Sezon wakacyjny dobiega końca, więc czas zacząć znowu stąpać twardo po ziemi. Niektórym jednak sen z powiek mogą spędzać chmury. Nie mam jednak na myśli pogody, a usługi zwane „chmurowymi”, czyli polegające na zapewnieniu odpowiedniej infrastruktury do przetwarzania danych, w tym ich przechowywania.W związku z COVID-19 wielu pracodawców zdecydowało się umożliwić pracownikom wykonywanie pracy zdalnej, w związku z czym, pojawił się problem sposobu przesyłania plików pomiędzy pracownikami, choć to tylko jedno z wielu możliwych zastosowań chmury. W związku z tym coraz częściej zaczęło pojawiać się pytanie, czy takie rozwiązanie jest dozwolone z punktu widzenia ochrony danych osobowych?

Odpowiadamy: tak, ale…

Co do zasady RODO nie zabrania przetwarzania danych osobowych w chmurze. Nie ma w tym zakresie również żadnych szczególnych wymogów. Należ spełnić ogólne obowiązki ochrony danych osobowych, jak przy każdej innej decyzji dotyczącej przetwarzania danych.

Wybór dostawcy usług chmurowych

Przede wszystkim istotny jest etap wyboru podmiotu przetwarzającego. Musi on zapewniać wdrożenie odpowiednich środków organizacyjnych i technicznych gwarantujących bezpieczeństwo danych. Przy wyborze należy również zwrócić uwagę, czy w ramach przetwarzania dane będą przekazywane do państw trzecich, co w przypadku usług chmurowych jest wysoce prawdopodobne. W przypadku stwierdzenia, że może dojść do przetwarzania danych w państwie trzecim będą musiały zostać spełnione warunki wymienione w rozdziale V RODO. Jednym z takich warunków jest stwierdzenie przez Komisję, że państwo, terytorium lub określony sektor lub określone sektory w państwie, do którego dane będą przekazywane lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. W przypadku braku oceny Komisji, konieczne będzie zapewnienie odpowiednich zabezpieczeń, przy czym będą musiały obowiązywać egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. W przeciwnym wypadku konieczne może się okazać uzyskanie zgody organu nadzorczego.

W razie braku spełnienia powyższych warunków wybór usług chmurowych obejmujących przetwarzanie danych osobowych w państwach trzecich może nastąpić m.in. pod warunkiem, że:

• osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;
• przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;
• przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
• przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
• przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.

Jeżeli żaden z wymienionych powyżej warunków nie zajdzie przekazanie do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie, gdy przekazanie nie jest powtarzalne, dotyczy tylko ograniczonej liczby osób, których dane dotyczą, jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą a administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych. Administrator będzie w takim przypadku zobowiązany do poinformowania organu nadzorczego o przekazaniu, a osoby, której dane dotyczą o przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych przez niego.

Umowa o usługi chmurowe

Mając powyższe na uwadze należałoby dążyć do wyboru takiego usługodawcy, który zapewni, że dane będą przetwarzane wyłącznie na terytoriach niebędących terytoriami państw trzecich w rozumieniu RODO. Warto więc dokładnie zapoznać się z regulaminem świadczonych usług. Może bowiem zdarzyć się, że wprawdzie usługodawca da nam możliwość wyboru serwerów zlokalizowanych w Unii, ale dla określonych celów będą mogły być przetwarzane na serwerach w państwie trzecim. Zagadnienie to jest szczególnie ważne w świetle niedawnego wyroku Trybunału Sprawiedliwości Unii Europejskiej (sprawa zwana potocznie Schrems II), o której pisałam w swoim poprzednim artykule (link) który to wyrok znacząco oddziałuje na legalność przekazywania danych osobowych do Stanów Zjednoczonych.

Poza tym należy zawrzeć z podmiotem świadczącym usługi chmurowe umowę powierzenia przetwarzania danych osobowych, której treść powinna odpowiadać wymogom RODO. Nie musi to być jednak oddzielna umowa. Wszystkie wymagane przez przepisy elementy mogą być zawarte w treści umowy głównej (umowy o świadczenie usług chmurowych). Warto również zwrócić uwagę czy usługodawca będzie przetwarzał dane wgrane do chmury do własnych celów.

Umowa to nie wszystko

Pamiętać należy, że odpowiednie zabezpieczenia powinny być zastosowane nie tylko w samej usłudze chmurowej, ale również podczas przekazywania danych do chmury. Warto również mieć kopię zapasową przekazanych danych.

Przetwarzanie danych w chmurze wiązało się będzie ze zmianą w ryzyku, a więc konieczna będzie aktualizacja rejestru czynności przetwarzania lub kategorii czynności przetwarzania oraz przeprowadzenia analizy ryzyka. Nowy podmiot przetwarzający, a więc nowego odbiorcę danych (lub nową kategorię odbiorców) trzeba będzie również uwzględnić w obowiązkach informacyjnych kierowanych do osób, których dane będą przetwarzane w chmurze.

Podsumowanie

Przetwarzanie danych w chmurze jest więc jak najbardziej legalne, ale wybór oraz regulacja stosunków z podmiotem świadczącym usługi powinny być przemyślane i świadome. Nie jest to jednak sytuacja wyjątkowa. Każdy przedsiębiorca wie, że dotyczy to wszystkich kontrahentów – nieuwaga może bowiem wiele kosztować.