Zabezpieczanie danych w chmurze. Jak zrobić to zgodnie z prawem?

&lt![CDATA[

W obecnych czasach coraz więcej osób prywatnych i firm korzysta z usług w chmurze. Poza niezliczonymi korzyściami idącymi za korzystaniem z rozwiązań tego typu, pojawiają się również zagrożenia. To właśnie na nie powinniśmy zwrócić uwagę mówiąc o zabezpieczeniu danych w chmurze.

Rozwiązania chmurowe są obecnie tak atrakcyjne przede wszystkim z uwagi na możliwość wygenerowania naprawdę znacznych oszczędności w przypadku przechowywania danych w chmurze. Firmy mogą przy rozwiązaniach chmurowych pozbyć się wydatków takich jak zakup sprzętu, zakup infrastruktury sieciowej oraz systemów zabezpieczeń. Ponadto chmura stanowi również odpowiedz na ciągle rosnące zapotrzebowania firm i instytucji publicznych na większą moc obliczeniową oraz większą przestrzeń dyskową do uruchamiania aplikacji, do przechowywania dużej ilości danych oraz ich udostępniania na zewnątrz. Chmura daje możliwość zapisywania plików i obiektów o dowolnym rozmiarze. Przechowywanie danych w chmurze to też spore udogodnienie, bowiem ma się do nich dostęp z dowolnego komputera podłączonego do Internetu. Ponadto w chmurze dane są z definicji zaszyfrowane.

Pomimo powyżej wskazanych zalet rozwiązania chmurowego, przeniesienie danych do Internetu wiąże się z istotnymi obawami, w szczególności dla firm które działają na rynku w oparciu o swoje wypracowane know- how i patenty, stanowiące ich tajemnice przedsiębiorstwa. Takie firmy bezwzględnie nie mogą sobie pozwolić na to, aby ich tajemnica przedsiębiorstwa dostała się w ręce konkurencji. Co zatem zrobić aby mieć pewność, że nasze dane w chmurze są bezpieczne i są chronione przed ich ujawnieniem niepowołanym osobom ? Przede wszystkim powinniśmy wiedzieć w jaki sposób fizycznie chronione są serwery przez dostawcę usługi i gdzie zostały one zlokalizowane. Dostawca powinien nam zapewnić, że dostęp do naszych danych mają jedynie zaufane osoby po potwierdzeniu swojej tożsamości. Istotne jest to, aby dostawca miał wdrożone odpowiednie procedury i zabezpieczenia na wypadek awarii, które pozwolą na uratowanie naszych danych. Usługodawca powinien nam zapewnić monitorowanie dysków serwerów na wypadek awarii oraz utworzenie sum kontrolnych i kopi zapasowych naszych danych. Kopie naszych danych powinny znajdować się fizycznie na innych maszynach, najlepiej w innej lokalizacji, tak aby w przypadku awarii nie utracono kopii.

Z przechowywaniem danych w chmurze wiąże się również istotne zagadnienie prawne dotyczące danych osobowych. Należy bowiem pamiętać, że przekazanie danych osobowych dostawcy rozwiązań chmurowych to powierzenie przetwarzania danych. W związku z tym zgodnie z obowiązującymi przepisami z takim dostawcą należy podpisać umowę powierzenia przetwarzania danych osobowych lub w umowie na dostawę rozwiązania chmurowego zawrzeć stosowne postanowienia na temat powierzenia przetwarzania danych. W omawianej materii pomocne jest stanowisko Generalnego Inspektora Ochrony Danych Osobowych (od 25.05.2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych). Na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych opublikowane zostało dziesięć głównych zasad stosowania usług chmurowych przez administrację publiczną – tzw. Dekalog chmuroluba. Oczywiście Dekalogiem tym może posługiwać się nie tylko administracja publiczna. Spisane w tym dokumencie reguły znajdą zastosowanie również do wszelkich innych podmiotów, w tym prywatnych, zainteresowanych zastosowaniem rozwiązań chmurowych. Najważniejsze z zasad wynikających z Dekalogu chmuroluba przedstawiają się następująco:

