Rozwiązania chmurowe są popularne z bardzo wielu powodów. Pozwalają zaoszczędzić pieniądze i czas, bo nie wymagają tworzenia własnej infrastruktury. Umożliwiają sprawne skalowanie ich wykorzystania. Dodatkowo, dają możliwość korzystania z wielu ustandaryzowanych narzędzi i często są łatwiejsze w obsłudze niż systemy on-premise.
Co dzieje się z danymi osobowymi w chmurze?
Skoro korzystamy z chmury, to jest duża szansa, że znajdą się w niej informacje o naszych klientach, pracownikach lub dostawcach. Jak zapewnić zgodność z przepisami RODO? O tym poniżej.
Pierwsza ważna rzecz – korzystanie z chmury może być całkowicie zgodne z RODO. Wiem, że istnieją jeszcze ludzie (głównie sprzedawcy rozwiązań on-premise), którzy zdają się sugerować coś innego. Natomiast fakty są takie, że samo to czy korzystamy z chmury czy z czegoś co sobie sami postawimy, nie sprawia automatycznie, że jesteśmy zgodni lub niezgodni z RODO. Liczy się natomiast co zrobimy jak już podejmiemy decyzję, że chcemy korzystać z takiego narzędzia.
Aby zapewnić zgodność korzystania z usług chmurowych z przepisami RODO powinniśmy podjąć kilka kroków:
1. Weryfikacja tego jakie dane będą przetwarzane w chmurze i w jakim celu
To wydaje się być oczywiste, ale z perspektywy RODO ustalenie tego:
w jakim celu (po co) będzie wykorzystywane dane narzędzie – w tym przypadku usługa chmurowa,
jakie dane osobowe będą przetwarzane w ramach tej usługi,
jakich procesów biznesowych dotyczyć ma to przetwarzanie.
Analiza tej kwestii przyda się później i to bardzo, np. w trakcie tworzenia analizy ryzyka albo rejestru czynności przetwarzania. Przykładowo, inne ryzyka i zabezpieczenia mogą dotyczyć chmury, w której jedynie przechowywane są dane, a inne np. do rozwiązania, które pozwala np. na automatyczne wysyłanie do osób wiadomości albo generowanie dokumentów.
Z uwagi na wynikający z RODO obowiązek stosowania zasady rozliczalności, tego rodzaju opis procesów warto jest udokumentować.
2. Ocena dostawcy
Ważnym krokiem, który powinniśmy podjąć po zdecydowaniu się na skorzystanie z chmury jest zweryfikowanie tego:
kto jest dostawcą danego rozwiązania – czyli tego jaki podmiot będzie formalnie świadczył na naszą rzecz usługi, umożliwiające nam skorzystanie z chmury,
czy taki dostawca spełnia wymogi wynikające z przepisów RODO, np. w zakresie spełniania wymogów bezpieczeństwa.
Skąd ten drugi wymóg? Jeżeli w ramach usługi chmurowej będziemy przetwarzać (np. przechowywać) dane osobowe naszych klientów, pracowników albo innych osób, których jesteśmy administratorem danych, to dostawca usługi chmurowej zwykle będzie tzw. podmiotem przetwarzającym.
A to wymaga tego, aby zarówno administrator, jak i podmiot przetwarzający, spełnili kilka dodatkowych obowiązków, wynikających z przepisów RODO.
Sprawdzenie przez klienta-administratora tego czy dostawca chmury w ogóle nadaje się do tego, aby dać mu jakieś dane, jest pierwszym z nich.
Administrator powinien korzystać z usług takiego dostawcy usług chmurowych (podmiotu przetwarzającego), który dane wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą – art. 28 ust. 1 RODO.
O ile weryfikacja tego kto jest dostawcą nie powinna być specjalnie trudna, to sprawdzenie czy spełnia on wymogi wynikające z RODO, jest już nieco bardziej skomplikowane, zwłaszcza jeśli dopiero zaczynamy z nim współpracować.
