Przechowywanie danych w chmurze: jak korzystać z aplikacji chmurowych nie łamiąc RODO?

by | sie 15, 2019 | Dane osobowe

Przechowywanie danych w chmurze: jak korzystać z aplikacji chmurowych nie łamiąc RODO?
Follow Legal » Dane osobowe » Przechowywanie danych w chmurze: jak korzystać z aplikacji chmurowych nie łamiąc RODO?
Aplikacja do wysyłania mailingu, aplikacja do zarządzania ticketami zgłoszeniowymi, aplikacja śledząca czas poświęcony na poszczególne projekty, aplikacja rozdzielająca zadania wewnątrz zespołu, aplikacja do zarządzania flotą aut firmowych i wiele, wiele innych. Często wybieramy też usługi dysku w chmurze umożliwiające przechowywanie danych poza naszą przestrzenią dyskową, co ułatwia nam dostęp do potrzebnych informacji z każdego miejsca w świecie, łatwe współdzielenie folderów czy też wspólną pracę nad dokumentem.

Z tego artykułu dowiesz się:

 

Przechowywanie plików w chmurze – od czego zacząć

Produkty największych producentów podobnych rozwiązań chmurowych (GSuite od Google, Azure od Microsoftu, Oracle Cloud) oraz cała masa rozwiązań sprzedawanych w modelu SaaS (software as a service) stają się coraz bardziej popularne, ze względu wygodę stosowania dysku w chmurze oraz – oczywiście – cenę.

Przychodzi nam to bardzo łatwo, kilka klików i można korzystać z chmury online. Trzeba, co prawda, zaakceptować jeden lub kilka dokumentów (kto czyta terms of use?), wybrać wygodną formę płatności i..już ☺

Dane w chmurze a audyt RODO

Chwila refleksji pojawia się kiedy zjawia się u nas audyt (oby nie kontrola Prezesa Urzędu Ochrony Danych Osobowych) albo trzeba wypełniać ankiety dotyczące używanych aplikacji i bezpieczeństwa danych. Ile tych aplikacji używamy? Jakie dane są tam przetwarzane i gdzie? Czy dostawcy dysków w chmurze stosują adekwatne zabezpieczenia? Często dopiero wówczas uświadamiamy sobie, że doszło do:

  • Powierzenia danych osobowych do przetwarzania,
  • Transferu danych poza Europejski Obszar Gospodarczy (znaczna część popularnych aplikacji jest wytworem przedsiębiorców z Doliny Krzemowej),

Obie te sytuacje, zgodnie z przepisami RODO, wymagają określonych działań ze strony przedsiębiorcy, zarówno w stosunku do dostawcy rozwiązania, jak i wobec osób, których dane przetwarzamy w takich aplikacjach.

Google Cloud i ogólne rozporządzenie o ochronie danych (RODO)

Jak zadbać o ochronę danych w chmurze

W pierwszym kroku powinniśmy ustalić jakie dane są przetwarzane w chmurze online, czy są to dane osobowe i jakich kategorii osób dotyczą (np. klienci, kontrahenci, pracownicy).

Następnie zbadajmy gdzie dane w chmurze są przetwarzane (gdzie dostawca ma siedzibę, w jakich państwach ulokowane są serwery) i czy odbywa się to w obrębie Europejskiego Obszaru Gospodarczego (państwa członkowskie UE + Norwegia, Islandia i Lichtenstein). W przypadku, gdy dane osobowe przetwarzane są na terenie EOG sytuacja jest prosta – traktujemy je tak samo jak gdyby były przetwarzane w Polsce. Jednym z celów wprowadzenia RODO było ujednolicenie zasad przetwarzania danych osobowych we wszystkich państwach członkowskich i możliwość przetwarzania ich w EOG bez dodatkowych formalności.

Przypadek transferu danych do państwa trzeciego wymaga od nas więcej troski i spełnienia przesłanek określonych w RODO. W przypadku podmiotów z USA najlepiej jest wybierać dostawców posiadających certyfikat Privacy Shield, który stanowi legalną podstawę przekazania danych do podmiotów z USA.

Ważne!
Pamiętajmy o tym, że jesteśmy zobowiązani informować osoby, których dane przetwarzamy w chmurze o transferze danych do państw trzecich. Odpowiednie informacje powinniśmy umieścić np. w treści klauzuli informacyjnej na stronie internetowej.

Przechowywanie danych w chmurze – róbmy to świadomie!

Korzystanie z chmury, aplikacji sprzedawanych w modelu SaaS jest naszą teraźniejszością i przyszłością i stanowi istotną część instrumentów stosowanych w biznesie. Należy jednak pamiętać, że należy stosować je świadomie: wiedzieć jakie dane przetwarzamy w narzędziach chmurowych oraz zadbać o odpowiednią dokumentację potwierdzającą spełnienie wymogów w zakresie bezpieczeństwa.

Większość renomowanych dostawców (np. Google) spoza EOG umożliwia już zawarcie umowy powierzenia przetwarzania danych osobowych (DPA) adresującej wymagania RODO, a nawet wybór lokalizacji, w których przetwarzane są dane (często jest to opcja wymagająca dodatkowej opłaty).

Służymy pomocą we wdrożeniu i zarządzaniu podobnymi rozwiązaniami ochrony danych w chmurze we współpracy z naszym partnerem technicznym, autoryzowanym partnerem m.in GSuite oraz Zendesk. Więcej dowiesz się tutaj >>>  flyonthecloud.com.

Damian Fedeczko

Damian Fedeczko Legal Business Partner / Inspektor danych osobowych

Damian jest wieloletnim ekspertem w dziedzinie ochrony danych osobowych. Damian zdobywał doświadczenie w kancelariach prawniczych oraz jako prawnik in-house w przedsiębiorstwach z branży projektowej, e-commerce, contact center oraz IT. Z sukcesem doradzał wykonawcom przy międzynarodowych projektach infrastrukturalnych na etapie pozyskiwania zamówień publicznych jak i w trakcie realizacji inwestycji. więcej >>

 

Sprawdź inne wpisy

Prawo do odstąpienia od umowy i zasady dotyczące wysyłki towarów – przewodnik dla przedsiębiorcy
AI w reklamie i marketingu – jak zgodnie z prawem personalizować przekaz?
Przetwarzanie danych osobowych a retencja – jak długo możesz przechowywać dane klientów w e-commerce?
Ochrona praw konsumentów w dobie zautomatyzowanej obsługi klienta
Legalne prowadzenie sklepu internetowego: regulamin, polityka prywatności i inne wymagania
Prawo a marketing internetowy: jakie pułapki mogą czyhać na przedsiębiorców?
Równość płci w miejscu pracy: jakie są nowe wymogi prawne?
Jak Wysyłać Newsletter Zgodnie z RODO: Kompletny Przewodnik dla Przedsiębiorców