Z powodu upowszechnienia się usług w chmurze zarówno infrastruktura, jak i oprogramowanie wielu organizacji coraz częściej znajdują się u zewnętrznego dostawcy -- nieraz w odległym geograficznie data center. Tam też trafiają istotne, a nieraz wręcz strategiczne informacje.

Czy z punktu widzenia prawa i regulacji branżowych są takie dane, które nie powinny być przechowywane na zewnątrz organizacji lub przechowywanie ich stwarza istotne problemy? Według Głównego Inspektora Ochrony Danych Osobowych samo przetwarzanie w chmurach jest dopuszczalne prawnie, również z punktu widzenia przepisów dotyczących ochrony danych osobowych. Problem może rodzić przechowywanie informacji podlegających ustawie o ochronie informacji niejawnej. Spełnienie złożonych warunków ich przechowywania na zewnętrznych serwerach może być niezmiernie trudne, choć teoretycznie jest możliwe.

Zobacz również:

• Cyfrowa transformacja z AI - co nowego na Google Cloud Next 24
• IBM Security QRadar SIEM pomoże zarządzić globalną strukturą odpowiedzialną za bezpieczeństwo

Trudności mogą stwarzać też dane objęte tajemnicą bankową, radcowską, medyczną, skarbową. Takich rodzajów danych, tajemnic branżowych, GIODO doliczył się około stu.

W opracowaniu „Bezpieczna chmura – warunki legalnego przetwarzania dokumentów w modelu Cloud Computing” mecenas Stefan Cieśla, zajmujący się od lat problematyką prawną związaną z modelem cloud computing, stwierdza, że choć żaden przepis nie określa sposobu przetwarzania informacji stanowiących tajemnice służbowe lub zawodowe, to również nie wyklucza możliwości ich przetwarzania w chmurze, jeśli zostaną zachowane wszystkie wymagane prawem zabezpieczenia.

Rozwiązaniem, a właściwie obejściem problemu może być korzystanie z chmury hybrydowej, która obecnie zyskuje popularność. Zasoby krytyczne dla działalności przedsiębiorstwa są wówczas przechowywane i przetwarzane w chmurze prywatnej. Reszta danych może się znaleźć w chmurze publicznej.

Dane osobowe w chmurze tak, ale...

Z punktu widzenia obowiązujących przepisów przetwarzanie danych, zwłaszcza danych osobowych w chmurze obliczeniowej, może nastąpić tylko wtedy, jeżeli ten, kto je przekazuje, będzie w stanie ustalić, w których centrach przetwarzania (geograficznie) dane te będą przetwarzane. A według ustawy o ochronie danych osobowych mogą być one przetwarzane tylko w centrach znajdujących się na terenie Unii Europejskiej i nie wolno przekazywać ich do tzw. krajów trzecich. Istnieje jeszcze grupa kilkunastu krajów i terytoriów (np. Szwajcaria), które są uznane za równorzędne z Unią Europejską w zapewnieniu adekwatnego poziomu ochrony.