Aspekty prawne przy wyborze usług informatycznych dla przedsiębiorstwa są nie mniej istotne, jak kwestie ich funkcjonalności czy użyteczności. Często jednak nie są analizowane, chociaż powinny stanowić kluczowy element przy doborze konkretnego rozwiązania dla firmy. Jak ma się więc cloud computing w świetle prawa, na jakie regulacje prawne należy zwrócić uwagę przy wyborze chmury obliczeniowej oraz jakich pułapek powinno się unikać? Przyjrzyjmy się temu dokładniej.
Chmura obliczeniowa i prawne aspekty w świetle RODO
Pierwszy z aspektów prawnych, jaki dotyczy rozwiązań chmurowych dla firm, to przetwarzanie danych osobowych. Polska Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych oraz przede wszystkim Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r., czyli słynne już RODO, stawiają szereg wymagań i obowiązków podmiotowi administrującemu i przetwarzającemu dane osobowe. Definicja danych osobowych została określona na tyle szeroko, że w praktyce ciężko znaleźć podmiot gospodarczy, który nie jest ich administratorem. Jeżeli zatem te dane zostają umieszczone w chmurze obliczeniowej, należy mieć świadomość, że to administrator odpowiada za przetwarzanie danych osobowych – także po przekazaniu ich podmiotowi trzeciemu i to on jest odpowiedzialny za staranny dobór przetwarzającego i jego działania.
Bezpieczne miejsce przechowywania danych
RODO wprowadziło zasadę swobody terytorialnej przetwarzania danych na terenie Europejskiego Obszaru Gospodarczego, zaś przekazanie ich do państwa trzeciego, tj. poza ten obszar jest możliwe jedynie warunkowo. Jednym z warunków jest decyzja stwierdzająca odpowiedni stopień ochrony w państwie docelowym i należy pamiętać, że takim krajem nie jest USA. Co to oznacza w praktyce? Aby być pewnym przetwarzania danych zgodnie z RODO, dostawca infrastruktury chmurowej powinien gwarantować miejsce przechowywania danych na terenie EOG.
Service Level Agreement
Świadomy wybór dostawcy nie wyczerpuje tematu chmury obliczeniowej a prawa. Na co jeszcze firmy powinny zwrócić uwagę? Istotna jest kwestia umowy pomiędzy przedsiębiorcą a dostawcą usługi, w której powinna znaleźć się część tzw. Service Level Agreement, czyli gwarancja poziomu świadczenia usług. Ten zapis szczegółowo określa bowiem m.in. poziom dostępności usługi, czas reakcji na zgłoszenie, tryb funkcjonowania zespołu helpdesk czy sposób komunikacji. Przepisy prawa nie stawiają szczególnych wymogów co do tego typu umów. SLA jest praktycznym potwierdzeniem jakości usług świadczonych przez dostawcę, dlatego warto zwrócić uwagę na jej szczegółowe parametry i mieć świadomość, jakie może to mieć przełożenie na praktyczne korzystanie z usługi chmurowej.
Prawo a chmura obliczeniowa
Chmura obliczeniowa staje się coraz bardziej powszechna nie tylko w naszym codziennym życiu, ale także w przedsiębiorstwach. Wiele z nich już nie wyobraża sobie funkcjonować bez rozwiązań cloudowych, co pokazał szczególnie czas pandemii i konieczność pracy zdalnej czy problemy z łańcuchem dostaw.
W kontekście chmury obliczeniowej i regulacji prawnych należy mieć na uwadze to, że nie ma jednego aktu prawnego, wytycznych czy regulacji, które znajdowałyby wyłączne zastosowanie dla wszystkich firm. Żadnego z nich nie można także uznać za ważniejszy lub nadrzędny nad innymi. Sporym wyzwaniem dla firm jest także konieczność dostosowania się do specyficznych wymagań branżowych dotyczących przetwarzania danych w chmurze, jak np. wytycznych KNF w przypadku branży finansowej czy wytycznych dotyczących przetwarzania danych medycznych w przypadku branży farmaceutycznej. Właśnie dlatego kluczową rolę pełni rzetelny dostawca usług chmurowych, który jest w stanie zapewnić zgodność z wieloma regulacjami oraz będzie dla firmy partnerem w przypadku audytów czy kontroli instytucji nadzorujących.