Cloud computing – RODO a lokalizacja serwerów poza Europejskim Obszarem Gospodarczym

Dynamiczny rozwój cloud computingu na przestrzeni ostatnich lat znacznie wyprzedził rozwiązania prawne, dedykowane dla tego modelu, które zostały daleko w tyle. Obecnie trwają dyskusje, w jaki sposób umocnić ochronę danych osobowych w najbardziej kompleksowy sposób, tak, aby jednocześnie nie doprowadzić do blokowania swobodnego przepływu informacji. Jak zapewnić stan niezależności jednostki, w którym będzie miała możliwość korzystania ze współczesnych możliwości techniki, nie tracąc jednocześnie prawa do podejmowania samodzielnej decyzji kto, co, gdzie i w jaki sposób może się o niej dowiedzieć?

Gorzej, jeśli podmiot korzystający z usług cloud computingu (Klient usługi cc), pomimo że jest administratorem danych osobowych, ma problem z kontrolą danych umieszczanych w chmurze albo w rzeczywistości w ogóle tej kontroli nie ma. Rozwiązania przewidziane dla bezpiecznej wymiany danych, które miały być przydatne dla usług cc, w założeniach musiały uwzględniać podejście cloud-friendly. Było ono artykułowane przez Komisję Europejską w trakcie projektowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych zwane też RODO). W Rozporządzeniu, pomimo że ani raz nie odniesiono się wprost do cloud computingu, znaleźć można wiele narzędzi pomocnych przy przetwarzaniu danych w ramach tego modelu biznesowego. Jednak ze względu na ramy artykułu, wybrane zostaną tylko niektóre.

Konieczne zmniejszenie ryzyka

Podstawowe problemy związane ze świadczeniem usług cc, które starano się rozwiązać w RODO, dotyczą powierzania przetwarzania, korzystania z infrastruktury zewnętrznej, współdzielonej przez kilku usługodawców czy w przypadku złożonych procesów - podwykonawstwa. Wydaje się jednak, że najważniejszym wyzwaniem jest zminimalizowanie ryzyka związanego z lokalizacją serwerów w państwach trzecich. Sankcjonując równowagę między prawem do informacji a ochroną prawa do prywatności, przyjęte rozwiązania RODO mają wpłynąć na zahamowanie niekontrolowanego przepływu danych między krajami. Rozporządzenie, podobnie jak zastąpiona przez nie Dyrektywa 95/46, stoi na gruncie zasady swobody przepływu danych osobowych w Unii. Chroni przepływ wspomnianych informacji między EOG (Europejskiego Obszaru Gospodarczego w tym UE), gdzie zostały przyjęte wysokie standardy ochrony, a krajami, w których te standardy są na o wiele niższym poziomie. W UE przewidziany jest szerszy zakres ochrony. Chronione są nie tylko dane osobowe własnych obywateli, ale także z państw trzecich, co może dodatkowo komplikować niektóre sytuacje transferu.

Zobacz również:

Rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii. Lokalizacja fizyczna takiej jednostki ( np. siedziba, oddział, przedstawicielstwo) w UE, stanowi jeden z czynników decydujących o stosowaniu RODO niezależnie od faktycznego miejsca przetwarzania przez nią danych ( np. w USA). Należy uznać za istotny brak regulacji RODO z punktu widzenia usług cc że administrator i podmiot przetwarzający, zostali co do zasady zdefiniowani tak samo jak w Dyrektywie 95/46, a rodziło to już wówczas problemy dotyczące podziału odpowiedzialności pomiędzy te podmioty ( przypisania Dostawcy statusu administratora bądź podmiotu przetwarzającego). Ze względu na praktyczną użyteczność, ale także różnice kultury i tradycji prawnych zarówno w samej UE, jak i w skali globalnej, regulacje RODO coraz większą wagę przypisują inicjatywom samoregulacji, takim jak kodeksy postępowania, kodeksy dobrych praktyk czy „wiążące reguły korporacyjne” (BCR).

Konferencja Best in Cloud

Więcej informacji na temat technologii chmurowych zaprezentujemy już 11 maja 2017 r. podczas konferencji Best In Cloud. Zapraszamy!

