Przetwarzanie danych osobowych w chmurze

Sprawozdanie z seminarium Stowarzyszenia Administratorów Bezpieczeństwa Informacji

Przetwarzanie danych osobowych w chmurze obliczeniowej w świetle opinii 5/2012 Grupy Roboczej art. 29 z 1 lipca 2012

Potencjał chmury obliczeniowej, a także potrzebę unormowania tego modelu świadczenia usług informacyjnych, oficjalnie dostrzegła kilka tygodni temu Komisja Europejska ogłaszając strategię wykorzystania chmury (1) w celu utworzenia 2,5 mln nowych miejsc pracy i uzyskania rocznego przyrostu PKB UE o 160 mld EUR do 2020 r. W najbliższym czasie mają zostać opublikowane europejskie normy zapewniające użytkownikom chmury m.in. "bezpieczne i uczciwe" warunki umów, interoperacyjność różnych rozwiązań i możliwość przenoszenia między nimi swoich danych. Poza tym Bruksela widzi potrzebę certyfikacji wiarygodnych dostawców usług świadczonych w chmurze. (2)

Wcześniej, bo w lipcu 2012, europejska Grupa Robocza Artykułu 29 ds. Ochrony Danych przyjęła "Opinię 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej" (3), w której podkreśla się znaczenie przejrzystości chmury (!), która ma zapewniać bezpieczeństwo informacyjne klientów takich usług.

Również w Polsce temat cloud computingu, czyli właśnie chmury obliczeniowej, budzi duże zainteresowanie, ale rodzi też wiele pytań i wątpliwości, które uzewnętrzniają się czasem w prasie pod malowniczymi tytułami takimi jak "Z małej chmury obliczeniowej może być duży deszcz", czy "Prawnik w chmurze".

W odpowiedzi na rynkowe potrzeby Stowarzyszenia ABI zorganizowało 20 listopada 2012 w Warszawie kolejne Seminarium, którego tematem było "Przetwarzanie danych osobowych w chmurze obliczeniowej". Seminarium miało warsztatowy charakter, a jego uczestnicy dyskutowali czerpiąc przykłady ze swojej pracy zawodowej. Jak zwykle podczas tego rodzaju spotkań okazało się, że nowa wiedza rodzi się w starciu z realnymi wyzwaniami poddawanymi następnie pod dyskusję w gronie specjalistów.

Seminarium poprowadził ekspert prawny SABI p. mec Xawery Konarski, który omówił zarówno treść opinii 5/2012 Grupy Roboczej art. 29, jak i praktykę GIODO w tym zakresie.

Pan Mecenas na wstępie humorystycznie zaznaczył, że mamy do czynienia z "ciekawym przypadkiem", a jeśli takie sformułowanie pada z ust prawnika, lekarza, czy innego specjalisty, to oznacza dla niego dużo pracy, a dla jego pacjentów pewną dozę niepewności, czy też frasunku w oczekiwaniu na diagnozę, propozycję terapii, a następnie liczne zabiegi mające doprowadzić go do jako takiego stanu.

Podczas seminarium omówione zostały m. in. takie zagadnienia jak:
- Prawo właściwe w przypadku przetwarzania danych w chmurze obliczeniowej.
- Zadania i obowiązki dostawców usługi w chmurze.
- Problematyka transferu danych do państwa trzeciego a chmura obliczeniowa.

Aby ustalić kontekst dyskusji Mecenas Konarski zaznaczył, że w większości przypadków, z którymi spotyka się w naszym kraju, do tematyki przetwarzania w chmurze można podchodzić jak do specyficznego outsourcingu usług IT, czy złożonego hostingu, a więc aktywności znanych od lat.

========= JAKIE PRAWO OBOWIĄZUJE KLIENTA CLOUD COMPUTINGU

Omawiając problematykę prawa właściwego w przypadku przetwarzania danych w chmurze obliczeniowej Mecenas Konarski wskazał, że zgodnie z opinią Grupy, "właściwe ustawodawstwo to prawo kraju, w którym siedzibę ma administrator powierzający usługi przetwarzania w chmurze, a nie miejsca, w którym dostawcy usług w chmurze mają lokalizację."

Zatem polskie podmioty korzystające z chmury obowiązuje polskie prawo ochrony danych osobowych - hasłowo "prawo idzie za administratorem".

Ale co z dostawcami tego typu usług?

