Wraz z rosnącym zainteresowaniem cloud-computingiem zwiększa się także świadomość problemów prawnych związanych z takimi usługami, szczególnie w kontekście ochrony danych osobowych i wymogów nałożonych na usługodawców elektronicznych. Bezpieczne przetwarzanie danych w chmurze stanowi nie lada wyzwanie dla usługodawcy, ze względu na wielość regulacji, które muszą zostać wzięte pod uwagę dla określenia jego obowiązków oraz procedur, które musi zastosować. W prezentacji wskano najważniejsze regulacje stosowane przy przetwarzaniu danych w chmurze (w szczególności ich przechowywaniu). W trakcie wykładu przedstawione zostaną podstawowe obowiązki, jakie ciążą na administratorze danych oraz zagrożenia, jakie wiążą się ze specyfiką tej usługi.

1. Praktyczne problemy
cloud-computingu
(aspekty prawne)
Chabasiewicz Kowalska i Partnerzy
Kraków, 30 września 2014 r.
1

2. Cloud computing - definicja
Definicja NIST
Przetwarzanie w chmurze to model świadczenia usług przetwarzania danych,
pozwalający na dostęp na żądanie, przez sieć, do dzielonej puli zasobów
(sieciowych, serwerowych, pamięci masowych, aplikacji i usług). Zasoby te mogą
być zamawiane przez klientów i w odpowiedni sposób konfigurowane w zależności
od potrzeb użytkowników oraz dostarczane na żądanie i udostępniane przy
minimalnym zaangażowaniu odbiorcy usługi.
Modele wdrożenia: chmura publiczna, prywatna, hybrydowa…
Modele świadczenia usługi:
SaaS – aplikacje dostępne przez przeglądarkę internetową i niezainstalowane lokalnie;
PaaS - aplikacje i narzędzia są dostępne u dostawcy zdalnych usług;
IaaS – to serwery, pamięci masowe i sprzęt sieciowy dostarczane jako usługa.
2

3. Obawy przed CC
 Prywatność danych
 Dostępność usług i danych
 Integralność danych
 Poufność danych firmowych oraz obowiązek zachowania
tajemnicy zawodowej
 Możliwość wyparcia się wykonania czynności na danych
 Utrata kontroli nad usługami / danymi
 Brak odpowiedzialności dostawców usług
 Niespójności w uregulowaniach transgranicznych
 Niejasne uregulowania cenowe
 Niekontrolowany koszt (zależny od użycia)
 Koszty i trudności migracji do chmury
3

4. Cloud computing
Z perspektywy prawa: usługa świadczona drogą elektroniczną
„Wszystkie usługi, których wykonanie następuje przez wysyłanie i odbieranie danych za
pomocą systemów teleinformatycznych na indywidualne żądanie usługobiorcy (klienta),
bez jednoczesnej obecności stron, przy czym dane te muszą zostać transmitowane za
pośrednictwem sieci publicznych.”
Problemy:
 umowy transgraniczne (wybór prawa i jurysdykcji (jaki sąd jest właściwy?);
 farmy serwerów (wsparcie infrastrukturalne przez podwykonawców);
 odpowiedzialność,
 dane osobowe;
 regulamin;
 prawa autorskie;
 przetwarzanie danych osobowych;
 certyfikacje;
 klauzule wyjścia (zwrot danych, usunięcie, okres przejściowy)
4

5. Obowiązki usługodawcy
KC + UŚUDE + UODO
 konieczność opracowania umowy lub regulaminu, który będzie regulował
kompleksowo relacje z usługobiorcą oraz uwzględni interesy usługodawcy (art. 8
UŚUDE)
 szczególne regulacje, kiedy druga strona jest konsumentem;
 problem odpowiedzialności wobec usługobiorcy oraz osób trzecich (jakie roszczenia
mogą mieć moi klienci oraz jakie skutki wynikają z prawa – analiza potrzeb);
 umowa (service level agreement) – definicja usługi, podanie podstawowych
informacji o usługodawcy oraz parametry usługi (dostępność, wydajność, poziom
wsparcia dostawcy, bezpieczeństwo danych, ich ochrona, środki naprawcze na
wypadek przestoju);
 zapewnienie działania systemu teleinformatycznego, w tym zabezpieczenie
technikami kryptograficznymi, identyfikację stron usługi, potwierdzenie faktu złożenia
oświadczenia woli;
 zgodne z prawem przetwarzanie danych osobowych 5

