Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Umowy powierzenia przetwarzania w usługach data center

Data publikacji: 26-03-2020 Autor: Agata Marcinkowska Michał Barta

Wejście w życie i rozpoczęcie stosowania ogólnego rozporządzenia o ochronie danych (rodo) wywarło istotny wpływ na funkcjonowanie rynku usług IT, a wiele projektów IT zostało spowolnionych, niekiedy wręcz opóźnionych w związku z przedłużającymi się negocjacjami umów powierzenia przetwarzania danych osobowych.

 

Zjawisko to dotknęło również sfery usług świadczonych w modelu chmury obliczeniowej (usługi data center, DC). Charakterystyka oferowanych na rynku usług DC w połączeniu z dwuletnią już niemal praktyką stosowania przepisów rodo w tym obszarze pozwala na dokonanie pierwszych podsumowań i wniosków. W szczególności – co może mieć tutaj szczególnie istotne znaczenie – pozwala na dokonanie oceny, kiedy zawarcie tzw. umowy powierzenia będzie wymagane, a kiedy taki obowiązek raczej nie wystąpi. Nie mniej istotne wydaje się również sformułowanie rekomendacji co do zgodnego z rodo sposobu weryfikacji dostawcy usług DC.


> PRZECHOWYWANIE INFRASTRUKTURY CZY JUŻ PRZETWARZANIE DANYCH


Kiedy więc konieczne jest powierzenie przetwarzania danych osobowych oraz jak poprawnie zweryfikować dostawcę usług? Usługi data center są jednym z rodzajów usług outsourcingu. W zakresie tego typu usług działa szereg dostawców i dostępnych jest wiele modeli ich świadczenia, wśród których można wymienić:

 

  • usługi kolokacji środowiska IT, w tym serwerów – udostępnienie odpowiednio zabezpieczonej powierzchni do przechowywania sprzętu klienta wraz z dostępem do infrastruktury i mediów, w tym energii elektrycznej, niezbędnych do pracy urządzeń klienta;
  • IaaS (Infrastructure as a Service; infrastruktura jako usługa) – udostępnienie klientowi zasobów obliczeniowych, sieciowych i innych, najczęściej za opłatą, której wysokość zależy od stopnia wykorzystania przez klienta zasobów obliczeniowych. Usługa ta może być świadczona samodzielnie lub razem z usługą kolokacji;
  • PaaS (Platform as a service; platforma jako usługa) – udostępnienie przez dostawcę wirtualnego środowiska pracy, w tym np. umożliwienie instalacji własnych aplikacji i systemów w infrastrukturze dostawcy
  • SaaS (Software as a Service; oprogramowanie jako usługa) – korzystanie z oprogramowania udostępnionego w chmurze obliczeniowej; w tym modelu oprogramowanie (aplikacja) jest przechowywane i wykonywane w chmurze obliczeniowej;
  • Disaster Recovery (DR) Center – zapasowa lokalizacja firmy, w której można odtworzyć krytyczne systemy przedsiębiorstwa (w tym dane), tak aby utrzymana została ciągłość operacyjna przedsiębiorstwa w przypadku awarii bądź całkowitego braku możliwości prowadzenia działalności z siedziby przedsiębiorstwa. Usługa ta może zakładać wykonanie kopii zapasowych systemów i danych klienta oraz przechowywanie infrastruktury klienta.


Cechą wspólną wszystkich ww. usług jest zlokalizowanie odpowiednich elementów infrastruktury IT (np. serwerów), służących m.in. do przechowywania i przetwarzania informacji oraz danych po stronie dostawcy usług data center oraz pod jego niekiedy wyłączną kontrolą. Oferowane są również modele świadczenia usług opartych na chmurze obliczeniowej, konkretnie IaaS, w których infrastruktura udostępniana przez dostawcę usług w modelu usługowym znajduje się w lokalizacji klienta lub w wynajętej przez klienta powierzchni kolokacyjnej, ale udostępnianej przez podmiot inny niż dostawca samej infrastruktury.

 

Kwestią poniekąd oczywistą jest, że danymi często są dane osobowe. I tu właśnie pojawia się kluczowe pytanie – czy w każdym takim przypadku korzystanie z usługi DC będzie „powierzeniem przetwarzania danych osobowych”, skutkującym m.in. koniecznością zawarcia przez klienta (administratora) z dostawcą usług (procesorem) umowy powierzenia przetwarzania danych? Nie ma w tym przypadku jednej dobrej odpowiedzi. W dużej mierze będzie to zależeć od rodzaju usługi oraz indywidualnych okoliczności związanych z modelem i zasadami jej świadczenia przez konkretnego dostawcę. W przypadku usług opartych na chmurze obliczeniowej powinno to być oceniane po wzięciu pod uwagę m.in. zakresu usług świadczonych przez dostawcę, stopnia dostępu dostawcy do warstwy aplikacyjnej w toku świadczenia usług i jego kontroli nad tymi danymi oraz architektury rozwiązania.


