Urzędy, które coraz bardziej się informatyzują i wdrażają u siebie coraz więcej systemów informatycznych, często chętnie kupiłyby oprogramowanie w formie usługi, by ograniczyć chociażby konieczność rozbudowy infrastruktury i działu IT. Wtedy pojawiają się jednak pytania o bezpieczeństwo, problem poufności danych i kwestie przepisów prawnych.

Tajne przez poufne

Andrzej Strug, dyrektor Departamentu Informatyki w Narodowym Funduszu Zdrowia, przyznaje, że cloud computing to z perspektywy administracji publicznej ciekawy kierunek, który obserwuje z zainteresowaniem. Ale jako podmiot administracji publicznej NFZ ma pewne problemy związane z regulacjami prawnymi, kwestiami poufności danych i bezpieczeństwa, które regulowane są przepisami. Największym problemem jest zapewnienie bezpieczeństwa przetwarzania danych, w tym poufności przetwarzanych danych.

Zobacz również:

• Cyfrowa transformacja z AI - co nowego na Google Cloud Next 24
• 5 praktycznych powodów, dla których warto wdrożyć Zero Trust

Na podobne problemy zwraca uwagę Marzena Bednarczyk z Urzędu m.st. Warszawy, która odpowiada za wdrożenie i utrzymanie systemu ERP. Mimo że bazą systemu ERP jest system finansowo-księgowy, to powinien być on zintegrowany z systemami, które są własnością Ministerstwa Spraw Wewnętrznych i Administracji. "A te są, mówiąc kolokwialnie, <<tajne przez poufne>> i powiązanych z nimi systemów nie można wynieść w chmurę bez zgody właściciela. Budując system klasy ERP, który w jakimś stopniu korzysta np. z ewidencji ludności czy ewidencji pojazdów, należy zapewnić właściciela danych, że spełniamy wszelkie wymogi bezpieczeństwa wynikające z przepisów prawa" - mówi Marzena Bednarczyk. Jej zdaniem, nawet chcąc zbudować portal dla mieszkańców czy korzystać z poczty elektronicznej w modelu cloud, nie udałoby się urzędowi spełnić wszystkich prawnych obowiązków, jakie są na niego nałożone.

Wojciech Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych, tłumaczy wprawdzie, że nie ma żadnego zakazu, który uniemożliwiałby instytucjom publicznym korzy-stanie z cloud computing, jednak skonstruowanie umowy między urzędem a firmą dostarczającą rozwiązania w tym modelu może być skomplikowane, a w przypadku niektórych usług nawet niemożliwe. Kluczowe w tej sytuacji jest bowiem zachowanie wszystkich zasad ochro-ny danych osobowych, które wynikają z ustawy o ochronie danych osobowych oraz z rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

UE dostosuje prawo

Jak tłumaczy GIODO, istotne jest m.in. to, by administrator danych, który zamierza przetwarzać dane osobowe w chmurze, zawarł z jej dostarczycielem umowę powierzenia przetwarza-nia danych osobowych. Zgodnie z tym przepisem, administrator danych może powierzyć in-nemu podmiotowi przetwarzanie danych, ale muszą być spełnione określone warunki. Oczy-wiście skonstruowanie takiej umowy z dostawcą rozwiązań w modelu cloud może być skomplikowane, ponieważ powinna ona przewidywać, przy użyciu jakich środków dane będą zabezpieczane. Urząd musi uzyskać dokładną informację na ten temat, a to w przypadku klasycznej chmury publicznej - nie mającej ograniczeń co do terytorium ani co do podmiotu czy podmiotów, w których władaniu pozostają serwery służące przetwarzaniu danych - może być trudne.

GIODO bada obecnie te zagadnienia. Tematem wykorzystania cloud computing w administracji publicznej zajmuje się też Komisja Europejska. W listopadzie 2010 r. przyjęła ona kompleksową strategię dotyczącą ochrony danych osobowych w Unii Europejskiej, która zakłada m.in. modernizację istniejących na poziomie unijnym ram prawnych w zakresie ochrony danych osobowych i uwzględnienie w nich uregulowań legislacyjnych związanych z roz-wojem nowych technologii. Komisja stwierdza w nim, że cloud computing stanowi wyzwanie dla ochrony danych, ponieważ wiąże się z utratą przez jednostki kontroli nad ich potencjalnie poufnymi informacjami w sytuacji, w której przechowują one te dane, korzystając z programów zainstalowanych na urządzeniach osób trzecich.