Zanim dane wyślesz w chmury

Przetwarzanie danych w chmurze obliczeniowej - cloud computing - rozpala wyobraźnię nie tylko informatyków lecz także przedsiębiorców. Decydując się na ten model obsługi IT muszą jednak wziąć pod uwagę ochronę danych osobowych.

Rozwiązania w chmurze stają się tak popularne, że nad tematem tym pochyliła się teraz Grupa Robocza Artykułu 29 ds. Danych Osobowych. Jest to organ unijny, w skład którego wchodzi m.in. Generalny Inspektor Ochrony Danych Osobowych w Polsce. Grupa ta w lipcu 2012 r. wydała opinię analizującą zagrożenia prawne, wiążące się z przekazaniem danych dostawcy, który "działa w chmurze". To ważny dokument dla firm i organizacji, które rozważają podjęcie takiego kroku.

Dostawcy oferują coraz więcej usług opartych na technologiach chmurowych, począwszy od usług rozwoju aplikacji, poprzez usługi, które zastępują oprogramowanie, takie jak edytory tekstu, systemy poczty elektronicznej, zarządzanie bazą kontaktów, a skończywszy na prowadzeniu elektronicznego archiwum dokumentów. Korzystanie z tych usług może być kuszące, bo - jak twierdzą eksperci - może oznaczać redukcje kosztów i infrastruktury. Grupa Robocza zwraca jednak uwagę, że przetwarzanie danych w chmurze publicznej wiąże się z przekazaniem danych osobowych na zewnątrz organizacji i nie jest obojętne prawnie.

Zobacz również:

Obowiązki administratora danych osobowych

- Zanim administrator zdecyduje się powierzyć dane dostawcy, musi sprawdzić, co dokładnie będzie się z nimi działo. W szczególności administrator powinien upewnić się, czy dane nie będą przekazywane poza Europejski Obszar Gospodarczy.

- Powinien mieć informacje o każdym podwykonawcy dostawcy chmury oraz o lokalizacji tego dostawcy.

- Musi mieć także pewność, że dostawca skasuje wszelkie dane po zakończeniu przetwarzania. Odnosi się to do wszelkich danych, w tym ich kopii, poprzednich wersji, plików tymczasowych, danych logowania (log data) itp.

- Powinien móc także sprawdzać logi poszczególnych operacji, które dostawca wykonywał na danych.

Firmy muszą pamiętać, że mimo zatrudnienia dostawcy to one - jako administratorzy danych pracowników, klientów i dostawców - pozostają odpowiedzialne za bezpieczeństwo tych danych. Oznacza to, że muszą wybrać dostawcę, który oferuje rozwiązania zgodne z prawem o ochronie danych osobowych. Z kolei dostawcy, którzy mają siedzibę w krajach Unii Europejskiej, muszą mieć świadomość, że ich obowiązkiem jest właściwe zabezpieczenie danych, tj. wprowadzenie odpowiednich środków technicznych i organizacyjnych w celu ochrony poufności danych.


TOP 200