6. Regulamin - opcja minimum
Niezbędne elementy regulaminu:
 dane identyfikujące usługodawcę (imię i nazwisko/ firma, adres,
nr telefonu, adres e-mail)
 rodzaje i zakres usług świadczonych drogą elektroniczną;
 warunki świadczenia usług drogą elektroniczną, w tym:
 wymagania techniczne niezbędne do współpracy z systemem
teleinformatycznym, którym posługuje się usługodawca,
 zakaz dostarczania przez usługobiorcę treści o charakterze
bezprawnym;
 warunki zawierania i rozwiązywania umów o świadczenie usług drogą
elektroniczną;
 szczególne zagrożenia związane z usługą
 tryb postępowania reklamacyjnego.
 procedurę zgłaszania naruszeń i awarii przez usługobiorcę
brak regulaminu lub brak jego udostępnienia usługobiorcy = brak
związania usługobiorcy jego postanowieniami
6

7. Z praktyki…
Przykłady postanowień dot. CC
„11. NIEAUTORYZOWANY DOSTĘP DO DANYCH UŻYTKOWNIKA
I KORZYSTANIA Z USŁUG
11.1 Użytkownik odpowiada za dostęp do Usług i korzystanie z nich
przez osoby, które Użytkownik upoważnił do dostępu lub korzystania
z Usług lub którym udostępnił dane umożliwiające uwierzytelnienie w
Chmurze i na Koncie Użytkownika, w tym za działania i zaniechania
takich osób, a także za swoje działania lub zaniechania w zakresie
zabezpieczenia dostępu do Usług, w tym do danych umożliwiających
uwierzytelnienie.”
https://www.oktawave.com/pl/regulamin.html
7

8. Z praktyki cd…
Przykłady postanowień dot. CC c.d.
„19. ODPOWIEDZIALNOŚĆ ZA UTRATĘ DANYCH UŻYTKOWNIKA
19.1 Zważywszy, że z wyjątkiem Usługi Backupu (Usługa
Bezpieczeństwa Danych) Danych Użytkownika, przedmiotem żaden
innej z Usług świadczonych Użytkownikowi nie jest tworzenie kopii
zapasowych Danych Użytkownika, a także, że Użytkownik
zobowiązany jest samodzielnie trzymać kopię zapasową Danych
Użytkownika, odpowiedzialność za utratę Danych Użytkownika
ponosi Użytkownik.
19.2 Usługodawca nie ponosi odpowiedzialności za utratę Danych
Użytkownika, chyba że Użytkownik wykupił dostęp do Oktawave
Cloud Storage lub Oktawave Volume Storage. W takiej sytuacji
odpowiedzialność Usługodawcy w związku z utratą Danych
Użytkownika reguluje Standardowa Umowa o Poziomie Usług.”
https://www.oktawave.com/pl/regulamin.html
8

9. Konsumenci
Uwaga! Umowa z konsumentem:
szersze obowiązki informacyjne ze względu na wejście w życie 25
grudnia 2014 r. ustawy o prawach konsumenta;
obowiązki informacyjne;
prawo odstąpienia od umowy bez podawania przyczyny:
 w terminie 10 (od grudnia – 14) dni od dnia zawarcia umowy,
 m.in. pod warunkiem, że usługodawca nie wykonał w pełni
swojej usługi za zgodą konsumenta oraz, w przypadku
dostarczania treści cyfrowych niezapisanych na nośniku
materialnym, pod warunkiem że usługodawca nie rozpoczął
spełniania świadczenia za wyraźną zgodą konsumenta
kontrola regulaminu z punktu widzenia niedozwolonych klauzul
umownych
9

10. Klauzule abuzywne
Przykłady niedozwolonych postanowień umownych:
„Open Finance S.A. nie odpowiada za działania osób trzecich
obsługujących system informatyczny serwisu, jak również za szkody powstałe
w wyniku uszkodzenia sprzętu komputerowego użytkownika, bądź jego
zasobów danych, w trakcie lub w związku z korzystaniem z zasobów serwisu,
w szczególności na skutek przedostania się do systemu informatycznego
użytkownika wirusów komputerowych”
"Web-Net nie ponosi żadnej odpowiedzialności: (…) z tytułu strat, jakie
może ponieść Abonent na skutek niewłaściwego działania Web-Net lub sieci
Internet oraz urządzeń do niej przyłączonych a w szczególności - za utratę
danych lub zniszczenie oprogramowania"
"Całkowita odpowiedzialność Dostawcy wobec użytkownika (dochodzona
na podstawie jakiegokolwiek tytułu prawnego) ograniczona jest do wysokości
opłat faktycznie uiszczonych przez użytkownika w związku ze skorzystaniem
z Serwisu"
10

11. CC – SaaS
Czy potrzebna jest licencja na oprogramowanie w chmurze?
licencja nie jest konieczna, gdy program w chmurze nie jest powielany („trwałe lub
czasowe zwielokrotnianie”) na komputerze odbiorcy (art. 74 ust.4 pkt.1 pr.aut.);
jeżeli program jest jedynie wyświetlany na monitorze (przejściowe i incydentalne
korzystanie – dozwolony użytek?)
powielanie w komputerze usługobiorcy = reżim ustawy o pr.aut.
 licencja odpłatna lub nieodpłatna
 forma: dowolna (licencja niewyłączna) lub pisemna (licencja wyłączna)
 możliwość kształtowania czasu trwania licencji oraz okresów wypowiedzenia
 element niezbędny – wymienienie pól eksploatacji;
 konsekwencje podatkowe
11

12. Dane osobowe - słowniczek
 dane osobowe: wszelkie informacje: imię, nazwisko i adres, adres mailowy, zdjęcia, filmy,
zarejestrowane głosy, tzw. dane biometryczne (cechy źrenicy, linie papilarne, cechy twarzy,
geometria ręki) itp. – pod warunkiem, że mogą służyć do zidentyfikowania nas. Informacja
staje się więc daną osobową, jeżeli można tę informację powiązać z konkretną osobą;
 ADO: każdy kto przetwarza dane osobowe w związku z działalnością zarobkową, zawodową
lub dla realizacji celów statutowych; posiadacz zbioru danych, który decyduje o celach i
środkach przetwarzania staje się ich administratorem i musi zarejestrować zbiór danych, a
także zapewnić bezpieczeństwo ich przechowywania;
 zbieranie tych informacji i ich przetwarzanie może nastąpić tylko w przypadkach
przewidzianych w prawie, tj. przede wszystkim w przypadku uzyskania zgody osoby albo
przetwarzania dla celów zrealizowania umowy; przetwarzanie to: zbieranie, utrwalanie,
przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie (jakiekolwiek operacje
na DO zwłaszcza w systemach informatycznych);
Usługodawca zobowiązany jest do zapewnienia należytego poziomu ochrony danych osobowych
oraz ich zgłoszenia do GIODO
Możliwość bezpłatnego zgłoszenia poprzez formularz dostępny na https://egiodo.giodo.gov.pl
12