Można ocenić stopień ochrony danych

W procesie przetwarzania danych w chmurze uczestniczy wiele podmiotów. Jednak z punktu widzenia regulacji prawnych dotyczących ochrony danych osobowych, należy odróżnić administratora danych oraz podmiot przetwarzający ( na zlecenie). Dostawca może przetwarzać dane świadcząc usługi w jednym z modułów tj. udostępniając usługi infrastruktury (IAAS – Infrastructure as a Service), oprogramowania (SAAS – Software as a Service) lub całego środowiska pracy (PAAS – Platform as a Service). Klient korzystając z usług cloud computingu, dokonuje określonych operacji na danych, jak np. wprowadzanie do systemu, modyfikowanie czy też udostępnianie osobom trzecim poprzez ten system itd. Klient jako administrator danych, powinien korzystać z takiego Dostawcy/ podmiotu przetwarzającego, który może wykazać wystarczające gwarancje spełnienia wymogów RODO. Może tego dokonać w różny sposób, np. poprzez stosowanie zatwierdzonego branżowego kodeksu postępowania (art. 40 RODO) lub zatwierdzonego mechanizmu certyfikacji (art. 42. RODO). Zatwierdzenia kodeksu postępowania dokonuje organ nadzorczy z danego państwa. Jeśli kodeks obowiązuje poza jednym państwem członkowskim, wówczas organmusi wcześniej wystąpić o opinię Europejskiej Rady Ochrony Danych. Z kolei dzięki certyfikacjom i znakom jakości oraz oznaczeniom w dziedzinie ochrony danych, Klienci usług cc/osoby, których dane dotyczą, mają możliwość szybkiej oceny stopnia ochrony danych przy oferowanych i świadczonych usługach przez Dostawcę. Są one pomocne w ocenie ryzyka związanego z działaniem na podstawie tego modelu usług, zarówno przez organy publiczne jak i przez przedsiębiorstwa. Wydaje się, że będą one miały szczególne znaczenie dla małych i średnich przedsiębiorstw, gdyż jeszcze przed RODO, miały one ograniczone narzędzia dla takiej oceny, przy praktycznym braku możliwości odmiennego od oferowanych ukształtowania stosunków w chmurze.

Waga norm technicznych

W ciągu ostatnich lat, wśród licznych instrumentów samoregulacji, w grupie tych, które są oparte na rozwiązaniach technologicznych, za najważniejsze należy uznać normy. Ich rola wciąż wzrasta do tego stopnia, że stają się swoistym „technicznym esperanto”. Pomimo prawnie określonej dobrowolności, ich faktyczna rola w niektórych przypadkach może być interpretowana „jak obowiązkowa”. Także nie bez znaczenia jest sam proces normalizacji i możliwość udziału w nim zainteresowanych stron. Punktem wyjścia dla prac w omawianym zakresie usług cc, były dokumenty oraz definicje odnoszące się do chmur obliczeniowych, opublikowane przez Krajowy Instytut Norm i Technologii (NIST) w USA, . Komisja Europejska powierzyła Europejskiemu Instytutowi Norm Telekomunikacyjnych (ETSI) koordynację działań podejmowanych z zainteresowanymi stronami w celu szczegółowego ustalenia niezbędnych norm. Poza określeniem odpowiednich norm, niezbędna jest certyfikacja zgodności z tymi normami. Komisja Europejska zakłada – z pomocą Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) oraz innych właściwych organów – wspieranie rozwoju obejmujących całą UE oraz rozwój dobrowolnych systemów certyfikacji. Nie będą to jednak w pełni gotowe recepty. RODO wprowadza bowiem również istotną zmianę podejścia do zabezpieczania danych osobowych, nie opisując niezbędnych do wdrożenia konkretnych mechanizmów bezpieczeństwa w warstwie technologicznej, proceduralno-procesowej i organizacyjnej. Określa obecnie wyłącznie ogólne wymagania w obszarze bezpieczeństwa danych osobowych.

Gwarancja ochrony

Jeśli chodzi o przekazywanie danych do państw trzecich, to właśnie aspekt geograficzny, czyli lokalizacja serwerów poza Europejskim Obszarem Gospodarczym, rodzi największe dyskusje w modelu cloud computing. Podstawowa przesłanka umożliwiającą przekazanie danych na serwer znajdujący się poza EOG, pozostała niezmienna i jest nią zapewnienie, że państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium, adekwatne do obowiązującego na terytorium EOG. Rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii (art. 3 ust. 1 RODO), czy poza jej granicami np. w USA.

