Cloud computing: prawo w chmurze nieskuteczne

Ze zdalnego wynajmu rozwiązań informatycznych, zarówno oprogramowania, jak i infrastruktury (pamięć, powierzchnia dyskowa), czyli tzw. chmury obliczeniowej (cloud computing) korzysta coraz więcej przedsiębiorstw i organizacji. Według raportu firmy MVare ponad 60 proc. europejskich firm z sektora MŚP przeniosło już część swojej infrastruktury IT do chmury.

Usługi mogą być świadczone w tzw. chmurze prywatnej – czyli wewnętrznej sieci firmowej (stać na nią duże firmy i organizacje), publicznej (przez ogólnodostępny Internet) lub mieszanej. Ponieważ korzystanie z usług w chmurze publicznej wiąże się z powierzaniem danych zewnętrznemu dostawcy, niesie to za sobą problemy natury prawnej.

Uwaga na dane osobowe

Najwięcej ograniczeń prawnych związanych jest z ustawowym obowiązkiem ochrony danych osobowych. Kiedy dane przekazywane są do dostawców działających w obrębie Unii Europejskiej, nie ma problemu. Na terenie UE obowiązują wytyczne dyrektywy 95/46/EC, z którymi jest zgodna polska ustawa o ochronie danych osobowych z 1997 roku (UODO). Sprawy komplikują się w wypadku przekazywania danych do centrów danych zlokalizowanych poza Europejskim Obszarem Gospodarczym.

763 mld euro zarobią firmy i organizacje na wdrożeniu rozwiązań informatycznych w modelu chmury w latach 2010 - 2015 (źródło: Analiza Cebr, 2010)

Przekazanie wymaga wedle prawa spełnienia co najmniej jednej z przesłanek wymienionych w ustawie o ochronie danych osobowych, spośród których podstawową jest zapewnienie, że kraj docelowy daje gwarancję adekwatnej ochrony danych, tj. ochrony na poziomie co najmniej takim jak w Polsce. Spełnienie przesłanki adekwatnej ochrony w przypadku niektórych krajów (USA, Izraela, Argentyny, Kanady, Szwajcarii, Guernsey, Isle of Man) zostało potwierdzone decyzją Komisji Europejskiej. Jeśli ten warunek nie jest spełniony, przesłankami usprawiedliwiającymi przekazywanie danych osobowych do państw trzecich są np.: wykonywanie umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych i dostawcą; uzyskanie zgody generalnego inspektora ochrony danych osobowych; uzyskanie pisemnej zgody osoby, której dane dotyczą.

– W ukształtowaniu systemu transferu danych poza Unię w końcu konieczne może być uzyskanie zgody GIODO. Dla pozytywnej oceny w tym ostatnim przypadku przydatne jest np. wykorzystanie  klauzul umownych przygotowanych przez Komisję Europejską – mówi Bogdan Fischer, partner w kancelarii prawnej J. Chałas i Wspólnicy. Nowe standardowe klauzule umowne dotyczące danych osobowych przekazywanych podmiotom mającym siedzibę poza UE obowiązują od 5 lutego 2010.

Restrykcje nałożone przez dyrektywę związane z transferem danych poza obszar Unii są obecnie uznawane za jedną z największych barier hamujących rozwój sektora cloud computing w Europie.

Aby temu przeciwdziałać, Komisja Europejska 4 listopada 2010 r. przyjęła kompleksową strategię dotyczącą ochrony danych osobowych w Unii Europejskiej (komunikat KOM (2010)609/3), która zakłada modernizację istniejących w UE ram prawnych w zakresie ochrony danych osobowych i uwzględnienie w nich uregulowań prawnych związanych z rozwojem nowych technologii. Można liczyć, że wkrótce zostaną wprowadzone odpowiednie zmiany legislacyjne.

Różne przepisy

Kolejną istotną dla korzystania z usług w chmurze sprawą jest wybór właściwego prawa i jurysdykcji. Dostawcy rozwiązań w modelu cloud mają swoje siedziby w różnych krajach: USA, Chinach, Indiach, Niemczech etc. A co za tym idzie, podlegają prawom tych krajów. W większości międzynarodowych kontraktów dotyczących usług w chmurze można znaleźć klauzule wyboru forum prawa. Wybór jurysdykcji i prawa właściwego jest regulowany przez szereg aktów prawnych. W Polsce najważniejsze to: w sprawie jurysdykcji rozporządzenia UE – nr 44/2001 (Bruksela I) w sprawie wyboru prawa właściwego i nr 593/2008 (Rzym I). Firmy nie powinny bagatelizować tej kwestii, gdyż procesy międzynarodowe wiążą się z ogromnymi kosztami.

Dużo mówi się o szansach, jakie model cloud stwarza administracji publicznej, jednak póki nie zostaną rozstrzygnięte kwestie prawne, przeniesienie w danych wrażliwych i osobowych długo jeszcze nie będzie możliwe. Rząd australijski, który obok takich krajów jak USA, Japonia, Kanada, Korea Południowa, Wielka Brytania, opracował strategię przechodzenia administracji publicznej do chmury, zakłada, że pełne przeniesienie takich danych to proces, który na obecnym poziomie prawa i zabezpieczeń technologicznych może trwać nawet do dziesięciu lat.

Biznes o ogromnym potencjale