Przechowywanie danych firmowych w publicznej chmurze

Wraz z rozwojem epidemii wyraźnie wzrosła potrzeba zapewnienia pracownikom zdalnego dostępu do dokumentów niezbędnych przy realizacji ich obowiązków.

Publikacja: 22.05.2020 05:00

Radosław L. Kwaśnicki partner zarządzający RKKW, radca prawny

Radosław L. Kwaśnicki partner zarządzający RKKW, radca prawny

Foto: materiały prasowe

Aneta Pankowska partner RKKW, radca prawny Fot. mat. prasowe

Aneta Pankowska partner RKKW, radca prawny Fot. mat. prasowe

materiały prasowe

 Przesyłanie ich za pomocą wiadomości e-mail nie zawsze jest jednak możliwe, a często również mało praktyczne. W dobie pracy zdalnej dużą popularność zyskały rozwiązania umożliwiające przechowywanie, edytowanie i przekazywanie dokumentów przy wykorzystaniu tzw. chmury.

Rodzaje chmur

Brak jest jednej, powszechnie stosowanej definicji chmury (często występującej z przymiotnikiem „obliczeniowa"). Istotę tego rozwiązania stanowi dostarczanie usług obliczeniowych – w tym mocy obliczeniowej, oprogramowania oraz przestrzeni do przechowywania danych, za pośrednictwem internetu. Taka usługa zapewnić ma dostęp do wspomnianych zasobów, niezależnie od miejsca, w którym znajduje się osoba potrzebująca z nich skorzystać. W praktyce funkcjonuje wiele modeli wykorzystania chmur. Jedną z nich jest tzw. chmura publiczna. Podmiot zarządzający chmurą publiczną oferuje możliwość jej wykorzystania – za odpowiednim wynagrodzeniem – wszystkim zainteresowanym klientom. Wdrożenie takiego modelu chmury zapewnia szereg korzyści i usprawnia pracę. Nie wymaga również poniesienia znaczących kosztów czy tworzenia skomplikowanej infrastruktury technicznej przez usługobiorcę. Decydując się na rozpoczęcie wykorzystywania chmury, należy jednak uwzględnić kilka potencjalnych ryzyk w sferze prawnej. Nie jest to bowiem usługa dla każdego, a specyfika prowadzonej działalności może wymagać zaimplementowania rozwiązania szytego „bardziej na miarę".

Prawna regulacja zasad świadczenia usług w chmurze

Obecnie obowiązujące przepisy nie zawierają regulacji, które w sposób bezpośredni i kompleksowy odnosiłaby się do zasad użytkowania chmury przez podmioty prywatne czy też wyznaczały obowiązki dostawcy. Nie oznacza to jednak, że korzystanie (i świadczenie) takich usług pozostaje całkowicie nieuregulowane. Mogą znaleźć tu zastosowanie przepisy umieszczone w wielu aktach prawnych. Tytułem przykładu wymienić można kodeks cywilny, ustawę o świadczeniu usług drogą elektroniczną, RODO oraz prawo autorskie. Wykorzystanie chmury stanowi także pewną formę outsourcingu, który regulowany może być szczególnymi przepisami (tak jest np. w prawie bankowym oraz ustawie o działalności ubezpieczeniowej i reasekuracyjnej).

Istotne będą również wytyczne (niekiedy nawet bardzo szczegółowe), wydawane przez organy państwowe, takie jak np. KNF. Ich stosowanie ograniczone jest jednak do podmiotów nadzorowanych przez ten organ.

Należy jednak pamiętać, że wiele firm oferujących usługi w chmurze nie ma siedziby w Polsce ani w żadnym z krajów Unii Europejskiej. Decydując się na zawarcie umowy, warto zatem ustalić, pod jurysdykcję którego z państw będą podlegać zamawiane usługi, i regulacje którego państwa mogą znaleźć tutaj zastosowanie.

Umowy dotyczące świadczenia usług w chmurze

Brak dedykowanych regulacji prawnych istotnie zwiększa rolę umów zawieranych pomiędzy klientami a usługodawcami. Ewentualnych braków lub dwuznaczności w treści umowy nie będzie można „skorygować", odwołując się do obowiązujących przepisów prawa. Próba analogicznego zastosowania przepisów dotyczących innych usług może budzić poważne zastrzeżenia, niezależnie od praktycznych trudności w ich wdrożeniu.

Dostawcy usług w chmurze, działający na rynku, znacząco różnią się terytorialnym zasięgiem działania, jak również liczbą obsługiwanych klientów. Niezależnie od skali prowadzonej działalności niechętnie dopuszczają możliwość negocjacji treści zawieranych umów. Decyzyjność klientów najczęściej ogranicza się do wyboru jednego z kilku oferowanych rozwiązań. Usługobiorcy są zatem zmuszeni zaakceptować przedstawione warunki współpracy lub całkowicie zrezygnować z zawarcia umowy. Brak możliwości negocjacji sprzyja przyjmowaniu rozwiązań korzystnych dla usługodawców, ale niekoniecznie dla samych klientów. W interesie każdego usługobiorcy leży zatem zweryfikowanie, czy oferowane warunki są dla niego akceptowalne (biorąc pod uwagę specyfikę prowadzonego biznesu). Pomijając aspekty prawne, usługobiorcy powinni również szczegółowo zapoznać się z technicznymi parametrami oferowanych usług.

