Masowe przenoszenie środowiska informatycznego do chmury obliczeniowej i odchodzenie tym samym od tradycyjnych rozwiązań on-premises, na rzecz rozwiązań typu IaaS, PaaS i SaaS, stanowi niepohamowany trend, który w najbliższych latach prawdopodobnie będzie się nasilał.

Przejście na rozwiązania chmurowe ma swoje niewątpliwe zalety. Zwiększa dostępność i ciągłość procesów biznesowych (pozwalając na zdalny dostęp do tej infrastruktury i umożliwiając efektywną pracę zdalną, co w czasach zagrożeń epidemicznych jest kluczowe). Poprawia też elastyczność i zwiększa skalowalność zasobów, co daje szybszą i prostszą możliwość reagowania na bieżące zmiany zachodzące w samych organizacjach, jak i w otoczeniu, w którym pracują. W niektórych przypadkach pozwala również na przesunięcie części wydatków na IT z modelu CAPEX na OPEX, co dla niektórych organizacji może być niewątpliwie zaletą zachęcającą do przejścia na rozwiązania chmurowe.

Należy jednocześnie pamiętać o tym, że przejście to wiąże się również z pewnymi ryzykami – w tym prawnymi, występującymi także w aspekcie bezpieczeństwa – które przed migracją do chmury warto przeanalizować, aby mieć świadomość ich występowania. Następnie należy podjąć działania, które pozwolą na odpowiednie zarządzanie tymi ryzykami i ograniczenie możliwości ich wystąpienia (jeśli jest to możliwe) lub zminimalizowania skutków ich ewentualnego wystąpienia.

Rodzaje zagrożeń, a co za tym idzie również środki, które powinny być dobrane w celu ich minimalizacji, zależą od typu usługi chmurowej, do jakiej ma nastąpić migracja (czy jest to IaaS, PaaS, czy SaaS). Duże znaczenie ma też rodzaj, model czy zasięg samej usługi chmury, do której migracja następuje, tj. ustalenie, czy jest to chmura publiczna, czy hybrydowa, a także czy chmura ma charakter globalny, regionalny, czy krajowy (lokalny).

> Przygotowania do migracji

Niewątpliwie wśród zagadnień prawnych, jakie należy uwzględnić w procesie migrowania do publicznej chmury obliczeniowej, pojawia się m.in. konieczność uwzględnienia oraz zweryfikowania kwestii związanych z:

