Czy można korzystać z chmury zgodnie z RODO (GDPR)? To chyba jedno z częstszych pytań jeśli chodzi o cloud i nie tylko. W tym artykule zbieram najważniejsze elementy związane z chmurą w kontekście RODO.
Ten artykuł jest dostępny jako film na YouTube i podcast
Czy RODO pozwala na korzystanie z chmury?
Wbrew temu co można czasem usłyszeć RODO/GDPR nie zabrania korzystania z chmury. Samo RODO (Rozporządzenie 2016/679) jest neutralne technologicznie – nie dyskryminuje żadnej technologii ani nie wymusza korzystania z niej. Określa tylko zasady jak jej używać. Dlatego korzystając z usług cloudowych nie powinieneś się obawiać RODO.
Od razu zaznaczę też, że wszystko co napisałem w tym artykule dotyczy także klasycznych usług hostingowych – VPS, dedyk, współdzielony itp.
RODO a chmura – podstawy
RODO/GDPR wpływa na chmurę w kilku kwestiach, przy czym każda z nich będzie się nieco różnić w zależności od jednej z dwóch sytuacji:
- Korzystasz z chmury na swoje potrzeby – do wewnętrznych procesów, aplikacji itp. w twojej firmie czy organizacji.
- Używasz chmury w procesie, systemie itp. w którym są dane (dane osobowe) pochodzące od twoich Klientów biznesowych. takim przykładem może być SaaS dla firm do wystawiania faktur i prowadzenia księgowości.
Co ważne proces musi też podlegać pod RODO, o czym więcej napisałem w innym artykule. Na potrzeby tego tekstu przyjąłem, że używamy RODO bo w procesie są dane osobowe.
Usługa dla siebie vs. usługa dla Klienta
Najważniejsza różnica jaką można zauważyć, jest ta, że korzystając z chmury wewnątrz własnej firmy czy organizacji to Ty (Twoja firma) odpowiada za ryzyko złamania RODO, natomiast gdy wykorzystuje cloud w usługach dla Klienta biznesowego to on ponosi ryzyko, dlatego według rozporządzenia o ochronie danych osobowych będziesz potrzebował zgody Klienta na wiele podejmowanych działań.
Dobór dostawcy cloudowego
Pierwszym krokiem, najbardziej oczywistym jest dobór dostawcy usług chmurowych. Przy czym w kontekście RODO będziesz szukał takiego dostawcy, który zagwarantuje Ci przestrzeganie RODO/GDPR, ponieważ dostawca będzie procesorem danych (podmiotem przetwarzającym).
art. 28 ust. 1.
Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Jeżeli Twój dostawca chmury ma pewne mankamenty, nie przestrzega prawa w zakresie RODO/GDPR to ty bierzesz na siebie ryzyko wszystkich ewentualnych problemów z tym związanych.
Jeśli natomiast usługę kierujesz do Klienta a u dostawcy są problemy z RODO lub nie sprawdziłeś czy przestrzega on rozporządzenia, musisz liczyć się z tym, że twój Klient wybierze przez to innego dostawcę lub zrezygnuje z twoich usług w trakcie współpracy powołując się właśnie na RODO.
Niestety co jakiś czas pojawiają się sytuacje gdy moi Klienci muszą zrezygnować z usług dostawcy usług.
CLOUD Act – problem z RODO
Amerykańska ustawa CLOUD Act bardzo mocno namieszała w kwestiach RODO w usługach chmurowych ponieważ sprawia, że amerykańskie firmy z tej branży nie mogą zostać uznane za przestrzegające RODO, jednocześnie nie można też powiedzieć, że je naruszają. Krótko omówię temat poniżej, na dłuższą analizę zapraszam do moje innego artykułu.
Obecnie CLOUD Act wisi w pewnej próżni – zgodnie z nią spółki z Ameryki muszą ujawniać dane zgromadzone w swojej infrastrukturze do służb z USA. Dotyczy to oczywiście największych graczy takich jak Microsoft z Azure, Google z Google Cloud czy Amazon z AWS.Problem w tym, że zgodnie z RODO dostawca chmury nie może ujawnić danych bez zgody Klienta. Dlatego dobierając dostawcę z Stanów Zjednoczonych musisz się liczyć z ryzykiem złamania RODO.
Przy czym na dzień dzisiejszy nie wiemy czy CLOUD Act będzie też dotyczyć spółek-córek, ponieważ to one działają w Europie – Microsoft czy Google mają spółki w Irlandii, które są formalnymi dostawcami usług dla firm z Unii Europejskiej. Jeżeli będzie to spółki z USA i ich spółki powiązane zostaną wykluczone przez RODO a twój Klient będzie miał prawo do zrezygnowania z twojej usługi lub zmusić cię do zmiany dostawcy.
Przy czym przy CLOUD Act sytuacja może się jeszcze zmienić.