Jak to w praktyce się odbywa. Na przykład poprzez:
uzyskanie informacji o tym jakie zabezpieczenia są stosowane przez dostawcę usługi chmurowej oraz jakie procedury w tym zakresie przyjął (np. przez poproszenie o wypełnienie kwestionariusza z pytaniami pozwalającymi ustalić z jakich zabezpieczeń dostawca korzysta, a z jakich nie),
sprawdzenie czy podmiot przetwarzający nie doświadczył wcześniej jakichś poważnych sytuacji, które skutkowałyby naruszeniem bezpieczeństwa danych.
To w jaki sposób ten obowiązek będzie spełniony, generalnie zależy od administratora. Nie musimy więc koniecznie korzystać z tych rozwiązań, które są wskazane powyżej - możemy zawsze skorzystać z jakiegoś alternatywnego sposobu.
Nie bez znaczenia jest tu też to kim jest sam dostawca i w jaki sposób udostępnia on informacje pozwalające na spełnienie wymogów z RODO – powiedzmy sobie szczerze, że próba audytu międzynarodowego dostawcy zanim jeszcze zostaliśmy jego klientem, może być zadaniem trudnym. Tacy dostawcy często posiadają ustandaryzowane informacje dot. tego jak spełniają wymogi wynikające z RODO i przekazują je potencjalnym klientom.
3. Umowa powierzenia przetwarzania danych
Przed faktycznym przekazaniem danych osobowych do dostawcy usługi chmurowej (np. poprzez zamieszczenie danych w bazie danych w chmurze), powinniśmy zawrzeć z nim umowę powierzenia przetwarzania danych. To kolejny obowiązek, wynikający z RODO, dotyczący relacji pomiędzy:
administratorem (Tobą, tzn. klientem usługi chmurowej) oraz
podmiotem przetwarzającym (czyli dostawcą takiej usługi).
W umowie powierzenia przetwarzania danych trzeba zawrzeć szereg regulacji dotyczących tego w jaki sposób ma przebiegać współpraca pomiędzy administratorem a podmiotem przetwarzający.
Zgodnie z RODO, trzeba wpisać do takiej umowy powierzenia np.:
zobowiązanie podmiotu przetwarzającego do stosowania odpowiednich środków bezpieczeństwa,
przekazywania administratorowi informacji o ewentualnych naruszeniach zasad ochrony danych,
reguły dot. korzystania przez podmiot przetwarzający z usług podwykonawców (tzw. dalszych podmiotów przetwarzających),
informację o tym jakie dane będą przetwarzane, kogo one dotyczą i w jakim celu ma je przetwarzać dostawca.
Jeśli chcesz dowiedzieć się więcej na temat umów powierzenia, zachęcam Cię do pobrania poradnika dotyczącego powierzenia przetwarzania danych.
4. Analiza ryzyka
Niezależnie od tego jakie zabezpieczenia wdroży dostawca, my sami również musimy przeanalizować kwestię bezpieczeństwa naszych danych w chmurze.
Proces ten nazywany jest analizą ryzyka. Przeprowadzenie takiej analizy musi być udokumentowane (podobnie zresztą jak realizacja innych obowiązków, które wynikają z przepisów RODO.
Innymi słowy, to na nas ciąży obowiązek:
Weryfikacji jakie zagrożenia łączą się z przetwarzaniem danych w chmurze – tzn. tego co może się zdarzyć i negatywnie wpłynąć na poufność, dostępność lub integralność danych.
Oceny jakie jest ryzyko jest związane z tymi zagrożeniami (czyli kombinacja prawdopodobieństwa wystąpienia zdarzenia i konsekwencji, jakie takie zdarzenie za sobą niesie) – przy czym uwzględniamy tu zwłaszcza negatywne konsekwencje dla osób, których dane przetwarzamy.
Oceny czy zabezpieczenia, które obecnie posiadamy, są wystarczające (np. standardowe środki bezpieczeństwa, zapewniane przez dostawcę usługi chmurowej).
Wdrożenia ewentualnych dodatkowych zabezpieczeń tak aby zminimalizować ryzyko, które wcześniej oceniliśmy.
Pamiętajcie, że korzystanie z zewnętrznego dostawcy usługi chmurowej nie zwalnia administratora z odpowiedzialności za bezpieczeństwo danych.