Usługodawcy, z uwagi na swoją pozycję, mogą również narzucać zmiany warunków umów już zawartych. Użytkownicy chmury mają oczywiście prawo odrzucić zaproponowane modyfikacje. Muszą jednak pamiętać, że brak akceptacji nowych warunków wiązać się będzie z zakończeniem korzystania z usługi. Konieczność przeniesienia wszystkich danych zgromadzonych w chmurze, jak również wdrożenie zmian w organizacji funkcjonowania usługobiorcy, może stanowić poważne utrudnienie w realizacji pracy. Decyzja o rozpoczęciu korzystania z chmury powinna wiązać się z wcześniejszą weryfikacją możliwości płynnej zmiany dostawcy lub przejścia na inne rozwiązania.

Ochrona danych osobowych

Wybierając dostawcę, pamiętajmy o konieczności przestrzegania przepisów dotyczących ochrony danych osobowych. Zgodnie z RODO usługobiorcę uznać należy za administratora, usługodawcę zaś za podmiot przetwarzający dane. Muszą oni zatem spełnić wszystkie wymogi określone we wspomnianym rozporządzeniu. Należy pamiętać, że przetwarzanie danych osobowych w chmurze faktycznie odbywa się centrach danych, wyposażonych w odpowiednią infrastrukturę techniczną. Ich lokalizację determinuje wiele czynników: ekonomicznych (cena energii elektrycznej), klimatycznych (niskie temperatury ułatwiają utrzymanie urządzeń), prawnych oraz infrastrukturalnych. W konsekwencji centra danych często funkcjonują poza krajem, w którym znajduje się siedziba usługodawcy. Dodatkowo, wielu dostawców usług w chmurze często posiada swoją infrastrukturę na terenie kilku państw.

Tymczasem RODO wprowadza istotne ograniczenia w zakresie przetwarzania danych w państwach niewchodzących w skład Europejskiego Obszaru Gospodarczego (EOG). Przed zawarciem umowy należy zatem ustalić, jakie centra danych będą wykorzystywane do świadczenia usług. W związku z przepisami RODO niektórzy usługodawcy oferują również możliwość ograniczenia przetwarzania danych wyłącznie do miejsc położonych na obszarze EOG.

Tajemnica przedsiębiorstwa

Decyzja o skorzystaniu z usługi chmury publicznej powinna także uwzględniać kwestię ochrony tajemnic przedsiębiorstwa. Zastosowanie bowiem nieadekwatnych czy niewystarczających środków ochrony informacji może uniemożliwić skorzystanie z ochrony przewidzianej w ustawie o zwalczaniu nieuczciwej konkurencji. Określenie niezbędnych działań należy rozpatrywać w dwóch aspektach – technicznym i prawnym.

Najlepszym wyborem będzie taki usługodawca, który oferuje rozwiązania gwarantujące możliwie szeroką i skuteczną ochronę przetwarzanych informacji. Podstawowym środkiem zabezpieczenia danych jest ich przechowywanie w postaci zaszyfrowanej. Możliwość odczytania dokumentów będzie miała wówczas jedynie osoba posiadająca odpowiedni klucz kryptograficzny. Dostęp do niego mogą mieć usługodawca i jego klient lub wyłącznie drugi z tych podmiotów. W przypadku, gdy klucz posiada jedynie usługobiorca, dostawca usługi nie ma praktycznie żadnej możliwości poznania treści przechowywanych dokumentów. Przyjmując taki model, pamiętać należy jednak, że utrata klucza przez klienta oznaczać będzie nieodwracalną utratę możliwości odczytania przechowywanych w chmurze dokumentów.

Przed dokonaniem wyboru usługodawcy należy ustalić także zakres jego uprawnień w stosunku do przechowywanych danych. Dostawca usługi może zastrzec sobie prawo np. do analizowania treści dokumentów lub udostępniania ich podmiotom trzecim. Wykonywanie powyższych uprawnień niewątpliwie zwiększa ryzyko ujawnienia poufnych informacji.

Pamiętać należy jednak, że nawet najlepsze rozwiązania technologiczne oraz zabezpieczenia prawne nie zagwarantują pełnego bezpieczeństwa przechowywanych danych. W szczególności nie wyeliminują one zagrożeń związanych z błędem ludzkim. Przed rozpoczęciem korzystania z chmury warto zatem zadbać o odpowiednie przeszkolenie jej użytkowników.

Wdrożenie rozwiązań opartych na chmurze ma niewątpliwe zalety. Zastosowanie tego systemu wiąże się jednak z pewnymi ryzykami, które uwzględnić należy, zawierając umowę.

Felietony
Wspólny manifest rynkowy
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
Felietony
Pora obudzić potencjał
Felietony
Kurs EUR/PLN na dłużej powinien pozostać w przedziale 4,25–4,40
Felietony
A jednak może się kręcić. I to jak!
Materiał Promocyjny
Cyfrowe narzędzia to podstawa działań przedsiębiorstwa, które chce być konkurencyjne
Felietony
Co i kiedy zmienia się w rozporządzeniu MAR?
Felietony
Dolar na fali, złoty w defensywie