Biznes w chmurze pozwala firmie zaoszczędzić

Rozwiązaniem technologicznym, które pomaga znaleźć oszczędności i zwiększa efektywność pracy, jest cloud computing, czyli tzw. chmura obliczeniowa. Jest to usługa polegająca na zarządzaniu środowiskiem IT. Głównym jej atutem jest przeniesienie ciężaru świadczenia usług IT na serwer i umożliwienie dostępu do danych firmy, poprzez samo zalogowanie się z dowolnego komputera z dostępem do sieci internetowej.

Korzystanie z chmury pozwala na rezygnację z zakupu licencji i instalowania oprogramowania. Użytkownik płaci jedynie za usługę, np. możliwość korzystania z arkusza kalkulacyjnego, poczty, dokumentów tekstowych czy projektów. Te wszystkie materiały przeniesione do chmury nie zawalają już komputerów firmowych.

W związku z tym niektóre firmy już działają w chmurze i ich właściciele wskazują na realne oszczędności, jakie im przyniosło to rozwiązanie. Płacąc bowiem niewiele, dostają sporo gotowych usług i nie muszą już dbać o aktualne oprogramowanie w firmie. Problem jednak w tym, że zmiany w branży technologicznej dokonują się o wiele szybciej niż zmiany w prawie. W efekcie niedostosowane przepisy hamują pełne i swobodne korzystanie z cloud computingu.

- Największym problemem prawnym jest próba stosowania do cloud computingu zasad ochrony danych osobowych w sposób niedostosowany do obecnego stanu rozwoju technologii - mówi radca prawny Maciej Gawroński, partner zarządzający Bird & Bird sp.k., wykładowca studiów podyplomowych "Zastosowanie technologii cloud computingu w modelowaniu biznesowym" w Szkole Głównej Handlowej.

Miejsce przetwarzania danych

Jednym z podstawowych problemów jest kwestia przetwarzania danych osobowych w chmurze, czyli ich zbierania, utrwalania, przechowywania, opracowywania, zmieniania, udostępniania i usuwania. O celach i środkach przetwarzania informacji decyduje administrator danych, którym jest organ, jednostka organizacyjna, podmiot lub osoba. W przypadku podmiotów prywatnych to właśnie na nich spoczywa odpowiedzialność, a nie na ich kierownikach, dyrektorach czy pracownikach wyznaczonych do dokonywania czynności potrzebnych do ochrony informacji. Z ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926, dalej: u.o.d.o.) wynika, że administrator musi mieć pełną kontrolę nad procesem przetwarzania informacji. W sytuacji prowadzenia biznesu w chmurze dane osobowe będą właśnie tam przetwarzane. Usługobiorca nie będzie jednak mógł decydować, w jakiej aplikacji informacje będą przetwarzane. Niektórzy prawnicy wskazują, że jest to jednak nieistotne, bowiem administrator decyduje o samym sposobie przetwarzania danych, a więc, że będzie to dokonywane w modelu cloud computing.

Najwięcej kontrowersji wzbudza miejsce przetwarzania danych w sytuacji, gdy nie wiadomo, gdzie umiejscowiony jest serwer. Dane znajdują się bowiem u dostarczyciela usługi, a przedsiębiorca ma jedynie do nich dostęp. Nie może więc mieć pewności, że są one bezpieczne i nie zostały nikomu udostępnione. Ponadto administrator danych powinien znać miejsce ich przetwarzania i zapisać je w dokumentacji. Odpowiada on bowiem za właściwy poziom ochrony danych i musi się liczyć z interwencją generalnego inspektora ochrony danych osobowych. Często dane przetwarzane są poza Unią Europejską. W takiej sytuacji należy pamiętać o art. 47 u.o.d.o. Zgodnie z nim przekazanie danych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych.

Administrator danych może przekazać informacje do takiego państwa, jeżeli:

wosoba, której dane dotyczą, udzieliła na to zgody na piśmie,

wprzekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,

wprzekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,

wprzekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,

wprzekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,

wdane są ogólnie dostępne.

- Największym wyzwaniem z punktu widzenia dostawców usług cloud computingu jest zapewnienie zgodności ofertowanych usług z obowiązującymi w UE przepisami ochrony danych osobowych. Problemem tym w dużej mierze nie jest samo zapewnienie zgodności z jednym krajowym reżimem prawnym, ale równoczesne zapewnienie zgodności z przepisami ponad dwudziestu krajów. Wyzwaniem jest przy tym nie tylko wielość przepisów, ale i spotęgowana wielość ich interpretacji przez różne organy, podmioty, organizacje - zauważa mec. Maciej Gawroński.