Przetwarzanie takich danych, zgodnie z art. 4 pkt 2 rodo, oznacza „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie itp.”. Przetwarzanie w takim rozumieniu obejmuje więc „operacje” i to tylko takie, które dokonywane są na „danych osobowych”. Musi zatem wystąpić dostęp do danych, możliwość kontroli nad danymi lub skorzystania z nich. Aby uznać, że dochodzi do powierzenia przetwarzania danych osobowych, podmiot przetwarzający musi uczestniczyć w jakimś stopniu w normalnym toku świadczenia usług w ich przetwarzaniu.


Biorąc pod uwagę powyższe kryterium, można sformułować następujące oceny w zakresie poszczególnych typów usług DC. W przypadku:

 

  • Usług kolokacji – nie dojdzie w większości przypadków do powierzenia przetwarzania danych osobowych. Co prawda w takim wypadku dochodzi do przechowywania danych, a w literaturze przedmiotu wskazuje się, że operacja ta wymaga przynajmniej incydentalnego dostępu do danych (red. M. Sakowska-Baryła, „Ogólne rozporządzenie o ochronie danych osobowych. Komentarz”, Warszawa 2018), jednak dostawca usługi kolokacji zazwyczaj nie będzie mieć dostępu do danych znajdujących się na urządzeniach wstawianych przez usługobiorcę ani kontroli nad nimi. Taką kwalifikację (brak powierzenia przetwarzania danych osobowych) w praktyce biznesowej przyjmuje zdecydowana większość przedsiębiorców świadczących usługi data center w modelu kolokacji.


Do odmiennych wniosków można dojść w przypadku, gdy z usługą kolokacji związane będzie administrowanie urządzeniami np. poprzez usługę „zdalnych rąk” lub „zdalnych oczu”. W takim wypadku, z uwagi na przynajmniej potencjalny dostęp do danych i możliwość wykonywania na nich operacji, nie można wykluczyć zakwalifikowania dostawcy usług kolokacji jako podmiotu przetwarzającego.

 

  • Usług IaaS – powierzenie przetwarzania danych osobowych może wystąpić w określonych okolicznościach. Nie jest to jednak reguła. Będzie miało miejsce zwłaszcza w sytuacji uzyskiwania przez dostawcę usług, np. w związku z realizacją usług utrzymania infrastruktury czy dostępu w normalnym toku świadczenia usług do warstwy aplikacyjnej infrastruktury (co może mieć miejsce, gdy dostawca usług ponosi także odpowiedzialność za utrzymanie aplikacyjnej warstwy infrastruktury); w sytuacji gdy takiego dostępu nie ma, a dostawca bierze odpowiedzialność wyłącznie za działanie fizycznego sprzętu i ewentualnie oprogramowania sprzętowego, jednak nie ma dostępu do warstwy aplikacyjnej oraz kontroli nad nią (np. ze względu na użyte rozwiązania techniczne zapewniające taką separację), zasadniczo nie dochodzi do powierzenia przetwarzania danych osobowych.
  • Usług PaaS – gdy zakres usługi PaaS, co jest regułą, zakłada powierzenie dostawcy usługi administracji i zarządzania warstwą operacyjną i aplikacyjną, usługa taka powinna być kwalifikowana jako obejmująca powierzenie przetwarzania danych osobowych.
  • Usług SaaS – z reguły nastąpi powierzenie przetwarzania danych osobowych co najmniej w zakresie utrwalania oraz przechowywania danych. W modelu SaaS możliwe jest, aby zasoby, w tym dane, były przechowywane na infrastrukturze innego dostawcy / klienta, jednak nawet w takim przypadku dostawca usługi uzyskuje najczęściej dostęp do danych przechowywanych na takiej infrastrukturze, w szczególności na potrzeby zapewnienia normalnej eksploatacji oprogramowania oraz realizacji usług utrzymania (SLA).
  • Usług Disaster Recovery Center – również może dochodzić i często dochodzi do powierzenia przetwarzania danych co najmniej w zakresie kopiowania i przechowywania danych (np. w związku z usługą backupu).

 

[...]

 

Agata Marcinkowska – radca prawny w kancelarii Barta&Kaliński sp.j. Specjalizuje się w projektach związanych z problematyką nowych technologii, w szczególności prawa IT i prawa ochrony danych osobowych.

Michał Barta – radca prawny, wspólnik kancelarii Barta&Kaliński sp.j., specjalista z zakresu prawa nowych technologii oraz własności intelektualnej z 20-letnim doświadczeniem w obsłudze projektów IT.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"