Dane osobowe w chmurach

źródło: archiwum prywatne

+zobacz więcej zdjęć

Redakcja poleca:

• Firmy wchodzą w informatyczną chmurę
• Współpraca w zakresie cloud computing z bankami

Nowa technologia spowodowała kilka istotnych wyłomów w europejskim, a więc i polskim systemie ochrony danych – zwraca uwagę radca prawny z kancelarii Domański Zakrzewski Palinka

Powszechnie znana prawda, że prawo ze swej natury pozostaje zawsze krok za realnym życiem, nigdy nie była tak aktualna jak dziś, w dobie błyskawicznego rozwoju technologii.

Doskonałym tego przykładem jest zamieszanie, do jakiego w europejskim systemie ochrony danych osobowych doprowadziło upowszechnienie się technologii cloud computing, sprawiając, że niektóre podstawowe pojęcia i koncepcje, na których oparte zostały zarówno europejska dyrektywa o ochronie danych, jak i recypujące ją ustawodawstwo poszczególnych państw unijnych (w tym nasza ustawa o ochronie danych osobowych), wymagają pilnej rewizji.

Niżej kilka uwag o najbardziej zasadniczych tylko, najczęściej wskazywanych przez specjalistów kłopotach, które przy przetwarzaniu danych sprawia nowa technologia.

Co to jest cloud computing

Cloud computing (przetwarzanie w chmurze, chmura obliczeniowa) to termin, który robi wielką karierę w świecie informatycznym, a zarazem technologia coraz powszechniej uważana za przyszłość usług informatycznych. Co kryje się za tym terminem? W największym uproszczeniu cloud computing polega na wykorzystywaniu do przetwarzania gotowych aplikacji online.

Z punktu widzenia użytkowników rozwiązanie to ma wiele zalet – nie wymaga inwestowania w sprzęt, instalowania oprogramowania i zakupu licencji, zmniejsza koszty użytkowania aplikacji, zapewnia dostęp do zgromadzonych danych z każdego komputera z dostępem do sieci. Nie dziwi więc jego rosnąca popularność i coraz większa powszechność.

Choć niewiele osób zdaje sobie z tego sprawę, już dziś większość użytkowników Internetu ma z chmurą do czynienia na co dzień, np. korzystając z Gmail czy popularnych aplikacji do przechowywania zdjęć lub innych danych (np. Picassa). Gwałtownie rozwija się również rynek aplikacji biznesowych dostępnych w chmurze, takich jak np. pakiet Business Productivity Services Suite firmy Microsoft.

Jednakże w kontekście ochrony danych osobowych rosnąca powszechność tego rozwiązania stanowi nie lada wyzwanie dla prawodawców, organów ochrony danych osobowych, a także samych użytkowników i dostawców usług.

Kto jest kim

W procesie przetwarzania danych osobowych kluczowe znaczenie ma stwierdzenie, w jakiej roli występują podmioty tego przetwarzania dokonujące. Od tego, czy dany podmiot jest administratorem danych (data controller), czy też występuje w roli podmiotu, któremu powierzono przetwarzanie danych (data processor), będzie bowiem zależał zakres jego obowiązków i odpowiedzialności.

Na gruncie dyrektywy i ustawy rozróżnienie to wydaje się całkiem proste: administrator jest podmiotem, który decyduje o celach i środkach przetwarzania (jest niejako „właścicielem" danych), processor natomiast to podmiot, który przetwarza dane dla potrzeb administratora na jego zlecenie (np. firma informatyczna opracowująca dane i hostująca zbiór na swoich serwerach).

Ten klarowny i oczywisty zdawałoby się podział zaciera się jednak przy przetwarzaniu w chmurze. Na pierwszy rzut oka zdawać by się mogło oczywiste, że administratorem jest użytkownik usług, gdyż to on jest „właścicielem" danych i przetwarza je na własne potrzeby. Jednak gdy zastosować kryteria definicji ustawowej administratora (decydowanie o celach i metodach przetwarzania), sprawa przestaje być oczywista. W praktyce bowiem to dostawca usług, udostępniając określone oprogramowanie czy środki sprzętowe, określa, jakimi metodami dane mogą być przetwarzane. Co więcej, w wielu wypadkach funkcjonalność udostępnionych usług informatycznych będzie determinować również cel przetwarzania.

Dylemat ten ma olbrzymie znaczenie praktyczne, gdyż od jego rozstrzygnięcia będzie zależało, na kim ciążą podstawowe obowiązki z zakresu ochrony danych, a więc na przykład, kto będzie musiał się wykazać podstawą prawną do przetwarzania, kto będzie odpowiedzialny za zapewnienie środków organizacyjnych i technicznych zabezpieczających dane, na kim ciążyć będzie obowiązek informacyjny wobec osób, których dane są przetwarzane, kto będzie zobowiązany zgłosić zbiór danych do rejestracji, itd., itp.