Czy dopuszczalne jest przetwarzanie danych osobowych za pomocą narządzi chmurowych Google i iCloud? Czy wystarczającą podstawą do korzystania z narzędzia przekazującego dane do państwa trzeciego będzie sprawdzenie czy zawarta jest umowa Privacy Shield czy może konieczne będzie również zawarcie umowy powierzenia np. poprzez akceptację regulaminu (Google nie umożliwia zawarcia takiej umowy dla usług bezpłatnych, które nie są adresowane do przedsiębiorców)? W jaki sposób ocenić dopuszczalność korzystania z urządzeń na oprogramowaniu Android i iOS, które automatycznie przekazują do chmury chociażby dane z listy kontaktowej czy kopie zapasowe?

ODPOWIEDŹ

Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. 119, s. 1) – dalej RODO nie zakazuje przetwarzania danych osobowych za pomocą narzędzi chmurowych. Należy jednak pamiętać, że przy wykorzystaniu tego rozwiązania należy przestrzegać przepisów i zasad dotyczących ochrony danych osobowych. RODO nie narzuca administratorowi rozwiązań technicznych oraz sposobu przechowywania danych osobowych. Bez przeszkód zatem, administrator może powierzyć przechowywanie zgromadzonych danych osobowych zewnętrznemu podmiotowi dostarczającemu np. rozwiązania chmurowe, które są wygodne, nie generują wysokich kosztów, a dostęp do przechowywanych tam danych jest prosty i szybki. Rozwiązanie to stało się na tyle popularne, że pochyliła się nad nim Grupa Robocza Art. 29, która wydała w tym przedmiocie opinię (opinia Grupy Roboczej Art. 29 nr 5/2012 przyjęta w dniu 1 lipca 2012 roku w sprawie przetwarzania danych w chmurze obliczeniowej). Wskazała w niej na kwestie, które przy wyborze usługodawcy obligatoryjnie powinny podlegać analizie. Zgodnie z tymi wytycznymi oraz przepisami RODO (art. 28) administrator, decydując się na skorzystanie z cloud computing, przy wyborze usługodawcy musi kierować się określonymi przesłankami i korzystać wyłącznie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie to spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą. Przed wyborem usługodawcy warto zapoznać się z tzw. dekalogiem chmurowym, który został opublikowany przez GIODO (https://www.giodo.gov.pl/259/id_art/6271/j/pl) i w którym zostały zaznaczone najważniejsze punkty, jakimi powinno się kierować przy stosowaniu usługi i zawieraniu samej umowy. Co prawda dokument skierowany jest do administracji publicznej, aczkolwiek może stanowić źródło cennych wskazówek również dla innych administratorów. W szczególności pamiętać należy o sprawdzeniu poziomu ochrony oraz stosowanych zabezpieczeniach oraz zapewnieniu legalności wszelkich operacji transgranicznego przekazywania danych (odpowiedni stan ochrony może być poświadczony stosownym certyfikatem Pivacy Shield bądź decyzją Komisji Europejskiej). Należy mieć jednak na uwadze, że przetwarzanie danych osobowych w chmurze może wiązać się z szeregiem niebezpieczeństw. Często podmioty, oferujące usługi cloud computingu same korzystają z infrastruktury zewnętrznej, współdzielonej przez kilku usługodawców lub posiłkują się podwykonawcami ze względu na złożoność procesów zachodzących w chmurze. Skutkiem tego może być brak sprawowania kontroli podmiotu, który umieszcza dane osobowe w chmurze, nad tymi danymi, mimo że jest ich administratorem. Nie ma on bowiem możliwości stwierdzenia, czy inne wyżej wspomniane podmioty mają dostęp do tych danych. Nie jest też w stanie stwierdzić, komu dostawca usługi cloud computingu może udostępnić dane, np. na podstawie przepisów prawa. Jest bowiem możliwe, że przedsiębiorcę nie będzie obowiązywało prawo polskie, ponieważ – co jest kolejnym ryzykiem – przedsiębiorca nie zawsze wie, w jakim miejscu będą przetwarzane dane (czyli gdzie znajduje się infrastruktura chmurowa). W chwili dokonania wyboru usługodawcy, administrator każdorazowo zobligowany jest do zawarcia umowy powierzenia, jeżeli na podstawie ustaleń między stronami dojdzie do przekazania (powierzenia) usługodawcy danych osobowych. Dostawca rozwiązań chmurowych (Google czy iCloud), w wyniku zawarcia umowy udostępnienia usług czy zasobów koniecznych do przetwarzania i przechowywania informacji, będzie przetwarzał dane w imieniu administratora, przy czym każdorazowo ramy działania podmiotu przetwarzającego zostaną zakreślone przez administratora. W konsekwencji wymagane jest zawarcie stosownej umowy powierzenia, o której mowa w art. 28 ust. 3 RODO. Przepisy RODO przewidują, że umowa ta winna być zawarta w formie pisemnej (w ramach której dopuszczalna jest forma elektroniczna), a ponadto określać takie kwestie jak przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a także obowiązki procesora. Dodatkowo umowa powinna normować: 1. problematykę korzystania przez procesora z usług innego podmiotu przetwarzającego (tzw. podprocesora) w ramach podpowierzenia przetwarzania danych osobowych, w tym w szczególności ewentualnej zgody administratora na dokonanie tego rodzaju przekazania i zakresu obowiązków dalszego przetwarzającego oraz 2. kwestię miejsca przetwarzania powierzonych danych osobowych; Administrator powinien zostać poinformowany o tym, na terytorium jakiego państwa znajdują się serwery usługodawcy, a co za tym idzie – czy dochodzi do przekazywania danych osobowych poza Europejski Obszar Gospodarczy (dalej: EOG), a jeśli tak na jakiej podstawie. Umowa powierzenia powinna stanowić osobny dokument (ewentualnie jej postanowienia powinny stanowić element umowy podstawowej). Rozwiązanie zaproponowane przez Google, tj. wciągnięcie treści umowy do Regulaminu świadczenia usługi, jest akceptowalne. RODO bowiem nie zawiera zamkniętego katalogu form i sposobów zawarcia umowy powierzenia przetwarzania danych osobowych. Dopuszczalność korzystania z urządzeń na oprogramowaniu Android i iOS, które automatycznie przekazują do chmury m. in. dane z listy kontaktowej czy kopie zapasowe, należy ocenić w poniższy sposób. Po pierwsze, w ustawieniach systemów operacyjnych zainstalowanych na urządzeniach telefonicznych znajduje się opcja pozwalająca na zablokowanie wykonywania kopii zapasowych danych znajdujących się na telefonie – czy to na samym urządzeniu czy to na zasobach chmurowych, które są powiązane z systemem. W takiej sytuacji użytkownik telefonu w pełni posiada kontrolę nad tym, czy jego dane przekazywane są gdziekolwiek indziej poza urządzeniem. Z drugiej strony jednak, należy poczynić założenie, że jeżeli dane, wśród których są także dane osobowe – trafiają jednak na zewnętrzne serwery, będące pod kontrolą usługodawcy, to koniecznym jest zawarcie stosownej umowy powierzenia przetwarzania danych osobowych. Istotnym jest także zadbanie o zdobycie informacji, czy dane te będą transferowane poza EOG, a w przypadku odpowiedzi pozytywnej – zadbanie o legalność transferu tychże danych poza strefę EOG.

https://sip.lex.pl/#/question-and-answer/621868682/czy-dopuszczalne-jest-przetwarzanie-danych-osobowych-za-pomoca-narzadzi-chmurowych-google-i-i-cloud