Zabezpieczenie danych przede wszystkim
Istotą hostingu jest możliwość korzystania z przestrzeni dyskowej i przechowywania danych na serwerze. Okoliczność ta jest wystarczająca, by zawierając kontrakt hostingowy, uwzględnić przepisy ustawy o ochronie danych osobowych. Sytuacja się komplikuje, jeśli zamierzamy powierzyć dane firmie utrzymującej serwery za granicą. Punktem wyjścia naszych rozważań powinna być odpowiedź na podstawowe pytanie, czy w świetle Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (j.t. Dz. U. z 2014 r., poz. 1182 ze zm.) transfer danych osobowych poza granice naszego kraju jest dopuszczalny.
Od razu należy podkreślić, że najważniejsze jest odpowiednie zabezpieczenie danych osobowych. Miejsce siedziby podmiotu, który je przetwarza, lub forma prawna prowadzonej przez niego działalności mają drugorzędne znaczenie. Potwierdza to brak w ustawie jakichkolwiek dodatkowych warunków w wypadkach przekazywania danych osobowych do krajów Europejskiego Obszaru Gospodarczego (państwa członkowskie Unii Europejskiej oraz Islandia, Liechtenstein i Norwegia). Również przekazanie danych osobowych do państw trzecich, spoza EOG nie musi się wiązać z koniecznością spełnienia dodatkowych wymogów. Dopiero brak gwarancji należytego zabezpieczenia danych osobowych będzie wymagał podjęcia przez administratora danych osobowych (ADO) dalej idących czynności.
Nawet jeśli powierzamy dane osobowe do przechowywania podmiotowi z siedzibą w Polsce, którego serwery są zlokalizowane w granicach naszego kraju, będzie to dopuszczalne dopiero wówczas, gdy usługodawca spełni wymogi dotyczące zabezpieczenia danych osobowych wynikające z ustawy i Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Analogiczna zasada ma zastosowanie w razie przekazywania danych osobowych poza granice Rzeczypospolitej Polskiej. Chociażby ustawodawstwo państwa docelowego zapewniało najwyższy poziom ochrony danych osobowych, to w każdym przypadku należy sprawdzić, czy właściciel serwera legitymuje się konkretnymi zabezpieczeniami gwarantującymi ochronę powierzonych mu danych osobowych.
Możliwość przekazania danych osobowych za granicę
Państwem trzecim w rozumieniu ustawy jest państwo nienależące do EOG. Regulacje dotyczące przekazywania danych osobowych do państwa trzeciego (art. 47 i 48 ustawy) mają zatem zastosowanie do transferu danych na terytorium pozostałych państw europejskich lub do krajów na innych kontynentach. Przechowywanie danych osobowych na serwerach zlokalizowanych w Stanach Zjednoczonych czy Kanadzie będzie musiało odbywać się z zachowaniem zasad określonych w przywołanych przepisach.
Wspomniane regulacje mają charakter postępujący. To znaczy, że w pierwszej kolejności ustawodawca normuje przypadki dozwolonego przekazywania danych osobowych do państw trzecich bez konieczności spełniania dodatkowych przesłanek, a następnie określa coraz dalej idące wymogi, które należy spełnić, aby transfer danych osobowych za granicę był w ogóle możliwy.
Przekazanie danych osobowych do państwa trzeciego jest zatem dozwolone bez dodatkowych obwarowań, jeśli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Skąd jednak mamy wiedzieć, czy konkretne państwo zapewnia ochronę na wyższym albo choć takim samym poziomie jak Polska? Z jednej strony wskazuje się, iż ADO musi samodzielnie ocenić, czy państwo, do którego następuje przekazanie danych osobowych, zapewnia adekwatną ich ochronę, opierając się na kryteriach określonych w art. 47 ust. 1a ustawy (w szczególności znaczenie mają: charakter danych, cel i czas trwania przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych, przepisy prawa obowiązujące w danym państwie trzecim oraz stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe).
Z drugiej strony pewną pomocą mogą okazać się decyzje Komisji Europejskiej, wydane na podstawie art. 25 ust. 6 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995), mocą których stwierdza się, że określone państwo zapewnia odpowiedni stopień ochrony danych osobowych.
