Dane osobowe w chmurach

Powszechnie znana prawda, że prawo ze swej natury pozostaje zawsze krok za realnym życiem, nigdy nie była tak aktualna jak dziś, w dobie błyskawicznego rozwoju technologii.

Doskonałym tego przykładem jest zamieszanie, do jakiego w europejskim systemie ochrony danych osobowych doprowadziło upowszechnienie się technologii cloud computing, sprawiając, że niektóre podstawowe pojęcia i koncepcje, na których oparte zostały zarówno europejska dyrektywa o ochronie danych, jak i recypujące ją ustawodawstwo poszczególnych państw unijnych (w tym nasza ustawa o ochronie danych osobowych), wymagają pilnej rewizji.

Niżej kilka uwag o najbardziej zasadniczych tylko, najczęściej wskazywanych przez specjalistów kłopotach, które przy przetwarzaniu danych sprawia nowa technologia.

Co to jest cloud computing

Cloud computing (przetwarzanie w chmurze, chmura obliczeniowa) to termin, który robi wielką karierę w świecie informatycznym, a zarazem technologia coraz powszechniej uważana za przyszłość usług informatycznych. Co kryje się za tym terminem? W największym uproszczeniu cloud computing polega na wykorzystywaniu do przetwarzania gotowych aplikacji online.

Z punktu widzenia użytkowników rozwiązanie to ma wiele zalet – nie wymaga inwestowania w sprzęt, instalowania oprogramowania i zakupu licencji, zmniejsza koszty użytkowania aplikacji, zapewnia dostęp do zgromadzonych danych z każdego komputera z dostępem do sieci. Nie dziwi więc jego rosnąca popularność i coraz większa powszechność.

Choć niewiele osób zdaje sobie z tego sprawę, już dziś większość użytkowników Internetu ma z chmurą do czynienia na co dzień, np. korzystając z Gmail czy popularnych aplikacji do przechowywania zdjęć lub innych danych (np. Picassa). Gwałtownie rozwija się również rynek aplikacji biznesowych dostępnych w chmurze, takich jak np. pakiet Business Productivity Services Suite firmy Microsoft.

Jednakże w kontekście ochrony danych osobowych rosnąca powszechność tego rozwiązania stanowi nie lada wyzwanie dla prawodawców, organów ochrony danych osobowych, a także samych użytkowników i dostawców usług.

Kto jest kim

W procesie przetwarzania danych osobowych kluczowe znaczenie ma stwierdzenie, w jakiej roli występują podmioty tego przetwarzania dokonujące. Od tego, czy dany podmiot jest administratorem danych (data controller), czy też występuje w roli podmiotu, któremu powierzono przetwarzanie danych (data processor), będzie bowiem zależał zakres jego obowiązków i odpowiedzialności.

Na gruncie dyrektywy i ustawy rozróżnienie to wydaje się całkiem proste: administrator jest podmiotem, który decyduje o celach i środkach przetwarzania (jest niejako „właścicielem" danych), processor natomiast to podmiot, który przetwarza dane dla potrzeb administratora na jego zlecenie (np. firma informatyczna opracowująca dane i hostująca zbiór na swoich serwerach).

Ten klarowny i oczywisty zdawałoby się podział zaciera się jednak przy przetwarzaniu w chmurze. Na pierwszy rzut oka zdawać by się mogło oczywiste, że administratorem jest użytkownik usług, gdyż to on jest „właścicielem" danych i przetwarza je na własne potrzeby. Jednak gdy zastosować kryteria definicji ustawowej administratora (decydowanie o celach i metodach przetwarzania), sprawa przestaje być oczywista. W praktyce bowiem to dostawca usług, udostępniając określone oprogramowanie czy środki sprzętowe, określa, jakimi metodami dane mogą być przetwarzane. Co więcej, w wielu wypadkach funkcjonalność udostępnionych usług informatycznych będzie determinować również cel przetwarzania.

Dylemat ten ma olbrzymie znaczenie praktyczne, gdyż od jego rozstrzygnięcia będzie zależało, na kim ciążą podstawowe obowiązki z zakresu ochrony danych, a więc na przykład, kto będzie musiał się wykazać podstawą prawną do przetwarzania, kto będzie odpowiedzialny za zapewnienie środków organizacyjnych i technicznych zabezpieczających dane, na kim ciążyć będzie obowiązek informacyjny wobec osób, których dane są przetwarzane, kto będzie zobowiązany zgłosić zbiór danych do rejestracji, itd., itp.

