W obecnych czasach przedsiębiorstwa coraz częściej rozważają migrację zasobów informatycznych do tzw. data center. Po wejściu w życie przepisów rodo dane coraz bardziej nabierają znaczenia, a migracja danych to ogromnie ważny proces związany z ich zabezpieczeniem fizycznym i prawnym.

Migracja danych może być przeprowadzana z różnych powodów. Czasami dotyczy samej bazy danych, oprogramowania, ale przyczyną może być również połączenie podmiotów gospodarczych – w zależności od tego, z jakimi przypadkami oraz z jakim sektorem czy branżą mamy do czynienia. Nie ulega jednak wątpliwości, że cały proces wymaga wielu prac, dzięki którym migracja powinna być płynna, a sam przepływ informacji i danych – bezpieczny. Jest to istotny aspekt, głównie dlatego, że błędy oznaczają ryzyko utraty danych. Nie chodzi tylko o samą utratę, ale również o odpowiedzialność z tego tytułu, straty finansowe czy chociażby reputacyjne.

> INWENTARYZACJA I AUDYT

Z własnego doświadczenia wiem, że proces ten najlepiej zlecić firmie, która specjalizuje się w takich przedsięwzięciach. Ewentualnie, jeżeli dane przedsiębiorstwo nie chce korzystać z usług zewnętrznych podmiotów, można rozważyć zatrudnienie osoby mającej doświadczenie w zarządzaniu takim projektem. Przed jego rozpoczęciem warto przeprowadzić pewnego rodzaju inwentaryzację i audyt tego, co w ogóle dana organizacja posiada w zakresie infrastruktury, jaki jest tego zakres oraz co ma być przedmiotem migracji. Ma to istotne znaczenie głównie w kontekście analizy, jakie wymogi prawne będzie trzeba spełnić oraz jakie wymogi będzie musiało spełnić nowe data center.

Nie ulega wątpliwości, że w procesie migracji konieczne jest zaangażowanie osób decyzyjnych w projekt, ponieważ wielokrotnie trzeba podejmować decyzje w zakresie poszczególnych etapów, a każdy etap może wymagać dodatkowego doszczegółowienia, omówienia i ostatecznie – podejmowania decyzji. Dlatego ustalenie wszelkich interesariuszy projektu jest niezbędne.

Przenosząc infrastrukturę IT do data center, możemy otrzymać różne usługi w ofercie. Nie ulega wątpliwości, że wsparcie w projekcie ze strony data center ułatwia cały proces. Warto zatem, aby w umowie z nim były zawarte jasne informacje: jakie wsparcie i w jakim zakresie będzie realizowane, czas realizacji, delegacja opiekunów do projektu, zakres prac, harmonogram poszczególnych czynności itp. Jest to ważne chociażby ze względu na konieczność ustalenia harmonogramu prac, szacowania godzin pracy i konkretnych zadań. Dlatego już na wstępnym etapie należy podpisać z podmiotem, do którego zamierza się migrować, umowę NDA – o zachowaniu poufności.

> ASPEKTY PRAWNE

Jak już wcześniej wspomniano, migracja infrastruktury to złożony proces, w którym ważne są nie tylko kwestie biznesowe czy te dotyczące bezpieczeństwa, ale też prawne. W zależności od sektora lub branży wymogów może być mniej lub więcej, jednak najważniejsze jest to, aby dokładnie przeanalizować, jaki zakres migracji powinien być brany pod uwagę. Istotne jest również, z jakim rozwiązaniem mamy do czynienia – czy to chmura prywatna, publiczna, hybrydowa, czy rozwiązania IaaS – liczą się szczegóły, które będą wielokrotnie determinować zakres wymogów prawnych w odniesieniu do danej migracji, w danej branży.
Jak już wcześniej zauważono, przy migracji ważną rolę odgrywają dobra inwentaryzacja i audyt przyjętych w organizacji rozwiązań i procedur oraz tego, jak to funkcjonuje. Już na wstępnym etapie planowania należy przeanalizować informacje dotyczące zasobów organizacji i rozwiązań, z jakimi trzeba będzie się zmierzyć. Innymi słowy, planując migrację, powinniśmy wiedzieć, jak ta migracja ma funkcjonować już po etapie samej migracji. Czego chcemy, jak chcemy to zrobić, z czym powinniśmy się zapoznać i co jest nam potrzebne, aby to zrobić.

Wielowarstwowe regulacje czy wytyczne nakładane przez różne organy – KNF, UODO, UOKiK itp. – sprawiają, że sam proces migracji nabiera znaczenia oraz stawia ogromne wyzwanie przed organizacją w różnych jej obszarach. Jednym z takich wyzwań jest ochrona danych osobowych, które rygorystycznie określają zakres powierzania danych oraz obowiązki z nimi związane na terenie i poza EOG. Podczas wyboru podmiotu data center czy chociażby podmiotu pośredniczącego migrację do IaaS, SaaS, PaaS nie obejdzie się i wręcz nie może się obyć bez odpowiednich analiz poprzedzających nie tylko zakres danych osobowych, ale również weryfikacji podmiotu, któremu zamierza się powierzyć dostęp do takowych danych.

