GR art. 29 o przetwarzaniu danych w chmurze

1 lipca 2012 r. Grupa Robocza Art. 29 przyjęła Opinię 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej (czyli w ramach cloud computing). Na stronie Generalnego Inspektora Ochrony Danych Osobowych opublikowano tłumaczenie tej opinii.

Materiały opublikowane na stronach GIODO obejmuja Oświadczenie prasowe z 1.07.2012 r. oraz Tekst Opinii (tłumaczenie nieoficjalne). Opinia zawiera się na 40 stronach. Przywołam poniżej jedynie "listę kontrolną", czyli "Wytyczne dla klientów i dostawców usług przetwarzania danych w chmurze", które znalazły sie na końcu opinii:

- Relacja administrator-przetwarzający: Niniejsza opinia koncentruje się na relacji klient-dostawca jako relacji administrator-przetwarzający; (patrz punkt 3.3.1); Niemniej konkretne okoliczności wskazują, że mogą istnieć sytuacje, gdy dostawca usługi w chmurze również działa jako administrator, np. gdy dostawca ponownie przetwarza dane osobowe do własnych celów. W takim przypadku dostawca usługi w chmurze ponosi pełną (wspólną) odpowiedzialność za przetwarzanie i musi spełnić zobowiązania prawne określone w dyrektywach 95/46/WE oraz 2002/58WE (gdy to właściwe);

- Odpowiedzialność klienta usługi w chmurze jako administratora: Klient jako administrator musi przyjąć odpowiedzialność za przestrzeganie przepisów w zakresie ochrony danych i podlega wszystkim zobowiązaniom prawnym wskazanym w dyrektywie 95/46/WE i 2002/58/WE, gdy to właściwe, w szczególności względem osób, których dane dotyczą (patrz 3.3.1). Klient powinien wybrać dostawcę usługi w chmurze, który gwarantuje zgodność z przepisami w zakresie ochrony danych, co odzwierciedlają odpowiednie zabezpieczenia umowne podsumowane poniżej;

- Zabezpieczenia w przypadku powierzenia: Przepisy dla podmiotów, którym podpowierzono realizację usług, powinny być przewidziane w każdej umowie miedzy dostawcą usługi w chmurze i jej klientami. Umowa powinna określać, że podprzetwarzającym można powierzyć realizację usług tylko na podstawie zgody, która generalnie może być udzielona przez administratora zgodnie z wyraźnym obowiązkiem przetwarzającego do informowania administratora o wszelkich planowanych zmianach w tym względzie, przy czym administrator przez cały czas zachowuje możliwość wyrażenia sprzeciwu wobec takich zmian lub rozwiązania umowy. Powinien istnieć wyraźny obowiązek w przypadku dostawcy usługi w chmurze do wskazania wszystkich podmiotów, którym podpowierzono usługi. Dostawca usługi w chmurze powinien podpisać umowę z każdym takim podmiotem, odzwierciedlającą postanowienia swojej umowy z klientem usługi w chmurze; klient powinien zadbać o to, że będzie miał umowne możliwości dochodzenia roszczeń w przypadku naruszeń umowy przez podmioty, którym dostawca podpowierzył usługi (patrz 3.3.2);

- Przestrzeganie podstawowych zasad ochrony danych:

• Przejrzystość (patrz 3.4.1.1): dostawcy usług w chmurze powinni informować klientów tych usług o wszystkich istotnych aspektach (dotyczących ochrony danych) odnoszących się do ich usług podczas negocjacji umowy; w szczególności klientów należy poinformować o wszystkich podmiotach, którym podpowierzono realizację usługi i którzy przyczyniają się do świadczenia określonej usługi w chmurze, oraz o wszystkich lokalizacjach, w których dane mogą być przechowywane lub przetwarzane przez dostawcę usługi w chmurze i/lub podmioty, którym podpowierzył usługi (szczególnie gdy niektóre lub wszystkie lokalizacje znajdują się poza Europejskim Obszarem Gospodarczym (EOG)); klientowi należy zapewnić zrozumiałe informacje na temat środków technicznych i organizacyjnych wdrożonych przez dostawcę; klient w ramach dobrych praktyk powinien przekazać osobom, których dane dotyczą, informacje na temat dostawcy usługi w chmurze i wszystkich podmiotów, którym podpowierzył jej realizację (o ile takie podmioty istnieją), jak również na temat lokalizacji, w których dane mogą być przechowywane lub przetwarzane przez dostawcę usługi i/lub podmiotów, którym podpowierzył realizację usług;
• Określenie i ograniczenie celu (3.4.1.2): klient powinien zapewnić zgodność z zasadami określenia i ograniczenia celu oraz zadbać o to, aby żadne dane nie były przetwarzane do innych celów przez dostawcę ani którykolwiek z podmiotów, którym podpowierzył realizację usługi. Zobowiązania w tym zakresie powinny zostać ujęte w odpowiednich środkach umownych (w tym zabezpieczenia techniczne i organizacyjne);
• Zatrzymywanie danych (3.4.1.3): klient jest odpowiedzialny za zapewnienie, aby dane osobowe zostały usunięte (przez dostawcę i wszystkie podmioty, którym podpowierzył usługi) ze wszystkich miejsc, w których są przechowywane, jak tylko nie będą już niezbędne do określonych celów; w umowie powinny być przewidziane bezpieczne mechanizmy usuwania (zniszczenie, rozmagnetyzowanie, nadpisanie);