Oznacza to, że prawodawstwo danego państwa lub przyjęte przez nie zobowiązania międzynarodowe gwarantują ochronę danych na takim samym poziomie jaka jest zapewniona na terytorium Polski. Wspomniane decyzje Komisja Europejska wydała m.in. w odniesieniu do Argentyny, Kanady, USA, Szwajcarii. GIODO nie może zakwestionować legalności przekazania danych osobowych do jednego z państw, w stosunku do których została wydana przedmiotowa decyzja, o ile oczywiście w konkretnym przypadku zabezpieczenia te zostaną faktycznie zastosowane. Nie jest jednak tak, by decyzja Komisji Europejskiej była warunkiem konstytutywnym, decydującym o odpowiednim poziomie ochrony danych osobowych w państwie trzecim.
Również państwa trzecie, w stosunku do których przedmiotowa decyzja nie została wydana, a które zapewniają adekwatną ochronę danych osobowych, mogą być państwem docelowym przekazania danych osobowych, bez zakwestionowania legalności takiej operacji przez GIODO. Wówczas jednak wykazanie spełnienia tego podstawowego warunku, określonego w art. 47 ust. 1 ustawy, będzie obciążało ADO i może okazać się trudne do przeprowadzenia.
Sytuacja wygląda inaczej, jeśli państwo, do którego mają zostać przekazane dane osobowe, nie zapewnia ich odpowiedniej ochrony. W takich okolicznościach transfer danych za granicę będzie możliwy przede wszystkim, jeśli na ADO zostanie nałożony obowiązek ich przekazania wynikający z przepisów prawa lub postanowień ratyfikowanej umowy międzynarodowej (art. 47 ust. 2 ustawy). W większości przypadków będą to przepisy uprawniające różnego typu organy ścigania do uzyskania danych osobowych od podmiotów zagranicznych.
Dla podmiotów gospodarczych planujących przekazanie danych osobowych do państwa trzeciego większe znaczenie ma przepis art. 47 ust. 3 ustawy. Jeśli bowiem państwo docelowe nie zapewnia należytej ochrony danych osobowych, a transfer danych do tego państwa nie wynika z obowiązku nałożonego na ADO, to taka operacja będzie możliwa po spełnieniu jednej z przesłanek określonych w tym przepisie, tj.: (i) osoba, której dane dotyczą, udzieliła pisemnej zgody, (ii) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie, (iii) przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem, (iv) przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych, (v) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, (vi) dane są ogólnie dostępne.
Najbardziej wymagająca z punktu widzenia ADO jest sytuacja, w której transfer danych ma nastąpić do państwa trzeciego, które nie zapewnia należytej ochrony danych osobowych, ponadto nie zachodzi żadna z ww. okoliczności, a przekazanie danych osobowych do państwa trzeciego nie wynika z obowiązku nałożonego na ADO. Wówczas taki transfer będzie możliwy jedynie po uzyskaniu zgody GIODO, wyrażanej w drodze decyzji administracyjnej. Warunkiem wydania przedmiotowego zezwolenia jest zapewnienie przez ADO odpowiednich zabezpieczeń w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.
Powyższe ograniczenia nie dotyczą przypadków, gdy ADO zapewnia należytą ochronę danych osób, których one dotyczą, poprzez stosowanie standardowych klauzul umownych ochrony danych osobowych, zatwierdzonych przez Komisję Europejską, lub wiążących reguł korporacyjnych, zatwierdzonych przez GIODO.
Hosting zagraniczny, pomimo że jest zjawiskiem stosunkowo nowym na polskim rynku usług i nie doczekał się jeszcze autonomicznych regulacji prawnych (tak jak kiedyś leasing), to jest dopuszczalny w świetle przepisów ustawy, a w określonych przypadkach również wtedy, gdy serwer jest zlokalizowany w państwie spoza EOG.
Warunki legalnego przekazania
Należy przy tym pamiętać, że samo teoretyczne zapewnienie odpowiedniej ochrony danych osobowych, wynikające np. z przepisów prawnych danego państwa, nie jest wystarczające, by mówić o zgodności z prawem przekazania danych osobowych do państwa trzeciego w konkretnym przypadku. Decydujące będzie w tym zakresie spełnienie wszystkich wymogów stawianych przez ustawę. Jakie zatem warunki muszą być spełnione? Przede wszystkim należy zawrzeć umowę powierzenia danych z właścicielem serwera. Taka konieczność wynika z definicji przetwarzania danych osobowych, którym – zgodnie z art. 7 pkt 2 ustawy – jest jakakolwiek operacja wykonywana na tych danych, a zatem również przechowywanie danych osobowych na serwerze zewnętrznej firmy.
