Cloud computing: kto wpada w szpony UE?

W chmurze obliczeniowej roi się od danych osobowych - przedsiębiorstwa przechowują w jej środowisku bazy danych dot. ich pracowników czy listy klientów, zawierające ich imiona i nazwiska, numery telefonów, a również niekiedy np. numery PESEL. Z punktu widzenia prawnego może to sprawy odrobinę komplikować: Unia Europejska, której członkiem jest Polska, podchodzi bardzo restrykcyjnie do problemu bezpieczeństwa danych osobowych.

Dyrektywa 95/46/WE dot. ochrony danych osobowych ('Dyrektywa') oraz jej polska inkarnacja, Ustawa o ochronie danych osobowych ('UODO'), ograniczają m.in. swobodę przesyłania tego rodzaju danych do krajów, które nie oferują "adekwatnych poziomów bezpieczeństwa" (czyli właściwie wszystkich państw, z wyjątkiem państw członkowskich UE, Szwajcarii, Lichtensteinu, Norwegii, Islandii, Argentyny i Kanady). Oczywiście istnieją sposoby na obejście tych restrykcji, ale o tym napiszę kiedy indziej. Dzisiaj skoncentruję się na zakresie stosowania tych przepisów wobec dostawców rozwiązań w chmurze.

Analizując Dyrektywę oraz UODO natrafić można na dwie kategorie podmiotów, które przetwarzają dane osobowe: 

• Administratora, który kontroluje cel i środki przetwarzania, oraz
• Podmiot przetwarzający, który pojawia się, jeśli administrator zleci mu przetwarzanie

W praktyce, administratorem jest zazwyczaj odbiorca rozwiązań w chmurze (użytkownik), zaś podmiotem przetwarzającym - ich dostawca. Oczywiście istnieją od tej zasady wyjątki, ale dla uproszczenia przyjmę powyższy układ.

UODO jest nieco dziwną ustawą, gdyż wynikające z niej obowiązki dotyczą nie tylko podmiotów operujących na terytorium RP. Jak stanowi art. 3 ust. 2 UODO, jej przepisy stosuje się również wobec podmiotów, które nie mają siedziby w Polsce, ale przetwarzają dane osobowe używając 'urządzeń technicznych' zlokalizowanych w jej granicach. Urządzeniami technicznymi są m.in. serwery, lecz wg. niektórych interpretacji, mogą być nimi nawet pliki cookies.

Z UODO nie wynika jasno, czy powyższe założenia odnoszą się wyłącznie do administratora danych, czy też także do podmiotu przetwarzającego. Dyrektywa, na której nasza ustawa się opiera, jest w tym względzie bardziej klarowna: art. 4 ust. 1 pkt. c wyraźnie odnosi się do administratora. Tym niemniej, Peter Hustinx, Europejski Inspektor Ochrony Danych, stwierdził 13 kwietnia ubiegłego roku, iż art. 4 ust. 1 odnosi się także do podmiotu przetwarzającego.

Jak widać nawet z tego krótkiego (i wybiórczego) wpisu, kwestia przetwarzania danych osobowych w chmurze jest dość skomplikowana. Z jednej strony, dostawcom cloud zależy na jak najmniejszych ograniczeniach w tej kwestii, z drugiej zaś - Unia bardzo rygorystycznie podchodzi do tych zapędów. Po środku, jak zwykle, są prawnicy.

***

Jeśli chcielibyście Państwo otrzymywać powiadomienia o nowych wpisach, zapraszam do skorzystania z subskrypcji RSS lub newslettera!