Zagadnienia związane z ochroną danych osobowych (RODO) oraz wykorzystywanie popularnych usług opartych o chmurę obliczeniową ma ze sobą wiele wspólnego. Głównym ich łącznikiem są dane. Korzystanie z chmury jest bardzo korzystne dla firm i organizacji, zwłaszcza zajmujących się sektorem finansowym.
W przypadku użytku prywatnego, RODO nie ogranicza nas w żadnym wypadku, jednak jeśli jesteśmy firmą i wykorzystujemy chmurę do przetwarzania dotyczących naszych klientów, musimy się liczyć z pewnymi ograniczeniami i ryzykiem. Samo RODO nie zabrania korzystania z chmury, ponieważ nie znajdziemy w jego treści wzmianek wykluczających jakąkolwiek technologię służącą przetwarzaniu danych, jednak działając w sektorze finansowym musimy brać pod uwagę kilka wytycznych.
Jak ważny pod względem RODO jest wybór chmury?
Usługa chmury obliczeniowej polega na udostępnianiu przestrzeni roboczej w sposób wirtualny, a nie fizyczny. Takie rozwiązanie daje dużo korzyści, ponieważ np. firma nie dysponuje wystarczającą mocą przerobową, a nie posiada środków ani przestrzeni, by stworzyć własne środowisko umożliwiające pewien typ operacji na danych.
Rozwiązanie zakładające stworzenie własnych struktur obliczeniowych to chmura prywatna, której zaletą jest to, że firma nie zleca nikomu przetwarzania danych i informacje przetwarzane w chmurze pozostają pod bezpośrednią kontrolą administratora. Innym rozwiązaniem jest chmura publiczna, która jako usługa jest dostarczana i zarządzana przez osoby trzecie.
Zaletą tego rozwiązania jest oszczędność przestrzeni, czasu i zmniejszenie kosztów korzystania z takiej chmury. Wadą natomiast jest to, że firma udostępnia informacje o swoich klientach innym podmiotom, co może wiązać się z karami za ujawnienie informacji, których nie powinno się ujawniać.
Nie zawsze najtańszy dostawca będzie najlepszy
Najlepszym dostawcą usługi będzie firma mająca siedzibę na terenie Unii Europejskiej, a najlepiej na terenie Polski ponieważ będzie ona podlegać pod RODO i zostanie zapewnione strategiczne bezpieczeństwo sektora finansowego. Każdy dostawca usługi działający w wielu państwach musi liczyć się z prawem z prawem lokalnym oraz z prawem, które obowiązuje w miejscu ich siedziby. Firmy np. z Ameryki, takie jak Apple, mogą podlegać pod swoje przepisy krajowe, uniemożliwiające im jednoczesne przestrzeganie RODO. W USA odpowiedzialny za to jest Cloud Act wg. którego każda firma posiadająca usługi chmury z siedzibą w USA, ma obowiązek przekazać dane przez nie gromadzone, odpowiednim służbom państwowym na ich polecenie. Sprawia to, że dostawcy usług chmury z USA spełniają kryteria wymagane w RODO, o ile służby USA nie będą wymagały dostępu do danych. Dodatkowo, firma którą wybierzemy powinna:
- przetwarzać dane wyłącznie na polecenie administratora;
- zachować tajemnicę informacji;
- w należyty sposób zabezpieczać powierzone jej informacje.
Co do powiedzenia ma KNF?
Komisja Nadzoru Finansowego wydała 23.01.22r. dyrektywę, która nakłada na firmy działające w sektorze finansowym, korzystające z chmury obliczeniowej dodatkowe obostrzenia. Firma korzystająca z chmury obliczeniowej przed przystąpieniem do korzystania z niej powinna w określony sposób ocenić ryzyko z jakim wiązałoby się przetwarzanie danych klientów.
M. in. firma miałaby zdecydować czy dane informacje są informacjami prawnie chronionymi, czy firma nie ma możliwości przetworzenia danych klientów w sposób inny niż poprzez wykorzystanie chmury obliczeniowej. Ma to znaczenie w kwestii wyboru sposobu szyfrowania, ponieważ np. dane prawnie chronione powinny być szyfrowane “in rest” oraz “in transit”, czyli w ruchu i w spoczynku, co stanowi najbardziej wymagająca formę szyfrowania. Dodatkowo KNF obarcza przedsiębiorstwo odpowiedzialnością za weryfikację kompetencji podmiotu, z którego usług będzie korzystał.
Prawidłowe wykorzystanie chmury
Korzystanie z chmury jest bardzo wygodnym rozwiązaniem, jednakże podczas wyboru chmury z której będziemy korzystać należy wziąć pod uwagę kilka czynników, takich jak to, czy dostawca usługi ma siedzibę w Unii Europejskiej, czy dostawca odpowiednio zabezpieczy dane, które mu powierzymy oraz to, aby nasi klienci wyrazili zgodę na przetwarzanie ich danych w chmurze.