Definicja Cloud Computing z 2011 roku mówi o modelowym zapewnieniu powszechnego i wygodnego sieciowego dostępu na żądanie do dzielonej puli konfigurowanych zasobów obliczeniowych, które mogą być szybko przydzielone i uwolnione przy minimalnym wysiłku zarządczym lub interakcji z dostawcą usługi. W dużym uproszczeniu mówiąc Cloud Computing to udostępnianie określonych zasobów informatycznych przez Internet. Działanie takie charakteryzuje się pięcioma podstawowymi cechami:
samoobsługą na żądanie;
szeroką dostępnością sieciową;
pulą zasobów;
mierzalnością wykorzystania zasobów.
Z założenia przetwarzanie w chmurze wiąże się z przechowywaniem danych w środowisku o charakterze zewnętrznym z zapewnieniem stałego do nich dostępu. Obecnie obowiązujące przepisy o ochronie danych osobowych dopuszczają takie rozwiązanie zwłaszcza, gdy chmura umiejscowiona jest w infrastrukturze informatycznej administratora danych. W takim przypadku nie zachodzi, bowiem sytuacja, że jakakolwiek wyodrębniona część danych przetwarzane jest przy udziale podmiotu zewnętrznego.
W sytuacji, gdy chmura znajduje się poza infrastrukturą administratora staje się on klientem usługi, który wykorzystuje udostępnioną mu strukturę (platforma, aplikacja) do przetwarzania danych. W takich przypadkach dostawca owej usługi staje się przetwarzającym dane osobowe. Wiąże się to z określonymi zagrożeniami, które wymagają od administratora danych osobowych przeprowadzenia szczegółowej analizy prawnej, która zbada i zdefiniuje relacje pomiędzy administratora danych (klientem) a dostawca usługi.
„Kluczowe staje się więc sprawdzenie przez administratora czy zasady ochrony danych gwarantują zapewnienie bezpieczeństwa przekazywanych informacji, ich poufność i integralność. Problem staje się o wiele bardziej skomplikowany w sytuacji, w której przetwarzanie odbywa się na terenie kilku państw bądź nawet podległym wyłącznie jurysdykcji międzynarodowej.”[1]
Na administratorze danych osobowych spoczywa obowiązek przeprowadzenia audytu prawnego który szczegółowo zbada sytuacje prawną stron umowy ze szczególnym uwzględnieniem takich zagadnień jak: prawo wewnętrzne państwa na terenie, którego znajduje się siedziba lub infrastruktura usługodawcy; obowiązujące umowy międzynarodowe; przepisy sektorowe dotyczące administratora danych osobowych.
ADO musi być pewien, że warunki świadczenia usługi dadzą mu pełną kontrolę nad sposobem przetwarzania danych w chmurze i uniemożliwią usługodawcy przetwarzanie danych do celów innych niż cele administratora. Kluczowe znaczenie ma też pełna współpraca usługodawcy z administratorem danych w zakresie osiągnięcia założonych standardów usługi i adekwatnego poziomu jej ochrony. Pełnej współpracy wymagają też działania nadzorcze i kontrolne prowadzone periodycznie jak i te, które wdraża się w konsekwencji naruszenia bezpieczeństwa systemu.
Biorąc pod uwagę charakter przetwarzanych danych w chmurze zapisy umowy pomiędzy administratorem danych osobowych a usługodawcą uregulowane być muszą takie między innymi zagadnienia jak:
procedury kontroli dostępu do danych przetwarzanych w chmurze,
sposoby szyfrowania danych przekazywanych pomiędzy systemami usługodawcy i ADO,
możliwość natychmiastowego usunięcia danych w przypadku incydentu bezpieczeństwa.
Polityka bezpieczeństwa, Instrukcja zarządzania systemem informatycznym oraz Umowa powierzenia przetwarzania danych osobowych powinny „(…) obejmować całokształt przetwarzania danych osobowych przez usługodawcę i uwzględniać zmienność charakterystyczną dla chmury (np. zmianę serwera i jego lokalizacji z powodu awarii czy obciążenia sieci) poprzez zapewnienie jednolitych procedur we wszystkich wariantach usługi.”[2] Jest to niezwykle istotne zagadnienie zwłaszcza, że zgodnie z Ustawą o ochronie danych osobowych z 29 sierpnia 1997 r. administrator ma obowiązek wskazania miejsca przetwarzania danych osobowych oraz wdrożenia odpowiednich środków bezpieczeństwa. Bez precyzyjnego określenia wykorzystywanej infrastruktury jest to niemożliwe.