Ostrożne początki

Ekspert zwraca uwagę, że przedsiębiorcy, którzy chcą przenieść biznes do chmury, muszą więc uwzględnić wymogi unijne co do położenia danych. A zatem istotne jest uzyskanie zapewnienia, że dostawca chmury przetwarza dane w Europie lub, że w inny sposób zapewnia zgodność z polskim czy europejskim prawem ochrony danych osobowych. Spośród wielkich dostawców usług przetwarzania chmurowego nie każdy ma możliwość formalnego spełnienia tego wymogu. W pewnych sektorach przeszkodą mogą być dodatkowe wymagania ustawowe, takie jak zakaz ograniczenia odpowiedzialności podmiotu, któremu powierzane są nasze krytyczne dane czy procesy. Inną barierą może być niechęć dostawcy chmury do akceptacji daleko idącej odpowiedzialności prawnej za ewentualne pogorszenie jakości usługi lub utratę danych.

- Ograniczenia odpowiedzialności, typowe dla zachodniej kultury prawnej (także w związku z ryzykiem wyższych odszkodowań), nie były przyjętym elementem polskiej kultury prawnej. Skoncentrowanie się na prawnych aspektach odpowiedzialności nie stanowi jednak odpowiedzi na potrzebę zapewnienia ciągłości działania przedsiębiorstwa - wyjaśnia mec. Gawroński.

Ze względu więc na dbałość o ochronę danych osobowych przedsiębiorcy powinni pamiętać o zapasowej kopii danych czy alternatywnym dostawcy.

Zakres i cel

Zgodnie z art. 31 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot, któremu dane zostały powierzone, może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie. Jednakże przed rozpoczęciem tych czynności jest zobowiązany do zabezpieczenia zbioru danych oraz spełnienia wymagań dotyczących: prowadzenia dokumentacji, warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, jak również odnotowywania udostępniania danych osobowych i bezpieczeństwa ich przetwarzania.

Wzór

Zawarta w dniu ................. w ..................

pomiędzy:

Przedsiębiorstwem A z siedzibą w ............... przy ul. ......................,

reprezentowanym przez: ..................................... ,

zwanym dalej Zleceniodawcą

a

Przedsiębiorstwem B z siedzibą w ................., przy ul. ...................,

wpisanym do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy w ........ KRS ....., NIP,

wysokość kapitału zakładowego ....... zł

reprezentowanym przez: Prezesa Zarządu ........,

zwanym dalej Zleceniobiorcą,

zwanymi łącznie "Stronami"

Strony zgodnie postanowiły, co następuje:

1. Zleceniodawca oświadcza, że jest administratorem zbioru danych osobowych.

1. Zleceniobiorca może przetwarzać dane osobowe przekazane przez Zleceniodawcę w zakresie zgodnym z umową zawartą pomiędzy stronami.

2. W celu wykonania obowiązków wynikających z niniejszej umowy Zleceniobiorca może przetwarzać następujące dane: imię, nazwisko, miejsce pracy, zdjęcie, podpis. Dane te zostały zgromadzone przez Zleceniodawcę zgodnie z przepisami ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.).

1. Zleceniobiorca jest zobowiązany do przestrzegania przepisów ustawy o ochronie danych osobowych oraz przepisów wykonawczych.

2. Zleceniobiorca oświadcza, iż spełnia wymagania określone w art. 36 - 39 ustawy o ochronie danych osobowych dotyczące zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

3. Zleceniobiorca oświadcza, iż sposób prowadzenia i zakres dokumentacji, o której mowa w art. 39a ustawy o ochronie danych osobowych, oraz środki techniczne i organizacyjne zastosowane w celu zapewnienia ochrony przetwarzanych danych są zgodne z przepisami rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024).

Dostęp do powierzonych Zleceniobiorcy danych osobowych mogą posiadać tylko osoby, którym nadano upoważnienie wskazane w art. 37 ustawy.

Każda ze stron odpowiada za szkody wyrządzone drugiej stronie oraz osobom trzecim w związku z wykonywaniem niniejszej umowy zgodnie z przepisami kodeksu cywilnego, ustawy o ochronie danych osobowych oraz niniejszej umowy.