Większość globalnych dostawców oprogramowania dla biznesu, poza niemieckim SAP, ma swoją siedzibę w USA, a nawet jeśli chwalą się posiadaniem centrów obliczeniowych w Europie, to często korzystają z podwykonawców np. w Indiach, Wietnamie, czy Korei.

Z kolei polska ustawa o ochronie danych osobowych nie ma zastosowania do podmiotów, które mają siedzibę w państwie trzecim, czyli poza EOG, a które nie przetwarzają danych osobowych przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

Sytuacja ta rodzi mnóstwo wyzwań, które napotykamy już na etapie czytania projektu umowy o współpracy z dostawcą usługo chmurowej. Załącznikiem do takiej umowy może być lista lokalizacji, w których mogą, ale nie muszą, być przetwarzane dane klienta.

Skoro więc polskich przepisów nie stosuje się do podmiotów z siedzibą w słonecznej Kaliforni, Wietnamie, czy starożytnych Indiach, to działają one według swoich procedur i wzorów umów. Wprawdzie polski GIODO nie może wydawać w stosunku do nich decyzji administracyjnych, ale… może kontrolować zasady współpracy z polskim zleceniodawcą.

Jak wskazał Mecenas Konarski zgodnie z praktyką interpretacyjną GIODO polski administrator danych, np. klient usługi chmurowej, odpowiada za właściwe przetwarzanie danych osobowych przez swoich podwykonawców, którym owo przetwarzanie powierza.

Dodatkowo zgodnie z art. 38 u.o.d.o. administrator danych jest obowiązany zapewnić kontrolę m.in. nad tym komu dane są przekazywane, a zdaniem GIODO kontrola oznacza posiadanie wiedzy na temat każdego podmiotu, który przetwarza dane osobowe oraz zastosowanych przez ten podmiot środków ochrony.

Stąd polscy administratorzy starają się pośrednio wymuszać stosowanie polskich przepisów u.o.d.o. na swoich amerykańskich partnerach, co często spotyka się z brakiem zrozumienia z ich strony - zwłaszcza jeśli rozmowa z amerykańskimi prawnikami odbywa się za pośrednictwem polskich handlowców.

Dodatkowo w przypadku "egzotycznych" krajów, do których przekazywane będą "polskie" dane osobowe, należy zazwyczaj uzyskać zezwolenie GIODO, który wcześniej bada prawny system ochrony danych osobowych w tym kraju, o ile już wcześniej tego nie uczynił.

========= TREŚĆ UMOWY PRZETWARZANIA DANYCH OSOBOWYCH W CHMURZE

Wobec braku szczegółowych uregulowań prawnych przetwarzania danych osobowych w chmurze zarówno Grupa Art. 29, polski GIODO, jak i Mecenas Konarski podkreślają szczególne znaczenie zapisów umownych z dostawcą takiej usługi, czyli określenia zadań i obowiązków dostawców usługi w chmurze.

Komentując ten temat Mecenas Konarski wskazał na szczególne ryzyka przetwarzania danych w chmurze, na które wskazuje też polski GIODO, jednocześnie nie oponując temu modelowi korzystania z usług IT. Omawiany był przykład dostawcy, który w połowie roku zaprzestał prowadzenia działalności, a ponieważ większość jego klientów nie wykupiła usługi wykonywania kopii zapasowych, w związku z tym straciła wszystkie przetwarzane w chmurze dane.

Skoro powszechne jest przekonanie, że przetwarzanie w chmurze jest operacją podwyższonego ryzyka, to w związku z tym pojawia się pytanie, czy GIODO lub polskie sądy mogą wymagać więcej, niż jest zapisane w przepisach, od administratorów danych osobowych, którzy korzystają z takich usług - w szczególności w związku ze wspomnianą opinią Grupy Art. 29. Mówi się o prowadzeniu analizy ryzyka, zarządzaniu bezpieczeństwem, czy audytowaniu bezpieczeństwa - zgodnie z normami np. PN-ISO/IEC 27001.

Zdaniem Mecenasa Konarskiego jest mało prawdopodobne, aby GIODO mogło twardo wymagać stosowania ostrzejszych środków ochrony, niż określonych w Rozporządzeniu z 2004 r. wydanym do u.o.d.o., bo jak wynika z orzeczenia Trybunału Konstytucyjnego nie można w drodze interpretacji rozszerzać obowiązków wynikających z przepisów prawa.

