Informacje wrażliwe w chmurze

Rodzaje danych przetwarzanych w chmurze

Dane przetwarzane w chmurze, podobnie jak wszelkie dane, informacje oraz inna treść, mogą podlegać ochronie prawnej na różnych podstawach.

Dane osobowe uregulowane:

  • Dyrektywą Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/EC) w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu tych danych oraz
  • Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.)

Tajemnica przedsiębiorstwa uregulowana

  • Ustawą z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (tekst jednolity: Dz. U. 2003 r. Nr 153 poz. 1503 ze zm.)

Tajemnica bankowa lub ubezpieczeniowa uregulowane

  • Ustawą z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst jednolity: Dz.U. 2002r. Nr 72, poz. 665, ze zm.)
  • Ustawą z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (tekst jednolity: Dz.U. 2010, Nr 11, poz. 66, ze zm.)

Informacje niejawne uregulowane

  • Ustawą z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U. Nr 182, poz. 1228)

Utwór w rozumieniu

  • Ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (tekst jednolity: Dz.U. 2000r. Nr 80, poz. 904, ze zm.)

Tajemnica telekomunikacyjna uregulowana

  • Ustawą z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. 2004r. Nr171, poz. 1800, ze zm.)

Know-how

  • w rozumieniu tajemnicy przedsiębiorstwa uregulowane w Ustawie o zwalczaniu nieuczciwej konkurencji lub w postaci utworu uregulowane ustawą o prawie autorskim i prawach pokrewnych.

Źródło: Domański, Zakrzewski, Palinka: „Raport o usługach cloud computing w działalności ubezpieczeniowej 2013”

To, gdzie znajdują się dane, jest niezmiernie istotne, gdyż dla zapewnienia wysokiej dostępności i niezawodności usług wielu usługodawców zapisuje informacje w wielu rozproszonych centrach danych. Administratorzy mogą w łatwy sposób replikować dane użytkownika w różne miejsca, w celu umożliwienia np. konserwacji serwera, bez przerywania usługi czy powiadamiania właściciela danych. Dlatego dostawca powinien wykazać się dużą transparentnością w zakresie informacji dotyczących gwarancji jakości oferowanych usług oraz stosowanych mechanizmów nadzoru, pozwalających na zachowanie odpowiedniego poziomu bezpieczeństwa w zakresie dostępności, integralności i poufności danych. GIODO publikuje na swojej stronie internetowej dziesięć zasad stosowania usług chmurowych przez administrację publiczną. Zbiór ten, nazwany potocznie dekalogiem chmuroluba, pomijając kilka kwestii związanych wyłącznie z działaniami administracji publicznej, może być dobrym przewodnikiem dla firm.

Z regulacjami i wskazówkami warto się zaznajomić, bo nieświadomość w kwestii ochrony danych bywa kosztowna. Za przekazanie danych w sposób niezgodny z prawem firma może zapłacić grzywnę w wysokości od 50 tys. do 200 tys. zł. Sąd może też wymierzyć w stosunku do osób winnych zaniedbań karę ograniczenia lub pozbawienia wolności do dwóch lat.

Zobacz również:

  • Google usprawnia działanie chmurowych systemów pamięci masowej
  • Avast - czy firma potrzebuje jeszcze antywirusa?

BCR – korporacyjny sposób na chmurę

Jednym z pomysłów, który pozwala zapewnić bezpieczeństwo danych przetwarzanych w chmurze, będący alternatywą dla terytorialnego podejścia, jest koncepcja tzw. wiążących reguł korporacyjnych (Binding Corporate Rules).

Binding Corporate Rules (BCR) to międzynarodowe reguły przyjęte przez globalne firmy, które zdefiniowały swoją politykę dotyczącą globalnego transferu danych osobowych w obrębie spółek tej samej grupy.

