Cloud computing czyli przetwarzanie w chmurze przez prawników

Prawnicy nierzadko postawieni są w sytuacji szczególnie kłopotliwej, bo nie dość, że powinni wystarczająco dobrze orientować się w technologicznych aspektach nowych rozwiązań, to również muszą je adaptować do już zastanych regulacji prawnych. Właśnie ten ostatni aspekt wydaje się dość trudny, co można zaobserwować przy okazji różnych wypowiedzi w tematyce cloud computing (przetwarzanie w chmurze). Mimo że przetwarzanie jest zjawiskiem technicznie zaawansowanym, to moim zdaniem nie prowadzi do spektakularnej rewolucji w podejściu do przetwarzania danych.

Parę słów o chmurze

Sam termin przetwarzanie w chmurze budzi sporo emocji, a pojawiające się definicje znacząco się od siebie różnią. Upraszczając, co do zasady cloud computing miałby się sprowadzać do wykorzystywania kilku zasadniczych technicznych modeli, np. korzystania z aplikacji dostępnych online (tzw. Software as a Service), wykorzystywania przestrzeni serwerowej dostarczanej przez usługodawców (Infrastructure as a Service) lub otrzymania dostępu do środowiska operacyjnego (Platform as a Service). Jak się podkreśla, usługi oferowane w chmurze mają kilka niezaprzeczalnych zalet. Mianowicie prowadzą do oszczędności kosztów i czasu wdrożenia systemów informatycznych oraz szybkości dostosowywania wewnętrznej infrastruktury do aktualnych w danym momencie potrzeb.

Poza elementami technicznymi i biznesowymi zwraca się uwagę, iż przetwarzanie danych osobowych w chmurze może wywoływać pewne wątpliwości prawne, w szczególności związane z przetwarzaniem danych osobowych.

Na styku

I tak nierzadko słyszy się, że przetwarzanie w chmurze zaciera różnice między administratorem danych osobowych a przetwarzającym dane na jego rzecz (tzw. procesor). Te wątpliwości biorą się przede wszystkim z nieprecyzyjnej definicji administratora, zgodnie z którą administratorem jest podmiot (bądź osoba), który decyduje o celach i środkach przetwarzania danych osobowych.

Zauważa się, że skoro co do zasady usługodawca przetwarzający dane w chmurze będzie decydował o środkach ich przetwarzania, to tym samym i jemu będzie można przypisać status administratora. Taka wykładnia wydaje się nietrafna i może rodzić problemy na pograniczu odpowiedzialności za przetwarzanie danych osobowych.

Nie wdając się w szczegółową analizę definicji administratora, należy stwierdzić, iż w kontekście cloud computing w sytuacji, w której usługobiorca decyduje o fakcie, iż dane osobowe będą przetwarzane w chmurze, a więc nie inaczej niż w postaci elektronicznej, jednocześnie będzie podejmował decyzję odnośnie środków przetwarzania tych danych. Fakt, iż usługobiorca nie będzie miał faktycznego wpływu na to, w jakim konkretnym programie, aplikacji, serwerze dane będą przetwarzane, nie ma zasadniczego znaczenia. Kluczowa powinna być decyzja co do kierunku, modelu i formy przetwarzania. Skoro podmiot decyduje o celu przetwarzania danych i jednocześnie o tym, że będą one przetwarzane w postaci elektronicznej w chmurze, to tym samym decyduje o sposobie ich przetwarzania.

W razie przyjęcia odmiennej interpretacji doszłoby do rozciągnięcia niewspółmiernie zakresu znaczeniowego definicji administratora danych. W konsekwencji doprowadzilibyśmy do sytuacji, w której większa część procesorów, również aktualnie działających poza chmurą, musiałaby zostać uznana za administratorów, co w praktyce wywoływałoby trudne do zaakceptowania skutki.

Kwestia terytorialności

Problem związany z zastosowaniem określonego reżimu prawnego w związku z przetwarzaniem danych osobowych nie jest zjawiskiem nowym. Otóż, co do zasady regulacje polskie znajdują zastosowanie do administratorów danych posiadających swoją siedzibę na terytorium Rzeczypospolitej Polskiej, jak również do tych podmiotów, które są zlokalizowane poza Europejskim Obszarem Gospodarczym (EOG), ale przetwarzają dane z wykorzystaniem środków technicznych znajdujących się na terytorium RP. W takim wypadku każdy polski przedsiębiorca jako administrator danych korzystający z dobrodziejstwa cloud computing będzie nadal głównym odpowiedzialnym za tak przetwarzane dane osobowe.

Wpadki z ujawnieniem lub utratą danych zdarzają się i małym, i dużym przedsiębiorcom

Podmioty zlokalizowane poza EOG, a zbierające dane osobowe obywateli tego obszaru wymykają się unijnym regulacjom ochrony danych osobowych, jeśli nie wykorzystują środków technicznych (np. serwerów, ruterów) na terytorium EOG. Choć takie działanie może być postrzegane jako kontrowersyjne, to jednak trudno rozciągnąć unijne regulacje na cały świat. Ten aspekt nie jest też niczym nowym, bowiem funkcjonuje on również choćby przy wyszukiwarkach internetowych, które najczęściej działają spoza EOG.

