Model cloud computing – prawne uregulowania

Cloud computing, czyli chmura obliczeniowa – wg. definicji Wikipedii to model przetwarzania oparty na użytkowaniu usług dostarczonych przez usługodawcę (wewnętrzny dział lub zewnętrzna organizacja). Funkcjonalność jest tu rozumiana jako usługa (dająca wartość dodaną użytkownikowi) oferowana przez dane oprogramowanie (oraz konieczną infrastrukturę). Oznacza to eliminację konieczności zakupu licencji czy konieczności instalowania i administracji oprogramowaniem. Konsument płaci za użytkowanie określonej usługi, np. za możliwość korzystania z arkusza kalkulacyjnego. Nie musi dokonywać zakupu sprzętu ani oprogramowania.

Chmury obliczeniowe (cloud computing) zyskują coraz większą popularność jako zjawisko ze świata outsourcingu usług informatycznych. Ujmując rzecz ogólnie jako usługa polega on na zewnętrznej obsłudze środowiska informatycznego w organizacji poprzez korzystanie z „obcych” (zewnętrznych) serwerów, mocy obliczeniowych, aplikacji czy też oprogramowania serwerowego i użytkowego. Zasada działania cloud computing polega na przeniesieniu całego ciężaru świadczenia usług IT (danych, oprogramowania lub mocy obliczeniowej) na serwer i umożliwieniu stałego dostępu poprzez komputery klienckie. Dzięki temu ich bezpieczeństwo nie zależy od tego, co stanie się z komputerem klienckim, a szybkość procesów wynika z mocy obliczeniowej serwera. Wystarczy zalogować się z jakiegokolwiek komputera z dostępem do Internetu by zacząć korzystać z dobrodziejstw chmury obliczeniowej.

Aczkolwiek powyższa definicja Wikipedii wydaje się wskazywać same pozytywy ww. usług, to jednak korzystanie z cloud computing winno być poprzedzone analizą prawną stosowania takich rozwiązań w biznesie i wymaga wprowadzenia do umowy stosownych zabezpieczeń, które będą maksymalnie chroniły przekazywane dane przed ujawnieniem osobom nieuprawnionym. Usługa cloud computing łączy się bowiem z przekazaniem na zewnątrz właściwie wszystkich informacji i danych użytkownika. Często w zakres przekazywanych danych wchodzą nie tylko dane osobowe pracowników czy klientów, ale także know-how, dane finansowe, strategie, informacje będące przedmiotem ochrony własności przemysłowej.

Polskie ani unijne przepisy nie definiują outsourcingu i wykonywanie wszystkich tego typu usług jest regulowane przez przepisy dotyczące zlecenia. Zgodnie bowiem z art. 750 kodeksu cywilnego do umów o świadczenie usług, które nie są uregulowane innymi przepisami, stosuje się odpowiednio przepisy o zleceniu. Z kolei obowiązek zachowania tajemnic innych przedsiębiorstw wynika głównie z treści art. 11 ustawy o zwalczaniu nieuczciwej konkurencji, gdzie wskazano, że czynem nieuczciwej konkurencji jest przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża lub narusza interes przedsiębiorcy.

Zapisy powyższe mają jednak charakter ogólny, zaś w związku z przekazywaniem w ramach cloud computing szeregu danych konieczne jest określenie, jakie systemy zabezpieczeń będą stosowane i jakie będą kary za ewentualne naruszenie obowiązku zachowania tajemnicy i chronienia tych danych.

Ciekawą próbę w zakresie wskazania zagrożeń i kwestii koniecznych do uwzględnienia a związanych z korzystaniem z chmury obliczeniowej podjął Generalny Inspektor Ochrony Danych Osobowych (GIODO) opracowując „Dekalog chmuroluba” czyli zasady stosowania usług chmurowych przez administrację publiczną http://www.giodo.gov.pl/259/id_art/6271/j/pl.

Jak wskazuje GIODO w tym dokumencie najważniejsze kwestie które należy ustalić z podmiotem dostarczającym usług cloud computing to:

• 1. przekazanie użytkownikowi pełnej informacji o wszystkich fizycznych lokalizacjach serwerów, na których przetwarzane są lub mogą być przetwarzane dane i informowanie o ewentualnych zmianach w tym zakresie;
• 2. umożliwienie pełnego dostępu do dokumentacji dotyczącej zasad bezpieczeństwa oraz środków technicznych przyjmowanych w poszczególnych centrach przetwarzania danych;
• 3. pełna informacja dotycząca podwykonawców i współpracujących instytucji mających udział w realizacji usługi chmurowej;
• 4. wskazanie aby każdy z ewentualnych podwykonawców był związany takimi samymi klauzulami umownymi jak dostarczyciel usług chmurowych;
• 5. zleceniodawca powinien pozostawać wyłącznym administratorem danych osobowych przekazanych do chmury, decydować o celach i sposobach przetwarzania danych;
• 6. dostarczyciel usługi chmurowej powinien być zobowiązany informować o wszelkich zobowiązaniach publicznych w stosunku do policji i organów ścigania oraz służb specjalnych w zakresie przekazywania im dostępu do danych zamieszczonych w chmurze;
• 7. dostarczyciel usługi chmurowej powinien określić wspólnie ze zleceniodawcą zasady sposobu przeszukiwania, retencji i usuwania dostarczonych danych;
• 8. dostarczyciel usługi chmurowej powinien być zobowiązany do raportowania wszystkich incydentów bezpieczeństwa danych;
• 9. należy w procesie negocjacji umowy z dostarczycielem usługi chmurowej ustalić, jakie zasady wyłączenia lub ograniczenia odpowiedzialności dostarczyciela usługi mogą być zastosowane przy realizacji usługi;
• 10. Należy unikać przywiązania do pojedynczego dostarczyciela usług chmurowych i jego rozwiązań technicznych. Interoperacyjność i przenaszalność danych jest podstawą dla uniknięcia „syndromu jednego dostawcy”, który musi niekorzystnie wpływać na całość korzystania z usług w chmurze.

Wszystkie wyżej wymienione zagadnienia winny być wzięte pod uwagę przy decydowaniu się na korzystanie z usług chmury obliczeniowej i stanowić punt wyjścia do wynegocjowania umowy, która zapewni w tym zakresie bezpieczeństwo przekazywanych danych.

Noemi Chudzik, LL.M. radca prawny, Partner w „Chudzik i Wspólnicy Radcowie Prawni” sp.p.