Outsourcing do chmury obliczeniowej – kwestie ochrony danych

Jednym z wyzwań regulacyjnych związanych z korzystaniem z rozwiązań chmurowych są kwestie ochrony danych, w tym danych osobowych, które są przetwarzane w chmurze. Do tej ostatniej kategorii zastosowanie będą miały m.in. przepisy RODO. W sektorach regulowanych w niektórych przypadkach organy nadzoru wydają specjalne wytyczne dotyczące korzystania z cloud computingu. Poleganie na usłudze chmurowej może być również uznane za rodzaj outsourcingu regulowanego np. w odniesieniu do podmiotów z sektora finansowego. Zatem w przypadku zaimplementowania w organizacji rozwiązań chmurowych może dojść do sytuacji, gdzie wybór dostawcy i konkretnego rozwiązania powinien być poprzedzony analizą nakładających się na siebie wielowarstwowych regulacji.

Regulatorzy wskazywali, że korzystanie z rozwiązań chmurowych może niekorzystnie wpływać na poczucie kontroli nad danymi osobowymi. Osoby fizyczne mogą nie dysponować wystarczającymi informacjami do tego w jaki sposób i w jakich lokalizacjach przetwarzane są ich dane oraz komu są one udostępniane. Często dostawca chmury obliczeniowej korzysta z szeregu podwykonawców znajdujących się w różnych lokalizacjach, również w państwach, których prawodawstwo nie gwarantuje porównywalnego poziomu ochrony danych ze standardami Unii Europejskiej. Dlatego też tak istotną kwestią jest uregulowanie w umowie z dostawcą chmury zakresu geograficznego, w ramach którego dokonywane może być podwykonawstwo oraz zobowiązanie dostawcy chmurowego do korzystania wyłącznie w podwykonawców gwarantujących odpowiedni poziom ochrony danych.

Firma korzystająca z usługi chmurowej jest administratorem danych osobowych. Natomiast dostawca chmury będzie zasadniczo klasyfikowany na gruncie RODO jako podmiot przetwarzający. Oczywiście, zdarzyć się może, że ze względu na rodzaj wykonywanych na danych operacji dostawca chmury będzie klasyfikowanych jako odrębny administrator. Zasadniczo jednak, pomimo to, że to dostawca określa parametry technologiczne rozwiązania, to firma korzystająca z chmury jest administratorem. To ona samodzielnie podejmuje decyzję o celach przetwarzania, tj. decydując się na cloud computing określa, jakie operacje na danych i ich kategorie będą przetwarzane w chmurze oraz w jakich obszarach działalności skorzysta z cloud computingu. Klient decyduje o powierzeniu przetwarzania dostawcy chmury oraz oddelegowaniu wszystkich lub części działań w zakresie przetwarzania zewnętrznej organizacji.

Zatem na przedsiębiorcy korzystającego z chmury spoczywać będą wszelkie obowiązki wynikające z RODO dla administratorów danych, również w zakresie powierzenia przetwarzania, co wiązać się będzie z koniecznością zawarcia odpowiedniej umowy z providerem również w zakresie ochronnych danych osobowych. Administrator jest odpowiedzialny za wybranie rozwiązania zgodnego z prawodawstwem krajowym i unijnym. W przypadku kontroli, argumenty, iż dostawca chmury jest profesjonalistą lub umowy chmurowej nie dało się odpowiednio wynegocjować, mogą nie być przekonujące i nie uwolnią przedsiębiorcy od odpowiedzialności za naruszenia w zakresie ochrony danych osobowych. Zasadniczo więc warunkiem wstępnym skorzystania z cloud computingu jest przeprowadzenie odpowiedniej oceny ryzyka, uwzględniając m.in. możliwość zapewnienia dostępności, integralności i poufności danych w chmurze.

Oprócz ryzyka utraty kontroli nad danymi, w przypadku rozważania skorzystania z cloud computingu należy uwzględnić również takie czynniki jak uzależnienie od dostawcy usług (vendor lock-in, które może przejawiać się problemami w przypadku chęci przeniesienia danych do innego usługodawcy), zapewnienie skutecznego usuwania danych z chmury po zakończeniu umowy lub po okresie retencji, ryzyko dostępu do danych przez podmioty trzecie (i ich nieuprawnionego wykorzystania bądź niezapewnienia odpowiedniego poziomu ochrony), czy ryzyko zgodności (które może być zminimalizowane np. poprzez dokonanie audytu dostawcy chmury). Uregulowanie powyższych kwestii w umowie z dostawcą chmury i jasne określenie kontraktowych obowiązków stron jest istotne również z tego względu, że usługobiorca często w praktyce może nie mieć bezpośredniego wpływu na dostawcę oraz nie będzie go w stanie kontrolować w dowolnym momencie.