Korzystanie z „chmury” a RODO – podstawowe zasady

Korzystanie z „chmur” do przechowywania danych staje się coraz popularniejszym rozwiązaniem – przede wszystkim ze względu na wygodę wynikającą z tego rodzaju technologii. Mogą po nie sięgać zarówno urzędy jak i przedsiębiorcy. Trzeba jednak wybierać bezpieczne rozwiązania – zwłaszcza w zakresie ochrony danych.

Rozwój technologii powoduje możliwość załatwiania coraz większej ilości spraw – zarówno w sferze publicznej, jak i prywatnej – za pośrednictwem internetu. To z kolei rodzi konieczność wdrożenia odpowiednich systemów. Nierzadko podmioty publiczne czy przedsiębiorcy przy wdrażaniu nowoczesnych technologii chcą skorzystać z „chmur”, pozwalających na wygodne przechowywanie nawet dużych ilości danych. Rozwiązanie to jest jak najbardziej legalne – pod warunkiem jednak spełnienia określonych standardów, zwłaszcza w sferze bezpieczeństwa.

„Chmura” jest dopuszczalna – w firmie i w urzędzie

Cyfryzacja jest poważnym wyzwaniem – zarówno dla sektora publicznego, jak i prywatnego. Wynika to m.in. z faktu, że klienci coraz częściej oczekują możliwości załatwiania różnego rodzaju spraw przez Internet, a więc bez wychodzenia z domu. To z kolei otwiera konieczność wdrożenia odpowiedniego oprogramowania, a nierzadko także przechowywania sporych ilości różnego rodzaju danych. Tu zaś – z technologicznego punktu widzenia – przeważnie pojawiają się dwa rozwiązania: budowa własnego serwera, bądź korzystanie z „chmur” do przechowywania danych. Przy czym druga z tych możliwości jest po prostu wygodniejsza, a nierzadko wiąże się także z mniejszymi kosztami. Czy jednak takie rozwiązanie jest legalne?

Odpowiadając na to pytanie należy pamiętać, że – zwłaszcza z punktu widzenia podmiotów realizujących zadania publiczne – kluczowym źródłem przepisów regulujących kwestie wykorzystywania nowoczesnych technologii jest ustawa z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne oraz wydane do niej rozporządzenia. Z punktu widzenia tych przepisów kluczową kwestią jest tzw. interoperacyjność systemów, a więc – zgodnie z art. 3 pkt 18 – ich zdolność różnych podmiotów oraz używanych przez nie systemów teleinformatycznych i rejestrów publicznych do współdziałania na rzecz osiągnięcia wzajemnie korzystnych i uzgodnionych celów.

Chodzi tu – mówiąc w uproszczeniu – o to, że tego rodzaju systemy muszą mieć możliwość współdziałania z powszechnie dostępnym oprogramowaniem. To w jaki sposób technicznie taka interoperacyjność zostanie osiągnięta jest sprawą drugorzędną, a oparcie wybranych rozwiązań o „chmurę” jest jak najbardziej dopuszczalne.

Czym jest „chmura”?

Zresztą wskazuje na to praktyka – zwłaszcza rządowa. Otóż na mocy uchwały Rady Ministrów z września 2019 r. powołano Inicjatywę „Wspólna Infrastruktura Informatyczna Państwa”, której jednym z celów jest zapewnienie podmiotom administracji publicznej możliwości nabywania usług przetwarzania w publicznych chmurach obliczeniowych. W akcie tym wskazano na następujące rodzaje „chmur”:

  • chmurę hybrydową;
  • chmurę obliczeniową;
  • chmurę prywatną;
  • chmurę publiczną;
  • chmurę wspólnotową.

Korzystający z tego rodzaju rozwiązań zawsze musi zadbać o to, aby spełniały one standardy bezpieczeństwa, zwłaszcza w zakresie uniemożliwienia dostępu do danych gromadzonych w chmurze przez osoby nieuprawnione. Ma tu kluczowe znaczenie zwłaszcza z punktu widzenia przepisów RODO.

Jak wybrać technologię? Liczy się zwłaszcza RODO

Każdy, kto zdecyduje się na oferowanie usług opartych na „chmurze” powinien pamiętać przede wszystkim o tym, że:

  • chmura musi zapewnić pełne bezpieczeństwo danych – a więc uniemożliwiać dostęp do nich przez osoby nieuprawnione;
  • dane muszą zachować swoją integralność – a więc nie być zmieniane, poza przypadkami przewidzianymi przez prawo;
  • o ile jest to dopuszczalne przez prawo ten, kogo dane dotyczą powinien mieć możliwość dostępu do danych, ich poprawiania bądź wycofania swojej zgody na ich przetwarzanie.

W ostatniej z wymienionych tu kwestii trzeba pamiętać o tym, że prawo to nie ma charakteru nieograniczonego – zwłaszcza wówczas, gdy dane osobowe zostały zebrane w toku działalności organów władzy publicznej. W takich wypadkach niekiedy wręcz nie mogą one ulec żadnym modyfikacjom czy zostać usunięte z systemów, a w tym z „chmur”.

Podstawa prawna: