Urzędy, które coraz bardziej się informatyzują i wdrażają u siebie coraz więcej systemów informatycznych, często chętnie kupiłyby oprogramowanie w formie usługi, by ograniczyć chociażby konieczność rozbudowy infrastruktury i działu IT. Wtedy pojawiają się jednak py-tania o bezpieczeństwo, problem poufności danych i kwestie przepisów prawnych.

Tajne przez poufne

Andrzej Strug, dyrektor Departamentu Informatyki w Narodowym Funduszu Zdrowia, przy-znaje, że cloud computing to z perspektywy administracji publicznej ciekawy kierunek, który obserwuje z zainteresowaniem. Ale jako podmiot administracji publicznej NFZ ma pewne problemy związane z regulacjami prawnymi, kwestiami poufności danych i bezpieczeństwa, które regulowane są przepisami. Największym problemem jest zapewnienie bezpieczeństwa przetwarzania danych, w tym poufności przetwarzanych danych.

Na podobne problemy zwraca uwagę Marzena Bednarczyk z Urzędu m.st. Warszawy, która odpowiada za wdrożenie i utrzymanie systemu ERP. Mimo że bazą systemu ERP jest system finansowo-księgowy, to powinien być on zintegrowany z systemami, które są własnością Mi-nisterstwa Spraw Wewnętrznych i Administracji. "A te są, mówiąc kolokwialnie, <<tajne przez poufne>> i powiązanych z nimi systemów nie można wynieść w chmurę bez zgody wła-ściciela. Budując system klasy ERP, który w jakimś stopniu korzysta np. z ewidencji ludności czy ewidencji pojazdów, należy zapewnić właściciela danych, że spełniamy wszelkie wymogi bezpieczeństwa wynikające z przepisów prawa" - mówi Marzena Bednarczyk. Jej zdaniem, nawet chcąc zbudować portal dla mieszkańców czy korzystać z poczty elektronicznej w mo-delu cloud, nie udałoby się urzędowi spełnić wszystkich prawnych obowiązków, jakie są na niego nałożone.

Wojciech Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych, tłumaczy wprawdzie, że nie ma żadnego zakazu, który uniemożliwiałby instytucjom publicznym korzy-stanie z cloud computing, jednak skonstruowanie umowy między urzędem a firmą dostarcza-jącą rozwiązania w tym modelu może być skomplikowane, a w przypadku niektórych usług nawet niemożliwe. Kluczowe w tej sytuacji jest bowiem zachowanie wszystkich zasad ochro-ny danych osobowych, które wynikają z ustawy o ochronie danych osobowych oraz z rozpo-rządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwa-rzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobo-wych.

UE dostosuje prawo

Jak tłumaczy GIODO, istotne jest m.in. to, by administrator danych, który zamierza przetwa-rzać dane osobowe w chmurze, zawarł z jej dostarczycielem umowę powierzenia przetwarza-nia danych osobowych. Zgodnie z tym przepisem, administrator danych może powierzyć in-nemu podmiotowi przetwarzanie danych, ale muszą być spełnione określone warunki. Oczy-wiście skonstruowanie takiej umowy z dostawcą rozwiązań w modelu cloud może być skom-plikowane, ponieważ powinna ona przewidywać, przy użyciu jakich środków dane będą za-bezpieczane. Urząd musi uzyskać dokładną informację na ten temat, a to w przypadku kla-sycznej chmury publicznej - nie mającej ograniczeń co do terytorium ani co do podmiotu czy podmiotów, w których władaniu pozostają serwery służące przetwarzaniu danych - może być trudne.

GIODO bada obecnie te zagadnienia. Tematem wykorzystania cloud computing w admini-stracji publicznej zajmuje się też Komisja Europejska. W listopadzie 2010 r. przyjęła ona kompleksową strategię dotyczącą ochrony danych osobowych w Unii Europejskiej, która za-kłada m.in. modernizację istniejących na poziomie unijnym ram prawnych w zakresie ochro-ny danych osobowych i uwzględnienie w nich uregulowań legislacyjnych związanych z roz-wojem nowych technologii. Komisja stwierdza w nim, że cloud computing stanowi wyzwanie dla ochrony danych, ponieważ wiąże się z utratą przez jednostki kontroli nad ich potencjalnie poufnymi informacjami w sytuacji, w której przechowują one te dane, korzystając z progra-mów zainstalowanych na urządzeniach osób trzecich.