Jeśli korporacja przyjmie wiążące reguły korporacyjne, które uzyskają akceptacje organu ochrony danych osobowych, to staje się czymś na kształt wirtualnego państwa gwarantującego na swoim terenie, zdaniem instytucji unijnych, odpowiednią ochronę danych osobowych. Przedsiębiorca, który chce na podstawie BRC wymieniać się informacjami, powinien skontaktować się z organem ochrony danych osobowych w kraju, w którym ma główną siedzibę – dla polskich przedsiębiorców jest to GIODO.

Problem w tym, że sama konstrukcja reguł nie jest opisana ani w prawie polskim, ani międzynarodowym. Istnienie takich norm prawnych pozwalałoby wydawać decyzje automatycznie. Obecnie, nawet jeśli zachodnia korporacja przyjmie BCR, rzecznik ochrony danych osobowych niezależnie od pozytywnej decyzji swoich odpowiedników w innych krajach musi w tej sprawie wydać odrębną decyzje. Zatwierdzenie reguł trwa nieraz kilka miesięcy. Unia Europejska pracuje nad regulacjami, które znacznie uproszczą procesy implementacji i akceptacji wiążących reguł korporacyjnych.

Na stronach Komisji Europejskiej można znaleźć aktualną listę firm, w których wdrożono reguły BCR.

Komentarz
Wojciech Rafał Wiewiórowski

Generalny Inspektor Ochrony Danych Osobowych

„Jeżeli mówimy o przechowywaniu danych w chmurze, to przede wszystkim musimy przeanalizować, czy mówimy tylko o modelu IaaS, czyli wyłącznie o wykorzystaniu czyjejś infrastruktury, czy o modelu SaaS, czyli również o wykorzystaniu software'u, który te dane przetwarza, a znajduje się u dostawcy usług chmurowych.

Druga istotna kwestia dotyczy tego, czy zawieramy umowę z dostarczycielem usługi chmurowej, czy w ogóle z dostarczycielem chmury, ponieważ pomiędzy dostarczycielem usługi a tym, kto faktycznie będzie przechowywał dane, może być jeszcze po drodze kilka dodatkowych stadiów.

Wziąwszy te uwarunkowania pod uwagę, można powiedzieć, że są takie grupy danych, których przechowywanie w chmurze jest bardzo wątpliwe. Zaliczyłbym do nich przede wszystkim te, które objęte są różnego rodzaju tajemnicami prawnie chronionymi. Klasyczny przykładem, który pokazuje, na czym polega problem, jest przechowywanie w chmurze informacji niejawnej. Gdybyśmy chcieli przechowywać informację niejawną w rozumieniu Ustawy o ochronie informacji niejawnych, to musielibyśmy mieć pewność, że wszyscy pośrednicy, którzy znajdują się pomiędzy nami a tym, kto przechowuje dane, spełniają warunki stawiane przez ABW dla sprzętu i oprogramowania wykorzystywanego do przetwarzania informacji niejawnej. To jest, moim zdaniem, prawie niewykonalne, chyba że mówimy o chmurze prywatnej przygotowanej przez polską instytucję publiczną dla służb publicznych – wówczas istniałaby teoretyczna możliwość przechowywania informacji niejawnych w chmurze.

Istnieją ponadto dane objęte tajemnicą adwokacką, radcowską, lekarską, bankową, skarbową itd. Wszystkie te tajemnice, a jest ich w Polsce, zależnie od sposobu klasyfikacji, od 40 do 100, stwarzają problem, jeśli chodzi o przechowywanie w chmurze. Natomiast co do ochrony danych osobowych, nie mogę powiedzieć, że istnieje jakiś rodzaj danych, których nigdy w chmurze przechowywać nie można, bo takiego rodzaju danych nie ma. Oczywiście, w zależności od tego, czy korzystamy z modelu IaaS czy z modelu SaaS oraz od tego, ilu jest tych pośredników pomiędzy nami i co wiemy na temat ich działań, będą się pojawiały kolejne wymagania, które z punktu widzenia ochrony danych osobowych należałoby spełnić.


TOP 200