- Zabezpieczenia umowne (patrz 3.4.2, 3.4.3 i 3.5);

• Ogólnie: umowa z dostawcą (oraz umowy, które mają być ustanowione między dostawcą i podmiotami, którym podpowierzono realizację usług) powinna zapewniać wystarczające gwarancje pod względem technicznych środków bezpieczeństwa i środków organizacyjnych (na mocy art. 17 ust. 2 dyrektywy) oraz powinna być sporządzona na piśmie lub w innej równoważnej formie. Umowa powinna przedstawiać instrukcje/wskazówki klienta dla dostawcy, w tym przedmiot i ramy czasowe usługi, cel i wymierne poziomy usługi oraz właściwe sankcje (finansowe lub inne); powinna określać środki bezpieczeństwa, które należy zapewnić stosownie do zagrożeń przetwarzania, oraz charakteru danych, zgodnie z wymogami wskazanymi poniżej oraz z bardziej rygorystycznymi środkami przewidzianymi w prawie krajowym klienta; gdy dostawcy usług w chmurze dążą do wykorzystania standardowych warunków umownych, powinni zapewnić, że warunki te będą zgodne z wymogami w zakresie ochrony danych (patrz 3.4.2); w szczególności w konkretnych warunkach należy określić środki techniczne i organizacyjne wprowadzone przez dostawcę;
• Dostęp do danych: tylko upoważnione osoby powinny mieć dostęp do danych; w umowie powinna być zawarta klauzula poufności w odniesieniu do dostawcy i jego pracowników;
• Udostępnianie danych stronom trzecim: powinno być ono uregulowane umową, która powinna zawierać obowiązek po stronie dostawcy do wskazania wszystkich podmiotów, którym podpowierzył realizację usługi – np. w publicznym rejestrze cyfrowym – oraz do zapewnienia klientowi dostępu do informacji o wszelkich zmianach w celu umożliwienia mu wyrażenia sprzeciwu wobec tych zmian lub do rozwiązania umowy; umowa powinna również wymagać od dostawcy zgłaszania wszelkich prawnie wiążących wniosków o udostępnienie danych osobowych przez organ egzekwowania prawa, o ile takie udostępnienie nie jest zakazane w inny sposób; klient powinien zagwarantować, że dostawca odrzuci wszelkie wnioski o udostępnienie niewiążące prawnie;
• Zobowiązania do współpracy: klient powinien zapewnić, aby dostawca był zobowiązany do współpracy w związku z prawem klienta do monitorowania operacji przetwarzania, do ułatwiania realizacji praw osób, których dane dotyczą, do dostępu do/poprawiania/usuwania ich danych, oraz (gdy to właściwe) do powiadamiania klienta usługi w chmurze o wszelkich naruszeń ochrony danych mających wpływ na dane klienta;
• Transgraniczne przekazywanie danych: Klient usługi w chmurze powinien sprawdzić, czy dostawca usługi w chmurze może zagwarantować legalność transgranicznego przekazywania danych oraz ograniczyć przypadki przekazywania do krajów wybranych przez klienta, gdy to możliwe. Przekazywanie danych do krajów trzecich niezapewniających odpowiedniego poziomu ochrony wymaga szczególnych zabezpieczeń przy wykorzystaniu odpowiednio zobowiązań umownych Safe Harbor, standardowych klauzul umownych (SCC) lub wiążących reguł korporacyjnych (BCR); wykorzystanie SCC dla przetwarzających (na mocy decyzji Komisji 2010/87/WE) wymaga pewnych dostosowań do środowiska cloud computingu (aby zapobiec temu, że będą istniały odrębne umowy dla danego klienta między dostawcą i podmiotami, którym podpowierzył usługi), co może oznaczać potrzebę wcześniejszej autoryzacji przez właściwy organ ochrony danych; lista lokalizacji, w których może być świadczona usługa powinna być zawarta w umowie;
• Rejestrowanie (ang. „logging”) i kontrolowanie przetwarzania: klient powinien wymagać rejestrowania operacji przetwarzania dokonywanych przez dostawcę lub podmioty, którym podpowierzył realizację usług; klient powinien być uprawniony do kontroli (audytu) takich operacji przetwarzania, jednak kontrole dokonywane przez strony trzecie wybrane przez administratora oraz certyfikacja również mogą być dopuszczalne, pod warunkiem że zagwarantowana jest pełna przejrzystość (np. poprzez zapewnienie możliwości uzyskania kopii certyfikatu potwierdzającego kontrolę dokonaną przez stronę trzecią lub kopii sprawozdania z kontroli weryfikującej certyfikację);
• Środki techniczne i organizacyjne: powinny mieć na celu eliminację lub złagodzenie zagrożeń wynikających z braku kontroli i braku informacji, które najczęściej charakteryzują środowisko cloud computingu. Chodzi tu o środki mające na celu zapewnienie dostępności, integralności, poufności, odizolowania, możliwości interwencji i przenoszenia danych, jak określono w dokumencie, podczas gdy środki skupiają się na przejrzystości (patrz 3.4.3 – szczegółowe informacje).

Dalej w Opinii znajdują się wytyczne dot. "certyfikacji w zakresie ochrony danych zapewnianej przez strony trzecie" oraz wytyczne dot. "przyszłych wydarzeń".