188
0

Przetwarzanie danych osobowych w chmurze, a RODO

188
0

Przechowywanie danych w chmurze jest w chwili obecnej bardzo popularne. Wynika to między innymi z tego, iż działanie takie pozwala na szybszy dostęp do posiadanych danych. Ponadto podmioty świadczące tego rodzaju usługi bardzo często posiadają znacznie większy wachlarz zabezpieczeń infrastruktury, na której przechowywane są dane niż przedsiębiorcy korzystający z ich usług. Tym samym dane te są co do zasady bardziej bezpieczne.

Porozmawiaj z ekspertem 🎯

Borykasz się z zagadnieniem, które tutaj poruszyłem? Skontaktuj się ze mną! Wspólnie znajdziemy najlepsze rozwiązanie dla Twojego biznesu.

Dane osobowe w IT

Podczas decydowania się na korzystanie z usługi jaką jest przechowywanie danych w chmurze pojawia się jednak pytanie: Jak ma się do tego przetwarzanie danych osobowych w chmurze przy tego typu usługach? Kwestia ta jednak nie przedstawia się zawsze tak samo i do określenia zakresu stosowanych przepisów o ochronie danych osobowych (RODO) i wynikających z nich obowiązków, czy ponoszenia odpowiedzialności stron usługi chmurowej w pierwszej kolejności musimy stwierdzić z jakiego typu usługą chmurową mamy do czynienia.

Spośród usług chmurowych wyróżnić można:

  • Infrastructure as a Service (IaaS) – gdzie jako usługę należy rozumieć dostarczoną przez świadczeniodawcę infrastrukturę w postaci sprzętu oraz odpowiedniego oprogramowania,
  • Platform as a Service (PaaS) – w tym przypadku usługą jest dostarczana przez świadczeniodawcę odpowiednia platforma/aplikacja, za pomocą której usługobiorca może korzystać z chmury,
  • Software as a Service (SaaS) – w tym przypadku dostarczane jest wyłącznie oprogramowanie, które pozwala na korzystanie z chmury, które to działa na serwerach świadczeniodawcy.

Przetwarzanie danych osobowych w IT

Zależnie od typu świadczonej usługi chmurowej może dojść do sytuacji, że świadczeniodawca będzie przetwarzał dane osobowe. Warto w tym miejscu przypomnieć, że zgodnie z artykułem 4 ust. 2 RODO za przetwarzanie danych osobowych uznaje się wykonywanie operacji na tych danych. W treści powyższego przepisu można znaleźć wprost jakie działania są traktowane jako przetwarzanie danych osobowych. Zaznaczyć jednak trzeba, iż wyliczenie to nie ma charakteru zamkniętego. I tak za przetwarzanie uznaje się: zbieranie, utrwalanie, przechowywanie, organizowanie, przeglądanie czy też modyfikację danych.

Oznacza to, że w przypadku samego nawet przechowywania – czyli jak ma to miejsce w przypadku świadczenia usługi chmurowej – może mieć miejsce przetwarzanie danych osobowych przez usługodawcę. Podkreślić jednak należy, że nie w każdym przypadku dostawca chmury będzie przetwarzał dane osobowe umieszczone w jej zasobach – może tak być w przypadku chmur IaaS. 

Newsletter dla e-biznesu 🎉

Zapisz się do newslettera, uzyskaj dostęp do unikalnych treści tworzonych przez prawników naszej kancelarii oraz otrzymuj informacje o najważniejszych aktualnościach prawnych.

Będziemy przetwarzać Twoje imię oraz adres e-mail w celu przesyłania Ci informacji handlowych. Administratorem Twoich danych osobowych jest Kancelaria Prawna Kantorowski, Głąb i Wspólnicy Sp.j. Szczegółowe informacje znajdziesz w naszej Polityce prywatności.

Podczas oceny czy dane osobowe będą przetwarzane przez świadczeniodawcę przede wszystkim należy wziąć pod uwagę czy będzie miał on dostęp do przechowywanych danych. Przyjąć należy, iż w przypadku korzystania z infrastruktury dostawcy chmury będzie on przetwarzał dane osobowe zamieszczone w tej chmurze. W takiej sytuacji podmiot taki zostanie uznany za podmiot przetwarzający, inaczej nazywany procesorem. Oznacza to, że będzie on przetwarzał dane osobowe w imieniu świadczeniobiorcy będącego administratorem przekazanych danych.

