Przechowywanie danych w chmurze - co zmienia RODO

Informacje z naszych kont w sieci czy smartfonów krążą po świecie. Serwery są często poza Europą. Ale możemy chronić nasze dane.

Publikacja: 25.05.2018 07:00

Przechowywanie danych w chmurze - co zmienia RODO

Foto: 123RF

Chmura, czyli wirtualny serwer, to wygodny sposób przechowywania danych elektronicznych, który nie obciąża pamięci naszego laptopa czy smartfona. Taką usługę oferuje większość producentów komputerów i telefonów oraz dostawców internetu – zwykle odpłatnie. Przechowujemy w niej zarówno prywatne informacje, jak i – gdy chodzi o przedsiębiorców – dane o naszych klientach, w tym także dane finansowe. Dlatego to istotne, by wiedzieć, jak działa chmura, kto nią administruje i kto ma dostęp do danych.

Chmura może krążyć – także poza Europą, gdzie obowiązują przepisy RODO. Czy mimo to mamy kontrolę nad tym, jak są chronione nasze dane? – Wpływ RODO na chmurę jest ogromny, bo zmienia świadomość użytkowników, pozycję negocjacyjną klientów i zmieni strukturę rynku dostawców usług – mówi dr Agnieszka Besiekierska, adwokat z kancelarii Noerr Biedecki.

Wykorzystywanie chmury do lokowania tam ważnych danych to niekiedy ryzyko. Do najważniejszych należy ochrona danych osobowych – co wynika w dużej mierze ze znaczących zmian prawnych w tym obszarze. Podobnie z informacjami niejawnymi. Ustawa o ochronie informacji niejawnych zakłada specjalne warunki przetwarzania takich informacji w systemach teleinformatycznych. Wynika z tego, że przetwarzanie informacji niejawnych w chmurze publicznej jest w praktyce niemożliwe. Ale nie musi to dotyczyć chmury prywatnej. Nad jej fizyczną infrastrukturą usługobiorca może mieć pełną kontrolę. Liczy się też to, jak rozwiązania chmurowe łączy się z innymi posiadanymi zasobami informatycznymi.

Kontrolę nad tym możemy jednak zachować, bo choć chmura „wisi" nad USA czy Indiami, to powinna mieć certyfikat Privacy Shield. Amerykańscy dostawcy usług mają oddziały europejskie. Odpowiedni stan ochrony może poświadczyć także decyzja Komisji Europejskiej. – Patrzmy w certyfikaty, kontrolujmy, gdzie dokładnie są przechowywane nasze dane; chmury mogą być publiczne lub prywatne – przypominają prawnicy.

Dostawca chmury, nazywany procesorem, jest współodpowiedzialny za ochronę przetwarzanych danych. O szczegółach mówi umowa powierzenia, która wskazuje fizyczną lokalizację serwerów, i lista mających dostęp do informacji. Klient powinien mieć też dostęp do dokumentacji o zasadach zapewnienia bezpieczeństwa jego zasobom.

Bez narzędzi informatycznych trudno będzie zapanować nad tym, czy przetwarzanie danych osobowych jest realizowane w terminie oraz kto i w jakim zakresie za to odpowiada.

RODO nie wprowadza wprawdzie nowych instytucji dotyczących konkretnie rozwiązań chmurowych. Trzeba jednak pamiętać, że dostawcy tego rodzaju usług muszą wypełnić wiele obowiązków, które do tej pory dotyczyły głównie administratorów. Ich nieprzestrzeganie może się wiązać z sankcjami, łącznie z dotkliwą karą finansową, której wysokość sięgać może do 20 mln euro lub 4 proc. całkowitego, globalnego obrotu osiągniętego przez organizację w poprzednim roku obrotowym. ©?

Opinia

Łukasz Wróbel

wiceprezes spółki technologicznej

Webcon

RODO nakłada na działy IT wymóg szczegółowej dokumentacji źródeł danych, sposobu i celu ich przetwarzania. Ważna jest obsługa wniosków o anonimizację i możliwość usunięcia lub sprawnej obsługi incydentu wycieku danych. To spore wyzwanie. Trzeba dostosować istniejące systemy informatyczne, by odpowiadały założeniom prywatności, i umożliwić praktyczną realizację prawa do bycia zapomnianym, tak by faktycznie można było przestrzegać te zasady. Wszystkie procesy muszą być monitorowane, by zminimalizować ryzyko niedopatrzeń czy błędów ludzkich. Na ratunek mogą przyjść mechanizmy pozwalające usprawnić obieg danych. Ich rolą jest upewnienie się, że ustawowe obowiązki będą realizowane sprawnie i w zgodzie z reżimem czasowym wyznaczonym przez RODO.

Nieruchomości
Odszkodowanie dla Agnes Trawny za ziemię na Mazurach. Będzie apelacja
Materiał Promocyjny
Tajniki oszczędnościowych obligacji skarbowych. Możliwości na różne potrzeby
Sądy i trybunały
Wierzyciel powinien sprawdzić, czy dłużnik jeszcze żyje
Za granicą
Polacy niewpuszczeni na obchody wyzwolenia obozu w Ravensbrück
Sfera Budżetowa
Setki milionów dla TVP po cichu. Posłowie w Komisji Finansów Publicznych zdecydowali
Zawody prawnicze
Prokuratura Krajowa podjęła kolejne działania ws. Ewy Wrzosek