Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Powszechnie znana prawda, że prawo ze swej natury pozostaje zawsze krok za realnym życiem, nigdy nie była tak aktualna, jak dziś, w dobie błyskawicznego rozwoju technologii. Doskonałym tego przykładem jest zamieszanie, do jakiego w europejskim systemie ochrony danych osobowych doprowadziło upowszechnienie się technologii „cloud computing”, sprawiając, że niektóre podstawowe pojęcia i koncepcje, na których oparta została zarówno europejska dyrektywa o ochronie danych, jak i recypujące ją ustawodawstwo poszczególnych krajów unijnych (w tym polska ustawa o ochronie danych osobowych) wymagają pilnej rewizji.

robot sprzątający

reklama


Poniżej kilka uwag o najbardziej zasadniczych tylko, najczęściej wskazywanych przez specjalistów kłopotach, które w zakresie przetwarzania danych sprawia nowa technologia.

Co to jest „cloud computing”

Cloud computing (przetwarzanie w chmurze, chmura obliczeniowa) to termin, który robi wielką karierę w świecie informatycznym, a zarazem technologia, która coraz powszechniej uważana jest za przyszłość usług informatycznych. Co kryje się za tym terminem? Nie wdając się w szczegółowe dywagacje i w największym uproszczeniu, cloud computing polega na wykorzystywaniu do przetwarzania gotowych aplikacji online.

Z punktu widzenia użytkowników rozwiązanie to ma wiele zalet – nie wymaga inwestowania w sprzęt, instalowania oprogramowania i zakupu licencji, zmniejsza koszty użytkowania aplikacji, zapewnia dostęp do zgromadzonych danych z każdego komputera z dostępem do sieci, stąd nie dziwi jego rosnąca popularność i coraz większa powszechność.

Choć niewiele osób zdaje sobie z tego sprawę, ale już dziś większość z użytkowników internetu ma z chmurą do czynienia na co dzień, np. korzystając z Gmaila czy też popularnych aplikacji do przechowywania zdjęć lub innych danych (np. Picasa). Gwałtownie rozwija się również rynek aplikacji biznesowych dostępnych w chmurze, takich jak np. pakiet Business Productivity Services Suite firmy Microsoft.

W kontekście ochrony danych osobowych jednakże rosnąca powszechność tego rozwiązania stanowi nie lada wyzwanie dla prawodawców, organów ochrony danych osobowych, jak również samych użytkowników i dostawców usług.

Kto jest kim w chmurze

W procesie przetwarzania danych osobowych kluczowe znaczenie ma stwierdzenie, w jakiej roli występują podmioty tego przetwarzania dokonujące. Od tego, czy dany podmiot jest administratorem danych (data controller) czy też występuje w roli podmiotu, któremu powierzono przetwarzanie danych (data processor), zależał bowiem będzie zakres jego obowiązków i odpowiedzialności.

Na gruncie dyrektywy i ustawy rozróżnienie to wydaje się być całkiem proste: administrator jest podmiotem, który decyduje o celach i środkach przetwarzania (jest niejako „właścicielem” danych), processor natomiast to podmiot, który przetwarza dane dla potrzeb administratora na jego zlecenie (np. firma informatyczna opracowująca dane i hostująca zbiór na swoich serwerach).

Ten klarowny i oczywisty zdawałoby się podział zaciera się jednak przy przetwarzaniu w chmurze. Na pierwszy rzut oka zdawać by się mogło oczywiste, że administratorem jest użytkownik usług, gdyż to on jest „właścicielem” danych i przetwarza je na własne potrzeby. Jednak gdy zastosować kryteria definicji ustawowej administratora (decydowanie o celach i metodach przetwarzania), sprawa przestaje być oczywista. W praktyce bowiem to dostawca usług, udostępniając określone oprogramowanie czy środki sprzętowe, określa, jakimi metodami dane mogą być przetwarzane. Co więcej, w wielu przypadkach funkcjonalności udostępnionych usług informatycznych będą determinować również cel przetwarzania.

Dylemat ten, jak już wspomniano, ma olbrzymie znaczenie praktyczne, gdyż od jego rozstrzygnięcia będzie zależało, na kim ciążą podstawowe obowiązki z zakresu ochrony danych, a więc na przykład kto będzie musiał wykazać się podstawą prawną do przetwarzania, kto będzie odpowiedzialny za zapewnienie środków organizacyjnych i technicznych zabezpieczających dane, na kim ciążyć będzie obowiązek informacyjny wobec osób, których dane są przetwarzane, kto będzie zobowiązany zgłosić zbiór danych do rejestracji itd., itp.

