Dane w chmurze, a RODO

BySylwia Ostrowska

dane w chmurzeRODO jest aktem neutralnym z punktu widzenia technologicznego i nie zabrania stosowania usług chmurowych. By dane w chmurze mogły się znaleźć trzeba spełnić warunki, które zawarte są w rozporządzeniu. Wielu dostawców usług chmurowych po wejściu w życie RODO nie tylko dostosowało swoje usługi do wymagań rozporządzenia. Także dla zapewnienia lepszego bezpieczeństwa zastosowało standardy wynikające z norm ISO/IEC.

Odpowiedzialność Administratora za przekazanie danych do chmury

Administrator danych osobowych odpowiada nie tylko za podział obowiązków, ale również ponosi odpowiedzialność w przypadku wystąpienia ewentualnych incydentów naruszenia RODO. Choć to firma IT dostarcza rozwiązania technologiczne, administrator w razie kontroli UODO będzie musiał wykazać, że działał zgodnie z zasadą rozliczalności danych. Zatem musi udowodnić, że podjął działania, które w świetle obowiązujących przepisów można uznać za wystarczające do ochrony informacji.

Usługa chmurowa poza terytorium UE

RODO jest aktem unijnym, co oznacza, że obowiązuje na terenie państw członkowskich Unii Europejskiej, a także Europejskiego Obszaru Gospodarczego. Warto zapoznać się z art. 45 ust. 1 rozporządzenia, z którego wynika, że przekazanie danych do państwa trzeciego jest możliwe jedynie w sytuacji, kiedy zapewnia ono podstawowy poziom ochrony dotyczący m.in.:

  • praworządności, poszanowania praw człowieka i podstawowych wartości,
  • istnienia przynajmniej jednego niezależnego organu sprawującego nadzór nad ochroną danych osobowych,
  • zobowiązań wynikających z umów międzynarodowych.
Dostawca chmury, a Administrator

Administrator danych osobowych samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Podmiot korzystający z usług chmurowych decyduje o tym w jakim celu przetwarzane będą dane osobowe, jak również w jaki sposób mogą być przetwarzane, np. w zakresie obsługi klientów. Dostawca chmury jedynie świadczy usługę, która pozwala administratorowi danych osobowych na zrealizowanie swoich celów w zakresie przetwarzania danych osobowych. Dostawca nie decyduje o sposobie i celu przetwarzania tych danych. Dlatego dostawcę należy uznać za podmiot przetwarzający.

Wybieramy chmurę

Administrator powinien wybrać takiego usługodawcę, który zagwarantuje wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Dowiedzieć się także, jakie standardy w zakresie bezpieczeństwa przetwarzania danych spełnia potencjalny procesor. Jeżeli Administrator decyduje się na wybranego dostawcę, by przetwarzać dane w chmurze powinien dokonać niezbędnych formalności. W tym przypadku jest to sporządzenie umowy o świadczenie usług zawierającej zapisy odnośnie do powierzenia danych lub dodatkowej niezależnej umowy powierzenia przetwarzania danych osobowych między Administratorem, a dostawcą chmury.

Zawieramy umowę powierzenia przetwarzania danych osobowych

Zawierając umowę powierzenia należy w niej szczególnie przewidzieć zobowiązania podmiotu przetwarzającego do stosowania odpowiednich środków bezpieczeństwa przetwarzania danych. W umowie takiej, strony powinny określić:

  • cele oraz charakter przetwarzania;
  • czas trwania i zakres przetwarzanych danych;
  • rodzaj danych, które będą przetwarzane;
  • kategorie osób, których dane mają być przetwarzane;
  • prawa i obowiązki administratora jak i podmiotu przetwarzającego.
Podsumowanie

RODO nie zabrania korzystania z chmury. Wiadomo, iż w przypadku braku wiedzy, może okazać się, że mimo, iż zupełnie legalnie przetwarzamy dane w chmurze, to na skutek przeoczenia choćby jednego z powyższych aspektów możemy dopuścić się naruszenia na gruncie RODO.

Zapraszamy także do zapoznania się z naszą wcześniejszą aktualnością na temat ” Przechowywanie danych w chmurze”.