Informacje wrażliwe w chmurze

Coraz więcej danych wędruje w chmury. Są wśród ich i te, które podlegają szczególnej ochronie prawnej. Nie ma przeciwwskazań do przekazywania ich na zewnątrz, jednak poziom ochrony, jaki trzeba im zapewnić, może być trudny do osiągnięcia.

Polski rynek usług IT

Artykuł został opublikowany w wydaniu Computerworld nr.16 poświęconym analizie polskiego rynku usług IT. Przedstawiono w nim m.in. listę najważniejszych usługodawców działających na lokalnym rynku oraz zestawienie skatalogowanych grup usług.

Kompletną wersję PDF tego wydania można bezpłatnie pobrać tutaj.

Z powodu upowszechnienia się usług w chmurze zarówno infrastruktura, jak i oprogramowanie wielu organizacji coraz częściej znajdują się u zewnętrznego dostawcy -- nieraz w odległym geograficznie data center. Tam też trafiają istotne, a nieraz wręcz strategiczne informacje.

Czy z punktu widzenia prawa i regulacji branżowych są takie dane, które nie powinny być przechowywane na zewnątrz organizacji lub przechowywanie ich stwarza istotne problemy? Według Głównego Inspektora Ochrony Danych Osobowych samo przetwarzanie w chmurach jest dopuszczalne prawnie, również z punktu widzenia przepisów dotyczących ochrony danych osobowych. Problem może rodzić przechowywanie informacji podlegających ustawie o ochronie informacji niejawnej. Spełnienie złożonych warunków ich przechowywania na zewnętrznych serwerach może być niezmiernie trudne, choć teoretycznie jest możliwe.

Zobacz również:

Trudności mogą stwarzać też dane objęte tajemnicą bankową, radcowską, medyczną, skarbową. Takich rodzajów danych, tajemnic branżowych, GIODO doliczył się około stu.

W opracowaniu „Bezpieczna chmura – warunki legalnego przetwarzania dokumentów w modelu Cloud Computing” mecenas Stefan Cieśla, zajmujący się od lat problematyką prawną związaną z modelem cloud computing, stwierdza, że choć żaden przepis nie określa sposobu przetwarzania informacji stanowiących tajemnice służbowe lub zawodowe, to również nie wyklucza możliwości ich przetwarzania w chmurze, jeśli zostaną zachowane wszystkie wymagane prawem zabezpieczenia.

Rozwiązaniem, a właściwie obejściem problemu może być korzystanie z chmury hybrydowej, która obecnie zyskuje popularność. Zasoby krytyczne dla działalności przedsiębiorstwa są wówczas przechowywane i przetwarzane w chmurze prywatnej. Reszta danych może się znaleźć w chmurze publicznej.

Dane osobowe w chmurze tak, ale...

Z punktu widzenia obowiązujących przepisów przetwarzanie danych, zwłaszcza danych osobowych w chmurze obliczeniowej, może nastąpić tylko wtedy, jeżeli ten, kto je przekazuje, będzie w stanie ustalić, w których centrach przetwarzania (geograficznie) dane te będą przetwarzane. A według ustawy o ochronie danych osobowych mogą być one przetwarzane tylko w centrach znajdujących się na terenie Unii Europejskiej i nie wolno przekazywać ich do tzw. krajów trzecich. Istnieje jeszcze grupa kilkunastu krajów i terytoriów (np. Szwajcaria), które są uznane za równorzędne z Unią Europejską w zapewnieniu adekwatnego poziomu ochrony.


TOP 200