Maciej Gawroński, partner zarządzający polskim biurem Bird & Bird. Szef praktyki IT

W Polsce i na świecie istnieje wiele regulacji określających prawne warunki przetwarzania pewnych typów informacji, w tym przetwarzania z wykorzystaniem podmiotów trzecich. Instytucje unijne są niezwykle aktywne w obszarze prób regulacji samego przetwarzania. Jednak do tej pory ani w Polsce, ani na poziomie UE nie ma przepisów odnoszących się bezpośrednio do przetwarzania chmurowego.

Standardy

Podstawowym zagadnieniem prawnym w Europie dotyczącym przetwarzania chmurowego jest ocena zgodności takiego modelu usługowego z przepisami ochrony danych osobowych. Pojawiają się wątpliwości, czy przetwarzanie w chmurze mieści się w prawnej strukturze ochrony danych osobowych.

Ze strony organu powołanego do ochrony danych osobowych niemieckiego landu Schleswig-Holstein padły nawet stwierdzenia uznające przetwarzanie chmurowe za sprzeczne z przepisami o ochronie tych danych.

Formalne problemy upatrywane są w odmiejscowieniu usługi, zaś problem fundamentalny – w braku możliwości nadzoru nad przetwarzaniem danych przez dostawcę chmury (np. w formie dawania wiążących wytycznych dostawcy chmury czy kontrolowania sposobu, w jaki przetwarza i chroni dane).

Specjaliści widzą jednak sposoby pogodzenia przetwarzania chmurowego z obecnymi regulacjami ochrony danych osobowych. Drogą do tego jest zastosowanie nowego podejścia do starych przepisów – podejścia odpowiadającego dobie internetu i społeczeństwa cyfrowego.

„Odmiejscowienie” oznacza bowiem tyle, że dane przetwarzane mogą być równocześnie w kilku lub kilkunastu centrach danych – w ramach sieci do tego udostępnionej, zaś centra te położone są w konkretnych lokalizacjach. Z odmiejscowieniem mamy zresztą do czynienia także w aspekcie zwykle pomijanym, a istniejącym obecnie powszechnie – w przypadku dostępu do sieci przedsiębiorstwa z urządzeń mobilnych.

W przypadku profesjonalnej chmury obliczeniowej można przecież określić lokalizacje poszczególnych centrów przetwarzania danych. Można także określić konkretne podmioty, których infrastruktura tworzy chmurę i które ją obsługują. Z perspektywy bezpieczeństwa danych nie ma jednak potrzeby, aby właściciel danych permanentnie śledził dane lub miał wiedzę o ich położeniu w danej chwili.

Czym jest cloud-computing
Przetwarzanie chmurowe (z angielskiego cloud-computing) w skrócie polega na udostępnieniu zasobów informatycznych (np. sprzętu, zasobów pamięci, środowisk informatycznych, oprogramowania użytkowego) przez internet. Przetwarzanie chmurowe rozwinęło się w sektorze usług skierowanych do konsumentów, na początku o charakterze darmowym (to jest finansowanym np. z reklam). Jego zalety biznesowe powodują żywe zainteresowanie takimi usługami, szczególnie w sektorach, które są silnie zinformatyzowane.

Zagadnienie nadzoru nad przetwarzaniem danych również można rozwiązać. Naturalną drogą do tego jest określenie odpowiednich standardów bezpieczeństwa informacji, ciągłości działania i jakości usługi – zarówno standardów rynkowych, jak i standardów w poszczególnych umowach – a następnie wykorzystanie zewnętrznych audytorów – podmiotów, które w interesie większej grupy klientów/odbiorców usług kontrolowałyby dotrzymywanie tych standardów przez dostawców chmury. Drogę ku temu wytyczono przy określaniu standardów audytu outsourcingu w USA.

Być zapomnianym

Nierozwiązany dotychczas konflikt pomiędzy zasadami ochrony danych osobowych a masowym cyfrowym przetwarzaniem informacji i zasadami bezpieczeństwa informacji powoduje zderzenie uprawnienia jednostki do żądania usunięcia swoich danych osobowych z technicznymi trudnościami w wykonaniu takiego działania. Zderzenie to dotychczas ujawniało się w kontekście żądań usuwania danych z kopii zapasowych.

Może jednak być ciekawe również w odniesieniu do systemów przetwarzania chmurowego, w których zapewne zagadnienie bezpieczeństwa informacji jest rozwiązywane w sposób nieco inny niż w tradycyjnym backupie, kiedy dane zapisuje się na zewnętrznych nośnikach pamięci.

Problem ten sygnalizowany jest ostatnio mocniej w związku z intrygującym postulatem prawa do bycia zapomnianym, ogłoszonym w lutym 2012 przez komisarz Viviane Reding z Komisji Europejskiej na konferencji Digital Life Design.

Prawo do bycia zapomnianym zostało umieszczone w projekcie rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych z 25 stycznia 2012 r.

Warto wspomnieć, że polskie przepisy ochrony danych są drobiazgowe i nie pokrywają się z wymaganiami stosowanymi przez większość krajów europejskich. Dostawca chmury powinien zwrócić szczególną uwagę na spełnienie polskich wymagań, zaś instytucja powierzająca mu dane powinna tego dopilnować – zarówno na poziomie umowy z dostawcą, jak i na poziomie uprzedniego sprawdzenia zgodności działania chmury z polskim prawem.

Maciej Gawroński, partner zarządzający polskim biurem Bird & Bird. Szef praktyki IT