Przechowywanie danych w chmurze a RODO.
Blog

Skontaktuj się z nami

18-03-2022
Photo representing the subject of the blog

Najpopularniejsze posty

Zapisz się do Newslettera

Wyślij

Przechowywanie danych w chmurze stanowi dla wielu przedsiębiorców niezwykle interesujące rozwiązanie. Dzięki niemu mogą oni nie tylko przygotować cyfrową wersję wielu dokumentów, ale i zaoszczędzić miejsce na dyskach twardych swoich komputerach. W tym miejscu może pojawić się jednak wiele wątpliwości z punktu widzenia ochrony danych osobowych. Jak zatem wygląda stosunek przechowywania danych w chmurze do RODO?



Czym jest chmura internetowa?


Chmura internetowa to specjalna usługa polegająca na przechowywaniu danych na serwerze należącym do usługodawcy. Jego klient ma zawsze dostęp do zbioru danych poprzez Internet. W praktyce rozwiązanie to jest najczęściej wykorzystywane do przechowywania różnego rodzaju multimediów, zdjęć, filmów, niekiedy również oprogramowania i baz danych.


Mówiąc najprościej, poprzez chmurę internetową można rozumieć „wirtualny dysk przenośny”, do którego można mieć dostęp z każdego miejsca na świecie. Nic zatem dziwnego, że na korzystanie z chmury coraz częściej decydują się również przedsiębiorcy.



Czy RODO zabrania przechowywania danych w chmurze?


Na wstępie należy zauważyć, że RODO jest aktem neutralnym z punktu widzenia technologicznego. Nie zabrania ono stosowania poszczególnych rozwiązań, na przykład przechowywania danych w chmurze, jednakże określa warunki, jakie muszą zostać spełnione, aby dane osobowe miały zapewnioną należytą ochronę. Konieczne jest jednak rozróżnienie dwóch przypadków – przechowywanie danych osobowych do użytku własnego oraz dla klientów.


W pierwszym przypadku, a więc gdy przedsiębiorca przechowuje dane osobowe innych osób na własny użytek, to on odpowiada za złamanie przepisów RODO. Jeżeli zaś wykorzystuje on do tego celu inny podmiot, wówczas to na innym przedsiębiorcy ciąży odpowiedzialność związana z wszelkiego rodzaju naruszeniami. Z tego też względu do przechowywania danych osobowych potrzebne są wymagane prawem zgody klienta.



W jaki sposób wybrać dostawcę usług cloudingowych?


Wybór odpowiedniego dostawcy usług cloudingowych nie jest łatwy. Przede wszystkim należy zwrócić uwagę na to, czy dany podmiot jest w stanie zagwarantować, że będzie świadczył usługi zgodnie z przepisami RODO. W świetle regulacji tego rozporządzenia będzie on bowiem procesorem, czyli podmiotem przetwarzającym.


W tym kontekście warto zwrócić uwagę na art. 28 ust. 1 RODO. Otóż w przepisie tym postanowiono, że jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Co ważne, jeżeli dany dostawca nie przestrzega norm wynikających z RODO, wówczas to przedsiębiorca, który zawarł z nim umowę, ponosi ryzyko za powstanie naruszeń ochrony danych osobowych. Warto więc dokładnie sprawdzić, czy dany podmiot faktycznie świadczy usługi cloudingowe zgodnie z tym unijnym rozporządzeniem.



Zgoda klienta to podstawa.


Możliwość skorzystania z oferty dostawcy usług cloudingowych wiąże się nie tylko z koniecznością wyboru odpowiedniego podmiotu, ale i z wymogiem uzyskania zgody klienta w tym zakresie. Wynika to wprost z art. 28 ust. 2 RODO, w którym stwierdzono, że podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.


Jak zatem widać, RODO nie zabrania korzystania z chmury danych w celu przechowywania danych swoich klientów. Konieczne jest jednak spełnienie dwóch podstawowych warunków. Pierwszym z nich jest wybór odpowiedniego dostawcy, który świadczy swoje usługi zgodnie z przepisami tego rozporządzenia, a drugim uzyskanie wymaganych zgód od klientów.