Aby chmura była bezpieczna

Ze Stefanem Cieślą, radcą prawnym specjalizującym się w doradztwie dla sektora informatycznego, rozmawiamy o prawnych aspektach usług w modelu cloud computing.

Na co należy zwrócić uwagę przy sporządzaniu umowy na usługi ?

Po pierwsze, musimy ocenić, czy odpowiada nam zakres usługi. Proszę zwrócić uwagę, że w umowach na cloud computing wyłączna odpowiedzialność za wybór usługi ciąży na jej odbiorcy. W tradycyjnej sytuacji dostawca negocjuje z klientem zakres umowy i jest współodpowiedzialny za efekt ostateczny. W przypadku chmury mamy do czynienia z "umową przez przystąpienie". Tutaj nie negocjuje się warunków. Jako odbiorca muszę przeanalizować regulamin świadczenia usług, w którym znajdują się warunki wykonania usługi. Muszę ocenić, czy dobrze wybrałem i właściwie dobrałem dla mojego przedsiębiorstwa. Nie ma miejsca na zgłaszanie uwag.

Po drugie, musimy oszacować, czy skorzystanie z usług w chmurze będzie bezpieczne dla danych osobowych, które będą przetwarzane, i dla firmowego know-how. Podejmujemy ryzyko związane z wynikami ewentualnej kontroli GIODO w zakresie bezpieczeństwa danych osobowych. Utrata know how to wewnętrzna sprawa firmy, pociągająca za sobą wymierne straty udziałowców lub akcjonariuszy.

Zobacz również:

Jak możemy zapewnić bezpieczeństwo danych osobowych w chmurze, która nie jest ograniczona do jednej fizycznej lokalizacji?

Ustawy nie nadążają za rozwojem technologii, dlatego powinniśmy analizować całokształt prawa, zwracając uwagę na rozwiązania międzynarodowe, które tworzą prawne ramy szersze niż nasze przepisy wewnętrzne. Według mojej definicji, umowa na cloud computing jest umową outsourcingową, w której oznaczenie dokładnego miejsca wykonywania usług nie jest istotnym elementem. Jeżeli jednak będziemy przetwarzać dane osobowe, to musimy się upewnić, czy kraj, z którego operuje dostawca chmury, należy do kategorii bezpiecznych. Według obowiązującej w Polsce ustawy o ochronie danych osobowych, dopuszczalne jest przetwarzanie danych na terenie Europejskiego Obszaru Gospodarczego. Jeżeli będzie to kraj spoza niego, musi figurować na liście krajów bezpiecznych Komisji Europejskiej - należą do nich m.in. Wyspy Kanałowe, Argentyna, Izrael.

Wielu dostawców pochodzi ze Stanów Zjednoczonych. Czy to także bezpieczny kraj?

Nie, ale jeżeli dostawca posiada certyfikat Safe Harbour Departamentu Handlu USA, to dzięki zaleceniom Komisji Europejskiej jest upoważniony do przetwarzania danych osobowych dla wszystkich krajów Unii Europejskiej. Należy pamiętać, że certyfikat ten firma otrzymuje na podstawie deklaracji przestrzegania reguł Safe Harbour, które odnoszą się także do stosowania technologii zapewniającej bezpieczeństwo.

Zatem dostawcy z USA musimy po prostu zaufać?

Wbrew pozorom, jesteśmy dużo bezpieczniejsi wybierając dostawcę z certyfikatem Safe Harbour. Dla GIODO jest on wystarczającym dokumentem i nie będzie wymagał dodatkowych dokumentów w razie kontroli lub skargi klienta na wyciek danych. Wybierając firmę ze Słowacji, czyli z obszaru EOG, musimy udowodnić, że firma przetwarza dane osobowe w sposób bezpieczny, co stanowi obciążanie dla nas, czyli odbiorcy usług.

Jeżeli dojdzie do wycieku danych, to co wtedy?

