Bezpieczny Cloud Computing- przepisy Prawa a dobre praktyki

Bezpieczny cloud computing – przepisy prawa a dobre praktyki.

Chmury obliczeniowe (cloud computing) zyskują coraz większą popularność jako zjawisko ze świata outsourcingu usług informatycznych. Ujmując rzecz ogólnie jako usługa polega on na zewnętrznej obsłudze środowiska informatycznego w organizacji poprzez korzystanie z „obcych” (zewnętrznych) serwerów, mocy obliczeniowych, aplikacji czy też oprogramowania serwerowego i użytkowego.

Pomijając zupełnie różne konstrukcje tej usługi jak również rozważania dotyczące jej zalet i wad, warto wspomnieć o prawnych podstawach warunkujących dopuszczalność świadczenia usług w postaci cloud computingu jak również, a może przede wszystkim, dotyczących bezpieczeństwa tej usługi. Zwrócić należy także uwagę, że rozwiązania te mimo licznych zalet obarczone są ryzykiem wiążącym się z „przekazaniem na zewnątrz” (podmiotom zewnętrznym ) nie tylko zarządzanie infrastrukturą informatyczną, ale także możliwości dostępu do rozmaitych informacji (tajemnic) niekiedy o charakterze wręcz strategicznym. Co więcej, omawiana usługa może łączyć się z potencjalnym dostępem do danych osobowych organizacji, które podlegają odrębnej, niekiedy dość restrykcyjnej, ochronie.

Właśnie wskazane powyżej uwarunkowania decydują o konieczności zastosowania świadomych i skutecznych zabezpieczeń dla merytorycznego „wsadu” do usług cloud computingu. Musi przy tym zwrócić uwagę fakt, że polski porządek prawny nie posługuje się takim pojęciem jak cluod computing czy też nawet outsourcing. W związku z tym, stosownych regulacji należy poszukiwać po uprzednim ustaleniu relacji prawnej łączącej strony umowy outsourcingowej.

Podstawowa regulacja opisująca tą relację została zawarta w art. 750 k.c. Zgodnie z jego treścią do umów o świadczenie usług, które nie są uregulowane innymi przepisami, stosuje się odpowiednio przepisy o zleceniu. W związku z tym, podstawy dla zapisów umownych dotyczących cloud computingu szukać należy w rozdziale XXI Kodeksu cywilnego dotyczącym umowy zlecenia jak również w ogólnej regulacji art. 353 1 k.c. statuującej zasadę swobody umów („Strony zawierające umowę mogą ułożyć stosunek prawny według swego uznania, byleby jego treść lub cel nie sprzeciwiały się właściwości (naturze) stosunku, ustawie ani zasadom współżycia społecznego.”).

Natomiast w sferze bezpieczeństwa usługi cloud computingu wskazać można na trzy podstawowe regulacje prawne:

  • art. 11 ustawy z dnia 16 kwietnia 1993 roku o zwalczaniu nieuczciwej konkurencji wprowadzający (Dz. U. 2003 r. Nr 153 poz. 1503 z późniejszymi zmianami) – Czynem nieuczciwej konkurencji jest przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża lub narusza interes przedsiębiorcy;
  • art. 31 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 r., nr 101, poz. 926 z późniejszymi zmianami) – Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot, któremu powierzono przetwarzanie danych osobowych, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie;
  • art. 14 ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r., nr 144, 1202 z późniejszymi zmianami) – Nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych.

Zwraca uwagę fakt, że przepisy te oprócz ogólnych wskazań nie zawierają bardziej szczegółowych wytycznych co do należytego zabezpieczenia interesów usługodawcy w umowach regulujących kwestie cloud computingu. W związku z tym, przed zawarciem umowy dotyczącej usługi cloud computingu warto przeanalizować wskazania zawarte w dokumencie opublikowanym przez Generalnego Inspektora Ochrony Danych Osobowych w dniu 15 marca 2013 roku zatytułowanym „Dziesięć zasad stosowania usług chmurowych przez administrację publiczną” (http://www.giodo.gov.pl/259/id_art/6271/j/pl ).

Dokument ten zawiera jedynie zalecenia dla administracji publicznej dotyczące treści umów, nie ma natomiast charakteru prawotwórczego i jego stosowanie nie jest obligatoryjne. Co ważne, mimo że został on skierowany do administracji publicznej może również stanowić zestaw wskazówek dla podmiotów prywatnych. Analizując jego treść wskazać należy na:

  1. Obowiązek „dostarczyciela usługi chmurowej” wskazania fizycznych lokalizacji serwerów, na których są lub mogą być przetwarzane dane znajdujące się w „zasobach przekazanych do chmury”;
  2. Obowiązek „dostarczyciela usługi chmurowej” zapewnienia dostępu do pełniej dokumentacji dotyczącej zasad bezpieczeństwa oraz środków technicznych przyjmowanych w poszczególnych centrach przetwarzania danych;
  3. Obowiązek „dostarczyciela usługi chmurowej” przekazania pełnej listy podwykonawców oraz innych instytucji mających udział w usłudze;
  4. Obowiązek „dostarczyciela usługi chmurowej” związania każdego z podwykonawców takimi samymi klauzulami umownymi jak „dostarczyciel usług chmurowych”;
  5. Zakaz przekazania kompetencji do decydowania o celach i środkach przetwarzania danych osobowych na „dostarczyciela usługi chmurowej”;
  6. Obowiązek „dostarczyciela usługi chmurowej” informowania o możliwości przekazania policji, organom ścigania oraz służbom specjalnym dostępu do danych zamieszczonych w chmurze;
  7. Obowiązek „dostarczyciela usługi chmurowej” ustalenia zasad przeszukiwania, przechowywania (retencji) i usuwania danych zamieszczonych w chmurze;
  8. Obowiązek „dostarczyciela usługi chmurowej” raportowania o wszelkich incydentach dotyczących bezpieczeństwa danych;
  9. Obowiązek „dostarczyciela usługi chmurowej” przekazania informacji o zasadach wyłączenia lub ograniczenia odpowiedzialności dostarczyciela usługi;
  10. Nakaz unikania „syndromu jednego dostawcy” polegający na dywersyfikacji dostarczycieli usług chmurowych oraz rozwiązań technicznych z uwzględnieniem zasad interoperacyjności i przenaszalności danych.

Wskazane powyżej zasady stanowią jedynie punkt wyjścia dla konkretnych rozwiązań umownych. Należy je traktować jako „miękkie” wskazania nie posiadające żadnej waloru prawotwórczego. Jednocześnie wobec braku jakiejkolwiek regulacji prawnej dopuszczającej lub zakazującej in genere przetwarzania danych w chmurach obliczeniowych lub choćby określającej jej zasady omawiany dokument traktować należy jako zbiór pożytecznych i praktycznych zaleceń co do konkretnych zapisów umownych.

Tomasz Cygan, Michał Geilke