Dopuszczalny jest transfer danych z terytorium państwa członkowskiego, mimo że państwo trzecie nie gwarantuje na swym terytorium odpowiedniej ochrony. Warunkiem jednak jest zaistnienie okoliczności przewidzianych w RODO. Podstawowe znaczenie ma zapewnienie przez administratora danych odpowiednich zabezpieczeń podstawowych praw i wolności oraz prywatności jednostki wraz z mechanizmami umożliwiającymi ich realizację (art.46 RODO).

Zabezpieczenia mogą wynikać w szczególności:

  • ze standardowych klauzul umownych przyjętych przez Komisję Europejską lub przez organ nadzorczy i zatwierdzonych przez Komisję, zastosowanych w umowach pomiędzy Klientem a Dostawcą,
  • z wiążących reguł korporacyjnych przyjętych przez Dostawcę,
  • z zatwierdzonego mechanizmu certyfikacji potwierdzającej odpowiedni standard ochrony wdrożony przez Dostawcę,
  • z zatwierdzonego kodeksu postepowania regulującego ochronę danych w sektorze, do którego należy Dostawca ( zob. art.46 RODO).

Transfer danych na serwer znajdujący się w państwie, które nie zapewnia odpowiedniej ochrony, może zostać również oparty na zezwoleniu organu nadzorczego na zastosowanie innych, aniżeli wskazane powyżej, zabezpieczeń ochrony danych po transferze (art.46 ust.3 RODO).

Przede wszystkim trzeba więc zapewnić jednostce prawne i faktyczne możliwości korzystania ze środków przysługujących jej na mocy prawa unijnego oraz wykorzystanie mechanizmów eliminujących obniżenie poziomu ochrony przetwarzanych danych (w stosunku do obowiązującego w krajach EOG).

Należy też uwzględnić charakter Dostawcy, w tym jego autonomię, co może wpływać na zróżnicowanie poziomu zabezpieczeń oraz specyfikę rozwiązań w danym modelu chmury.

Konstruowanie umowy transferu

Jeżeli nie ma wstępnych przeciwwskazań natury prawnej, należy rozważyć charakter rozwiązań niezbędnych dla konstrukcji umowy transferu. Oparcie się w umowie z Dostawcą o klauzule standardowe, które są „sprawdzonymi” i „zweryfikowanymi” instrumentami, eliminuje ryzyko ich podważenia w trakcie ewentualnej kontroli. Nie ma jednak przeciwskazań, aby przygotować umowy całkowicie „niestandardowe”, przystosowane do indywidualnych potrzeb, określanych mianem umów lub klauzul kontraktowych ad hoc (ad hoc contractual arrangements). Przy czym, im niższy jest poziom ochrony w danym państwie trzecim, wskazane jest, aby „niestandardowe” klauzule (ad hoc) były bardziej zbliżone do modelu opracowanego przez Komisję Europejską. Trzeba zaznaczyć, że punkt ciężkości powyższych uwag opiera się na podstawowej relacji Klienta z Dostawcą (administrator – podmiot przetwarzający), ale Dostawca usługi cc może również działać jako administrator, np. przetwarzając następnie dane osobowe do własnych celów, z czego wynikają określone zobowiązania prawne.

Standardowe klauzule

Standardowe klauzule umowne mogą być zawarte zarówno w formie odrębnego dokumentu, jak i w szerszej umowie dostawy usług w chmurze regulującej - poza kwestiami ochrony danych osobowych - inne zagadnienia istotne z punktu widzenia kontrahentów.

Mogą być w niej uwzględnione np. postanowienia określające zasady wzajemnej pomocy w przypadku sporów z osobą, której dane dotyczą, lub sporów z organem nadzorczym. Jednakże wszelkie dodatkowe postanowienia umowne nie mogą pozostawać w sprzeczności z klauzulami standardowymi. W żadnym razie nie mogą one także osłabiać przyjętych w nich rozwiązań w zakresie ochrony danych. Należy podkreślić, że chcąc uzyskać skutki klauzul standardowych, nie wolno ich zmieniać czy też łączyć postanowień zawartych w poszczególnych z nich (są trzy) w ramach jednej umowy.