Chmura tylko za zgodą Klienta
Żeby skorzystać z usług danego dostawcy chmurowego nie tylko musisz wybrać takiego, który przestrzega RODO, musisz także mieć zgodę Klienta, na konkretnego dostawcę lub po prostu na dostawców chmury, ale wtedy komunikujesz Klientowi kogo wybrałeś a on może wykluczyć dostawcę (zabronić ci korzystania z jego usług).
art. 28 ust. 2
Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
Umowa powierzenia w chmurze
Pomiędzy Tobą a dostawcą chmury musisz podpisać umowę powierzenia (DPA – Data Processing Agreement), przy czym w RODO jest zawarta konkretna lista co musi się znaleźć w takiej umowie. Niestety część dostawców tego nie przestrzega. jeśli chodzi o RODO w chmurze. Część dalej nie ma jej wcale a część ma DPA ale bez wszystkich elementów, które powinny być w umowie powierzenia.
Ponownie, jeśli realizujesz swój wewnętrzny projekt, to brak umowy powierzenia jest ryzykiem, które bierzesz na siebie.
Jeżeli w chmurze pojawią się dane od Klienta, to pomiędzy Tobą a Klientem powinna zostać podpisana taka umowa (możesz to zrobić w formie elektronicznej), jest to jednak obowiązek Klienta. Przy czym twoim obowiązkiem będzie zadbanie, żeby umowa powierzenia pomiędzy tobą a Klientem była kompatybilna z umową powierzenia pomiędzy Tobą a dostawcą chmury i jest to twój obowiązek o który musisz zadbać a jeżeli coś pójdzie nie tak to ty będziesz odpowiadał przed Klientem.
Najczęściej umowa powierzenia pomiędzy tobą a dostawcą chmury to wzór dostawcy. Więc w praktyce będziesz musiał dostosować umowę z Klientem do umowy z dostawcą a nie odwrotnie. Dlatego najlepiej byłoby napisać własną propozycję takiej umowy by Klient nie mógł ci zarzucić, że łamiesz umowę i RODO.
art. 28 ust. 4Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.
Gdzie jest chmura, pyta RODO
Jak by to nie zabrzmiało, RODO w chmurze to także kwestia gdzie znajdują się serwery. Upraszczając, mamy serwery w Unii lub poza Unią. I tak naprawdę, to że serwer znajduje się poza Unią nie jest czymś złym. Dokłada Ci to kilku obowiązków. Pamiętaj, że nawet jeśli firma jest z Unii ale ma serwery poza nią to te obowiązki też Cię dotyczą.
Jak wysłać chmurę poza Unię?
W zasadzie wysłanie danych poza UE to nie jest problem, musisz podpisać odpowiednie dokumenty, które są nazywane standardowymi klauzulami umownymi. I bez ich podpisania nie możesz skorzystać z serwera spoza Unii. Na marginesie zaznaczę, że nie jest to jedyny sposób ale ten jest najprostszy i najbardziej popularny.
Przy czym, jeżeli na tym serwerze znajdą się dane Klienta, to musisz mieć na to jego zgodę a właściwie jego polecenie (jeśli umowa powierzenia została napisana zgodnie z RODO). Warto na to uważać i dobrze ująć to w regulaminie lub umowie z Klientem. MongoDB wpisało do swoich dokumentów zgodę na taki transfer, czyli jeśli Twój Klient nie zgadza się wysłanie danych poza UE, nie powinieneś rozważać ich usługi.
Warto poszukać firm, które zapewniają trzymanie danych w Unii, np. Google ma usługę, która pozwala firmom decydować czy dane zostaną w Europie, czy też ją opuszczą. Niestety nie jest ona dostępna w każdym planie. Można też wybrać firmę, która nie ma data centere poza Unią.
Chmura poza UE
Cały mój wywód odnośnie RODO w chmurze i serwerów poza RODO to nie tylko kwestia zgody Klienta czy klauzul umownych. Nie jest to też kwestia rezygnacji przez Klienta jeśli nie wie o transferze Jeżeli wysyłasz dane poza UE to RODO wymusza by informować o tym ludzi.
Gdy trzymasz dane na serwerze poza Unią twoi Klienci, biznesowi (B2B) i konsumenccy (B2C) muszą zostać o tym poinformowani, i to dość szczegółowo. Co powoduje, że musisz zadbać o swoją politykę prywatności i inne komunikaty związane z RODO. Jeśli tego nie zrobisz złamiesz RODO.
Z kolei, jeżeli nie powiadomisz o takim transferze swojego Klienta to on złamie RODO a ty podpisaną z nim umowę powierzenia (DPA). Ponieważ Klient nie będzie w stanie przygotować odpowiednich informacji dla swoich klientów czy pracowników.
Podsumowując, nie ma w RODO przeciwwskazań do korzystania z chmury, trzeba po prosty spełnić odpowiednie wymogi. Główną kwestią na której warto się skupi to to, czy twoi docelowi Klienci zgodzą się na chmurę oraz transfer poza UE. Reszta to po prostu kwestia poświęcenia wysiłku na dostosowanie się do RODO.
TechPrawnik