Chmura, czyli wirtualny serwer, to wygodny sposób przechowywania danych elektronicznych, który nie obciąża pamięci naszego laptopa czy smartfona. Taką usługę oferuje większość producentów komputerów i telefonów oraz dostawców internetu – zwykle odpłatnie. Przechowujemy w niej zarówno prywatne informacje, jak i – gdy chodzi o przedsiębiorców – dane o naszych klientach, w tym także dane finansowe. Dlatego to istotne, by wiedzieć, jak działa chmura, kto nią administruje i kto ma dostęp do danych.
Chmura może krążyć – także poza Europą, gdzie obowiązują przepisy RODO. Czy mimo to mamy kontrolę nad tym, jak są chronione nasze dane? – Wpływ RODO na chmurę jest ogromny, bo zmienia świadomość użytkowników, pozycję negocjacyjną klientów i zmieni strukturę rynku dostawców usług – mówi dr Agnieszka Besiekierska, adwokat z kancelarii Noerr Biedecki.
Wykorzystywanie chmury do lokowania tam ważnych danych to niekiedy ryzyko. Do najważniejszych należy ochrona danych osobowych – co wynika w dużej mierze ze znaczących zmian prawnych w tym obszarze. Podobnie z informacjami niejawnymi. Ustawa o ochronie informacji niejawnych zakłada specjalne warunki przetwarzania takich informacji w systemach teleinformatycznych. Wynika z tego, że przetwarzanie informacji niejawnych w chmurze publicznej jest w praktyce niemożliwe. Ale nie musi to dotyczyć chmury prywatnej. Nad jej fizyczną infrastrukturą usługobiorca może mieć pełną kontrolę. Liczy się też to, jak rozwiązania chmurowe łączy się z innymi posiadanymi zasobami informatycznymi.
Kontrolę nad tym możemy jednak zachować, bo choć chmura „wisi" nad USA czy Indiami, to powinna mieć certyfikat Privacy Shield. Amerykańscy dostawcy usług mają oddziały europejskie. Odpowiedni stan ochrony może poświadczyć także decyzja Komisji Europejskiej. – Patrzmy w certyfikaty, kontrolujmy, gdzie dokładnie są przechowywane nasze dane; chmury mogą być publiczne lub prywatne – przypominają prawnicy.
Dostawca chmury, nazywany procesorem, jest współodpowiedzialny za ochronę przetwarzanych danych. O szczegółach mówi umowa powierzenia, która wskazuje fizyczną lokalizację serwerów, i lista mających dostęp do informacji. Klient powinien mieć też dostęp do dokumentacji o zasadach zapewnienia bezpieczeństwa jego zasobom.