Zleceniobiorcy przysługuje prawo uzyskiwania informacji od Zleceniodawcy w zakresie należytego wykonania przez Zleceniobiorcę obowiązków dotyczących przetwarzania powierzonych danych osobowych, w tym na temat zastosowanych przy przetwarzaniu danych środków technicznych i organizacyjnych jak również zabezpieczenia powierzonych mu danych.

Strony oświadczają, że zawierają niniejszą umowę na czas nieokreślony. Umowa może być wypowiedziana z zachowaniem tygodniowego okresu wypowiedzenia.

Zmiana niniejszej umowy może nastąpić tylko w formie pisemnej pod rygorem nieważności.

W sprawach nieuregulowanych niniejszą umową mają zastosowanie przepisy kodeksu cywilnego oraz ustawy o ochronie danych osobowych.

Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.

Zleceniodawca                         Zleceniobiorca

Ewa Maria Radlińska

ewa.radlinska@infor.pl

KOMENTARZ EKSPERTA

@RY1@i02/2012/211/i02.2012.211.215000300.802.jpg@RY2@

Bartłomiej Witucki, prawnik, koordynator Business Software Alliance w Polsce

Mimo że o cloud computingu mówi się ostatnio dużo i technologia ta przyjmowana jest z aprobatą, to jednak z badań wynika, że powszechna świadomość możliwości, jakie daje ten model technologiczny, szczególnie - o dziwo - w Europie, jest jeszcze stosunkowo niska. Z opublikowanego w sierpniu tego roku przez firmę Ipsos badania użytkowników komputerów na całym świecie przeprowadzonego na zlecenie Business Software Alliance (BSA) wynika, iż z blisko 4 tys. użytkowników komputerów w 9 krajach UE zaledwie 24 proc. potwierdziło, że korzysta z aplikacji w chmurze, takich jak poczta elektroniczna czy edytor tekstu, podczas gdy średnia światowa została oszacowana na poziomie 34 proc.

W Polsce, mimo iż 25 proc. użytkowników komputerów odpowiedziało, iż korzysta z technologii cloud computingu, to jednak tylko 9 proc. stwierdziło, że zna się na niej bardzo dobrze lub dobrze. Natomiast aż 91 proc. polskich użytkowników komputerów przyznało, że nigdy nie słyszało o tej technologii, zna ją tylko z nazwy lub wie mało na jej temat.

Inny tegoroczny raport BSA Global Cloud Scorecard - stanowiący pierwszy tego rodzaju ranking gotowości państw do globalnie zintegrowanego rynku cloud computing - ocenił sytuację w 24 państwach, głównie pod kątem stanu legislacji, w ujęciu siedmiu zasadniczych obszarów: 1. ochrony danych, 2. bezpieczeństwa w cyberprzestrzeni, 3. cyberprzestępczości, 4. własności intelektualnej, 5. interoperacyjności technologicznej i harmonizacji prawa, 6. wolnego handlu oraz 7. infrastruktury IT.

Polska znalazła się na całkiem niezłym jedenastym miejscu. Autorzy badania uznali, że obowiązujące w Polsce przepisy w zakresie ochrony prywatności, podpisu elektronicznego, handlu elektronicznego i cyberprzestępczości stanowią dobrą platformę rozwoju technologii cloud computing i gospodarki cyfrowej. Wysoko oceniono także system ochrony prawnej własności intelektualnej, przy jednoczesnym wskazaniu, iż poprawy wymaga egzekucja tych przepisów. Wskazano również, że Polska promuje innowacyjność i interoperacyjność, zaś polityce zamówień rządowych nie można zarzucić praktyk dyskryminacyjnych. Najgorzej natomiast został oceniony stan infrastruktury i dostępu do łącz szerokopasmowych, który kształtuje się poniżej średniej europejskiej. Autorzy raportu zarzucili Polsce brak kompleksowej strategii działania w zakresie rozwoju dostępności łącz szerokopasmowych, pomimo dostrzeżonego postępu w ostatnich latach (częściowo dzięki inwestycjom z funduszy unijnych), wskazując na szczególne zaniedbanie obszarów wiejskich.

Natomiast z ogólnych wniosków badania dość jednak zaskakującą konkluzją może wydawać się zarzut, iż niektóre zamożne kraje izolują się za sprawą przepisów prawa pozostających w sprzeczności z regulacjami obowiązującymi w innych krajach.