Informacje wrażliwe w chmurze
- 17.09.2014
Coraz więcej danych wędruje w chmury. Są wśród ich i te, które podlegają szczególnej ochronie prawnej. Nie ma przeciwwskazań do przekazywania ich na zewnątrz, jednak poziom ochrony, jaki trzeba im zapewnić, może być trudny do osiągnięcia.
Artykuł został opublikowany w wydaniu Computerworld nr.16 poświęconym analizie polskiego rynku usług IT. Przedstawiono w nim m.in. listę najważniejszych usługodawców działających na lokalnym rynku oraz zestawienie skatalogowanych grup usług.
Kompletną wersję PDF tego wydania można bezpłatnie pobrać tutaj.
Czy z punktu widzenia prawa i regulacji branżowych są takie dane, które nie powinny być przechowywane na zewnątrz organizacji lub przechowywanie ich stwarza istotne problemy? Według Głównego Inspektora Ochrony Danych Osobowych samo przetwarzanie w chmurach jest dopuszczalne prawnie, również z punktu widzenia przepisów dotyczących ochrony danych osobowych. Problem może rodzić przechowywanie informacji podlegających ustawie o ochronie informacji niejawnej. Spełnienie złożonych warunków ich przechowywania na zewnętrznych serwerach może być niezmiernie trudne, choć teoretycznie jest możliwe.
Zobacz również:
Trudności mogą stwarzać też dane objęte tajemnicą bankową, radcowską, medyczną, skarbową. Takich rodzajów danych, tajemnic branżowych, GIODO doliczył się około stu.
W opracowaniu „Bezpieczna chmura – warunki legalnego przetwarzania dokumentów w modelu Cloud Computing” mecenas Stefan Cieśla, zajmujący się od lat problematyką prawną związaną z modelem cloud computing, stwierdza, że choć żaden przepis nie określa sposobu przetwarzania informacji stanowiących tajemnice służbowe lub zawodowe, to również nie wyklucza możliwości ich przetwarzania w chmurze, jeśli zostaną zachowane wszystkie wymagane prawem zabezpieczenia.
Rozwiązaniem, a właściwie obejściem problemu może być korzystanie z chmury hybrydowej, która obecnie zyskuje popularność. Zasoby krytyczne dla działalności przedsiębiorstwa są wówczas przechowywane i przetwarzane w chmurze prywatnej. Reszta danych może się znaleźć w chmurze publicznej.
Dane osobowe w chmurze tak, ale...
Z punktu widzenia obowiązujących przepisów przetwarzanie danych, zwłaszcza danych osobowych w chmurze obliczeniowej, może nastąpić tylko wtedy, jeżeli ten, kto je przekazuje, będzie w stanie ustalić, w których centrach przetwarzania (geograficznie) dane te będą przetwarzane. A według ustawy o ochronie danych osobowych mogą być one przetwarzane tylko w centrach znajdujących się na terenie Unii Europejskiej i nie wolno przekazywać ich do tzw. krajów trzecich. Istnieje jeszcze grupa kilkunastu krajów i terytoriów (np. Szwajcaria), które są uznane za równorzędne z Unią Europejską w zapewnieniu adekwatnego poziomu ochrony.