Prawne uporządkowanie cloud computingu jest dodatkowo trudniejsze z tego względu, że zjawisko nie jest jednorodne. Podlega różnym regulacjom w zależności od tego, czy kierowane jest do konsumenta, biznesu, czy do sektora publicznego, a także od tego, czy infrastruktura chmury jest krajowa, wspólnotowa czy globalna.

Próby prawnego oswojenia chmury podejmowane są przez prywatne i publiczne podmioty. Rzecznicy ochrony danych osobowych (w tym nasz GIODO) publikują interpretacje i rekomendacje dotyczące cloud computingu. Komisja Europejska podjęła działania w tym kierunku – uczestniczę w jednym z czterech wątków, w których są prowadzone. Szkoła Główna Handlowa w Warszawie prowadzi od roku akademickiego 2013/14 studia podyplomowe na kierunku „Zastosowanie technologii Cloud Computingu w strategiach biznesowych”, gdzie próbuję przybliżyć słuchaczom zagadnienia prawne w ramach wykładu „Prawo chmury”.

Celem artykułu nie jest opis aspektów biznesowych cloud computingu, dlatego nie sięgam do najszerzej przyjętej definicji cloud computingu zaproponowanej przez NIST ani nie opisuję definicji IaaS, PaaS, SaaS, zakładając, że czytelnicy wiedzę tę posiadają lub wygooglują. Cloud computing to świadczenie usług przetwarzania danych za pośrednictwem internetu – z tej perspektywy najbliżej mu do usług hostingu.

Cloud computing jako usługa świadczona drogą elektroniczną

Cloud computing jest usługą przetwarzania danych, które w tym celu zostały przez użytkownika przysłane przez internet. W każdym przypadku do usługi świadczonej na terytorium Polski będzie stosować się ustawa o świadczeniu usług drogą elektroniczną („UŚUDE”), z wyjątkiem sytuacji, kiedy usługodawca będzie miał siedzibę w innym państwie EOG niż Polska. Ustawa jest polskim wdrożeniem unijnej tzw. e-Commerce Directive i ma zbliżone odpowiedniki we wszystkich państwach Unii.

Identyfikacja i regulamin

UŚUDE wymaga od dostawcy usługi szczegółowego przedstawiania się użytkownikom oraz posiadania regulaminu określającego co najmniej rodzaj świadczonych usług, warunki świadczenia tych usług, warunki zawierania i rozwiązywania umowy, tryb reklamacji.

Wyłączenie odpowiedzialności oraz „zdjęcie” bezprawnych danych

UŚUDE określa, pod jakimi warunkami dostawca usługi nie odpowiada za treść danych, które są przez niego przetwarzane na rzecz odbiorcy usługi. Warunkiem braku odpowiedzialności jest, aby dostawca usługi nie wiedział o bezprawności danych, a w razie powzięcia urzędowej lub „wiarygodnej” wiadomości niezwłocznie zablokował dostęp do danych. Zasady tej tzw. procedury „notice and takedown” rodzą komplikacje, na które starano się znaleźć lekarstwo już kilka lat temu podczas prac w Ministerstwie Spraw Wewnętrznych i Administracji nad założeniami do zmian do UŚUDE jeszcze pod kierownictwem dr. Wojciecha Wiewiórowskiego, obecnego Głównego Inspektora Ochrony Danych Osobowych.

Ochrona danych osobowych – podstawowe pole regulacji

Głównym polem prawnym, na którym toczą się dyskusje o dopuszczalności i wymaganiach względem cloud computingu, są unijne i polskie regulacje ochrony danych osobowych.