Z uwagi na to, że zagrożenia dla bezpieczeństwa mogą pojawiać się tak długo jak długo przetwarzane są dane osobowe, powinniśmy na bieżąco weryfikować czy nasza analiza nie wymaga aktualizacji i nie powinniśmy zmienić sposobu zabezpieczania danych – np. z uwagi na pojawienie się nowych zagrożeń albo uznanie, że stare zabezpieczenia nie spełniają już swojej roli.
5. Uwzględnienie czynności dokonywanych w chmurze w rejestrze czynności przetwarzania
Rejestr czynności przetwarzania to dokument, który jest wskazany w przepisach RODO. Powinien go sporządzić administrator danych. W praktyce zdecydowana większość przedsiębiorców musi taki dokument mieć.
W rejestrze czynności przetwarzania powinniśmy wskazać m.in. na informacje o odbiorcach danych – obejmuje to więc również potencjalnych dostawców usług chmurowych. W rejestrze trzeba też opisać:
cele przetwarzania danych
kategorie osób, których dane dotyczą
kategorie danych, które są przetwarzane.
W praktyce oznacza to, że w rejestrze może być konieczne uwzględnienie również naszej chmury.
Przykładowo, jeśli celem przetwarzania jest zapewnienie użytkownikowi możliwości korzystania z jakiejś aplikacji w chmurze to powinniśmy to opisać w rejestrze, jak również wskazać na to jakie kategorie osób mogą być takimi użytkownikami i jakie kategorie danych (np. imię, nazwisko, adres e-mail) będą zamieszczone w ramach chmury.
6. Transfer danych poza Unię Europejską/Europejski Obszar Gospodarczy
To jedno z najistotniejszych zagadnień dotyczących zgodnego z prawem korzystania z usług chmurowych. W praktyce bowiem wielu dostawców usług ma swoją siedzibę oraz infrastrukturę poza EOG (czyli Unią Europejską + Norwegią, Liechtensteinem oraz Islandią). Oznacza to, że jeżeli zamieścimy dane w ramach infrastruktury chmurowej takiego dostawcy to mogą one zostać przesłane gdzieś poza EOG.
A to sprawia, że konieczne jest spełnienie dodatkowych obowiązków wynikających z RODO, dotyczących takich transferów. Podstawowym z nich jest posiadanie dodatkowej podstawy, legalizującej przesłanie danych do państwa spoza EOG.
W praktyce najczęściej korzysta się z jednej z dwóch podstaw:
decyzji Komisji Europejskiej, stwierdzającej, że dane państwo spoza EOG spełnia „odpowiednio wysokie” standardy w zakresie ochrony danych, a tym samym nie jest konieczne podejmowanie jakichkolwiek działań i można po prostu przetransferować dane do dostawcy spoza EOG (tzw. decyzja o adekwatności) – takie decyzje zostały wydane m.in. w stosunku do Szwajcarii, Nowej Zelandii, Japonii, Izraela, Wielkiej Brytanii albo Argentyny,
Standardowych Klauzul Umownych, czyli specjalnego wzoru umowy, zaakceptowanego przez Komisję Europejską. Taką umowę zawiera się pomiędzy podmiotem spoza EOG (czyli dostawcą usługi chmurowej) i administratorem, który podlega przepisom RODO. Utrudnieniem w stosowaniu standardowych klauzul umownych jest jednak to, że administrator i tak musi sprawdzić, czy prawo kraju, do którego będą transferowane dane, nie stoi na przeszkodzie realizacji postanowień, które w tej umowie są zapisane. Musimy więc sprawdzić, czy prawo kraju, do którego dane są transferowane, pozwala na realizację obowiązków, które wynikają z klauzul. To sprawia, że nawet zawierając taką umowę administrator nie jest stuprocentowo bezpieczny.
Najwięcej dostawców usług chmurowych pochodzi z USA. Sytuacja tego kraju jest dość specyficzna, a kwestie przesyłania danych na drugą stronę Atlantyku podlegają ciągłej ewolucji.
