0
głosów
- +

Dane osobowe w chmurze

Autor:

Aktualizacja: 28.06.2016


Kategoria: Prawo / Ochrona Danych Osobowych


Artykuł
  • 0 głosów dodatnich
  • 0 głosów ujemnych
  • 527 razy czytane
  • 1 przedrukowany
  • 0 Polemik/Poparć <span class="normal">Odpowiadanie na artykuł</span>
  • Licencja: CC <span class="normal">Zezwala się na kopiowanie, dystrybucję, wyświetlanie i użytkowanie dzieła i wszelkich jego pochodnych pod warunkiem umieszczenia informacji o tw&oacute;rcy.</span>
Dostęp bezpłatny <span class="normal">Dostęp do treści jest bezpłatny.<br/> Inne pola eksploatacji mogą być zastrzeżone sprawdź <b>licencję</b>, żeby dowiedzieć się więcej</span>
 

Każda czynność związana z przetwarzaniem danych osobowych powinna odbywać się z poszanowaniem zasad wynikających z powszechnie obowiązujących przepisów prawa tj. Ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. i wydanych na jej podstawie aktów wykonawczych.


Definicja Cloud Computing z 2011 roku mówi o modelowym zapewnieniu powszechnego i wygodnego sieciowego dostępu na żądanie do dzielonej puli konfigurowanych zasobów obliczeniowych, które mogą być szybko przydzielone i uwolnione przy minimalnym wysiłku zarządczym lub interakcji z dostawcą usługi. W dużym uproszczeniu mówiąc Cloud Computing to udostępnianie określonych zasobów informatycznych przez Internet. Działanie takie charakteryzuje się pięcioma podstawowymi cechami:

samoobsługą na żądanie;

szeroką dostępnością sieciową;

pulą zasobów;

mierzalnością wykorzystania zasobów.

Z założenia przetwarzanie w chmurze wiąże się z przechowywaniem danych w środowisku o charakterze zewnętrznym z zapewnieniem stałego do nich dostępu. Obecnie obowiązujące przepisy o ochronie danych osobowych dopuszczają takie rozwiązanie zwłaszcza, gdy chmura umiejscowiona jest w infrastrukturze informatycznej administratora danych. W takim przypadku nie zachodzi, bowiem sytuacja, że jakakolwiek wyodrębniona część danych przetwarzane jest przy udziale podmiotu zewnętrznego.

W sytuacji, gdy chmura znajduje się poza infrastrukturą administratora staje się on klientem usługi, który wykorzystuje udostępnioną mu strukturę (platforma, aplikacja) do przetwarzania danych. W takich przypadkach dostawca owej usługi staje się przetwarzającym dane osobowe. Wiąże się to z określonymi zagrożeniami, które wymagają od administratora danych osobowych przeprowadzenia szczegółowej analizy prawnej, która zbada i zdefiniuje relacje pomiędzy administratora danych (klientem) a dostawca usługi.

„Kluczowe staje się więc sprawdzenie przez administratora czy zasady ochrony danych gwarantują zapewnienie bezpieczeństwa przekazywanych informacji, ich poufność i integralność. Problem staje się o wiele bardziej skomplikowany w sytuacji, w której przetwarzanie odbywa się na terenie kilku państw bądź nawet podległym wyłącznie jurysdykcji międzynarodowej.”[1]

Na administratorze danych osobowych spoczywa obowiązek przeprowadzenia audytu prawnego który szczegółowo zbada sytuacje prawną stron umowy ze szczególnym uwzględnieniem takich zagadnień jak: prawo wewnętrzne państwa na terenie, którego znajduje się siedziba lub infrastruktura usługodawcy; obowiązujące umowy międzynarodowe; przepisy sektorowe dotyczące administratora danych osobowych.

ADO musi być pewien, że warunki świadczenia usługi dadzą mu pełną kontrolę nad sposobem przetwarzania danych w chmurze i uniemożliwią usługodawcy przetwarzanie danych do celów innych niż cele administratora. Kluczowe znaczenie ma też pełna współpraca usługodawcy z administratorem danych w zakresie osiągnięcia założonych standardów usługi i adekwatnego poziomu jej ochrony. Pełnej współpracy wymagają też działania nadzorcze i kontrolne prowadzone periodycznie jak i te, które wdraża się w konsekwencji naruszenia bezpieczeństwa systemu.

Biorąc pod uwagę charakter przetwarzanych danych w chmurze zapisy umowy pomiędzy administratorem danych osobowych a usługodawcą uregulowane być muszą takie między innymi zagadnienia jak:

procedury kontroli dostępu do danych przetwarzanych w chmurze,

sposoby szyfrowania danych przekazywanych pomiędzy systemami usługodawcy i ADO,

możliwość natychmiastowego usunięcia danych w przypadku incydentu bezpieczeństwa.

Polityka bezpieczeństwa, Instrukcja zarządzania systemem informatycznym oraz Umowa powierzenia przetwarzania danych osobowych powinny „(…) obejmować całokształt przetwarzania danych osobowych przez usługodawcę i uwzględniać zmienność charakterystyczną dla chmury (np. zmianę serwera i jego lokalizacji z powodu awarii czy obciążenia sieci) poprzez zapewnienie jednolitych procedur we wszystkich wariantach usługi.”[2] Jest to niezwykle istotne zagadnienie zwłaszcza, że zgodnie z Ustawą o ochronie danych osobowych z 29 sierpnia 1997 r. administrator ma obowiązek wskazania miejsca przetwarzania danych osobowych oraz wdrożenia odpowiednich środków bezpieczeństwa. Bez precyzyjnego określenia wykorzystywanej infrastruktury jest to niemożliwe.

 

 

[1] T. A. J. Banyś, Joanna Łuczak, Ochrona danych osobowych w praktyce. Jak unikać błędów i ich konsekwencji prawnych, Presscom Sp. z o. o. 2014, s. 170.

[2] Ibidem s. 172.


Podobał Ci się artykuł?
0
głosów
- +

Brak polemik/poparć



Podobne artykuły:


KOMENTARZE


Używając tej strony zgadzasz się na wykorzystywanie plików Cookie.Dowiedz się więcej.

Używamy plików cookies, aby ułatwić Ci korzystanie z naszego serwisu oraz do celów statystycznych. Jeśli nie blokujesz tych plików, to zgadzasz się na ich użycie oraz zapisanie w pamięci urządzenia. Pamiętaj, że możesz samodzielnie zarządzać cookies, zmieniając ustawienia przeglądarki. Z dniem 25.05.2018 wprowadziliśmy też w życie rozporządzenia dotyczące ochrony danych osobowych. Więcej informacji w naszej Polityce Prywatności i Regulaminie.

Zamknij