Z drugiej strony można się zastanawiać czy tak postawione pytanie ma sens, skoro Rozporządzenie określa jedynie minimalne wymogi techniczne i organizacyjne, ale jak wynika z ustawy owe środki powinny być adekwatne i proporcjonalne do zagrożeń pod odpowiedzialnością karną administratora danych. Administrator danych osobowych odpowiada za skuteczność zabezpieczeń z kodeksu karnego, a za stosowanie minimalnych środków ochrony "jedynie" administracyjnie. Zatem GIODO nie musi z góry ostro wymagać stosowania ostrzejszej ochrony przetwarzania w chmurze, a może i będzie kontrolować i oceniać skuteczność ochrony post factum.

Mecenas Konarski następnie omówił listę wymagań wobec dostawców usług, jakie Grupa Art. 29 w swojej opinii zaleca zapisać w umowie o współpracy z dostawcą usług świadczonych w chmurze. W sumie jest ich 14:
1. gwarantowany poziom usług - SLA
2. określenie środków technicznych i organizacyjnych ochrony danych
3. określenie przedmiotu i ram czasowych usługi, zakresu, sposobu, celu przetwarzania oraz kategorii przetwarzanych danych
4. określenie warunków zwrotu lub zniszczenia danych
5. zapewnienie poufności i ochrony przed osobami nieupoważnionymi
6. obowiązki dostawcy usługi w ułatwianiu realizacji praw osoby
7. przekazywanie danych jedynie podmiotom uzgodnionym z administratorem
8. zobowiązania dostawcy usługi dotyczące informowania klienta w przypadku incydentów bezpieczeństwa
9. obowiązek wskazania przez dostawcę usługi lokalizacji przetwarzania danych
10. prawa klienta do monitorowania, audytu i kontroli dostawcy usługi
11. obowiązek informowania klienta usługi o istotnych zmianach np. nowych funkcjonalności
12. obowiązek zapewnienia rozliczalności - kontroli operacji wykonywanych na danych
13. obowiązek zawiadomienia o prawnie wiążącym wniosku o udostępnienie danych, o ile nie jest to zakazane
14. obowiązek zgodności z właściwymi dostawcy usługi wymogami prawnymi i standardami

W szczególności istotne są zasady pod-powierzenia przetwarzania danych przez dostawcę usługi, do czego dość często dochodzi. Klient usługi świadczonej w chmurze powinien zapewnić kontrolę przetwarzania również przez podwykonawców swojego dostawcy i zapisać stosowne zobowiązania w umowie.

========= TRANSFER DANYCH DO PAŃSTWA TRZECIEGO

Następnie Mecenas Konarski omówił problematykę transferu danych do państwa trzeciego w kontekście korzystania z chmury obliczeniowej.

Zgodnie z art. 47. u.o.d.o. "przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej."

Ponieważ USA traktowane są jako państwo trzecie niezapewniające adekwatnej ochrony danych osobowych, co znacznie utrudnia współpracę gospodarczą z Europą, Departament Handlu USA wypracował w porozumieniu z Komisją Europejską program "Safe Harbor". Program ten pozwala na samocertyfikację amerykańskim podmiotom, a przez to sprostanie wymaganiom europejskich przepisów ochrony danych osobowych. Przynajmniej teoretycznie - zauważyli uczestnicy seminarium.

Dyskutując specyfikę programu Safe Harbor uczestnicy seminarium zauważyli, że dane osobowe mogą być przetwarzane wyłącznie przez podmiot z siedzibą w USA w zadeklarowanym podczas samocertyfikacji zakresie przetwarzania oraz kategorii podmiotów danych (np. w określonej branży). Dlatego warto sprawdzić treść certyfikatu potencjalnego kontrahenta w bazie prowadzonej przez FTC.(4)

Zdaniem Mecenasa Konarskiego niedopuszczalne jest dalsze przekazywanie danych przez firmy amerykańskie swoim spółkom zależnym, czy podwykonawcom poza USA powołując się na prawo do tzw. on-ward transfer - w szczególności bez zgody i wiedzy administratora danych osobowych. Tego rodzaju praktyka przypomina "pranie danych", a co gorsze w świetle europejskich przepisów nie zapewnia administratorowi danych jakiejkolwiek kontroli nad ich przetwarzaniem, do której sprawowania jest przecież zobowiązany.