O tym, że problem jest rzeczywisty, świadczy chociażby fakt, że próbę udzielenia praktycznych wskazówek interpretacyjnych podjęła Grupa Robocza Artykułu 29 (ciało unijne zajmujące się ochroną danych osobowych), wydając w dniu 16 lutego 2010 r. Opinię 1/2010 dotycząca przedmiotowej kwestii. Opinia ta nie rozstrzyga jednak wszystkich wątpliwości i dylematów, a rola, w jakiej występują uczestnicy chmury musi być analizowana w każdym przypadku odrębnie.

Pewną nadzieją pozostaje fakt, że problem ten znalazł się w agendzie Grupy Roboczej na lata 2010 i 2011, która być może wypracuje bardziej kompleksowe jego rozwiązanie.

Tymczasem jednak zarówno użytkownicy, jak i dostawcy usług w chmurach obliczeniowych muszą starannie analizować swoją pozycję w procesie przetwarzania, pamiętając przy tym, że naruszenie przepisów ustawy może spowodować nawet odpowiedzialność karną.

Jakie prawo stosować?

Kolejnym problemem, który na gruncie obowiązującego prawa powoduje technologia cloud computing, jest fakt, że nie przystaje ona do „geograficznej” filozofii leżącej u podstaw europejskiego modelu ochrony danych osobowych.

Problem o zasadniczym znaczeniu dotyczy rozstrzygnięcia, czy w ogóle regulacje dotyczące danych osobowych (odnośne przepisy poszczególnych państw europejskich) znajdą zastosowanie do przetwarzania w chmurze. Zgodnie z polską ustawą stosuje się ona zasadniczo do administratorów mających siedzibę na terytorium Polski oraz na terytorium państw trzecich (o ile przetwarzają dane za pomocą środków technicznych znajdujących się w Polsce). Podobne rozwiązania, za przepisami dyrektywy, obowiązują również w pozostałych jurysdykcjach unijnych.

Jeżeli zatem za administratora danych osobowych uznamy dostawcę usług niekorzystającego ze środków technicznych umiejscowionych w krajach unijnych, to nawet jeżeli 100% użytkowników jego usług będzie pochodziło z Europy, przetwarzanie danych „wymknie się” wymogom europejskiego systemu ochrony.

Na problem ten zwrócił uwagę m.in. Peter Hustinx (European Data Protection Supervisor) w swoim wystąpieniu z dnia 13 kwietnia 2010 r., w którym celnie wskazywał, że wypełnienie tak powstałej luki nie będzie możliwe bez wprowadzenia odpowiednich zmian w legislacji.

W chmurze nie ma granic

Kolejny problem „terytorialny” wiąże się z transferem danych osobowych. Co do zasady przepisy europejskie bardzo mocno ograniczają możliwość przekazywania danych do państw trzecich niezapewniających takiego samego poziomu ich zabezpieczenia jak państwa członkowskie UE (czyli w praktyce niemal do wszystkich pozostałych państw świata), obwarowując taki transfer licznymi wymogami i warunkami.

Takie „geograficzne” rozwiązanie sprawdza się (choć też nie zawsze) w sytuacji, gdy dane transferowane są od podmiotu A do podmiotu B.

Zupełnie inaczej jednak sytuacja przedstawia się w przypadku przetwarzania w chmurze, gdzie serwery, na których umieszczone są aplikacje, mogą znajdować się gdziekolwiek (a dane między nimi swobodnie przepływać), a ponadto użytkownicy mają dostęp do danych z każdego miejsca na świecie, z którego można tylko połączyć się z siecią. Taki amorficzny model przepływu danych powoduje, że terytorialna koncepcja ochrony danych osobowych zupełnie się nie sprawdza.

Reasumując, więc nowa technologia spowodowała kilka istotnych wyłomów w europejskim systemie ochrony danych, wymykając się pojęciom i koncepcjom leżącym u samych jego podstaw. Wyłomu tego usunąć bez odpowiednich zmian w przepisach zarówno na poziomie europejskim, jak i poszczególnych państw, a nawet być może w samej filozofii ochrony danych. Szczęśliwie problem ten został dostrzeżony zarówno przez europejskie, jak i polskie organa ochrony danych osobowych i można liczyć, że wkrótce zostaną wprowadzone odpowiednie zmiany legislacyjne.

Rafał Surowiec

Tekst ten pochodzi z IP Law Blog Kancelarii Domański Zakrzewski Palinka – http://blog.dzp.pl/ip. Wyrażone w nim opinie mogły ulec dezaktualizacji od czasu publikacji.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *