Bezpieczeństwo Informacji- komentarz Audytela na temat sytuacji na rynku (wrzesień 2013)
Gwałtowna ekspansja usług „chmury” objęła swoim zasięgiem również dane osobowe. Coraz więcej firm, a nawet instytucji publicznych, korzysta z tego typu usług i przenosi swoje systemy i bazy danych do chmury. Jak grzyby po deszczu powstają nowi dostawcy, oferujący usługi, o znacznym zróżnicowaniu stosowanych zabezpieczeń. Jakie zapisy powinny znaleźć się w umowie, po podpisaniu której przekażemy dane naszych klientów?
Przekazanie danych osobowych usługodawcy „chmury” jest ich powierzeniem. W umowie z dostawcą musi znaleźć się zapis o celu, w jakim dostawca dane będzie przetwarzał oraz oświadczenie, iż nie ma on prawa dysponowania danymi. Pamiętajmy, przetwarzaniem danych osobowych jest każda czynność wykonywana z tymi danymi – także ich przechowywanie.
Usługodawca decyduje o rozwiązaniach technicznych i metodach zabezpieczeń danych, które będzie stosował. Gdy przetwarzamy dane osobowe, musimy stosować się do przepisów Ustawy o ochronie danych osobowych oraz rozporządzenia do niej, które bardzo dokładnie określa środki, które muszą być stosowane przy przetwarzaniu danych osobowych. Należy zadbać, by w umowie którą podpisujemy zostały zawarte zapisy o stosowanych zabezpieczeniach – na poziomie przynajmniej takim, jak opisany w Ustawie.
Wysyłając dane do chmury pamiętaj że:
|
W technologii Cloud dane mogą być przechowywane w dowolnym miejscu na świecie. Pamiętajmy jednak, że polskie prawo jest bardzo restrykcyjne w kwestii terytorialności. Przekazanie danych poza Europejski Obszar Gospodarczy, do państw trzecich, bez zgody GIODO jest naruszeniem przepisów i może skutkować nałożeniem grzywny – również na administratora danych. W związku z powyższym usługodawca powinien zagwarantować nam w umowie, gdzie nasze dane będą się znajdować.
Wysyłanie danych do „Chmury” nie zwalnia administratora danych z obowiązku przestrzegania przepisów, w tym dotyczących wykonywania kopii zapasowych. W zależności od typu usługi, dostawcy zapewniają wykonywanie kopii zapasowych naszych danych. Warto jednak zadbać o to, by umowa lub ogólne warunki usługi, zawierały opis procedury wykonywania tych kopii.
Wielu dostawców stosuje praktykę umów na zasadzie przystąpienia, bez możliwości negocjacji jej warunków. Warto jednak próbować – pamiętajmy, że w wielu sytuacjach przekazujemy komuś najcenniejszą rzecz naszego biznesu. Jeżeli warunki usługodawcy są niezgodne z przepisami, lub nasze wątpliwości wzbudzają stosowane zabezpieczenia techniczne, a usługodawca nie zgadza się na zmiany w umowie – nie ryzykujmy. Kto wie, gdzie nasze dane wyparują …