Jak zauważył Mecenas Konarski Amerykanie preferują bardzo proste umowy z odwołaniem do Safe Harbor, a jak ognia boją się złożonych zapisów umownych, którymi można by uregulować powierzenie danych zgodnie z europejskimi standardami. Być może ich zdaniem klauzule umowne rodzą różne możliwości interpretacji pojęć, a zatem szereg ryzyk prawnych, a co gorsza rodzą szereg obowiązków, których wolą nie podejmować. Znacznie prościej jest powołać się na bliżej niesprecyzowane wewnętrzne regulacje przyjęte pod szyldem Safe Harbor, które trudno zweryfikować i ocenić. Dlatego zdaniem Grupy Roboczej "wyłącznie samo-certyfikacja w ramach Safe Harbor nie może być uznana za wystarczającą przy braku solidnego wdrożenia zasad ochrony danych w środowisku cloud computingu." Istotne są właśnie postanowienia umowne.

Mecenas Konarski zwrócił też uwagę, że modelowe klauzule umowne zatwierdzone przez Komisję Europejską określają relacje z dostawcą usługi (ang. controller-to-processor), ale brakuje klauzul modelowych w relacjach z pod-podwykonawcami (ang. controller-to-subprocessor), a GIODO wymaga zawarcia umów powierzenia bezpośrednio z pod-procesorem zanim wyda zgodę na przekazanie danych do państwa trzeciego. Sprostanie temu warunkowi jest trudne również dlatego, że dostawca usługi zazwyczaj nie lubi się chwalić swoimi podwykonawcami, nie ujawnia ich zbyt chętnie.

Jak wskazali uczestnicy seminarium podpisując umowę powierzenia warto również pamiętać, aby umowa powierzenia nie była bezpłatna ze względów podatkowych, aby np. zawierała odniesienie do głównej umowy świadczenia usługi i określonego tam wynagrodzenia.

========= PRZYSZŁOŚĆ PRZETWARZANIA W CHMURZE

Podsumowując próby unormowania przetwarzania w chmurze trudno nie zauważyć wpływu europejskiej filozofii ochrony danych osobowych na standardy świadczenia tego typ usług.

Uczestnicy seminarium zgodzili się, że być może czeka nas standaryzacja wymogów wobec usług typu cloud computing, samo-certyfikacja w celu zapewnienia zgodności z uzgodnionymi normami jak np. PN ISO/IEC 27001, a następnie audytowanie spełniania zadeklarowanych wymogów przez zewnętrzne ciała certyfikujące, a przy okazji i w miarę możliwości również przez klientów.

Cloud computing na pewno jest "ciekawym zagadnieniem" i będzie poddawany dyskusji w miarę napotykania kolejnych wyzwań z nim związanych. Skłania też do zadawania interesujących pytań, czy np. korzystanie przez amerykańskie korporacje z plików cookie w komputerach polskich użytkowników nie może być uznane za korzystanie ze środków technicznych na terytorium EOG, co włączałoby te korporacje w zasięg stosowania europejskich, w tym polskich przepisów ochrony danych osobowych. Wśród innych ciekawych zastosowań cloud computingu są m.in. aplikacje typu web analytics i marketing behawioralny, czy aplikacje pozwalające na przetwarzanie rozproszone wykorzystujące komputery domowe za wynagrodzeniem pobieranym przez osoby fizyczne będące pod-podwykonawcami administratorów danych.

Stowarzyszenie Administratorów Bezpieczeństwa Informacji będzie uważnie śledziło trendy związane z przetwarzaniem danych osobowych w chmurze i próby unormowania tego rodzaju działalności. Niewątpliwie seminarium zorganizowane 20 listopada br. nie było ostatnim poświęconym tej tematyce.

Relację przygotował:
Michał Faber, członek rzeczywisty SABI

========= BIBLIOGRAFIA

(1) http://ec.europa.eu/information_society/activities/cloudcomputing/index_en.htm
(2) KE ogłosiła strategię chmury obliczeniowej, 28-09-2012, Rzeczpospolita
(3) Opinia 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej (WP 196): http://www.giodo.gov.pl/1520111/id_art/4760/j/pl
(4) U.S.-EU SAFE HARBOR LIST: https://safeharbor.export.gov/list.aspx

Opublikowano w ABI, Audyt ochrony danych osobowych, Bez kategorii, Blog, GIODO, Ochrona danych osobowych, Szkolenie z ochrony danych osobowychTagi , , , , , ,  |  Zostaw komentarz

Zostaw komentarz