Jeżeli nastąpi to z winy dostawcy, to nie będzie miał wówczas ograniczonej odpowiedzialności za wyrządzone straty. Odpowiada tzw. "delikt cywilny", czyli odpowiada za szkody popełnione z zawinionego działania lub zaniechania. Trzeba jednak pamiętać, że sprawa będzie toczyć się według prawa i przed sądem wskazanym przez dostawcę w umowie na usługi cloud computing. I na to warto zwrócić uwagę. Chmura wprowadza transgraniczność w relacjach z dostawcą. Może być stosowane jako właściwe inne prawo niż polskie. Powinniśmy się przyzwyczaić do tego, że coraz więcej spraw będzie rozpatrywanych na poziomie międzynarodowym.

Wyciek danych to odpowiedzialność cywilna dostawcy. A co w przypadku braku dostępności usługi?

Odpowiedzialność dostawcy ograniczy się zwykle do przyznania dodatkowego czasu świadczenia usług, odpowiednio do okresu niedostępności usługi. Wartość tego świadczenia jest raczej niska, a klient nie ma możliwości wystąpienia o wyższe kwoty odszkodowania.

O co pytają Pana firmy zainteresowane usługami cloud computing?

Najczęściej pytają właśnie o bezpieczeństwo oraz zapewnienie realności wyprowadzenia danych i ich kasacji u dostawcy. Ten element powinien być przewidziany i dobrze zdefiniowany w regulaminie - w punkcie "zasady rozwiązania umowy". W Polsce zapewne coraz większe znaczenie będą miały regulacje procesów fuzji i przejęć. Na razie u nas nie odgrywają jeszcze większego znaczenia, ale na światowym rynku IT to częste zjawisko i będzie także dotyczyć dostawców i odbiorców usług chmurowych. Należy się upewnić, czy mamy możliwości rozwiązania umowy w wypadku zmiany stanu prawnego.

Doradza Pan nie tylko klientom, ale także dostawcom usług cloud computing. O czym oni powinni pamiętać?

Regulamin powinien jednoznacznie opisywać, co klient nabywa i czego może oczekiwać. Regulamin określa odpowiedzialność dostawcy. Klient tylko akceptuje go, nie ma miejsca na negocjacje. Jak wiadomo, umowa na cloud computing ma dwie części - umowę właściwą i regulamin. I ten regulamin musi w pełni odpowiadać temu, co świadczy dostawca. W przeciwnym razie dostawca naraża się na ogromne ryzyko, gdyż nie wiadomo ilu klientów skorzysta z danej usługi i ilu może być niezadowolonych. Przy umowie z konkretnym klientem na konkretny zakres usług łatwo można wyliczyć swoje ryzyko. W chmurze dostawca może mieć dziesięciu lub milion klientów. Wówczas, nawet stosując ograniczenie odpowiedzialności przewidziane w regulaminie, może zbankrutować.

Jak dostawcy mogą zadbać o potwierdzenie bezpieczeństwa swoich usług?

Są trzy sposoby. Pierwszy to odpowiednie przygotowanie procedur i technologii, które zainteresowany klient po analizie uzna za bezpieczne. Po stronie klienta wymaga się wówczas odpowiedniej wiedzy z dziedziny IT, co w przypadku firm MŚP, dla których powstał cloud computing, nie musi mieć zawsze miejsca. Dotyczy to zwłaszcza sytuacji, gdy decyzję podejmuje właściciel firmy, a firma nie ma własnego działu IT. Drugi sposób to uzyskanie certyfikatu renomowanej firmy audytorskiej, np. z wielkiej czwórki. Zwykle rekomenduję takie rozwiązanie dostawcom chmury. Odbiorców usługi z sektora MŚP nie byłoby na to stać. Trzeci sposób to uzyskanie certyfikatu administracji publicznej. W Polsce nie ma certyfikatów bezpieczeństwa, ale występują w innych krajach Unii. Taki dokument wystawia m.in. Wielkie Księstwo Luksemburga. Jest on w Polsce wiążący i stanowi dla GIODO gwarancję bezpieczeństwa przetwarzania danych osobowych.


TOP 200