Przykładowo w zakresie chmur obliczeniowych – czy to chmura prywatna, publiczna, czy ich hybrydowa forma – powierzenie danych może budzić nie tylko wątpliwości prawne, ale również co do tego, czy dany podmiot przenoszący swoją infrastrukturę będzie miał odpowiednią „kontrolę” nad tym, co z tymi danymi się dzieje. Szczególnie jest to problematyczne przy rozwiązaniu IaaS, gdzie nie zawsze ma się zapewnioną pełną kontrolę nad środowiskiem. Istotne jest, aby przed podjęciem decyzji dokładnie przeanalizować wymogi prawne związane z branżą, jakiej dotyczy migracja. Z pewnością pomocne będą pytania typu: jaki podmiot jest właścicielem danego data center/ cloud computing? W jakim zakresie infrastruktura jest kontrolowana przez ten podmiot, czy jest kontrolowana przez inne podmioty, a jeśli tak, to jakie? Gdzie się znajduje – na terenie jakiego państwa? Jaka jest polityka bezpieczeństwa i ochrony infrastruktury? Czy poziom bezpieczeństwa jest realizowany przez podmiot trzeci, który posiada jakąś akredytację – tym samym dając odpowiednie wskaźniki należytej staranności w tym zakresie? Czy kontrole tejże infrastruktury są systematyczne i w jakim zakresie? Są to przykładowe pytania i w zależności od danej branży powinno być ich znacznie więcej i powinny być połączone z przeprowadzoną ankietą procesora danych.

Często organizacje odwołują się do Międzynarodowej Organizacji Normalizacyjnej (ISO) oraz standardu Amerykańskiego Instytutu Audytorów (AICPA), tzw. SAS 70, a także ISO/IEC 27001 oraz ISO/IEC 27002.

Bardzo ważną kwestią jest zapoznanie się z odpowiednimi źródłami prawnymi (patrz: ramka). Oczywiście źródeł może być znacznie więcej niż wymienione w ramce, chociażby z powodu ciągle zmieniającego się prawa, rozwoju technologii itp. Dlatego tak istotne jest, aby przed przystąpieniem do jakiejkolwiek realizacji projektu związanego z migracją zapoznać się z aktualnymi i najnowszymi wymogami, w danym dniu dla danej branży. Bardzo ważna jest również ścisła współpraca z obszarem prawnym w danej organizacji lub z obsługującą kancelarią prawną.

> NEWRALGICZNE OBSZARY MIGRACJI

Po zapoznaniu się z odpowiednimi wytycznymi, wymogami prawnymi i źródłami warto zwrócić jeszcze uwagę na kilka aspektów prawnych w zakresie samej współpracy między stronami migracji. Chodzi o pewne newralgiczne kwestie, którymi powinien zainteresować się podmiot chcący dokonać migracji. Zostaną one omówione poniżej, przy czym należy pamiętać, że nie jest to katalog zamknięty.

Po pierwsze, są to zasady związane z wymogami podatkowymi. Choć w większości umów ten temat pozostawia się na koniec, skupię się na nim w pierwszej kolejności. Głównie dlatego, że na koniec zawsze pojawiają się jakieś problemy i niedomówienia, co w ostateczności może doprowadzić do tego, że przyjęte rozwiązania biznesowe nie są odpowiednie, bo zakres podatkowy może stwarzać problemy, a jak wiadomo, w tym obszarze lepiej być w pełni transparentnym. Ważne zatem, aby przed rozpoczęciem prac związanych z migracją skonsultować się z doradcą podatkowym lub profesjonalnym podmiotem specjalizującym się w zakresie podatków, który ma wszelkie uprawnienia w danym zakresie, w celu zapoznania się z wymogami, jakie należy mieć na uwadze, kwestiami, które trzeba sprawdzić itp. Mogą pojawić się wątpliwości, czy dany zakres w ogóle może być przedmiotem migracji z perspektywy podatkowej lub wiązać się z ryzykami w tym obszarze.

Po drugie, przed rozpoczęciem ustaleń z podmiotami zewnętrznymi należy podpisać umowę NDA. Jest to ważny element współpracy, który powinien być wprowadzony już na etapie pierwszych rozmów z potencjalnym partnerem biznesowym, aby uniknąć sytuacji przekazywania informacji (np. technologicznych, organizacyjnych), które objęte są tajemnicą przedsiębiorstwa.

[...]

Autorka jest prawnikiem, właścicielem llegal.pl, stałym mediatorem przy Sądzie Okręgowym w Gdańsku specjalizującym się w mediacjach z zakresu własności intelektualnej. Członkini Stowarzyszenia Praktyków Ochrony Danych SPOD. Autorka książki o odpowiedzialności odszkodowawczej. Audytor wewnętrzny w zakresie bezpieczeństwa informacji oraz systemu zarządzania jakością. Certyfikowany tester oprogramowania ISTQB. Z branżą IT związana od 2012 r. Obecnie w trakcie badań naukowych w ramach pracy doktorskiej z zakresu prawa nowych technologii