Chmura obliczeniowa (cloud) , a przepisy o ochronie danych osobowych.

Chmura obliczeniowa bardzo popularne rozwiązanie stosowane obecnie przez wiele firm. Dostawcy tej usługi oferują rożne rozwiązania, w tym najpopularniejsze IaaS (Infrastructure as a Service) czyli udostępnienie online przestrzeni dyskowej oraz SaaS (Software as a Service) czyli udostępnienie oprogramowania pracującego w chmurze i dostępnego zdalnie, bez konieczności jego instalacji na urządzeniu końcowym. Z korzystaniem z tych rozwiązań związane jest przetwarzanie danych osobowych, które firmy w nich umieszczają.

Dostawcy tych usług z reguły działają globalnie tak, więc wykupienie usługi odbywa się na odległość. W praktyce poprzez wykupienie subskrypcji i akceptację regulaminu usługi wraz z zapisami o przetwarzaniu danych osobowych. Zapisy te mówią o zasadach powierzenia przetwarzania danych i zawierają elementy, o których mowa w art. 28 Rodo. Wykupując usługę i akceptując treść w/w dokumentów klient akceptuje te zapisy, które nie podlegają negocjacjom. Z reguły w przypadku wątpliwości dostawcy usług udostępniają dane kontaktowe do Inspektora Ochrony Danych lub data center, gdzie klient ma możliwość kontaktu.

Istotne jest jednak to aby administrator danych, a więc firma, która zdecyduje się na wykupienie usług chmury przeanalizowała zapisy regulaminu dostawcy dotyczące powierzenia przetwarzania mu danych osobowych. Analizy należy dokonać pod kątem art. 28 Rodo. Jest kilka kwestii, które należy ustalić zanim wykupimy usługę. Należą do nich:

- zakres przetwarzanych danych;

- cele przetwarzania danych, w szczególności zwrócić należy uwagę na cele dodatkowe takie jak statystyczne, marketingowe, uzasadniony interes administratora;

- lokalizacja serwera lub serwerów dostawcy, w szczególności czy znajdują się one na terenie UE czy w państwie trzecim;

-informacje o transferze danych poza obszar UE, w szczególności zwrócić uwagę należy do jakiego państwa;

-informacja na temat dalszych podmiotów przetwarzających;

- jaki jest zakres odpowiedzialności dostawcy usługi chmury;

Pamiętajmy, że powierzając przetwarzanie danych osobowych administrator zobowiązany jest dokonać weryfikacji podmiotu, któremu dane będzie powierzał. Ponadto na administratorze spoczywa obowiązek przeprowadzenia oceny ryzyka naruszenia danych. Od jej wyniku zależy jakie środki ochrony administrator powinien wdrożyć.