Chmura obliczeniowa – bezpieczne rozwiązanie, czy problem dla ochrony danych osobowych?

Obserwując rynkowe trendy można stwierdzić, iż korzystanie z usług przetwarzania danych w chmurze (ang. cloud computing services) cieszy się rosnącą popularnością wśród klientów, niezależnie od wielkości przedsiębiorstwa. Przyczyną takiego stanu rzeczy są zalety tego modelu świadczenia usług, do których zaliczają się m.in.: zapewnienie wysokiej dostępności i bezpieczeństwa danych, elastyczność i skalowalność zasobów, niższe koszty całkowite (TCO, ang. Total Cost of Ownership), możliwość wyeliminowania kosztów inwestycyjnych (CAPEX), czy też przerzucenie „problemu” utrzymania systemów i związanych z tym czynności na dostawcę (zarządzanie, aktualizacja, back-up).

Mimo szeregu zalet użytkownicy mają liczne obawy przed migracją do środowiska chmury. Według badań przeprowadzonych przez Audytel, najwięcej wątpliwości wzbudzają kwestie związane z bezpieczeństwem i ochroną danych poufnych, utratą kontroli nad danymi, a także brakiem zgodności z normami i regulacjami.

W rzeczywistości obawy te mogą okazać się zupełnie nieuzasadnione, zwłaszcza w przypadku klientów z sektora MŚP. Model przetwarzania danych w chmurze w praktyce może zapewnić  znacznie wyższy poziom bezpieczeństwa w stosunku do przetwarzania danych we własnej infrastrukturze w siedzibie firmy (ang. on premise). Dzieje się tak dlatego, że profesjonalni dostawcy usług chmurowych dysponują szeregiem zabezpieczeń zarówno na poziomie technicznym, jak i organizacyjnym, których zwłaszcza małe przedsiębiorstwa zazwyczaj nie stosują, lub stosują w ograniczonym zakresie. Ponadto operator platformy cloud jest w stanie zapewnić szereg usług dodatkowych takich jak back-up danych, odtworzenie danych w przypadku awarii (DRC), co przyczynia się do zwiększenia dostępności danych w stosunku do przetwarzania lokalnego.

Ze względu na zwiększony poziom bezpieczeństwa danych, możliwość zapewnienia wysokiej dostępności (zgodnie z  wymaganiami  RODO – artykuł 32), usługi chmurowe stanowią szansę na spełnienie tych wymagań, zwłaszcza dla podmiotów które nie są w stanie im sprostać w samodzielnie budowanym i zarządzanym środowisku IT. Dodatkowo operator usługi cloud powinien, w ramach swoich możliwości zapewnić wsparcie przy realizacji innych wymagań wynikających z rozporządzenia, takich jak notyfikacja o incydentach oraz realizacja żądań wynikających z uprawnień podmiotów danych (szczególnie w przypadku usług typu Software as a Service – SaaS).

Na co zatem zwrócić uwagę przy korzystaniu z usług dostawców chmurowych w aspekcie RODO?

Przede wszystkim należy określić, czy dostawca będzie miał dostęp do przetwarzanych danych osobowych. W przypadku świadczenia usługi w modelu IaaS (ang. Infrastructure as a Service), tak być nie musi. Jednak w najpopularniejszym obecnie modelu usług chmurowych czyli SaaS usługodawca będzie miał dostęp do przetwarzanych danych, zatem w rozumieniu RODO  będzie podmiotem przetwarzającym, ze wszystkimi tego konsekwencjami. Zgodnie z artykułem 28 RODO, usługodawca w szczególności zobowiązany będzie do zachowania tajemnicy, zapewnienia bezpieczeństwa przetwarzanych danych osobowych poprzez podjęcie środków określonych w artykule 32, wsparcia administratora w realizacji żądań praw podmiotów danych oraz wywiązywania się z pozostałych obowiązków wynikających z RODO. Sposób, zakres, czas, charakter czy cele przetwarzania danych przez usługodawcę powinny być uregulowane na podstawie umowy powierzenia lub innego instrumentu prawnego wiążącego prawnie administratora i podmiot przetwarzający. Ważne by umowa określała konkretnie rodzaj przetwarzanych danych osobowych, kategorie osób, których dane dotyczą oraz wszystkie szczegółowe obowiązki oraz prawa administratora i podmiotu przetwarzającego.

Inną kwestią, na którą należy zwrócić uwagę, jest lokalizacja przetwarzania danych. Co do zasady, za bezpieczne uznaje się kraje znajdujące się na terenie Europejskiego Obszaru Gospodarczego (EOG), na terenie którego obowiązują przepisy RODO. Nie ma przeciwwskazań do przekazania danych osobowych dostawcy przetwarzającemu je poza obszarem EOG, pod jednym jednak warunkiem –  zapewnienia odpowiedniego stopnia ochrony danych, co zgodnie z art. 45 RODO, potwierdza w drodze aktu wykonawczego (decyzji) Komisja Europejska.

W przypadku gdy Komisja Europejska nie wydała decyzji co do odpowiedniego stopnia ochrony na danym obszarze, nadal istnieje możliwość zawarcia umowy z dostawcą przetwarzającym tam dane. Należy jednak zbadać stosowany przez dostawcę rodzaj zabezpieczeń, środki ochrony prawnej oraz możliwości egzekwowania praw osób, których dane dotyczą. Dostawcy posiadający m.in. zatwierdzone wiążące reguły korporacyjne, lub otwarci na zastosowanie w umowie powierzenia  standardowych klauzul ochrony danych przyjętych przez Komisję Europejską, lub też posiadający zatwierdzony kodeks postępowania, lub zatwierdzony mechanizm certyfikacji będą podmiotami przetwarzającymi, które spełniają wymóg zapewnienia adekwatnego poziomu ochrony danych.

Podsumowując, przy wyborze dostawcy usług chmurowych przede wszystkim należy mieć na uwadze aspekty bezpieczeństwa. Wskazówką mogą być tu certyfikaty posiadane przez usługodawcę, jak na przykład ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, czy też przynależność do organizacji zrzeszających, jak na przykład CISPE. Atutem mogą też być usługi dodatkowe jakie zapewnia dostawca, jak na przykład ochrona przed złośliwym oprogramowaniem, atakami DDOS, itp. Inną ważną kwestią jest fizyczna lokalizacja przetwarzanych danych. Jeżeli przetwarzanie odbywa się poza terytorium EOG niezbędna jest weryfikacja czy dostawca gwarantuje odpowiedni stopień ochrony danych, bez względu na lokalizację ich przetwarzania. Należy też pamiętać, że administratorowi – w każdym momencie korzystania z usługi – przysługuje prawo do kontroli podmiotu przetwarzającego, mającej na celu wykazanie czy należycie realizuje on swoje obowiązki.

Autor

Michał Pyszycki

Audytor i konsultant specjalizujący się w badaniu zgodności oraz analizie luk obszaru IT w dostosowaniu do wymogów regulacyjnych. Brał udział w wielu projektach doradczych dla czołowych przedsiębiorstw działających w Polsce, obejmujących m.in. audyty systemów teleinformatycznych, doradztwo przy nabywaniu i wdrażaniu usług ICT, oceny spełnienia wymogów regulacyjnych w tym wynikających z rekomendacji D, RODO, NIS.