13. Przechowywanie danych osobowych
w chmurze - wątpliwości
UWAGA: od 2015 roku zmiana prawa unijnego
 Dyrektywa 95/46/WE zostanie zastąpiona rozporządzeniem PEiR w sprawie
ochrony osób fizycznych w zakresie przetwarzania danych osobowych i
swobodnego przepływu tych danych – bezpośrednie stosowanie;
 wskazówki i rekomendacje grupy roboczej art. 29 (5/2012);
 tzw. Memorandum Sopockie z 24.04. 2012 roku ( dokument roboczy w sprawie
przetwarzania danych osobowych w chmurze obliczeniowej- kwestie ochrony
danych i prywatności);
 czy przechowywanie danych osobowych w chmurze spełnia wymogi
bezpieczeństwa?
 czy administrator, który umieszcza dane w chmurze ma nad nimi realną kontrolę?
 czy hostingodawca również przetwarza dane osobowe, umieszczone w zbiorze
przez usługobiorcę - administratora?
13

14. CC jako hosting
Odpowiedzialność usługodawcy wobec podmiotów trzecich
Wyłączenie odpowiedzialności, gdy usługodawca:
nie wie o bezprawnym charakterze danych lub związanej z nimi
działalności albo
otrzymał urzędowe zawiadomienie lub uzyskał wiarygodną
wiadomość o bezprawnym charakterze danych lub związanej z nimi
działalności i niezwłocznie uniemożliwił dostęp do tych danych
(„notice and take down”)
Podmiot świadczący hosting nie jest obowiązany do
sprawdzania przekazywanych, przechowywanych lub
udostępnianych przez usługobiorców danych.
Ocena niezależna od tego, czy dane w chmurze są dostępne dla
ogółu internautów czy zabezpieczone hasłem i dostępne jedynie dla
usługobiorcy.
14

15. CC - hosting
 przechowywanie danych w ramach hostingu jest ich przetwarzaniem;
 dostawca usługi nie ma obowiązku sprawdzania przechowywanych
danych;
 przetwarzającym jest sam ADO, dostawca hostingu nie dokonuje żadnych
czynności na danych, chyba, że związane są one z tworzeniem kopii
zapasowych;
 ADO ma obowiązek zapewnić ustawowy poziom ochrony danych
przetwarzanych przez podmioty trzecie;
 jeżeli usługobiorca poinformuje dostawcę o tym, że będzie przechowywał
na jego serwerach dane osobowe, to na dostawcy ciąży obowiązek
spełnienia wymogów ustawy o ochronie danych osobowych, o ile nie
poinformuje niezwłocznie i jednoznacznie usługobiorcy, że jego serwery
nie są przystosowane do przetwarzania tego typu danych;
15

16. Przechowywanie danych osobowych
w chmurze - wątpliwości
czy konieczne jest zawieranie umowy o przetwarzaniu danych osobowych przez osobę
trzecią (usługodawcę)?
co do zasady nie ma takiego obowiązku – decyduje wola stron i chęć zapewnienia większego poziomu
bezpieczeństwa w stosunku do przechowywanych danych;
świadczenie usługi - umowa starannego działania, wzajemna, konsensualną i odpłatną (o ile strony nie
postanowią inaczej);
efektem zawarcia takiej umowy jest nałożenie na osobę trzecią takich obowiązków, jakie ciążą na
administratorze danych:
 konieczność zabezpieczenia danych osobowych
 przetwarzanie tylko w zakresie i zgodnie z celem przetwarzania wyznaczonym
w umowie z administratorem (art. 31 UODO)
 obowiązek zabezpieczenia dotyczy danych osobowych a nie tylko zbioru danych
 obowiązek sprawowania kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do
zbioru wprowadzone oraz komu są one przekazywane
 obowiązek spełnienia wymogów określonych w rozporządzeniu w sprawie dokumentacji i
warunkach technicznych
 odpowiedzialność za przestrzeganie przepisów dotyczących zabezpieczenia danych
 podleganie kontroli GIODO
16