Z kolei BCR obowiązują pomiędzy podmiotami należącymi do tej samej grupy przedsiębiorców (tej samej grupy kapitałowej). Składa się na nie zazwyczaj wiele dokumentów, a jedynie wyjątkowo może nim być jeden zbiorczy. Mogą obejmować różne rodzajowo „polityki”, np. polityki przetwarzania danych, przechowywania dokumentacji, zestawy zasad czy odpowiednich powiadomień, właściwe „kodeksy”, procedury, komunikaty, wreszcie umowy wiążące poszczególnych członków korporacji. Zgodnie z RODO, BCR musi przejść procedurę zgodności (odmienną od zasady wzajemnego uznawania która obowiązuje obecnie). W ramach tej procedury swoją opinię o BCR, wydaje Rada Ochrony Danych Osobowych. Oprócz umożliwienia transferu poza EOG, wprowadzenie BCR ułatwia Dostawcy m.in. proces negocjacji umów z potencjalnymi Klientami, upraszcza współpracę z podwykonawcami, czy ”porządkuje” sytuację wewnątrz korporacji.

W niektórych sytuacjach transferów należy poszukiwać rozwiązań poza RODO. W stosunku do Dostawców mających siedzibę w USA, podstawowym instrumentem po uznaniu przez Trybunał Sprawiedliwości UE porozumienia Safe Harbour za nielegalny, jest Eu-Us Privacy Shield. Ta nowa „bezpieczna przystań” obowiązuje od 12 lipca 2016 r., kiedy Komisja Europejska wydała decyzję wykonawczą (UE) 2016/1250, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA (notyfikowaną jako dokument nr C(2016) 4176). Umożliwia ona przekazywanie danych osobowych importerom z USA/ Dostawcom którzy przystąpią do tego programu. Oczywiście w przypadku przekazywania danych osobowych do USA, skuteczne pozostają także inne przesłanki legalizujące transfer danych osobowych, w szczególności mogą być więc wykorzystywane standardowe klauzule umowne i BCR .

W przypadku usług cc, które ze swej istoty świadczone są na dużą skalę i na rzecz dużej liczby podmiotów, ważnym zagadnieniem regulowanym przez RODO jest także prawo do usunięcia danych, zwane także prawem do zapomnienia. Jest to zagadnienie odnoszące się nie tylko do zasadności realizacji tego prawa w konkretnej sytuacji, ale wręcz cała problematyka zakończenia relacji prawnej i skutecznego, całkowitego usunięcia danych przez podmiot przetwarzający.

Kolejne kwestia regulowana przez RODO to prawo do przenoszenia stanowiące częściową odpowiedź na obawy Klientów o utrudniony powrót z usług cc do wcześniejszego rozwiązania. Ze względu na charakter usług cc, należy także w odpowiedni sposób podejść do realizacji innych praw osób, których dane dotyczą jak w szczególności prawa dostępu; prawa do sprostowania; prawa do ograniczenia przetwarzania; czy prawa do informacji o naruszeniu ochrony danych osobowych.

Należy też zwrócić uwagę że wiele kwestii jest uregulowane w sposób który w przypadku usług cc w praktyce uniemożliwia prawidłowe ich wypełnianie jak np. art.32 RODO. Przepis ten zobowiązuje administratora i podmiot przetwarzający do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. W praktyce jednak w przypadku usług cc Klienci zasadniczo opierają się na zapewnieniach Dostawcy w zakresie bezpieczeństwa danych oraz otrzymanych od niego informacjach o naruszeniach. Klient nie ma też faktycznego wpływu na kształt umowy, która ma charakter co do zasady adhezyjny.

Wiele zagadnień mogących mieć znaczenie dla usług cc, zostało w RODO uwzględnionych, choć na omówienie wszystkich ramy opracowania nie pozwoliły. Pozostaje ponadto wiele sytuacji w których prawo stanowione nie jest wystarczające dla prawidłowego przetwarzania w chmurze i trzeba wówczas sięgać po odpowiednie instrumenty soft law i zawarte w nich wskazania.

Autor: dr Bogdan Fischer, szef departamentu ochrony danych osobowych i własności intelektualnej, partner w Kancelarii Chałas i Wspólnicy

Więcej informacji o technologiach chmurowych zaprezentujemy podczas konferencji Best In Cloud już 11 maja 2017 r.

Cloud computing – RODO a lokalizacja serwerów poza Europejskim Obszarem Gospodarczym

Konferencja Best in Cloud


TOP 200