1. Decydując się na przekazanie choćby części swoich zasobów do chmury musimy zobowiązać dostarczyciela usługi chmurowej do przekazania pełnej informacji o wszystkich fizycznych lokalizacjach serwerów na których przetwarzane są lub mogą być przetwarzane dane. Należy przy tym pamiętać, aby przy korzystaniu z rozwiązań chmurowych nie doszło do przekazania danych poza Europejski Obszar Gospodarczy, czyli do tzw. krajów trzecich. Musimy wybrać dostawcę usługi chmurowej, który zagwarantuje zgodność z ustawodawstwem Unii Europejskiej w zakresie ochrony danych. 2. Dostarczyciel usługi chmurowej powinien umożliwić nam pełny dostęp do dokumentacji dotyczącej zasad bezpieczeństwa oraz środków technicznych przyjmowanych w poszczególnych centrach przetwarzania danych. 3. Dostawca usługi chmurowej musi przekazać nam pełną informację dotyczącą podwykonawców i instytucji współpracujących, które mają udział w realizacji usługi chmurowej.4. Każdy z podwykonawców traktowany jako podprzetwarzający dane osobowe powinien być związany takimi samymi klauzulami umownymi jak dostarczyciel usług chmurowych.5. Dostawca usługi chmurowej nie może decydować o celach i sposobach przetwarzania danych administratora danych.6. Administrator danych powinien mieć informacje o wszelkich zobowiązaniach publicznych dostawcy w stosunku do policji, służb specjalnych i organów ścigania w zakresie przekazywania wskazanym podmiotom dostępu do danych zamieszczonych w chmurze.7. Dostawca usługi chmurowej wraz z odbiorcą tej usługi muszą określić zasady przeszukiwania, retencji i usuwania danych dostarczonych przez administratora danych.8. Dostarczyciel usługi chmurowej powinien być zobowiązany do raportowania o wszystkich incydenty bezpieczeństwa danych.9. Należy ustalić jakie wyłączenia lub ograniczenia odpowiedzialności dostarczyciela usługi mogą być zastosowane przy realizacji usługi.10. Należy wszelkimi środkami unikać przywiązania do pojedynczego dostarczyciela usług chmurowych i jego rozwiązań technicznych.

Kluczem do sukcesu dla zabezpieczenia danym w chmurze powinna być zatem odpowiednia umowa, zawarta na piśmie z dostarczycielem usługi chmurowej, uwzględniająca powyżej wskazane w Dekalogu wymagania oraz określająca zakres powierzonych danych i cel ich przetwarzania.

Patrycja Gorgoń-Wróbel, radca prawny w kancelarii BWHS Bartkowiak Wojciechowski Hałupczak Springer

]]
Więcej informacji

Prawo budowlane w Polsce

Prawo budowlane – najważniejsza polska ustawa z zakresu projektowania, budowy, nadzoru, utrzymania i rozbiórki obiektów budowlanych oraz zasad działania organów administracji publicznej w tym zakresie.

Ustawa reguluje także sprawy związane z:

  • ochroną środowiska podczas działań związanych z wykonywaniem rozbiórek, wznoszenia nowych obiektów i ich utrzymania
  • miejscem realizacji inwestycji i sposobem uzyskiwania pozwolenia na budowę oraz rozbiórkę, a także określeniem rodzajów robót budowlanych i budów niewymagających pozwolenia na budowę
  • oddawania obiektów budowlanych do użytkowania
  • prowadzeniem działalności zawodowej osób związanych z budownictwem (uprawnień do wykonywania samodzielnych funkcji w budownictwie, tzw. uprawnienia budowlane) i ich odpowiedzialnością karną i zawodową
  • prawami i obowiązkami uczestników procesu budowlanego
  • postępowaniem w wypadku katastrofy budowlanej.