Skoro zatem dane przetwarzane są przez inny podmiot niż ADO, to należy zawrzeć umowę o powierzeniu danych osobowych temu podmiotowi (art. 31 ustawy). W umowie, oprócz koniecznych elementów wskazanych w ustawie, powinny się znaleźć zapisy o zobowiązaniu do zachowania danych w tajemnicy, o roszczeniach regresowych i o możliwości kontroli, tj. sprawdzenia sposobu zabezpieczenia danych w miejscu przechowywania.
Konieczne jest ponadto, by ADO posiadał obowiązkową dokumentację ochrony danych osobowych, tj. polityki bezpieczeństwa i instrukcje zarządzania, oraz zabezpieczenia zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń i kategorii danych objętych ochroną. Taką samą dokumentację oraz odpowiednie zabezpieczenia gwarantujące ochroną danych osobowych przed wejściem w ich posiadanie przez osoby nieupoważnione, przed ich utratą, uszkodzeniem lub zniszczeniem, powinien posiadać hostingodawca.
Ważne, by rozwiązania przyjęte w Polityce bezpieczeństwa i Instrukcji zarządzania oraz stosowane zabezpieczenia były adekwatne do rodzaju przetwarzanych danych osobowych i ewentualnych zagrożeń oraz możliwe do wykonywania w praktyce. Nie chodzi jedynie o formalne spełnienie wymogów ustawowych, pozwalające legitymować się wykonaniem obowiązków w trakcie ewentualnej kontroli. Bezpieczeństwa przetwarzanych danych osobowych nie da się zagwarantować poprzez jednorazowe działanie. Rozwój technologiczny otwiera przed nami nowe możliwości, ale jednocześnie stwarza nowe zagrożenia. Ponosząc odpowiedzialność za dane osobowe własnych klientów, należy regularnie dbać o ich należyte zabezpieczenie i systematycznie unowocześniać stosowane środki ochrony.
Fachowa pomoc, outsourcing ABI
Aby mieć pewność, że spełniamy wszystkie warunki dozwolonego przekazywania danych osobowych za granicę, tj. w szczególności, że umowa powierzenia danych zostanie prawidłowo sporządzona, a miejsce docelowe przechowywania danych osobowych spełnia wymogi stawiane przez przepisy powszechnie obowiązującego prawa, najlepiej skorzystać z porady osób posiadających w tym zakresie specjalistyczną wiedzę. Kluczowe jest bowiem, by nasz kontrahent, a także właściwie miejsce lokalizacji jego serwera zapewniały należytą ochronę przechowywanych danych osobowych. Jeżeli w przedsiębiorstwie nie funkcjonuje Administrator Bezpieczeństwa Informacji, który mógłby ocenić przedmiotowe kwestie, to niezbędnego wsparcia z pewnością udzielą eksperci z zewnętrznych firm.
Skorzystanie z usług „zewnętrznego ABI” jest o tyle korzystne, że nie wymaga zmian organizacyjnych w przedsiębiorstwie, pozwala zaoszczędzić czas i zapewnia kompleksowe rozwiązanie w zakresie ochrony danych osobowych przez podmiot mający odpowiednią wiedzę i ponoszący odpowiedzialność cywilną za świadczoną usługą. Dla firm, dla których ochrona danych osobowych ich klientów jest szczególnie istotna, czy to z uwagi na charakter przetwarzanych danych osobowych, zagrożenia z tym związane, czy ze względów wizerunkowych, rekomendowany jest outsourcing funkcji ABI. Powierzając zewnętrznej firmie kompleksową obsługę przetwarzania danych osobowych, przedsiębiorca zyskuje system ochrony danych osobowych zorganizowany na najwyższym poziomie, gwarantujący spełnienie wszelkich wymogów prawnych, pewność że ewentualna kontrola inspektorów GIODO nie narazi go na żadne negatywne konsekwencje, a zagrożenia związane z utratą danych osobowych zostaną zminimalizowane.
Administrator Bezpieczeństwa Informacji sporządzi stosowną umowę powierzenia, oceni stan zabezpieczeń serwera pod kątem wymogów ustawy i rozporządzenia, zasugeruje rozwiązania gwarantujące wyższy poziom zabezpieczenia danych osobowych, przygotuje obowiązkową dokumentację ochrony danych osobowych i będzie prowadził rejestr zbiorów danych osobowych. Oceni również funkcjonowanie systemu ochrony danych osobowych w przedsiębiorstwie, zachowanie pracowników, zasugeruje rozwiązania w celu poprawy stanu ochrony danych osobowych, a także przeszkoli pracowników w zakresie ochrony danych osobowych. Dzięki temu nawet transfer danych poza granice Rzeczypospolitej Polskiej będzie bezpieczny i zgodny z wytycznymi ustawy i rozporządzenia.
