Korzystanie z „chmury” a RODO – podstawowe zasady
Korzystanie z „chmur” do przechowywania danych staje się coraz popularniejszym rozwiązaniem – przede wszystkim ze względu na wygodę wynikającą z tego rodzaju technologii. Mogą po nie sięgać zarówno urzędy jak i przedsiębiorcy. Trzeba jednak wybierać bezpieczne rozwiązania – zwłaszcza w zakresie ochrony danych.
Rozwój technologii powoduje możliwość załatwiania coraz większej ilości spraw – zarówno w sferze publicznej, jak i prywatnej – za pośrednictwem internetu. To z kolei rodzi konieczność wdrożenia odpowiednich systemów. Nierzadko podmioty publiczne czy przedsiębiorcy przy wdrażaniu nowoczesnych technologii chcą skorzystać z „chmur”, pozwalających na wygodne przechowywanie nawet dużych ilości danych. Rozwiązanie to jest jak najbardziej legalne – pod warunkiem jednak spełnienia określonych standardów, zwłaszcza w sferze bezpieczeństwa.
„Chmura” jest dopuszczalna – w firmie i w urzędzie
Cyfryzacja jest poważnym wyzwaniem – zarówno dla sektora publicznego, jak i prywatnego. Wynika to m.in. z faktu, że klienci coraz częściej oczekują możliwości załatwiania różnego rodzaju spraw przez Internet, a więc bez wychodzenia z domu. To z kolei otwiera konieczność wdrożenia odpowiedniego oprogramowania, a nierzadko także przechowywania sporych ilości różnego rodzaju danych. Tu zaś – z technologicznego punktu widzenia – przeważnie pojawiają się dwa rozwiązania: budowa własnego serwera, bądź korzystanie z „chmur” do przechowywania danych. Przy czym druga z tych możliwości jest po prostu wygodniejsza, a nierzadko wiąże się także z mniejszymi kosztami. Czy jednak takie rozwiązanie jest legalne?
Odpowiadając na to pytanie należy pamiętać, że – zwłaszcza z punktu widzenia podmiotów realizujących zadania publiczne – kluczowym źródłem przepisów regulujących kwestie wykorzystywania nowoczesnych technologii jest ustawa z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne oraz wydane do niej rozporządzenia. Z punktu widzenia tych przepisów kluczową kwestią jest tzw. interoperacyjność systemów, a więc – zgodnie z art. 3 pkt 18 – ich zdolność różnych podmiotów oraz używanych przez nie systemów teleinformatycznych i rejestrów publicznych do współdziałania na rzecz osiągnięcia wzajemnie korzystnych i uzgodnionych celów.
Chodzi tu – mówiąc w uproszczeniu – o to, że tego rodzaju systemy muszą mieć możliwość współdziałania z powszechnie dostępnym oprogramowaniem. To w jaki sposób technicznie taka interoperacyjność zostanie osiągnięta jest sprawą drugorzędną, a oparcie wybranych rozwiązań o „chmurę” jest jak najbardziej dopuszczalne.
Czym jest „chmura”?
Zresztą wskazuje na to praktyka – zwłaszcza rządowa. Otóż na mocy uchwały Rady Ministrów z września 2019 r. powołano Inicjatywę „Wspólna Infrastruktura Informatyczna Państwa”, której jednym z celów jest zapewnienie podmiotom administracji publicznej możliwości nabywania usług przetwarzania w publicznych chmurach obliczeniowych. W akcie tym wskazano na następujące rodzaje „chmur”:
- chmurę hybrydową;
- chmurę obliczeniową;
- chmurę prywatną;
- chmurę publiczną;
- chmurę wspólnotową.
Korzystający z tego rodzaju rozwiązań zawsze musi zadbać o to, aby spełniały one standardy bezpieczeństwa, zwłaszcza w zakresie uniemożliwienia dostępu do danych gromadzonych w chmurze przez osoby nieuprawnione. Ma tu kluczowe znaczenie zwłaszcza z punktu widzenia przepisów RODO.
Jak wybrać technologię? Liczy się zwłaszcza RODO
Każdy, kto zdecyduje się na oferowanie usług opartych na „chmurze” powinien pamiętać przede wszystkim o tym, że:
- chmura musi zapewnić pełne bezpieczeństwo danych – a więc uniemożliwiać dostęp do nich przez osoby nieuprawnione;
- dane muszą zachować swoją integralność – a więc nie być zmieniane, poza przypadkami przewidzianymi przez prawo;
- o ile jest to dopuszczalne przez prawo ten, kogo dane dotyczą powinien mieć możliwość dostępu do danych, ich poprawiania bądź wycofania swojej zgody na ich przetwarzanie.
W ostatniej z wymienionych tu kwestii trzeba pamiętać o tym, że prawo to nie ma charakteru nieograniczonego – zwłaszcza wówczas, gdy dane osobowe zostały zebrane w toku działalności organów władzy publicznej. W takich wypadkach niekiedy wręcz nie mogą one ulec żadnym modyfikacjom czy zostać usunięte z systemów, a w tym z „chmur”.
Podstawa prawna:
- ustawa z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jedn. Dz.U. 2021 r., poz. 2070)
- uchwała nr 97 Rady Ministrów z 11 września 2019 r. w sprawie Inicjatywy „Wspólna Infrastruktura Informatyczna Państwa” (Monitor Polski z 24 września 2019 r., poz. 862)