sygnalista
RODO,

Zarządzanie zgodnością z RODO w chmurze

Rozwiązania chmurowe cieszą się coraz większą popularnością, zwłaszcza w przestrzeniach biurowych i korporacyjnych. Dzięki nim firmy są w stanie zaoszczędzić czas i pieniądze, m.in. ze względu na możliwość sprawnego skalowania biznesu oraz brak konieczności tworzenia własnej infrastruktury. Co więcej, systemy te pozwalają na korzystanie z wielu standaryzowanych narzędzi, a także zapewniają uniwersalny, szybki i wygodny dostęp do wspólnych zasobów IT. Wszystkie te udogodnienia idą jednak w parze z istotnym wyzwaniem, jakim jest połączenie bezpieczeństwa chmury i zgodności z RODO.

Zgodność chmury obliczeniowej z RODO

Mówiąc o zagadnieniu chmury obliczeniowej (ang. cloud computing), mamy na myśli specjalnie opracowany model przetwarzania danych, który łączy w sobie odpowiednio dobrane oprogramowanie wraz infrastrukturą, które służy do gromadzenia, przetwarzania i zarządzania danymi, w tym przede wszystkim danymi osobowymi. I chociaż wprowadzenie tego rozwiązania daje firmom możliwość szybkiego dostępu do ogromnych ilości danych, to wiąże się też z potencjalnym ryzykiem naruszenia prywatności użytkowników. Jak to wygląda w kontekście RODO?

Warto podkreślić, że przepisy RODO są neutralne technologicznie, co oznacza, że są otwarte na wszystkie technologie, a przy tym nie nakładają na nas obowiązku korzystania z którejkolwiek z nich. Możemy zatem powiedzieć, że zgodnie z RODO najważniejsze jest osiągnięcie założonych celów wyznaczonych przez rozporządzenie, a nie obrana przez nas droga do ich realizacji.  W związku z tym można stwierdzić, że przechowywanie w chmurze danych firmowych jest zgodne z RODO, jednak pod warunkiem, że wszystkie podmioty korzystające z tego rozwiązania realizują obowiązki wynikające z rozporządzenia. Szczególnie istotne jest pod tym względem, aby dostawca chmury był podmiotem, który przestrzega wszystkich przepisów RODO, a firma miała z nim zawartą umowę spełniającą wymogi art. 28 RODO. Niezbędne jest też zweryfikowanie, jakie dane będą przetwarzane w chmurze i w jakim celu.

Ochrona danych osobowych w chmurze – jak o to zadbać?

Podmioty decydujące się na przetwarzanie danych osobowych w chmurze, powinny skupić się na trzech kluczowych aspektach związanych z zapewnieniem bezpieczeństwa w tym obszarze. Są to:

  • bezpieczeństwo danych – istotne jest tu przede wszystkim odpowiednie zabezpieczenie przed nieautoryzowanym dostępem do przetwarzanych danych, ich modyfikacją oraz potencjalnym usunięciem. Zabezpieczenie ścieżek transmisji obejmuje w dużej mierze szyfrowanie danych oraz śledzenie ich przepływu, co wpływa m.in. na bezpieczeństwo transmisji danych, danych po stronie serwera, jak również danych po stronie klienta. Warto więc zadbać o takie elementy jak np. weryfikacja dostępu do danych za pomocą potwierdzenia e-mailowego lub telefonicznego, stosowanie silnych haseł, a także uwierzytelnienie dwuskładnikowe. Należy też położyć szczególny nacisk na przeszkolenie pracowników upoważnionych do przetwarzania danych w chmurze w zakresie ich ochrony;
  • zarządzanie tożsamością i dostępem – chmury obliczeniowe powinny być projektowane w taki sposób, aby zapewniać dostęp wyłącznie autoryzowanym użytkownikom. Co ważne, uprawnienia określonych użytkowników w zakresie modyfikowania i usuwania danych powinny być odpowiednio ograniczone;
  • lokalizacja serwera zgodnie z prawem – przyjmuje się, że najbezpieczniejsze chmury to te, których serwery znajdują się na terenie Unii Europejskiej, ponieważ podlegają one wówczas rygorystycznym wytycznym DSGVO w kwestii ochrony danych. Lokalizacja serwera ma też związek z przestrzeganiem przepisów dotyczących ochrony danych, czego przykładem jest dyrektywa RODO.

RODO a przetwarzanie danych w chmurze poza Unią Europejską

Zdarza się, że niektóre serwery chmury obliczeniowej, która wykorzystywana jest przez określoną firmę, znajdują się poza Unią Europejską. Czy to znaczy, że są one mniej bezpiecznym wariantem w kontekście bezpieczeństwa przetwarzanych danych, a przepisy RODO przestają obowiązywać firmę, która z nich korzysta? Wydawać by się mogło, że tak, jednak przepisy RODO nie zabraniają przetwarzania danych w chmurze spoza terytorium Unii.

Administrator, który chce jednak korzystać z serwerów znajdujących się w kraju spoza Unii Europejskiej, powinien wywiązać się z obowiązków wynikających z Rozdziału V RODO. Oznacza to, że jeżeli w stosunku do danego państwa, w którym zlokalizowana jest chmura, nie wydano decyzji o adekwatności przepisów o ochronie danych, konieczne jest wybranie jednego z określonych mechanizmów, które umożliwiają legalizację takiego transferu. Zwykle odbywa się to poprzez zawarcie standardowej umowy zawierającej klauzule przyjęte przez KE, a także analizę ryzyka związanego z transferem. Ważne jest też, aby poinformować wówczas osoby, których dane przetwarzamy, o lokalizacji serwera, np. poprzez zawarcie stosownej informacji w polityce prywatności. Przykładami takich usług są platformy Microsoft 365, Amazon AWS czy Google Workspace.

Podsumowując, korzystanie z chmury obliczeniowej w ramach działalności gospodarczej może być zgodne z przepisami RODO, jednak wymaga podjęcia pewnych działań, które mają na celu zwiększenie ochrony przetwarzanych danych osobowych. Nie powinno to stanowić jednak większego problemu dla tych firm, które wdrożyły już odpowiednie procedury dotyczące ochrony danych osobowych.