Zanim dane wyślesz w chmury

Ponadto umowa z dostawcą usług cloud computing powinna być traktowana jak każda inna umowa powierzenia przetwarzania danych. W szczególności powinna zobowiązywać dostawcę do przetwarzania określonych w niej danych tylko w celach wskazanych przez klienta (administratora) i naruszenie tego zobowiązania powinno być obwarowane karą umowną. Umowa powinna też określać poziom i sposoby zabezpieczeń, które wdroży dostawca. Administrator musi wyrazić zgodę na "podpowierzenie" przetwarzania jego danych. W praktyce oznacza to, że powinien mieć informacje o każdym podwykonawcy dostawcy chmury oraz o lokalizacji tego dostawcy. Administratorzy muszą mieć także pewność, że dostawca skasuje wszelkie dane po zakończeniu przetwarzania. Odnosi się to do wszelkich danych, w tym ich kopii, poprzednich wersji, plików tymczasowych, danych logowania (log data) itp. Powinni także móc sprawdzać logi poszczególnych operacji, które dostawca wykonywał na danych.

Grupa Robocza wskazuje też dodatkowe rekomendowane zapisy, takie jak prawo klienta do kontroli przetwarzania danych czy też obowiązek poinformowania przez dostawcę o jakichkolwiek incydentach i naruszeniach, które mogą mieć wpływ na bezpieczeństwo danych administratora. Podsumowując, przed wybraniem dostawcy administrator powinien przeprowadzić szczegółowy audyt dotyczący proponowanej usługi cloud computing. Grupa robocza sugeruje, że dostawcy powinni poddawać się certyfikacjom niezależnych organizacji, które weryfikowałyby, czy działają zgodnie z prawem. Takie certyfikaty na pewno ułatwiłyby firmom podejmowanie decyzji.

Zobacz również:

  • Cisco i Microsoft transmitują dane z prędkością 800 Gb/s
  • Kwanty od OVHCloud dla edukacji
  • Nvidia odtworzyła całą planetę. Teraz wykorzysta jej cyfrowego bliźniaka do dokładnego prognozowania pogody

Co dalej?

Dokument Grupy Roboczej Artykułu 29 ds. Danych Osobowych skupia się na ramach prawnych zagadnienia. Grupa wspomina jedynie zdawkowo, że w chwili obecnej możliwość negocjowania z dostawcami chmury obliczeniowej standardowych warunków świadczenia usług jest niewielka. Co za tym idzie, stosowanie opisanych przez nią rozwiązań jest trudne - o ile nie niemożliwe - do wykonania zarówno biznesowo, jak i technicznie. I o ile trudno nie zgodzić się, że zastrzeżenia, które opisuje Grupa, mają oparcie w obowiązującym prawie, o tyle w dokumencie zabrakło analizy, czy jest szansa na poprawę tej sytuacji.

Magdalena Kogut-Czarkowska jest radcą prawnym w kancelarii Baker & McKenzie.


TOP 200