Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Użytkownik a dostawca chmury

02-06-2020 Autor: Łukasz Pociecha

Doświadczenie pokazuje, że w znacznej części przypadków przetwarzanie w chmurze obliczeniowej dotyczy danych osobowych kluczowych dla organizacji, takich jak: dane osobowe klientów, pracowników, ale również informacji stanowiących tajemnicę przedsiębiorstwa.

 

Rosnące znaczenie chmury obliczeniowej zauważają krajowe organy nadzorcze, czego rezultatem są np. rekomendacje zawarte w komunikacie Komisji Nadzoru Finansowego (dalej: KNF) z 23 stycznia 2020 r. dotyczące przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Problematyka przetwarzania danych osobowych w chmurze obliczeniowej została dostrzeżona także przez poprzedni organ ochrony danych osobowych (GIODO), który przygotował dokument pod nazwą Dekalog Chmuroluba. Mimo że przywołane dokumenty dedykowane są konkretnym grupom podmiotów, to mogą być one pomocne dla każdego przedsiębiorcy, który zdecyduje się na korzystanie z usług chmurowych.

 

Rola użytkownika i dostawcy chmury obliczeniowej

 

W ramach dostarczanych usług chmurowych użytkownik może nie mieć większego wpływu na wykorzystywane przez dostawcę środki techniczne i organizacyjne służące do prawidłowego funkcjonowania usługi chmurowej. Zadanie użytkownika sprowadza się do podjęcia samej decyzji o organizacji procesu przetwarzania danych w ramach chmury obliczeniowej, z czym związane jest oddelegowanie konkretnych operacji przetwarzania do podmiotu zewnętrznego. Do jakiej grupy podmiotów zaliczymy zatem użytkownika i dostawcę chmury obliczeniowej na gruncie przepisów rodo?

Zgodnie ze stanowiskiem Grupy Roboczej art. 29, zawartym w opinii 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”, administrator podejmuje najważniejsze decyzje w zakresie przetwarzania, ustalając:

  •     jakiego rodzaju dane się przetwarza;
  •     jak długo dane będą przetwarzane;
  •     jakie osoby trzecie mają dostęp do tych danych;
  •     kiedy usuwa się dane;
  •     kto ma dostęp do danych.

To użytkownik chmury podejmuje ostatecznie decyzję o przydzieleniu poszczególnych operacji do przetwarzania w ramach chmury obliczeniowej, ustalając jednocześnie wcześniej przywołane kwestie. Oznacza to, że użytkownik będzie pełnił funkcję administratora danych osobowych przekazanych do przetwarzania w chmurze obliczeniowej. Według Grupy Roboczej art. 29 zawartej w opinii 1/2010 administrator może pozostawić podmiotowi przetwarzającemu decyzję w zakresie stosowanych środków technicznych i organizacyjnych. Sam fakt, że dostawca usługi chmurowej ma decydujący wpływ na stosowane w ramach usługi chmurowej środki przetwarzania danych, nie czyni go jeszcze administratorem tych danych. W związku z tym dostawca chmury obliczeniowej będzie podmiotem przetwarzającym w rozumieniu rodo.

 

Uregulowanie relacji między użytkownikiem a dostawcą chmury obliczeniowej

 

W tym miejscu materializuje się obowiązek użytkownika określony w art. 28 ust. 1 oraz ust. 3 rodo. Użytkownik (administrator) na podstawie zawartej umowy powierzenia powinien korzystać jedynie z usług takiego podmiotu przetwarzającego (dostawcy usługi chmury obliczeniowej), który gwarantuje stosowanie środków zapewniających przetwarzanie danych zgodnie z rodo. Na niezbędność uregulowania omawianej relacji we wspomnianym wcześniej zakresie zwrócono uwagę już w opinii Grupy Roboczej art. 29 z 1 lipca 2012 r. 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej. W dokumencie tym podkreślono potrzebę szczegółowej analizy ryzyka związanego z przetwarzaniem danych osobowych w chmurze oraz konieczność wyboru takiego dostawcy usługi, który gwarantuje zgodność z ustawodawstwem UE dotyczącym ochrony danych.

Punktem wyjścia do weryfikacji postanowień umowy świadczenia usług chmury obliczeniowej powinien być dokument opublikowany przez GIODO w marcu 2013 r. zwany Dekalogiem Chmuroluba. Określa on 10 podstawowych zasad, które powinny zostać uwzględnione przy korzystaniu z usługi chmurowej. Poza kwestiami pokrywającymi się z wymogami przywołanego art. 28 ust. 3 rodo.

 

[...]

 

Autor jest ekspertem ds. danych osobowych, współpracuje z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych, pracuje w ODO 24 sp. z o.o.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.