Cloud computing czyli przetwarzanie w chmurze obliczeniowej w wykorzystaniu przez administrację publiczną może stwarzać niemałe problemy. Sektor administracji publicznej korzystając z cloud computingu nie zawsze wie na co powinien zwracać uwagę. Dlatego też Generalny Inspektor Ochrony Danych Osobowych wyszedł na przeciw tym zagadnieniom i opublikował Dekalog chmuroluba.

Dekalog nie zawiera ścisłych zasad, których każdy korzystający z tej usługi powinien się trzymać, ale przydatne wskazówki, na które warto zwrócić uwagę. Opracowanie bazuje na prezentacji Cloud Computing Legal Risk and Liability z 2011 roku, której autorem jest Boris Segalis. Poniżej przedstawiamy krótkie podsumowanie opracowania GIODO.

Dziesięć zasad stosowania cloud computingu przez administrację publiczną

  1. Podmiot publiczny który decyduje się na przekazanie swoich zasobów do chmury musi zobowiązać dostarczyciela usługi chmurowej do przekazania pełnej informacji o wszystkich lokalizacjach serwerów na których przetwarzane są lub mogą być przetwarzane dane. Dostarczyciel jest zobowiązany do informowania podmiot publiczny o wszelkich zmianach lokalizacji z wyprzedzeniem.
  2. Podmiotowi publicznemu, dostarczyciel usługi musi zapewnić pełny dostęp do dokumentacji dotyczącej zasad bezpieczeństwa i środków technicznych przyjmowanych w poszczególnych centrach przetwarzania danych.
  3. Dostarczyciel usługi chmurowej musi przekazać pełną informację dotyczącą podwykonawców i współpracujących instytucji mających udział w realizacji cloud computingu aby mógł ocenić rolę każdego z tych podmiotów jako przetwarzającego dane osobowe.
  4. Podwykonawcy powinni być związani takimi samymi klauzulami umownymi jak sam dostarczyciel usługi chmurowej. Dostarczyciel ponadto powinien sprawować kontrolę nad podwykonawcami.
  5. Podmiot publiczny musi być wyłącznym administratorem danych osobowych przekazywanych do chmury.
  6. Dostarczyciel usługi chmurowej jest zobowiązany informować podmiot publiczny o wszelkich zobowiązaniach publicznych w stosunku do policji i organów ścigania oraz służ specjalnych w zakresie przekazywania im dostępu do danych zamieszczonych w chmurze przez podmiot publiczny. Odmowa przekazania ich stanowi przeszkodę dla realizacji usługi chmurowej u dostarczyciela. Jeśli podmiot publiczny zgodzi się na taki dostęp do danych instytucji publicznych (krajowych lub zagranicznych), dostarczyciel usługi chmurowej niezwłocznie informuje podmiot o wszystkich wnioskach o udostępnienie danych z jego zasobu.
  7. Oba podmioty powinny określić wspólnie zasady przeszukiwania, retencji i usuwania danych dostarczonych przez podmiot publiczny.
  8. Dostarczyciel usługi chmurowej powinien zdawać raporty ze wszystkich incydentów bezpieczeństwa danych, ze szczególnym uwzględnieniem tych, które dotyczyć mogą danych osobowych przetwarzanych przez podmiot publiczny w chmurze.
  9. Podmioty powinny ustalić w umowie o usługi zasady wyłączenia i ograniczenia odpowiedzialności dostarczyciela usługi cloud computingu.
  10. Podmiot publiczny musi unikać przywiązania do jednego dostarczyciela usług chmurowych i jego rozwiązań technicznych. Interoperacyjność i przenoszalność danych jest podstawą dla uniknięcia „syndromu jednego dostawcy”, który musi niekorzystnie wpływać na całość realizacji zadania publicznego w chmurze.

 

Źródło: Dekalog chmuroluba

Zapraszamy do zapoznania się z naszą ofertą na wykonywanie dokumentacji danych osobowych!