• własnością intelektualną tego, co będzie przenoszone do rozwiązań chmurowych, tj. warunków licencyjnych na korzystanie z oprogramowania, które ma być instalowane w chmurze i migrowane z infrastruktury on-premises na środowisko IaaS czy PaaS, a także tego, czy warunki te wprost lub pośrednio (np. poprzez wskazanie konkretnej lokalizacji, w jakiej może być zainstalowana dana aplikacja) nie wyłączają lub w jakimś zakresie nie ograniczają możliwości zainstalowania aplikacji w rozproszonym środowisku chmurowym. Aby wyeliminować lub przynajmniej ograniczyć ryzyko naruszeń w tym zakresie, należy przeprowadzić audyt warunków licencyjnych wszystkich aplikacji oraz systemów informatycznych, które mają zostać zmigrowane i zainstalowane w infrastrukturze usługi chmurowej;
• przetwarzaniem danych osobowych na gruncie rodo, tak aby zapewnić zgodne z prawem przetwarzanie danych osobowych w infrastrukturze usługi chmurowej, do której migrowane są dane stanowiące dane osobowe. W tym zakresie szczególnie istotne jest odpowiednie zweryfikowanie i wybór dostawcy chmurowego i ustalenie tego, czy w konkretnym przypadku konieczne jest dokonanie oceny ryzyka. W razie potwierdzenia tej kwestii przeprowadzenie szacowania ryzyka i oceny, jakie dane osobowe mogą być migrowane do chmury, a także zawarcie odpowiednich umów powierzenia przetwarzania danych osobowych z dostawcą chmury, w tym regulujących odpowiedzialność takiego dostawcy za naruszenie zasad przetwarzania;
• ochroną tajemnicy własnego przedsiębiorstwa, jak również tajemnicy przedsiębiorstwa kontrahentów czy klientów, tak aby odpowiednio zabezpieczyć i ochronić informacje stanowiące „własną” tajemnicę przedsiębiorstwa danego podmiotu (np. poprzez zawarcie NDA z dostawcą chmury). To również kwestia zabezpieczenia informacji dotyczących podmiotów trzecich (ich tajemnic), co do których podmiot migrujący dane do chmury zobowiązał się do zachowania poufności. Aby wyeliminować lub przynajmniej ograniczyć ryzyko naruszeń w tym zakresie, należy przeprowadzić odpowiednią klasyfikację informacji, a także przeprowadzić audyt zawartych umów o zachowanie poufności (NDA), tak aby ocenić możliwość i zakres zmigrowania poszczególnych danych stanowiących tajemnicę przedsiębiorstwa do usługi chmurowej;
• ochroną innych informacji w szczególny sposób prawnie chronionych, np. informacji objętych tajemnicą zawodową (w tym tajemnicą lekarską, adwokacką, dziennikarską), tajemnicą telekomunikacyjną, czy też informacji niejawnych (chronionych na podstawie ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych). W celu wyeliminowania lub przynajmniej ograniczenia ryzyka naruszeń w tym zakresie konieczne jest przeprowadzenie odpowiedniej klasyfikacji informacji, a także weryfikacja ograniczeń prawnych, zarówno w zakresie powszechnie obowiązujących przepisów, jak i miękkich regulacji prawnych – wytycznych i rekomendacji (soft law) – związanych z przenoszeniem takich informacji do infrastruktury chmury obliczeniowej;
• wymogami prawnymi dotyczącymi bezpieczeństwa systemów informatycznych wynikającymi z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. W szczególności uwzględnienia tego, czy po migracji do chmury dany podmiot będzie w stanie wypełnić szczególne obowiązki w zakresie cyberbezpieczeństwa nałożone na niego na gruncie ww. ustawy. Oczywiście pod warunkiem, że migrujący do chmury spełnia wymagania ustawowe kwalifikujące go jako dostawcę usług cyfrowych, operatora usług kluczowych lub podmiot publiczny w rozumieniu tejże ustawy;
• aspektami odnoszącymi się do zapewnienia ciągłości realizowanych zadań i przetwarzanych danych zmigrowanych do chmury z punktu widzenia obowiązków ustawowych nałożonych na dany podmiot (np. w zakresie świadczenia określonych usług kluczowych, wypełniania obowiązków księgowych, podatkowych, sprawozdawczych czy wynikających z prawa pracy). Poza tym wynikających z jego obowiązków kontraktowych względem np. klientów, poprzez odpowiednie uregulowanie SLA (w tym czasów reakcji, naprawy czy przestojów lub przerw konserwacyjnych) w umowach z dostawcą usług chmurowych, oraz poprzez zapewnienie w krytycznych sytuacjach awaryjnego planu (ścieżki) działania. Aby ograniczyć ryzyko w tym zakresie, można w szczególności przeprowadzić audyt warunków umów zawartych z klientami w zakresie obowiązującego SLA, a także opracować plan ciągłości działania;
• potrzebami minimalizowania ryzyka wystąpienia sytuacji uzależnienia od dostawcy chmurowego, czyli tzw. vendor lock-in, które w perspektywie długoterminowej może negatywnie wpływać na ciągłość i jakość usług świadczonych przez dostawcę chmurowego. Ryzyko w tym zakresie można ograniczyć, przygotowując odpowiedni wewnętrzny exit plan, a także zabezpieczając pewne ryzyka związane z kończeniem współpracy z dostawcą chmurowym poprzez zawarcie z nim odpowiednich postanowień umownych;
• aspektami prawnopodatkowymi dotyczącymi migracji do chmury oraz wykorzystania rozwiązań chmury obliczeniowej, w tym w szczególności przeanalizowania kwestii związanych z koniecznością zapłaty podatku u źródła czy kwalifikacji wydatków poniesionych na migrację oraz późniejsze korzystanie z rozwiązań chmurowych jako CAPEX/OPEX itp. Aby ograniczyć ryzyko w tym zakresie, można wcześniej przeprowadzić odpowiednie analizy podatkowe, a także rozważyć wystąpienie o wydanie odpowiednich indywidualnych interpretacji podatkowych jeszcze przed decyzją o rozpoczęciu korzystania z rozwiązań chmurowych.

> Znaczenie otoczenia prawnego

Podkreślić zatem należy, że w pierwszej kolejności przed podjęciem decyzji o zmigrowaniu części lub całości systemów informatycznych z infrastruktury on-premises do infrastruktury chmury obliczeniowej, a w szczególności przed dokładnym zaplanowaniem, jak ten proces ma wyglądać, konieczne jest zidentyfikowanie, a następnie uwzględnienie całego otoczenia prawnego. Dotyczy to przede wszystkim sztywnych regulacji prawnych na poziomie krajowym i unijnym, a także różnego rodzaju wytycznych i rekomendacji o charakterze soft law, które coraz częściej wydawane są przez odpowiednie organy nadzorcze i zwykle kierowane są do określonego sektora.

Warto w tym miejscu zaznaczyć, że samo zidentyfikowanie odpowiednich regulacji prawnych, które będą miały zastosowywanie do procesu migracji i korzystania z chmury obliczeniowej (przetwarzania danych w chmurze obliczeniowej), może nastręczać pewnych problemów. Wynika to z faktu, że na chwilę obecną – zarówno na poziomie unijnym, jak i na poziomie krajowym – w zasadzie brak jest kompleksowych i jednolitych regulacji prawnych, które wprost odnosiłyby się do zagadnienia chmury obliczeniowej.

Opracowany w lutym 2020 r. dokument „Narodowe Standardy Cyberbezpieczeństwa – Standardy Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO)” w Załączniku 1. „Wykaz przepisów i norm związanych z bezpieczeństwem i przetwarzaniem informacji w modelach chmur obliczeniowych” wśród jedynie samych przepisów regulujących pośrednio lub bezpośrednio kwestie bezpieczeństwa przetwarzanych informacji w modelach chmur obliczeniowych wymienia aż 19 aktów prawnych o randze ustawy, rozporządzeń, uchwał Rady Ministrów, a także aktów prawa unijnego (bit.ly/3oVvUQF).

[...]

Autorka jest radczynią prawną, partnerem i szefową zespołu prawa IT w Kancelarii Traple Konarski Podrecki i wspólnicy (TKP).