Obowiązek informacyjny rodo

10 cze 2014

Przetwarzanie danych w chmurze – cz. 1


Przede wszystkim należy zauważyć, iż nie ma jednolitej definicji cloud computingu (chmury obliczeniowej). Próba określenia tego wyrażenia jest podejmowana na drodze dyskusji, zamieszczenia uwag w różnego rodzaju poradnikach a także w literaturze prawniczej. Można przyjąć, że chmura obliczeniowa to model przetwarzania danych oparty na oprogramowaniu oraz infrastrukturze informatycznej.

Najczęściej zasada działania polega na przeniesieniu ciężaru świadczenia usług na wyspecjalizowany podmiot trzeci. Organizacje w swojej działalności przetwarzają różne rodzaje danych. Jednymi z nich są dane osobowe, które podlegają szczególnym regulacjom prawnym. Dlatego też Ci, którzy zdecydują się na przetwarzanie danych w chmurze muszą pamiętać, aby odróżnić tzw. zwykłe dane od danych będących danymi osobowymi, gdyż wspomniane regulacje znajdą również zastosowanie w przypadku przetwarzania danych osobowych w chmurze.

Legalność przetwarzania danych osobowych zapewni nam zgodność z ustawą z dnia 29 sierpnia 1997r. o ochronie danych. Możemy korzystać również ze wskazówek i rekomendacji grupy roboczej art. 29 oraz poradników wydawanych przez GIODO. Główny problem związany z przetwarzaniem danych osobowych w chmurze dotyczy możliwości sprawowania kontroli przez organizację będącą administratorem nad danymi osobowymi przetwarzanymi w chmurze. Dotyczy to zarówno dostępu do danych innych podmiotów, udostępniania danych na podstawie przepisów prawa, którym związany jest dostawca usługi ale – co najważniejsze – miejsca gdzie dane będą przetwarzane. Jeżeli organizacja nie spełnia wymogów nałożonych przez ustawę w przypadku przekazywania danych poza Europejski Obszar Gospodarczy (EOG), musi liczyć się odpowiedzialnością wynikającą z art. 52 ustawy.

Rozwiązań powyższej sytuacji jest co najmniej kilka, przy czym wybór modelu chmury, w którym zamierzamy przetwarzać dane warto rozpocząć od rodzajów chmur. Cechami charakterystycznymi rozwiązań chmurowych są: szeroki dostęp do usług, błyskawiczna elastyczność, mierzalne usługi, możliwość bezpośredniego zarządzania usługami oraz agregacja zasobów.

Rozróżniamy trzy podstawowe rodzaje chmur:
a. prywatne (ang. private cloud) – to rodzaj chmur stanowiących część organizacji, uruchamiane i zarządzane w środowisku organizacji,
b. publiczne (ang. public cloud) – to rodzaj chmur, które są dostarczane przez zewnętrznego dostawcę,
c. hybrydowe (ang. hybrid) – to połączenie chmury prywatnej i publicznej, gdzie część pracuje w środowisku organizacji a część w środowisku publicznym.
Już z powyższego można wywnioskować, że przetwarzanie danych osobowych i większości zasobów organizacji w całości oparte o model publiczny może nieść ze sobą wysokie ryzyko i mały wpływ na dostawcę takiej usługi.

W zakresie modeli chmury obliczeniowej najczęściej spotykanymi są:
a. Software as a Service (SaaS) – organizacja korzysta z aplikacji umieszczonych w chmurze. Kontrola podstawowej infrastruktury, w tym również zasobów sieciowych, serwerów, systemów i składowania danych znajduje się w kompetencjach i odpowiedzialności dostawcy.
b. Platform as a Service (PaaS) – cechą charakterystyczną jest umożliwienie instalacji własnych aplikacji i systemów w infrastrukturze dostawcy.
c. Infrastructure as a Service (IaaS) – cechą charakterystyczną jest dostarczanie podstawowych zasobów obliczeniowych, sieciowych, przechowywania danych i innych. W tym modelu istnieje możliwość instalowania i uruchamiania dowolnego oprogramowania.
Tak ułożone modele tworzą stos nazywany w skrócie SPI (S>P>I), w którym im niżej stosu dostawca dostarcza usługę tym organizacja jest w większym stopniu odpowiedzialna za zarządzanie ryzykiem i zabezpieczeniem środowiska. Można również umownie przyjąć, że odpowiedzialność dostawcy i organizacji w modelu IaaS kształtuje się w stosunku 50/50, w modelu PaaS odpowiedzialność dostawcy wzrasta aby w modelu SaaS osiągnąć najwyższy poziom, pozostawiając po stronie organizacji odpowiedzialność tylko za interfejs użytkownika.

W następnej części artykułu przybliżone zostaną podstawowe zasady planowania przejścia w chmurę oraz wyboru dostawcy.