Zanim dane wyślesz w chmury
- Magdalena Kogut – Czarkowska,
- 28.09.2012
Wśród zagrożeń, których świadomość powinny mieć organizacje zastanawiające się nad wdrożeniem rozwiązań opartych na chmurze obliczeniowej, są: utrata kontroli nad danymi w momencie przekazania ich do chmury oraz brak transparentności co do procesu przetwarzania danych. Brak kontroli może wiązać się np. z utratą dostępu do potrzebnych danych, jeśli nastąpi błąd w systemach dostawcy albo jeśli systemy te nie będą prawidłowo współpracować z innym oprogramowaniem firmy. W przypadku chmury publicznej dostawca umieszcza informacje wielu klientów w tych samych systemach i infrastrukturze, co może prowadzić do konfliktu interesów lub ryzyka zmieszania się tych danych.
- utrata kontroli nad danymi w momencie przekazania
ich do chmury,
- brak transparentności co do procesu przetwarzania danych,
- możliwość przekazania danych do wielu państw oraz wielu
podwykonawców dostawcy.
Ponadto zatrudniając dostarczyciela chmury, trzeba mieć świadomość, że dane mogą być przekazane do wielu państw i wielu podwykonawców dostawcy usługi. Tymczasem, zgodnie z dyrektywą unijną, która została wdrożona w Polsce poprzez ustawę o ochronie danych osobowych, nie jest prawnie obojętne, do jakiego kraju przekazywane są dane. Ustawa zakazuje przekazywania danych poza Europejski Obszar Gospodarczy, chyba że zachodzą ku temu szczególne przesłanki. W szczególności może to oznaczać, że na zawarcie umowy o dostawę usług opartych na cloud computing potrzebna będzie zgoda GIODO w Polsce.
Zobacz również:
- Cyfrowa transformacja z AI - co nowego na Google Cloud Next 24
- Cisco i Microsoft transmitują dane z prędkością 800 Gb/s
- Kwanty od OVHCloud dla edukacji
Przykazania dla administratorów danych
Czy powyższe zagrożenia oznaczają, że unijni przedsiębiorcy nie mogą - zgodnie z prawem - przetwarzać danych osobowych w chmurze? Oczywiście, takiego zakazu nie ma. Natomiast zanim administrator zdecyduje się powierzyć dane dostawcy, musi sprawdzić, co dokładnie będzie się z nimi działo. W szczególności administrator powinien upewnić się, czy dane nie będą przekazywane poza Europejski Obszar Gospodarczy, a jeśli tak, czy będzie się to odbywać zgodnie z prawem. Grupa Robocza Artykułu 29 ds. Danych Osobowych zwraca uwagę, że administrator nie może kierować się jedynie tym, że dostawca ze Stanów Zjednoczonych jest zarejestrowany w programie bezpiecznej przystani (Safe Harbor). Musi upewnić się, że dostawca faktycznie działa zgodnie z zasadami programu, i zapewnić sobie odpowiednie środki wpływania na dostawcę w tym zakresie (np. kary umowne).