Zakres odpowiedzialności ABI
Usługa outsourcingu ABI jest realizowana przez BCC (aktualnie All for One Poland). Poniżej przedstawiono podstawowe obszary odpowiedzialności, jakie może przejąć administrator bezpieczeństwa informacji w ramach usługi outsourcingu tej roli, oraz podział obowiązków i odpowiedzialności pomiędzy firmę klienta i BCC. Szczegółowy zakres zadań zostanie określony w umowie.
Aktualizacja oraz nadzór bieżącej dokumentacji z zakresu ochrony danych osobowych. Aktualizacja polityki bezpieczeństwa oraz dokumentów wymaganych ustawą o ochronie danych osobowych i wydanych na jej podstawie rozporządzeń, audytowanie przestrzegania polityki bezpieczeństwa. Klient na bieżąco prowadzi rejestr dokumentów objętych ustawą. Odpowiedzialność BCC: wizyty w organizacji, przegląd każdego dokumentu wymaganego ustawą lub aktami podrzędnymi min. raz w roku, ponadto dodatkowe wizyty ad hoc (w uzgodnionym terminie); definiowanie i aktualizacja wytycznych i wymagań w zakresie procedur wewnętrznych, a także szablonów upoważnień i formularzy, rejestrów i umów, które powinny być wypełniane w przypadku udostępniania danych zarówno podmiotom wewnętrznym, jak i zewnętrznym na podstawie powierzenia; opiniowanie umów z dostawcami i klientami co do standardów bezpieczeństwa.
Nadzorowanie (wydawanie zaleceń w tym zakresie) przeciwdziałania dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe. Audytowanie przestrzegania polityki bezpieczeństwa. Definiowanie zaleceń dla administratorów systemów. Kontrola i audytowanie przestrzegania zdefiniowanych i przyjętych w polityce bezpieczeństwa i innych dokumentach związanych z bezpieczeństwem informacji w systemach informatycznych standardów ochrony systemów.
Klient: raz w miesiącu przygotowanie zestawienia logów oraz rejestrów dostępu do systemów, w których przetwarzane są dane osobowe. BCC: podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń lub podejrzenia naruszenia. Klient: na bieżąco prowadzi rejestr incydentów w zakresie bezpieczeństwa. BCC: podjęcie działań w ciągu jednego dnia od zgłoszenia, w ciągu 10 dni roboczych przygotowanie raportu, m.in. z rekomendacją działań mających na celu zapobieżenie wykrytym lub podobnym incydentom.
Nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe, oraz nadzór nad kontrolą przebywających w nich osób. Klient: raz w miesiącu przygotowuje zestawienia logów oraz rejestrów dostępu do pomieszczeń, w których przetwarzane są dane osobowe. BCC: analiza przygotowanych rejestrów, wydanie zaleceń oraz wytycznych.
Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe. Analiza obecnego stanu procedur i dokumentacji dotyczących tego obszaru w oparciu o ustawę o ochronie danych osobowych oraz własne doświadczenia. Wydawanie na tej podstawie rozporządzeń oraz, o ile to zasadne, rekomendacji. Kontrola, czy ustalone reguły są przestrzegane. Klient na bieżąco prowadzi rejestr napraw, konserwacji oraz likwidacji urządzeń komputerowych, na których zapisane są dane osobowe. BCC: analiza przygotowanych rejestrów, wydawanie zaleceń oraz wytycznych.
Zarządzanie hasłami użytkowników, systemami antywirusowymi i ich procedurami. Klient przygotowuje aktualne procedury, rejestry logów. BCC (aktualnie All for One Poland): analiza obecnego stanu procedur i dokumentacji dotyczących tego obszaru w oparciu o ustawę o ochronie danych osobowych oraz własne doświadczenia. Wydawanie na tej podstawie rozporządzeń i rekomendacji. Audytowanie, czy ustalone reguły są przestrzegane.
Nadzór nad wykonywaniem i przechowywaniem kopii awaryjnych oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności. Klient: na bieżąco prowadzi rejestr wykonywania kopii zapasowych, przygotowuje dokumenty związane z wykonywaniem kopii zapasowych (plan kopii, zapisy z testów itd.). BCC: analiza przygotowanych rejestrów, wydawanie zaleceń oraz wytycznych.