O tym, że problem jest rzeczywisty, świadczy choćby fakt, że próbę udzielenia praktycznych wskazówek interpretacyjnych podjęła Grupa Robocza Artykułu 29 (ciało unijne zajmujące się ochroną danych osobowych), wydając 16 lutego 2010 r. Opinię 1/2010 dotyczącą przedmiotowej kwestii. Opinia ta nie rozstrzyga jednak wszystkich wątpliwości i dylematów, a rola, w jakiej występują uczestnicy chmury, musi być analizowana w każdym wypadku odrębnie.

Pewną nadzieją pozostaje fakt, że problem ten znalazł się w agendzie Grupy Roboczej na lata 2010 i 2011, która być może wypracuje bardziej kompleksowe jego rozwiązanie.

Tymczasem zarówno użytkownicy, jak i dostawcy usług w chmurach obliczeniowych muszą starannie analizować swoją pozycję w procesie przetwarzania, pamiętając przy tym, że naruszenie przepisów ustawy może spowodować nawet odpowiedzialność karną.

Jakie prawo stosować

Kolejnym problemem, który na gruncie obowiązującego prawa powoduje technologia cloud computing, jest fakt, że nie przystaje ona do „geograficznej" filozofii leżącej u podstaw europejskiego modelu ochrony danych osobowych.

Problemem o zasadniczym znaczeniu jest rozstrzygnięcie, czy w ogóle regulacje dotyczące danych osobowych (odnośne przepisy poszczególnych państw europejskich) znajdą zastosowanie do przetwarzania w chmurze. Zgodnie z polską ustawą stosuje się ona zasadniczo do administratorów mających siedzibę na terytorium Polski oraz na terytorium państw trzecich (jeśli przetwarzają dane za pomocą środków technicznych znajdujących się w Polsce). Podobne rozwiązania, za przepisami dyrektywy, obowiązują również w pozostałych jurysdykcjach unijnych.

Jeżeli zatem za administratora danych osobowych uznamy dostawcę usług niekorzystającego ze środków technicznych umiejscowionych w państwach unijnych, to nawet jeśli 100 proc. użytkowników jego usług będzie pochodziło z Europy, przetwarzanie danych wymknie się wymogom europejskiego systemu ochrony.

Na problem ten zwrócił uwagę m.in. Peter Hustinx (European Data Protection Supervisor) w swoim wystąpieniu z 13 kwietnia 2010 r., w którym celnie wskazywał, że wypełnienie tak powstałej luki nie będzie możliwe bez wprowadzenia odpowiednich zmian w legislacji.

Bez granic

Kolejny problem „terytorialny" wiąże się z transferem danych osobowych. Co do zasady przepisy europejskie bardzo mocno ograniczają możliwość przekazywania danych do państw trzecich niezapewniających takiego samego poziomu ich zabezpieczenia jak państwa członkowskie Unii (czyli w praktyce niemal do wszystkich pozostałych państw świata), obwarowując taki transfer licznymi wymogami i warunkami.

Takie „geograficzne" rozwiązanie sprawdza się (choć też nie zawsze), gdy dane transferowane są od podmiotu A do podmiotu B. Zupełnie inaczej sytuacja przedstawia się w wypadku przetwarzania w chmurze, gdy serwery, na których umieszczone są aplikacje, mogą się znajdować gdziekolwiek (a dane między nimi swobodnie przepływać), a ponadto użytkownicy mają dostęp do danych z każdego miejsca na świecie, z którego można tylko połączyć się z siecią. Taki amorficzny model przepływu danych powoduje, że terytorialna koncepcja ochrony danych osobowych zupełnie się nie sprawdza.

Reasumując: nowa technologia spowodowała kilka istotnych wyłomów w europejskim systemie ochrony danych, wymykając się pojęciom i koncepcjom leżącym u samych jego podstaw. Wobec tego nie obejdzie się bez odpowiednich zmian w przepisach tak na poziomie europejskim, jak i poszczególnych państw, a nawet być może w samej filozofii ochrony danych. Szczęśliwie problem ten został dostrzeżony nie tylko przez europejskie, ale i polskie organy ochrony danych osobowych i można liczyć, że wkrótce zostaną wprowadzone odpowiednie zmiany legislacyjne.

Więcej w serwisie:

Prawo dla Ciebie

»

Twoje prawo

»

Dane osobowe

Dobra Firma

»

Firma

»

Dane osobowe i dobra osobiste