Obecnie Komisja Europejska i rząd USA są związane tzw. Data Privacy Framework, czyli specjalnym porozumieniem, które reguluje kwestie transferów danych do USA. Na podstawie tego porozumienia firmy z USA mogą dobrowolnie przystępować do programu DPF i spełniać dodatkowe warunki dotyczące ochrony danych, tak aby zapewnić standard bezpieczeństwa odpowiedni do tego, który wynika z RODO.
Data Privacy Framework jest objęta decyzją o adekwatności Komisji Europejskiej – czyli jeśli przekazujemy dane do dostawcy, który dołączył do programu, to nie musimy regulować transferów w drodze odrębnej umowy. Po prostu korzystamy z usługi dostawcy i transferujemy dane w ramach programu.
Lista amerykańskich podmiotów, które przystąpiły do programu Data Privacy Framework jest tutaj.
A co jeśli jakiegoś podmiotu tam nie ma? Wtedy pozostaje nam zawarcie z dostawcą umowy zawierającej standardowe klauzule umowne albo ewentualnie oparcie się na jakiejś jeszcze innej podstawie prawnej transferu danych do USA. Jeżeli chcesz dowiedzieć się więcej jak działają standardowe klauzule umowne, zapraszam tutaj.
7. Informacja o odbiorcach danych
Jeśli korzystamy z usług dostawców chmurowych, to stają się oni odbiorcami danych – biorą bowiem udział w procesach przetwarzania danych, chociażby przechowując je w ramach swojej infrastruktury informatycznej, przesyłając je pomiędzy użytkownikami albo dokonując jakichś innych operacji na danych. Nie ma tutaj znaczenia to, że te procesy odbywają się w pełni automatycznie i w praktyce nikt po stronie dostawcy usługi chmurowej tych danych nie czyta. Podmiot przetwarzający jest więc jednocześnie odbiorcą danych.
Skoro dostawca jest odbiorcą danych, to powinniśmy uwzględnić tę kwestię w treści obowiązku informacyjnego (klauzuli informacyjnej) – czyli informacji przekazywanej osobom, których dane przetwarzamy. Treść takiej klauzuli informacyjnej, oprócz np. danych administratora, metodach kontaktu z nim albo celach przetwarzania, powinna również zawierać informację o odbiorcach danych osobowych lub kategoriach odbiorców.
RODO pozwala na informowanie:
konkretnych odbiorcach danych – np. wskazanie nazwy dostawcy usługi chmurowej
kategoriach odbiorców – czyli wskazania, że dane mogą być przekazane do dostawców usług chmurowych, z którymi współpracuje administrator, bez wskazywania konkretnych nazw dostawców.
Takiej informacji nie przekaże im bezpośrednio dostawca, bo to nie jest obowiązek podmiotu przetwarzającego dane – musimy to zrobić my jako administrator.
Uwaga! Czasami możesz być zobowiązany do spełniania dodatkowych wymagań związanych z korzystaniem z bezpiecznej i zgodnej z prawem chmury, np. jeśli działasz w branży finansowej albo ubezpieczeniowej. Jeżeli chcesz dowiedzieć się więcej na ten temat, kliknij w link: Chmura zgodna z wytycznymi KNF
Podsumowanie
Wykorzystywanie chmury w ramach działalności gospodarczej sprawia, że musimy zrobić kilka dodatkowych rzeczy, tak aby być zgodnym z przepisami RODO. Nie są to jednak kwestie, które wymagałyby podejmowania jakichś bardzo trudnych działań, zwłaszcza jeśli organizacja wdrożyła już procedury i przygotowała dokumenty dotyczące ochrony danych osobowych. W takim przypadku wystarczające będzie dostosowanie obecnych procesów i dokumentów do nowej, chmurowej rzeczywistości.
Jeżeli masz jakieś wątpliwości lub potrzebujesz pomocy przy zgodnym z prawem rozpoczęciu korzystania z chmury, skontaktuj się z nami, wysyłając maila na adres kontakt@bytelaw.pl albo korzystając z formularza kontaktowego na stronie www.bytelaw.pl.
