RODO a chmura obliczeniowa



Rozporządzenie o Ochronie Danych Osobowych

RODO (Rozporządzenie o Ochronie Danych Osobowych) jest polskim tłumaczeniem GDPR (General Data Protection Regulation). Jest to regulacja unijna, która będzie obowiązywała we wszystkich krajach Unii Europejskiej. W Polsce zastąpi ona obowiązującą aktualnie ustawę o ochronie danych osobowych. RODO zaczyna obowiązywać od 25 maja 2018 r., wprowadzając tym samym jednolite regulacje dla wszystkich państw członkowskich Unii Europejskiej.

W związku z wejściem w życie ogólnego rozporządzenia o ochronie danych (RODO) w Unii Europejskiej firmy powinny przygotować się na nadchodzące zmiany. RODO ujednolica przepisy dotyczące ochrony prywatności w UE i precyzuje zasady jasnego opisywania warunków przetwarzania danych przez firmy.

RODO a chmura obliczeniowa

Bezpieczeństwo danych osobowych i zgodność usług chmurowych jest istotne z wykładnią prawa. Rozporządzenie RODO umożliwia bowiem przedsiębiorcom przetwarzanie danych osobowych w chmurze. Możemy w nim znaleźć wiele narzędzi, które są pomocne przy przetwarzaniu danych osobowych w ramach tego modelu biznesowego. Dostawca chmury obliczeniowej odpowiedzialny będzie, nie tylko za zapewnienie środków organizacyjnych i technicznych, ale i za jej ochronę. Chmura musi być zgodna z przepisami prawa, normami oraz wymaganiami branżowymi w zakresie przetwarzania danych. W związku z tym dostawcy usług chmurowych zobowiązują się do wspierania administratora danych osobowych w procesie zapewnienia zgodności z RODO. Nowe przepisy przewidują konieczność zawarcia umowy o powierzeniu przetwarzania danych osobowych pomiędzy dostawcą chmury a usługobiorcą. Umowa ta powinna wskazywać przedmiot, czas, rodzaj, charakter oraz cel przetwarzania danych.

Chmura umożliwia ocenę stopnia ochrony danych. Dostawca może przetwarzać dane świadcząc usługi w jednym z następujących postaci:

  • IaaS (Infrastructure as a Service) – usługi polegającej na udostępnieniu użytkownikowi infrastruktury informatycznej, np. przestrzeni dyskowej lub mocy obliczeniowej, możliwej do wykorzystania online, bez konieczności zakupu i stałego utrzymywania określonych urządzeń.
  • SaaS (Software as a Service) – usługi polegającej na udostępnieniu użytkownikowi oprogramowania pracującego w chmurze i dostępnego zdalnie, bez konieczności jego instalacji na urządzeniu końcowym.
  • PaaS (Platform as a Service) – usługi udostępnienia całej platformy obliczeniowej, obejmującej infrastrukturę oraz system operacyjny.

Obowiązkiem administratora jest sprawdzenie, czy dostawca usług chmurowych jest rzetelny i czy posiada odpowiednie mechanizmy, jeśli chodzi o zabezpieczenia i ochronę danych osobowych. Kluczowe dla administratora jest również odpowiednie zarządzanie dostępem do danych oraz monitorowanie naruszeń. Natomiast dostawca usług chmurowych musi wykazać gwarancje spełnienia wymogów RODO. Może tego dokonać w różny sposób, np. poprzez stosowanie odpowiednich kodeksów postępowania (art. 40 RODO) czy mechanizmów certyfikacji (art. 42. RODO). W celu zapewnienia bezpieczeństwa dostawcy stosują standardy zgodne z normami ISO 22301 (szybkość działania), ISO 27001 (system zarządzania bezpieczeństwem informacji), ISO 27017 (system zarządzania bezpieczeństwem informacji w chmurze), ISO 27018 (przetwarzanie danych osobowych w chmurze).

Tak sprecyzowane wymogi przyczyniają się do współdzielenia odpowiedzialności pomiędzy dostawcą usług a administratorem danych.