Pierwszy akt prawny, w którym można dopatrywać się odpowiednika obecnej ustawy Prawo budowlane, powstał 16 lutego 1928 roku. Było to rozporządzenie Prezydenta Rzeczypospolitej Polskiej o „prawie budowlanym i zabudowaniu osiedli”. Przepis ten był bardzo obszerny, liczył aż 422 artykuły i jako rozporządzenie wydany został z mocą ustawy (wg przedwojennych uregulowań prawnych zawierał artykuły). Tak duża liczba umieszczonych w nim artykułów absolutnie nie oznacza jednak, że był on bardziej złożony i skomplikowany od obecnych przepisów. Jego objętość wynikała wyłącznie z prostego faktu, że obszar kodyfikacji w nim zawartej był bez porównania szerszy niż w obecnej ustawie Prawo budowlane. Oprócz dzisiejszych kwestii wchodzących w sferę zainteresowania Prawa budowlanego znalazły w nim miejsce liczne zagadnienia z zakresu dzisiejszej ustawy o gospodarce nieruchomościami, ustawy o planowaniu i zagospodarowaniu przestrzennym, ochrony przeciwpożarowej, prawa cywilnego, ustawy o drogach publicznych, prawa lokalowego czy wreszcie dzisiejszych przepisów techniczno -budowlanych dla części obiektów budowlanych.

Ostatni przedwojenny tekst jednolity rozporządzenia z 1928 roku ukazał się w Dzienniku Ustaw nr 34 z 17 kwietnia 1939 roku pod pozycją 216.

Dowodem uniwersalności przedwojennego prawa budowlanego może być fakt, że zostało ono zastąpione przez nowe przepisy dopiero po ponad 33 latach, 13 sierpnia 1961 roku, kiedy to jego miejsce zajęła ustawa Prawo budowlane z 31 stycznia 1961 roku, opublikowana w Dzienniku Ustaw nr 7 z 1961 roku pod pozycją 46.

Ówczesna, pierwsza polska powojenna ustawa budowlana, była już znacznie odchudzona, liczyła zaledwie 96 artykułów i przetrwała jako akt obowiązującego prawa przez kolejnych blisko 14 lat, aż do l marca 1975 roku. O jej precyzji i jednoznaczności oraz adekwatności w opisie procesu budowlanego rzeczywistości lat 60-tych może świadczyć fakt, że w okresie wspomnianych 14 lat dokonano zaledwie dwóch niewielkich nowelizacji jej pierwotnego tekstu.

Od l marca 1975 roku weszła wżycie kolejna, nowa ustawa Prawo budowlane. Jej wprowadzenie związane było z przeżywanym w tym okresie znacznym ożywieniem gospodarczym, związanym z chwytliwym hasłem „budowy drugiej Polski”, w sposób szczególnie duży przekładającym się na skalę rozpoczynanych i prowadzonych wówczas inwestycji budowlanych.

Ustawa ta zawierała tylko 71 artykułów, a ważniejsze zmiany to likwidacja funkcji inspektora nadzoru inwestorskiego (na całe 6 lat, aż do roku 1981, kiedy to w jednej z kolejnych nowelizacji inspektor nadzoru wrócił do tekstu ustawy), zniesienie wymogu zdawania egzaminu przy nabywaniu uprawnień budowlanych, zwanych wówczas „stwierdzeniem posiadania przygotowania zawodowego do pełnienia samodzielnej funkcji technicznej w budownictwie”, itd.

Transformacja ustrojowa początku lat 90-tych wymusiła rozpoczęcie prac nad całkiem nowym prawem budowlanym. Liczne rządowe, resortowe i środowiskowe projekty nowej budowlanej ustawy zasadniczej zostały scalone w 1993 roku w jeden rządowy projekt nowej ustawy i ostatecznie w dniu 7 lipca 1994 roku Sejm przyjął nową ustawę Prawo budowlane, z datą jej wejścia w życie określoną na l stycznia 1995 roku.

Formalnie obowiązuje ona do dnia dzisiejszego, z tym, że ilość nowelizacji, jakim podlegał jej tekst w ciągu 17 lat od momentu wprowadzenia powoduje, że już tylko w bardzo małym stopniu obecne jej zapisy przypominają te, z którymi mieliśmy do czynienia na początku roku 1995.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *