Powszechnie znana prawda jest że prawo ze swej natury pozostaje zawsze krok za realnym życiem, nigdy nie była tak aktualna jak dziś, w dobie błyskawicznego rozwoju technologii. Doskonałym tego przykładem jest zamieszanie, do jakiego w europejskim systemie ochrony danych osobowych doprowadziło upowszechnienie się technologii „cloud computing”, sprawiając, że niektóre podstawowe pojęcia i koncepcje na których oparta została zarówno europejska dyrektywa o ochronie danych jak i recypujące ja ustawodawstwo poszczególnych krajów unijnych (w ty polska ustaw o ochronie danych osobowych) wymagają pilnej rewizji. Poniżej kilka uwag o najbardziej zasadniczych tylko, najczęściej wskazywanych przez specjalistów kłopotach, które w zakresie przetwarzania danych sprawia nowa technologia.
Co to jest „cloud computing”
Cloud computing (przetwarzanie w chmurze, chmura obliczeniowa) to termin, który robi wielką karierę w świecie informatycznym, a zarazem technologia, która coraz powszechniej uważana jest za przyszłość usług informatycznych. Co kryje się za tym terminem? Nie wdając się w szczegółowe dywagacje i w największym uproszczeniu cloud computing polega na wykorzystywaniu do przetwarzania gotowych aplikacji on-line.
Z punktu widzenia użytkowników, rozwiązanie to ma wiele zalet – nie wymaga inwestowania w sprzęt, instalowania oprogramowania i zakupu licencji, zmniejsza koszty użytkowania aplikacji, zapewnia dostęp do zgromadzonych danych z każdego komputera z dostępem do sieci, stąd nie dziwi jego rosnąca popularność i coraz większa powszechność.
Choć niewiele osób zdaje sobie z tego sprawę, ale już dziś większość z użytkowników internetu ma z chmurą do czynienia na co dzień, np. korzystając z Gmail, czy też popularnych aplikacji do przechowywania zdjęć, czy innych danych (np. Picassa). Gwałtownie rozwija się również rynek aplikacji biznesowych dostępnych w chmurze, takich jak np. pakiet Business Productivity Services Suite firmy Microsoft.
W kontekście ochrony danych osobowych jednakże, rosnąca powszechność tego rozwiązania stanowi nie lada wyzwanie dla prawodawców, organów ochrony danych osobowych, jak również samych użytkowników i dostawców usług.
Kto jest kim w chmurze
W procesie przetwarzania danych osobowych kluczowe znaczenie ma stwierdzenie w jakiej roli występują podmioty tego przetwarzania dokonujące. Od tego czy dany podmiot jest administratorem danych (data controller) czy też występuje w roli podmiotu, któremu powierzono przetwarzanie danych (data processor) zależał bowiem będzie zakres jego obowiązków i odpowiedzialności.
Na gruncie dyrektywy i ustawy rozróżnienie to wydaje się być całkiem proste: administrator jest podmiotem, który decyduje o celach i środkach przetwarzania (jest niejako „właścicielem” danych) processor natomiast to podmiot, który przetwarza dane dla potrzeb administratora na jego zlecenie (np. firma informatyczna opracowująca dane i hostująca zbiór na swoich serwerach).
Ten klarowny i oczywisty zdawałoby się podział zaciera się jednak przy przetwarzaniu w chmurze. Na pierwszy rzut oka zdawać by się mogło oczywiste, że administratorem jest użytkownik usług, gdyż to on jest „właścicielem” danych i przetwarza je na własne potrzeby. Jednak, gdy zastosować kryteria definicji ustawowej administratora (decydowanie o celach i metodach przetwarzania) sprawa przestaje być oczywista. W praktyce bowiem to dostawca usług udostępniając określone oprogramowanie czy środki sprzętowe określa jakimi metodami dane mogą być przetwarzane. Co więcej, w wielu przypadkach funkcjonalności udostępnionych usług informatycznych będą determinować również cel przetwarzania.
Dylemat ten jak już wspomniano ma olbrzymie znaczenie praktyczne, gdyż od jego rozstrzygnięcia będzie zależało, na kim ciążą podstawowe obowiązki z zakresu ochrony danych, a więc na przykład kto będzie musiał wykazać się podstawą prawną do przetwarzania, kto będzie odpowiedzialny za zapewnienie środków organizacyjnych i technicznych zabezpieczających dane, na kim ciążyć będzie obowiązek informacyjny wobec osób, których dane są przetwarzane, kto będzie zobowiązany zgłosić zbiór danych do rejestracji, itd., itp..
O tym, że problem jest rzeczywisty, świadczy chociażby fakt, że próbę udzielenia praktycznych wskazówek interpretacyjnych podjęła Grupa Robocza Artykułu 29 (ciało unijne zajmujące się ochroną danych osobowych) wydając w dniu 16 lutego 2010 r. Opinię 1/2010 dotycząca przedmiotowej kwestii. Opinia ta nie rozstrzyga jednak wszystkich wątpliwości i dylematów, a rola w jakiej występują uczestnicy chmury musi być analizowana w każdym przypadku odrębnie.
Pewną nadzieją pozostaje fakt, że problem ten znalazł się w agendzie Grupy Roboczej na lata 2010 i 2011, która być może wypracuje bardziej kompleksowe jego rozwiązanie.
Tymczasem jednak zarówno użytkownicy, jak i dostawcy usług w chmurach obliczeniowych muszą starannie analizować swoją pozycję w procesie przetwarzania, pamiętając przy tym, że naruszenie przepisów ustawy może spowodować nawet odpowiedzialność karną.
Jakie prawo stosować?
Kolejnym problemem, który na gruncie obowiązującego prawa powoduje technologia cloud computing jest fakt, że nie przystaje ona do „geograficznej” filozofii leżącej u podstaw europejskiego, modelu ochrony danych osobowych.
Problem o zasadniczym znaczeniu dotyczy rozstrzygnięcia, czy w ogóle regulacje dotyczące danych osobowych (odnośne przepisy poszczególnych państw europejskich) znajdą zastosowanie do przetwarzania w chmurze. Zgodnie z polską ustawą, stosuje się ona zasadniczo do administratorów mających siedzibę na terytorium Polski oraz na terytorium państw trzecich (o ile przetwarzają dane za pomocą środków technicznych znajdujących się w Polsce). Podobne rozwiązania, za przepisami dyrektywy, obowiązują również w pozostałych jurysdykcjach unijnych.
Jeżeli zatem za administratora danych osobowych uznamy dostawcę usług nie korzystającego ze środków technicznych umiejscowionych w krajach unijnych, to nawet jeżeli 100 % użytkowników jego usług będzie pochodziło z Europy, przetwarzanie danych „wymknie się” wymogom europejskiego systemu ochrony.
Na problem ten zwrócił uwagę m.in. Peter Hustinx (European Data Protection Supervisor) swoim wystąpieniu z dnia 13 kwietnia 2010 r., w którym celnie wskazywał, że wypełnienie tak powstałej luki, nie będzie możliwe bez wprowadzenia odpowiednich zmian w legislacji.
W chmurze nie ma granic
Kolejny problem „terytorialny” wiąże się z transferem danych osobowych. Co do zasady przepisy europejskie bardzo mocno ograniczają możliwość przekazywania danych do państw trzecich nie zapewniających takiego samego poziomu ich zabezpieczenia jak państwa członkowskie UE (czyli w praktyce niemal do wszystkich pozostałych państw świata), obwarowując taki transfer licznymi wymogami i warunkami.
Takie „geograficzne” rozwiązanie sprawdza się (choć też nie zawsze) w sytuacji gdy dane transferowane są od podmiotu A do podmiotu B.
Zupełnie inaczej jednak sytuacja przedstawia się w przypadku przetwarzania w chmurze, gdzie serwery na których umieszczone są aplikacje mogą znajdować się gdziekolwiek (a dane między nimi swobodnie przepływać) a ponadto użytkownicy mają dostęp do danych z każdego miejsca na świecie, z którego można tylko połączyć się z siecią. Taki amorficzny model przepływu danych powoduje, że terytorialna koncepcja ochrony danych osobowych zupełnie się nie sprawdza.
Reasumując, więc nowa technologia spowodowała kilka istotnych wyłom w europejskim systemie ochrony danych, wymykając się pojęciom i koncepcjom leżącym u samych jego podstaw. Wyłomu tego usunąć bez odpowiednich zmian w przepisach zarówno na poziomie europejskim jak i poszczególnych państw, a nawet być może w samej filozofii ochrony danych. Szczęśliwie problem ten został dostrzeżony zarówno przez europejskie jak i polskie organa ochrony danych osobowych i można liczyć, że wkrótce zostaną wprowadzone odpowiednie zmiany legislacyjne.
Treść artykułu została pierwotnie opublikowana 21 lipca 2011 roku w dzienniku Rzeczpospolita.