Nadzór nad obiegiem oraz przechowywaniem dokumentów zawierających dane osobowe. Klient na bieżąco prowadzi rejestr dokumentów objętych ustawą. BCC: nadzór nad obiegiem oraz przechowywaniem dokumentów zawierających dane osobowe poprzez obserwacje, wizyty u klienta, audyty.
Nadzór nad prawidłowością archiwizacji oraz usuwania danych osobowych. Klient na bieżąco prowadzi rejestr żądań związanych z archiwizacją oraz usuwaniem danych osobowych. BCC: analiza przygotowanych rejestrów, wydawanie zaleceń oraz wytycznych.
Monitorowanie funkcjonowania zabezpieczeń wdrożonych w celu ochrony danych osobowych. Klient przygotowuje aktualne procedury. BCC: monitorowanie poprzez obserwacje, wizyty u klienta, audyty.
Przeprowadzenie przynajmniej raz w roku audytu zakończonego raportem. W ramach usługi outsourcingu administratora bezpieczeństwa informacji BCC (aktualnie All for One Poland) zobowiązuje się do przeprowadzenia audytów w każdym obszarze organizacji. BCC jako audytor weryfikuje poprawność działania standardów bezpieczeństwa informacji. W przypadku wykrytych przekroczeń zarząd organizacji zostaje powiadomiony o zaistniałej sytuacji. W gestii zarządu leży podjęcie konkretnych działań mających na celu przeciwdziałanie oraz karanie za wskazane w raporcie audytu odstępstwa i przekroczenia standardów bezpieczeństwa informacji.
Odpowiedzi na pytania klienta dotyczące zagadnień ochrony danych osobowych. Pytania zadają wyznaczeni do kontaktów z administratorem bezpieczeństwa informacji przedstawiciele klienta. Do tego celu klientowi zostanie udostępniona dedykowana aplikacja do obsługi serwisowej, w której dla każdego z przedstawicieli klienta zostanie utworzony tzw. użytkownik. Administrator Bezpieczeństwa Informacji jest zobowiązany w ustalonym w kontrakcie czasie przyjąć pytanie do analizy i udzielić na nie odpowiedzi maksymalnie w ciągu 14 dni roboczych (czas 14 dni jest czasem umożliwiającym uzyskanie odpowiedzi z GIODO lub kancelarii prawnej).
Podsumowanie
Dążąc do optymalizacji kosztów, często międzynarodowe koncerny decydują się na centralizację usług data center w jednej lub kilku lokalizacjach dla oddziałów na całym świecie. W takiej sytuacji – jeśli polski oddział nie ma możliwości wybrania dostawcy usług hostingu, dobrze wiedzieć, że hosting na serwerach zagranicznych jest dopuszczalny w świetle przepisów ustawy. Jeśli zaś ma miejsce w ramach EOG lub na terytorium państwa, które zapewnia odpowiednią ochronę danych osobowych, nie jest wymagane spełnienie żadnych dodatkowych wymogów. Uznaje się bowiem, że ochrona ta jest zapewniona na takim samym poziomie, jak na terytorium Rzeczypospolitej Polskiej. Nie trzeba wówczas wykazywać spełnienia dodatkowych przesłanek, w tym uzyskiwać pisemnej zgody osoby, której dane osobowe dotyczą, na ich przekazanie za granicę.
Niezbędne jest jednak przede wszystkim podpisanie z hostingodawcą umowy powierzenia danych osobowych, a także opracowanie i wdrożenie przez ADO oraz przez hostingodawcę Polityki bezpieczeństwa oraz Instrukcji zarządzania, a także odpowiednich zabezpieczeń.
Aby odpowiednio się zabezpieczyć, najlepiej skorzystać z usług zewnętrznej firmy zajmującej się zawodowo ochroną danych osobowych albo powierzyć jej kompleksową obsługę ochrony danych osobowych w ramach outsourcingu funkcji ABI, co obecnie staje się coraz bardziej popularne.
BCC oferuje zarówno outsourcing usług administratora bezpieczeństwa informacji, jaki hosting we własnym All for One Data Centers. Jeśli firma może sama wybrać miejsce składowania danych – rozsądnie jest zdecydować się na miejsce, które możemy dobrze „prześwietlić”, np. podczas audytu. Bez względu na rodzaj świadczonych usług All for One Data Centers gwarantuje wysoki stopień ochrony danych osobowych.