Z powyższym wiąże się szereg obowiązków zgodnie, z którymi podmiot przetwarzający między innymi powinien:
– zapewnić odpowiednie środki techniczne zapewniające bezpieczeństwo przetwarzania danych osobowych,
– wspierać administratora w realizacji obowiązków wynikających z RODO, w tym w ramach realizacji żądań podmiotów, których dane osobowe są przetwarzane,
– czy też zachowania tajemnicy.

Co musisz zrobić powierzając przetwarzanie danych osobowych w IT?

Przede wszystkim nie można zapominać, że w przypadku powierzenia przetwarzania danych powinna zostać zawarta umowa powierzenia danych. W umowie takiej strony powinny określić:
– zakres przetwarzania danych i czas jego trwania,
– cele oraz charakter tego przetwarzania,
– rodzaj danych osobowych, które to będą przetwarzane,
– kategorie osób, których dane na jej podstawie mają być przetwarzane przez dostawcę chmury.

Ponadto umowa powinna określać: prawa i obowiązki, zarówno administratora, jak i podmiotu przetwarzającego.

Pamiętać należy, iż podmiot przetwarzający również ponosi odpowiedzialność za naruszenia zasad przetwarzania danych osobowych. Zakres tej odpowiedzialności może zostać w pewien sposób zmieniony właśnie w treści umowy.

Powyższe oczywiście nie wyklucza korzystania z usług dostawcy chmury spoza Europejskiego Obszaru Gospodarczego. Komisja Europejska w drodze decyzji wskazała listę krajów, które zapewniają odpowiedni poziom bezpieczeństwa przetwarzania danych. W przypadku zaś podmiotów z państw nieobjętych przedmiotową decyzją dochodzi do przekazania danych osobowych do państw trzecich. Wówczas to należy zweryfikować:

  • – czy podmiot taki zapewni odpowiedni poziom zabezpieczeń,
    – możliwość egzekwowania swoich praw przez podmioty, których dane są przetwarzane.

Przekazując dane takim podmiotom należy zawrzeć z nimi umowę powierzenia standardowych klauzul ochrony danych.

Jak z powyższego wynika, korzystając z usług chmurowych może, choć nie zawsze musi, dojść do powierzenia przetwarzania danych osobowych. W takim przypadku warto zweryfikować dany podmiot, który świadczy nam usługi chmury. Warto to sprawdzić w szczególności w kontekście tego czy zapewnia ona odpowiednie środki bezpieczeństwa i czy jest skłonny do współpracy w przypadku powstania ewentualnych roszczeń osób, których dane dotyczą. Istotnym jest również, aby zawrzeć umowę powierzenia danych osobowych z takim podmiotem, gdzie zostaną  w sposób szczegółowy określone warunki tej umowy. Pamiętać należy, iż umowa ta musi obejmować przynajmniej te postanowienia określone przepisami RODO.

Podsumowanie

Wszystkie wskazane powyżej kwestie dotyczące przetwarzania danych osobowych w szeroko pojętym IT bynajmniej tej tematyki nie wyczerpują. Są to kwestie podstawowe, o których w przypadku braku wiedzy, może okazać się, że mimo, iż zupełnie legalnie korzystasz z oprogramowania, które wykorzystuje rozwiązania chmurowe to na skutek przeoczenia choćby jednego z powyższych aspektów dopuszczasz się naruszenia RODO.

Doceniasz tworzone przeze mnie treści?

Piotr Kantorowski
RADCA PRAWNY

Przedsiębiorcom służę pomocą w kwestiach związanych z prawem własności intelektualnej szczególnie w obszarze digital marketingu i IT. Tworzę też umowy tak, aby oddawały Twoje plany biznesowe i zabezpieczały firmę w najwyższym stopniu. Jeśli trzeba pomagam też poprowadzić spory korporacyjne lub z kontrahentami.

Skontaktuj się ze mną, chętnie odpowiem na Twoje pytania dotyczące naszej oferty i przedstawię rozwiązania dostosowane do Twojego biznesu.