Jak zabezpieczyć dane osobowe?

Jak zabezpieczyć dane osobowe?

[14.03.2013] Mimo szybkiego rozwoju usług cloud computingu, pozwalających na korzystanie z różnego rodzaju oprogramowania czy też aplikacji najczęściej za pośrednictwem sieci Internet, nadal nie rozwiązano jednoznacznie problematyki związanej z ochroną danych.

Trzeba mieć bowiem na uwadze, iż dane usługobiorców znajdują się w środowisku zewnętrznym. W takiej sytuacji pojawiają dwa podstawowe ryzyka – ujawnienia danych na skutek niewłaściwego zarządzania systemem oraz ataki hakerów. Obawy zatem o bezpieczeństwo danych przekazywanych dostawcy mogą być uzasadnione. W związku z tym należy zastanowić się, jakie obowiązki w tym zakresie spoczywać będą na stronach umowy o świadczenie usług cloud computingu.

Regulacje prawne

W państwach należących do Unii Europejskiej regulacje prawne dotyczące ochrony danych osobowych pojawiają się na dwóch płaszczyznach. Pierwszą z nich jest prawo wspólnotowe, czyli Dyrektywa 95/46/WE z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu ich danych (dalej jako: "Dyrektywa"). Drugą płaszczyzną będzie zaś prawo krajowe, a zatem oparta na tej Dyrektywie ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity: Dz.U. z 2002 r., Nr 101, poz. 926 – dalej jako: "UODO"). Pojęcia, którymi posługuje się Dyrektywa i UODO są co do zasady tożsame.

Podstawowe definicje i pojęcia

W pierwszym rzędzie wyjaśnić należy, czym są dane osobowe. Zgodnie z art. 6 UODO za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Za takie dane nie będą jednak uznane informacje, które co prawda pozwalają na zidentyfikowanie osoby, ale ich uzyskanie wymagałoby nadmiernych kosztów, czasu lub działań. Z kolei art. 27 UODO wprowadza także pojęcie danych "wrażliwych", które co do zasady nie mogą być przetwarzane. Należy mieć jednak świadomość, iż przeważnie w chmurze mogą znaleźć się także inne dane niż dane osobowe, np. tajemnice przedsiębiorstwa, know – how, które podlegać będą innym regulacjom prawnym. Dane osobowe mogą być przetwarzane, za co w świetle art. 7 ust. 1 pkt 2 uważa się: "jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych".

Dane osobowe mogą tworzyć zbiór danych, przez który stosownie do art. 7 ust. 1 pkt 1 UODO uważa się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

O celach i środkach przetwarzania danych osobowych zgodnie z art. 7 ust. 1 pkt 4 UODO decyduje administrator danych. W art. 31 ust. 1 UODO wprowadza zaś możliwość powierzenia przez administratora przetwarzania danych w drodze umowy innemu podmiotowi – przetwarzającemu.

Obowiązki administratora danych osobowych i przetwarzającego

Regulacja unijna oraz idąca w ślad za nią polska ustawa nakładają zdecydowanie więcej obowiązków na administratora danych osobowych. Wśród tych obowiązków wymienić należy chociażby zapewnienie by dane były: przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,  merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Ponadto na administratorze spoczywa także obowiązek notyfikacji odpowiedniemu organowi zamiaru przetwarzania danych.

Obowiązki przetwarzającego zostały określone w znacznie węższym zakresie, sprowadzając się w zasadzie do zapewnienia bezpieczeństwa danych. Powierzenie przetwarzania danych nadal nie zwalnia administratora z odpowiedzialności za ich bezpieczeństwo, gdyż zgodnie z art. 31 ust. 4 UODO: "W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową".

Różne określenie zakresu obowiązków nie jest bez znaczenia dla określenia odpowiedzialności obu podmiotów. Administrator może ponieść bowiem zarówno cywilną jak i w niektórych przypadkach także karną odpowiedzialność za naruszenie swych obowiązków. Przetwarzający zaś odpowiada za prawidłowe wykonanie umowy.

Jak odróżnić administratora danych osobowych od przetwarzającego?

Bez wątpienia skutki uznania danego podmiotu za administratora albo przetwarzającego są daleko idące – jak zatem rozróżnić te dwa podmioty? Na ogół przyjmuje się, że przy umowach cloud computingu administratorem jest usługobiorca, a dostawcą jest podmiotem przetwarzającym te dane. Pojawiają się jednak sytuacje, w których to usługodawca oprócz przetwarzania danych osobowych samodzielnie określa zasady i sposoby ich przetwarzania. Wówczas pojawia się pytanie, czy aby na pewno takiego dostawcę można uznać tylko za przetwarzającego?

W tym miejscu pewną wskazówką interpretacyjną może być opinia Grupy Roboczej nr 1/2010, gdzie wskazano, iż czynnikiem pozwalającym na przypisanie danemu podmiotowi statusu administratora danych jest samodzielność w zakresie określania celów przetwarzania danych.

Warto jednak zwrócić uwagę, iż na gruncie art. 31 ust. 1 UODO, który nakazuje określenie celu przetwarzania danych w samej już umowie o powierzeniu przetwarzania danych osobowych, powyższy pogląd raczej nie znajdzie zastosowania. Takie stanowisko wydaje się też potwierdzać Generalny Inspektor Ochrony Danych Osobowych w swojej decyzji z dnia 14 grudnia 2007 roku, DOLIS/DEC-2/440/07, w której wskazuje, iż: "Powierzenie przetwarzania danych dokonane przez administratora na podstawie umowy powierzenia, o której mowa w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), nie wymaga uzyskania zgody osoby, której dane dotyczą. Istotnym jest także, że działanie podmiotu, który powierzył dane nie zwalnia go z obowiązków nałożonych na niego ustawą o ochronie danych osobowych, bowiem w świetle przepisów wskazanego aktu prawnego, nie traci on przymiotu administratora danych".

Co zrobić, by w jak najlepszym stopniu zabezpieczyć dane osobowe?

Mając na względzie, iż przetwarzający odpowiada jedynie za prawidłowe wykonanie umowy powierzenia przetwarzania danych osobowych, najlepszym rozwiązaniem jest szczegółowe określenie obowiązków przetwarzającego. Wśród tych postanowień umownych znaleźć się powinny rozwiązania dotyczące m.in.: sposobów i trybu odzyskiwania danych w przypadku awarii systemu, metod ochrony danych, zapewnienia możliwości dostępu do danych, odzyskiwanie danych po zakończeniu współpracy, zabezpieczeń technicznych. Istotne jest także, by zastrzec w umowie, iż prawo własności danych osobowych przysługuje usługobiorcy, a dostawca nie ma prawa do ich wykorzystywania. Przygotowanie takiej umowy niejednokrotnie wymagać będzie wiedzy specjalistycznej, nie mniej jednak warto po taką pomoc sięgnąć, gdyż skutki naruszenia obowiązków wynikających z UODO mogą być bardzo dotkliwe.

autor:
aplikant radcowski Dorota Adamowicz, Kancelaria Nowosielski, Gotkowicz i Partnerzy – Adwokaci i Radcy Prawni z Gdańska

Treści dostarcza: Kancelaria Nowosielski Gotkowicz i Partnerzy – Adwokaci i Radcy Prawni

Oceń ten artykuł: