Lokalizacja danych czy lokalizacja centrów przetwarzania danych

W poprzednich latach niekiedy poddawano w wątpliwość dopuszczalność wykorzystywania modelu cloud do przetwarzania danych osobowych, twierdząc, że powierzający dane powinien wiedzieć w każdej chwili, gdzie konkretnie się one znajdują. Tymczasem w klasycznej infrastrukturze chmurowej trudno określić położenie konkretnych bitów informacji w danym czasie, gdyż są one przerzucane i multiplikowane pomiędzy elementami infrastruktury chmurowej w sposób trudny do przewidzenia przez człowieka – wynikający z algorytmów efektywnościowych.

Obecnie, gdy Komisja Europejska wyraziła swój chmurowy entuzjazm w dokumencie z 27 września 2012 Unleasing the Potential of Cloud Computing in Europe , oczekiwania co do identyfikacji położenia danych przerodziły się w oczekiwania co do wiedzy o położeniu infrastruktury chmurowej, a w szczególności co do wiedzy o krajach, w których położona jest ta infrastruktura (czytaj: porządkach prawnych oraz organach stosowania prawa i agendach rządowych w tych krajach).

Które prawo ochrony danych stosuje się do chmury?

Dostawca chmury przetwarza dane powierzone mu przez użytkownika. Często – szczególnie w relacjach B2B – dostawca chmury działa na zlecenie użytkownika. W takiej sytuacji, zgodnie z unijnymi i polskimi zasadami ochrony danych osobowych, stosuje się prawo ochrony danych korzystającego z chmury, a nie prawo dostawcy chmury, gdy obaj pochodzą z różnych państw. Jedynie dostawca chmury, oprócz obowiązku zastosowania wymagań co do ochrony danych wynikających z prawa swojego klienta, nie jest zwolniony z zastosowania wymagań bezpieczeństwa kraju swojego położenia.

W takiej relacji użytkownik ma prawo nadzorować (audytować) sposób przetwarzania danych przez dostawcę chmury. Podejście rodzi opór dostawców chmury i problemy z zastosowaniem w relacji „one to many”, istniejącej w cloud computingu. Rozwiązania szuka się w upoważnieniu wspólnie uzgodnionych zewnętrznych audytorów do weryfikacji zgodności działania dostawcy chmury z celami użytkownika i umową z nim. Dzięki temu liczba procesów audytu i monitoringu mogłaby zostać zredukowana i wykonywane byłyby one przez wyspecjalizowane jednostki – zwykle o większych kompetencjach niż wewnętrzne zasoby klientów chmury. Dostawca chmury nie powinien korzystać z powierzonych danych osobowych w celach własnych.

Oznacza to, że chmura biznesowa adresowana do klientów z różnych państw UE powinna spełniać wymogi ochrony danych osobowych wszystkich tych państw. To spore wyzwanie formalne i organizacyjne.

Cloud dla konsumentów

Sytuacja komplikuje się, gdy oferta chmurowa (zwykle SaaS) kierowana jest do konsumentów. Wtedy prawo zwykle uznaje, że to dostawca chmury samodzielnie kontroluje dane powierzane mu przez osoby fizyczne, a zatem przetwarzanie tych danych w chmurze podlegać będzie prawu ochrony danych dostawcy chmury (w zakresie danych niezbędnych do realizacji umowy). Równocześnie dostawca chmury powinien zapewnić konsumentom prawne warunki nie gorsze niż wynikające z ich domowego prawa, jeśli tylko „kieruje” swoją usługę do konsumentów z określonego państwa. Tu pojawia się pytanie, czy posiadając wersję angielską swojego serwisu chmurowego, kierujemy usługi do Wielkiej Brytanii, USA czy do całego świata. W zwykłych e-usługach nie wystarczyłoby to do uznania, że adresujemy swoją usługę poza granice kraju.