17. CC - hosting
 brak umowy – ograniczona odpowiedzialność za przetwarzanie danych
(stanowisko GIODO – ABC Bezpieczeństwa danych osobowych
przetwarzanych przy użyciu systemów informatycznych
http://www.giodo.gov.pl/1520074/id_art/3910/j/pl/);
 zapewnienie w umowie hostingowej, ze bezpieczeństwo serwerów spełnia
minimalne wymogi określone w Rozporządzeniu w sprawie dokumentacji i
warunków technicznych;
Odpowiedzialność za:
nienależyte wykonanie umowy (przerwy w dostępie, awarie) – 471 k.c.
ujawnienie danych, informacji chronionych czy prywatnych – o ile zrobiono to
celowo (naruszenie dóbr osobistych, praw autorskich, czyny niedozwolone) lub nie
dołożono należytej staranności w zakresie zabezpieczenia danych i informacji
17

18. Przechowywanie danych osobowych
w chmurze - wątpliwości
Czy przechowywanie danych w osobowych w chmurze może być
uznane za transfer danych do państwa trzeciego?
kwestia zależna od oceny, czy usługodawca przetwarza dane osobowe
państwo trzecie = państwo spoza EOG
– swoboda przepływu danych w granicach UE i całego obszaru EOG
istotny jest kraj siedziby usługodawcy, który przechowuje dane osobowe
na serwerze
państwo trzecie musi dać gwarancje ochrony danych osobowych na swoim
terytorium przynajmniej takie, jakie obowiązują na terytorium RP (UE)
– Komisja Europejską w drodze decyzji stwierdziła, które kraje taki
poziom zapewniają, m.in. Argentyna, Australia, Izrael, Kanada,
Szwajcaria, USA (safe harbour)
– Inne kraje – konieczność uzyskania zgody GIODO, który wyda ją po
ocenie, jaki poziom bezpieczeństwa jest zapewniony
18

19. Przechowywanie danych osobowych
w chmurze - wątpliwości
co na to GIODO?
 przechowywanie danych w chmurze jest dopuszczalne, ale:
 konieczność zapewnienia usługobiorcy realnej kontroli nad
danymi przez usługodawcę oraz gwarancji ich ochrony, zgodnie
z przedstawionymi wcześniej uwagami
 GIODO postuluje zmiany perspektywy: uznanie, że to nie dany
kraj spełnia standardy bezpieczeństwa, a konkretny (np.
certyfikowany) usługodawca – modelowe klauzule UE (SCC),
BCR (wiążące reguły korporacyjne) – wymagania KE (transfer
danych wewnątrz grupy)
19

20. European Strategy for Cloud Computing
Kluczowe działania w ramach strategii to:
rozwiązanie problemu mnogości standardów, aby zapewnić
użytkownikom chmury interoperacyjność, przenoszenie danych i
odwracalność danych;
promowanie ogólnounijnych mechanizmów certyfikacji dla wiarygodnych
dostawców usług w modelu chmury;
opracowanie wzoru „bezpiecznych i uczciwych” warunków dla umów
dotyczących usług w chmurze, w tym umów o gwarantowanym poziomie
usług;
ustanowienie Europejskiego Partnerstwa na Rzecz Chmur
Obliczeniowych z udziałem państw członkowskich i podmiotów branżowych,
aby wykorzystać siłę nabywczą sektora publicznego w celu kształtowania
europejskiego rynku chmury obliczeniowej, zwiększenia szans europejskich
dostawców usług w modelu chmury na osiągnięcie poziomu
zapewniającego konkurencyjność oraz dostarczenia tańszych i lepszych
rozwiązań w zakresie elektronicznej administracji publicznej.
20

21. Dziękujemy za uwagę
i zapraszamy do współpracy
Chabasiewicz, Kowalska i Partnerzy
Radcowie Prawni
tel: +48 12 297 38 38, +48 12 297 38 30
fax: +48 12 297 38 39
agata.kowalska@ck-legal.pl
kancelaria@ck-legal.pl
www.ck-legal.pl
zapraszamy na naszego bloga:
www.prawainwestora.pl
21