Fenomen chmury
Cloud computing (pol. chmura) to termin funkcjonujący zaledwie od kilku lat w społeczności osób związanych z IT. Termin, który zrobił zawrotną karierę i nic nie wskazuje na to, żeby miał zniknąć z powszechnego użycia. Zwłaszcza, że usług w chmurze (tzw. SaaS) przybywa z każdym dniem.
Do chmury zachęca:
• optymalizacja,
• możliwość skupienia się na zasadniczej działalności przedsiębiorstwa,
• mobilność,
• szybkość wdrożenia,
• łatwość użytkowania, dostęp do najnowszych technologii biznesowych,
• przewidywalność ponoszonych kosztów na IT,
• brak inwestycji w hardware i obsługę serwisową przy jednoczesnym dostępie do najnowszych wersji oprogramowania.
Do chmury zniechęca:
• utrata kontroli i poufności nad przechowywanymi danymi,
• brak zaufania do bezpieczeństwa danych,
• uzależnienie się od jednego dostawcy.
• problemy z migracją danych.
Nie zawsze jednak te minusy wystąpią. Wszystko zależy od tego jakie dane powierzymy do przetwarzania oraz komu i na jakich zasadach.
Analiza GRC
Z mojego punktu widzenia jako prawnika zajmującego się świadczeniem usług w odniesieniu do realiów biznesowych przedsiębiorstwa oraz cyberbezpieczeństwa najważniejsze jest podejście kompleksowe. Pozytywna ocena zgodności (ang. compliance) nie jest jeszcze przepustką do zawarcia umowy. Dla klienta zainteresowanego przejściem do chmury istotne znaczenie ma w takim samym stopniu ład korporacyjny (ang. governance), zarządzanie ryzykiem (ang. risk managment) jak i ocena zgodności (ang. compliance).
Punktem wyjściowym przy podejmowaniu decyzji o zawarciu kontraktu dla każdego klienta może być co innego. Bezpieczeństwo jest jednak kluczowym czynnikiem, który okazuje się być interesujący przy podejmowaniu decyzji o przejściu do chmury. Zaraz za tym zagadnieniem wysuwa się na prowadzenie pytanie „czy przechodząc do chmury będziemy zgodni z GIODO?”. Jeśli w chmurze będą przetwarzane dane osobowe to proces przetwarzania danych musi być zgodny z przepisami o ochronie danych osobowych.
Ocena zgodności
Ocena zgodności wbrew pozorom nie wiąże się tylko i wyłącznie z analizą umów. Sama weryfikacja umowy o świadczenie usługi/umowy outsourcingowej oraz jej załączników: umowy dotyczącej gwarantowanego poziomu usług (ang. Service Level Agreement) i umowy powierzenia przetwarzania danych osobowych (ang. Data Processing Agreement). Zaopiniowanie umów do podpisania następuje dopiero na etapie końcowym. Co ważne, ocena zgodności nie powinna być przeprowadzona w oderwaniu od pracy działu IT. Jestem zwolenniczką współpracy na linii prawnik-informtyk. Dopiero to połączenie daje rzetelną odpowiedź na pytanie „czy możemy przejść do chmury?”.
Z punktu widzenia compliance na samym początku dokonywana jest ocena rodzaju danych, które mają zostać wyoutsourcowane. Następuje analiza u jakich dostawców te dane mogą być przetwarzane z prawnego punktu widzenia. W tym miejscu badamy pierwsze bariery prawne.
Przykładowo w przypadku informacji stanowiących tajemnicę handlową chmura poza granicami Polski w ogóle nie wchodzi w grę. Jeżeli mówimy o przetwarzaniu, innych danych osobowych w chmurze to wybór usługodawców zawęża się tylko do tych, którzy spełniają standardy bezpieczeństwa zaakceptowane w Europejskim Obszarze Gospodarczym.
Pierwsze wyniki zawężają krąg dostawców, którzy mogą zostać przebadani pod kątem Governance i Risk Management. Tym właśnie zajmuje się co do zasady dział IT albo wyspecjalizowane firmy zajmujące się bezpieczeństwem informacji. Gdy już mamy wybrany krąg interesujących dostawców albo jeden upatrzony to ponownie przygląda im się prawnik. Jego rolą jest zaopiniowanie umów oraz załączników. Idealnie jeżeli przedstawi on rekomendacje dla zawarcia kontraktu i oszacuje możliwe straty jakie poniesienie organizacja w przypadku niepodpisania stosownych dokumentów. W przypadku wyboru dostawcy będzie on także koordynował proces podpisania dokumentów. W praktyce często się zdarza, że trzeba renegocjować warunki umowy w imieniu klienta albo wręcz jej formę (najczęściej z elektronicznej na wersję papierową).
Przejście do chmury zawsze powinno być przemyślane. Warto zweryfikować czy chmura jest potrzebna organizacji, a jeżeli tak to na jakich zasadach. Z pomocą w podjęciu decyzji o migracji, której dokonuje zarząd powinien przyjść zarówno dział IT jak i prawnik. Rolą IT będzie ocena bezpieczeństwa, a rolą prawnika ocena zgodności prawnej.
Beata Marek IT&IP Lawyer, cyberlaw.pl
Wiceprezes CSA Polska, dyrektor w ISSA Polska
Członkini FBC oraz International Cyber Threat Task Force
