Coraz więcej przedsiębiorców mierzy się z koniecznością przetwarzania olbrzymiej liczby informacji i danych, w tym danych osobowych. Firmy stoją nieraz przed dylematem – z jednej strony chcą w jak najlepszy sposób zabezpieczyć gromadzone dane, z drugiej zaś możliwie najbardziej zautomatyzować i uprościć proces ich przechowywania i przetwarzania. Coraz częściej zdarza się więc, że przedsiębiorcy korzystają z usług tzw. usługi chmury.
Nim odpowiemy sobie na pytanie o zgodność przetwarzania danych firmy w chmurze z rozporządzeniem RODO należy wyjaśnić pokrótce czym tak naprawdę jest usługa chmury. Chmura obliczeniowa (z ang. cloud computing) to nowoczesny, wyspecjalizowany model przetwarzania danych, w skład którego wchodzi odpowiednie oprogramowanie wraz z infrastrukturą, służący do gromadzenia, przetwarzania i zarządzania danymi, w tym danymi osobowymi. Wprowadzenie takiego rozwiązania w firmie pozwala na szybki dostęp do olbrzymich ilości danych oraz zapewnia odpowiednią opiekę techniczną przedsiębiorcy.
Czy korzystanie z usługi chmury obliczeniowej jest zgodne z RODO?
Odpowiadając na pytanie czy przechowywanie danych firmy w chmurze jest zgodne z RODO należy wskazać, że jak najbardziej. Przepisy RODO są neutralne technologicznie, co oznacza, że nie zamykają się na żadną formę technologii, a z drugiej strony nie zmuszają do korzystania z którejkolwiek z nich. Można powiedzieć w uproszczeniu, że w myśl przepisów RODO decydujące jest osiągnięcie celów wyznaczonych przez rozporządzenie, a obrana droga do ich osiągnięcia ma znaczenie drugorzędne.
Jakkolwiek gromadzenie danych firmy w chmurze jest akceptowalne na gruncie RODO, pamiętać trzeba jednak, że podmioty, które z takiego rozwiązania skorzystają w dalszym ciągu muszą realizować wszystkie obowiązki wynikające z rozporządzenia. W szczególności należy zadbać o to, żeby dostawca chmury był podmiotem, który gwarantuje przestrzeganie przepisów RODO i zawrzeć z nim odpowiednią umowę spełniającą wymogi art 28 RODO. Musimy także zwrócić uwagę na fakt, że chmura może wiązać się z przesyłaniem danych do państwa spoza Unii Europejskiej (jeżeli są w nim ulokowane serwery) – w takim wypadku niezbędne będzie zalegalizowanie takiego transferu, zgodnie z wymogami Rozdziału V RODO, bądź sprecyzowanie w umowie że do takiego transferu nie będzie dochodziło – o tym dalej.
Sprawdź jak wdrożyć RODO w twojej organizacji
Jak chronić dane w chmurze?
Podmioty przetwarzające dane osobowe w chmurze muszą w szczególności pamiętać o zapewnieniu należytej ochrony przetwarzanych danych. W szczególności istotnym, a zarazem problematycznym (z uwagi na charakter przetwarzania danych w chmurze) może być ochrona danych przed ich przypadkowym lub niezgodnym z prawem ujawnieniem osobom trzecim. W jaki więc sposób chronić dane w chmurze żeby w należyty sposób wypełnić obowiązek płynący z RODO?
Przetwarzając dane osobowe w chmurze należy pamiętać o skorzystaniu z wszystkich możliwych środków zabezpieczenia nawet tych najbardziej podstawowych. Warto więc ustawić usługę weryfikacji dostępu do danych za pomocą potwierdzenia e-mail, czy numerem telefonu, czy zadbać o wprowadzenie odpowiednio silnego hasła. Większość dostawców chmury oferuje również tzw. uwierzytelnianie dwuskładnikowe, które zdecydowanie powinno być wykorzystywane przez administratora przetwarzającego dane w chmurze. Należy wreszcie zadbać o odpowiednie przeszkolenie osób upoważnionych do przetwarzania danych w chmurze w zakresie ich należytej ochrony.
Warto przy tym pamiętać, że firma korzystająca z usług chmury jest administratorem danych osobowych, o którym mowa w RODO, a firma realizujące usługę chmury podmiotem przetwarzającym dane w myśl RODO. Sam fakt przekazania danych firmie prowadzącej chmurę w żaden więc sposób nie ogranicza roli przedsiębiorcy jako administratora danych, a w efekcie nie wyłącza choćby w części związanych z tym obowiązków, jakie RODO nakłada na administratora danych osobowych.
Czy RODO obowiązuje firmę, której dane przetwarzane są w chmurze poza Unią Europejską?
Jak wskazano powyżej, zdarza się, że serwery chmury obliczeniowej, z której korzysta dana firma znajdują się poza UE. Czy w takim wypadku przepisy RODO obowiązują firmę, w zakresie w jakim przetwarza ona dane w chmurze zlokalizowanej poza terytorium Unii Europejskiej? Odpowiedź na tak zadane pytanie powinna być twierdząca. Warto przy tym zaznaczyć, że same przepisy RODO nie zabrania przetwarzania danych w chmurze poza terytorium UE.
Administrator, który chce skorzystać z serwera znajdującego się w państwie nie należącym do Unii Europejskiej powinien jednak uczynić zadość obowiązkom, wynikającym z Rozdziału V RODO. Jeżeli w stosunku do państwa, w którym zlokalizowana będzie chmura, nie została wydana decyzja o adekwatności przepisów o ochronie danych, niezbędnym jest wybranie jednego z mechanizmów legalizujących taki transfer – zazwyczaj zawarcia umowy obejmującej standardowe klauzule umowne przyjęte przez Komisję Europejską. W takim wypadku jednak należy także dokonać analizy ryzyka związanego z transferem – i w razie konieczności zapewnić, że wdrożone będą środki zapewniające bezpieczeństwo danych wobec stwierdzonych zagrożeń. Możliwe że analiza ryzyka doprowadzi nas do wniosku że taki transfer nie jest możliwy.
W przypadku takiego transferu należy także zawsze poinformować osoby, których dane przetwarzamy, o lokalizacji serwera poza Unią, co może mieć miejsce np. w polityce prywatności.