Wytyczne Datatilsynet dotyczące przetwarzania danych osobowych w chmurze
Chmura obliczeniowa to nazwa zbiorcza rozwiązań pozwalających korzystającym z nich podmiotom na dostęp za pośrednictwem sieci do wspólnej puli możliwych do konfiguracji zasobów przetwarzania (np. sieci, serwerów, aplikacji i usług)[1]. W chmurze organizacje przechowują wiele informacji, w tym dane osobowe. Najwięksi dostawcy usług chmurowych przetwarzają powierzone im informacje w centrach danych znajdujących się poza Europejskim Obszarem Gospodarczym, najczęściej w USA. Po wyroku w sprawie Schrems II i opublikowaniu przez EROD zaleceń 01/2020 dotyczących środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych zagadnienie transferu danych do państw trzecich stało się szczególnie skomplikowane.
Duński organ nadzorczy z zakresu ochrony danych osobowych (Datatilsynet), dostrzegając problemy, z jakimi muszą się zmierzyć podmioty korzystające z różnego rodzaju usług chmurowych, postanowił opublikować wytyczne dotyczące przetwarzania danych w chmurze.
Wytyczne Datatilsynet
W wytycznych Datatilsynet wiele miejsca poświęcono na analizę zagadnienia transferu danych do państw trzecich (w szczególności do USA) w związku z korzystaniem przez administratorów z narzędzi oferowanych przez dostawców usług chmurowych. Jednakże zakres przedmiotowy wytycznych jest znacznie szerszy, ponieważ organ omawia w nich typologię usług chmurowych, a także zagadnienie audytu dostawcy usług chmurowych oraz jego podwykonawców.
Ogólne zalecenie Datatilsynet, jakie wynika z wytycznych organu, sprowadza się do konieczności zapoznania się przez administratora z modelem działania konkretnego dostawcy usług chmurowych oraz dokonania analizy sytuacji prawnej w państwie trzecim, w którym się on znajduje.
Transfery danych w związku z przechowywaniem danych w chmurze
Omawiając zagadnienie transferów danych do państw trzecich, Datatilsynet przedstawia m.in. następujące wnioski:
- Administratorzy przed rozpoczęciem transferu powinni się upewnić, że dostawca usług chmurowych spoza EOG, z którego rozwiązań korzystają, może ich poinformować o wcześniej otrzymanych wnioskach służb o dostęp do powierzonych mu danych.
- Administrator musi wykazać, że kategorie danych osobowych, które zamierza powierzyć dostawcy usług chmurowych spoza EOG, nie były wcześniej objęte żadnymi wnioskami otrzymanymi przez konkretnego dostawcę.
- W przypadku prawa amerykańskiego nie jest wykluczone, że istnieją dane osobowe, które są wyłączone z zakresu przedmiotowego „informacji obcego wywiadu” (foreign intelligence information), o których mowa w sekcji 702 ustawy o nadzorze wywiadu zagranicznego (Foreign Intelligence Surveillance Act, dalej: „FISA”). Jednakże to administrator musi wykazać, że przekazywane przez niego dane nie podlegają pod FISA. Same oświadczenia dostawcy są niewystarczające do prawidłowego spełnienia tego obowiązku.
- Należy dokonać wyczerpującej oceny przepisów obowiązujących w państwach trzecich, w których znajdują się dostawcy usług chmurowych i ich (potencjalni) podwykonawcy. Administratorzy, dokonując takiej oceny, przed podjęciem decyzji o transferze danych powinni zatem przyjąć „najgorszy możliwy scenariusz” jako podstawę swojej analizy, tj. uznać, że wszystkie kraje trzecie, do których mają być przekazywane dane osobowe, mają „problematyczne” ustawodawstwo. Dopiero wtedy powinni zbadać, jakie dodatkowe środki techniczne muszą zostać wdrożone, aby zapewnić poziom ochrony danych zasadniczo równoważny z gwarancjami unijnymi.
- Środki umowne i organizacyjne na ogół nie przeszkodzą amerykańskim służbom w uzyskaniu dostępu do danych osobowych będących przedmiotem transferu. Konieczne będzie zatem wdrożenie dodatkowych środków technicznych.
- Szyfrowanie nie będzie skutecznym środkiem technicznym, który zagwarantuje bezpieczeństwo danych będących przedmiotem transferu, jeżeli dostawca chmurowy będzie w posiadaniu kluczy szyfrujących.
- Sekcja 702 FISA upoważnia amerykańskie służby do uzyskiwania informacji o „osobach niebędących obywatelami USA”, co do których można w sposób uzasadniony oczekiwać, że znajdują się poza USA w celu zbierania „informacji obcego wywiadu”. Odbywa się to poprzez wydawanie poleceń dostawcom usług łączności elektronicznej, aby dostarczyli lub zorganizowali dostarczenie służbom danych osobowych przetwarzanych przez dostawcę.
Audyt dostawcy usług chmurowych oraz jego podwykonawców
Zdaniem Datatilynet administrator korzystający z usług chmurowych powinien:
- dokładnie zbadać przed powierzeniem dostawcy danych osobowych do przetwarzania, czy taki podmiot zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą;
- móc wskazać, którzy z podwykonawców dostawcy usług chmurowych biorą udział w przetwarzaniu – jeżeli ADO nie jest w stanie tego zrobić, powinien założyć, że wszyscy podwykonawcy dostawcy odgrywają rolę w przetwarzaniu powierzonych danych w ramach usługi;
- dokonywać większej liczby audytów lub inspekcji u dostawcy usług chmurowych, któremu powierzył przetwarzanie danych, jeżeli dostawca często zmienia podwykonawców.
Z całością wytycznych w języku angielskim można zapoznać się tutaj.
[1] P. Mell, T. Grance, The NIST Definition of Cloud Computing, NIST Special Publication 800-145, 2011, s. 2, https://csrc.nist.gov/publications/detail/sp/800-145/final (dostęp 10.03.2022).