W tym transgranicznym kontekście istotny jest również fakt, iż duża liczba usługodawców dostarczających usługi na podstawie modelu cloud computing będzie pochodziła z krajów położonych poza EOG (tzw. kraje trzecie). W takich sytuacjach dojdzie do tzw. transferu danych osobowych do krajów trzecich, który – aby miał charakter transferu legalnego – musi uwzględniać dodatkowe wymogi przewidziane w ustawie o ochronie danych osobowych (uodo). W wypadku cloud computing powołanie się na jedną z przesłanek wymienioną w art. 47 uodo, np. pisemną zgodę osoby, której dane będą przedmiotem transferu, będzie co do zasady bardzo skomplikowane lub nawet niemożliwe. Podobnie wykorzystanie wzorcowych klauzul umownych przyjętych przez Komisję Europejską zawieranych między eksporterem danych – usługobiorcą a importerem danych – usługodawcą byłoby w większości wypadków niemożliwe lub trudne do zastosowania w modelu cloud computing.

Rozwiązaniem dla tych bolączek, przy zachowaniu legalności takiego transferu danych, mogłoby być wdrożenie przez usługodawcę tzw. Binding Corporate Rules, czyli wiążących reguł korporacyjnych. Alternatywą dla powyższego rozwiązania, gdy chodzi o usługodawców pochodzących z USA, mogłoby być przystąpienie do tzw. programu bezpiecznej przystani (program Safe Harbour).

Z perspektywy polskiego przedsiębiorcy weryfikacja, czy takie rozwiązania zostały wdrożone, może mieć kluczowe znaczenie dla jego odpowiedzialności. W sytuacji, w której przedsiębiorca (usługobiorca) korzystałby z usług, w ramach których doszłoby do przekazania danych osobowych usługodawcy zlokalizowanemu poza EOG i który nie wdrożył żadnych z ww. środków zapewniających właściwy poziom ochrony, mógłby on (ten usługobiorca) spotkać się z reakcją generalnego inspektora ochrony danych osobowych. W takim wypadku GIODO mógłby co najmniej nakazać wstrzymanie transferu danych do takiego usługodawcy.

W kontekście terytorialności problematyczne może się również okazać wskazanie miejsca przetwarzania danych osobowych, które to powinien określić administrator w dokumentacji ochrony danych osobowych.

Pisemna forma umowy

Trudnym do rozwiązania problemem, bez interwencji ustawodawcy, może być aspekt powierzania przetwarzania danych osobowych. Co do zasady usługodawcy będą przetwarzającymi na zlecenie administratorów danych osobowych będących usługobiorcami.

W takich wypadkach, zgodnie z uodo, administrator ma obowiązek zawarcia z przetwarzającym na zlecenie umowy powierzenia przetwarzania danych w formie pisemnej. Brak formy pisemnej nie będzie wpływał zasadniczo na obowiązki stron w płaszczyźnie cywilnoprawnej. Natomiast w płaszczyźnie administracyjnoprawnej brak formy pisemnej będzie miał ten skutek, że taka umowa nie będzie mogła być traktowana jako umowa powierzenia przetwarzania danych osobowych w rozumieniu uodo. Tym samym nie dojdzie do wypełnienia przez administratora obowiązku o charakterze administracyjnoprawnym, co może rzutować bezpośrednio na jego odpowiedzialność prawną.

Zasada czasowości

Przetwarzanie danych osobowych nie jest czasowo nieograniczone. Tym samym zakończenie współpracy z usługodawcą, któremu powierzyliśmy przetwarzanie danych, co do zasady powinno się wiązać z trwałym usunięciem lub zanonimizowaniem danych przez tegoż usługodawcę.

Jak się podkreśla, spełnienie wspomnianego wymogu może się okazać kosztowne i przez ten fakt nie będzie realizowane przez część usługodawców.

Bezpieczeństwo

W aspekcie cloud computing nie sposób przemilczeć tematu bezpieczeństwa. Zgodnie ze standardami ochrony danych osobowych, przewidzianymi choćby aktami wykonawczymi do uodo, dane te powinny być we właściwy sposób zabezpieczone.

W mojej ocenie trudno jest jednoznacznie stwierdzić, iż przetwarzanie w chmurze rodzi większe lub mniejsze ryzyko utraty lub ujawnienia danych. Historia pokazuje, że wpadki z ujawnieniem lub utratą danych zdarzają się i małym przedsiębiorcom, i gigantom, np. Microsoftowi, Google'owi, Amazonowi czy Sony.

Podsumowując, choć cloud computing wywołuje wątpliwości prawne, to jednak z wieloma z nich będzie można sobie poradzić, umiejętnie interpretując obowiązujące przepisy prawa. Nie oznacza to, iż niektóre aspekty nie powinny być przedmiotem bliższej analizy i w konsekwencji przedmiotem zmian legislacyjnych lub bardziej elastycznego podejścia krajowych organów ochrony danych osobowych.

Pewien ciężar odpowiedzialności będzie spoczywał również na usługodawcach, w szczególności tych działających poza EOG. Również oni powinni podjąć pewien wysiłek i oferując określone produkty, gwarantować ich zgodność z unijnymi regulacjami prawnymi. Dopiero wtedy polski przedsiębiorca korzystający z usług cloud computing będzie mógł się czuć bezpieczniej.