mowa o zgodności chmury z prawem, odwołajmy się do właściwej ustawy. Zgodnie z 1rt. 52 ustawy o ochronie danych osobowych:
Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Przedsiębiorcy mogą więc spać spokojnie. Jednocześnie warto mieć na uwadze, że Główny Inspektor Ochrony Danych Osobowych (GIODO) niezależnie od sposobu przetwarzania danych ma prawo do wykonania kontroli w celu, aby sprawdzić jaki poziom ochrony danych osiągnęła firma. Jeśli poziom ten nie jest wystarczająco wysoki i istnieje ryzyko, że dane wpadną w niepowołane ręce, a GIODO może obarczyć właściciela stosowną karą (powołując się na art. 52 ustawy).
W jaki sposób przedsiębiorca powinien zatem korzystać z usług cloud computingu, aby był on w 100% legalny?

Wybór odpowiedniego rodzaju chmury

Zacznijmy od najważniejszej kwestii w ramach legalnego przetwarzania danych. Przede wszystkim przedsiębiorca powinien najpierw wybrać odpowiedni rodzaj chmury, na której chce przetwarzać dane firmowe. Zdecydowanie najbezpieczniejsza jest chmura prywatna, tworzona w ramach danego przedsiębiorstwa. Wówczas to firma posiada wszystkie prawa do systemu i nie ma mowy o dostępie niepowołanych osób. Chmura prywatna wymaga jednak większych nakładów finansowych. W przeciwieństwie do chmury publicznej, która jest najtańsza, ale korzystanie z niej wiąże się z większym ryzykiem. Chmurą publiczną zarządza podmiot zewnętrzny, dlatego, aby legalnie przetwarzać swoje dane, przedsiębiorca musi zawrzeć odpowiednie umowy co powierzenia przetwarzania danych osobowych z dostawcą usługi.

Zasady stosowania usług chmurowych od GIODO

Decydując się na zawarcie umowy cloud computingu przedsiębiorca powinien najpierw przeanalizować tzw. dekalog chmuroluba, czyli 10 zasad, które opublikował GIODO. Zasady te
podpowiadają, na co zwracać szczególną uwagę przy korzystaniu z chmury obliczeniowej i zawarciu współpracy z dostawcami. Co prawda, cały dokument dedykowany jest administracji publicznej i nie ma charakteru prawotwórczego, jednak z pewnością stanowi źródło wartościowych wskazówek dla przedsiębiorców.
Jakie są zalecenia GIODO? Po pierwsze, należy pamiętać, aby w umowach m.in. nałożyć na dostawcę obowiązek wskazania fizycznej lokalizacji serwerów, na których będą przetwarzane dane. Po drugie, zobowiązać dostawcę do zapewnienia dostępu do zasad bezpieczeństwa oraz środków technicznych przyjmowanych przez dostawcę.
Te dwie proste zasady GIODO mogą stanowić punkt wyjścia do konkretnych rozwiązań umownych i zapewnić przedsiębiorcy, który będzie korzystał z usług chmurowych, bezpieczeństwo i pewność, że jego prawa nie są łamane.

Chmura została wylegitymowana

Reasumując, przetwarzanie danych osobowych w chmurze jest w pełni legalne, choć wymaga spełnienia ustawowych wymogów dotyczących powierzenia danych osobowych. Przekazując dane do chmury przedsiębiorcy powinni zwrócić szczególną uwagę na umowę z dostawcą usług cloud computingu.
Warto pamiętać, że im cenniejsze dane przekazujemy, tym większą uwagę powinniśmy zwrócić na ich właściwe zabezpieczenie oraz świadomość prawną usługodawcy. Jest to szczególnie ważne w biznesie, gdzie korzystając z usług outsourcingowych, firmy muszą należycie dbać o poziom zaufania swoich klientów. Dlatego już teraz sprawdź rzetelnych dostawców cloud computingu i zapewnij swoim danym najlepszą ochronę!

Niko Bałazy