Archiwizowanie danych polega nie tylko na tworzeniu kopii zapasowych naszych zbiorów danych, ale także na przeniesieniu danych w inne miejsce pamięci masowej. Natomiast zarządzanie bazami danych polega na wykonywaniu operacji na danych, innymi słowy na przetwarzaniu tych zbiorów baz danych. Zarządzanie danymi odbywa się poprzez rozbudowane aplikacje umożliwiające ich przechowywanie i szybki dostęp do zgromadzonych danych.
Jednakże trzeba pamiętać, że wszystkie przetwarzane dane trzeba podzielić na te dane, które nie są chronione i mogą być ogólnodostępne oraz te dane, które są chronione na podstawie objęcia ochroną przez przedsiębiorców albo strony umowy (stosunku prawnego). Takie dane są objęte tajemnicą handlową przedsiębiorstwa, tajemnicą przemysłową np. ochrona technologii know how. Te tajemnice razem stanowią tajemnicę przedsiębiorcy regulowaną przez ustawę o zwalczaniu nieuczciwej konkurencji (art. 11 ust. 4). Inną kategorią są te dane chronione obligatoryjnie na podstawie ustaw np. tajemnica bankowa, skarbowa i różnych postępowań prowadzonych przez organy wymiaru sprawiedliwości oraz sądy. Są to także informacje tzw. niejawne (tajemnica m.in. państwowa) na podstawie ustawy szczególnej o ochronie informacji niejawnych.
Te powyższe zbiory informacji chronionych muszą być obejmowane ochroną, zabezpieczeniami i nie zawsze można je powierzyć „chmurze”. Dlatego decydując gdzie i w jakiej formie będziesz archiwizować swoje zbiory danych, musisz zweryfikować, jakie informacje się w nich znajdują i jaką ochroną muszą być objęte. To umożliwi podjęcie decyzji czy będziesz mógł przekazać dane zbiory i jakie zewnętrznemu administratorowi do archiwizowania w „chmurze”.
1. Czym jest „chmura”?
Potoczne określenie „chmura” stanowi skrót od tzw. „chmury obliczeniowej” (ang. cloud computing) i oznacza m.in. model przechowywania danych, aplikacji, oprogramowania nie w komputerze na serwerze użytkownika, lecz poza lokalną siecią bez obciążania zasobów komputera. Stąd skrót, że dane są w „chmurze”. Więcej na ten temat znajdziesz pod adresem: Cloud Computing - co to jest?
Usługi archiwizowania danych w chmurze polegają przechowywaniu bazy danych na niezależnym zewnętrznym serwerze umożliwiając przedsiębiorcy dostęp do tej bazy w każdym miejscu na każdym urządzeniu, w dowolnym czasie. Tym samym ułatwia korzystanie z naszych danych i umożliwia korzystanie w wybranym przez nas, dowolnym miejscu. Jednakże musimy mieć dostęp do Internetu, który połączy nas z „chmurą”.
Natomiast zarządzanie bazą danych w chmurze polega na administrowaniu tymi danymi, czyli na opiece nad tymi danymi, monitorowaniu ich oraz bieżącym tworzeniu tzw. „kopii zapasowych” (backup’ów).
Zanim zdecydujesz się na skorzystanie z usług archiwizowania danych w chmurze w pierwszej kolejności przeanalizuj zagrożenia związane z tą formą przechowywania baz danych i oszacuj ryzyko z tym związane.
2. Czego wymagają lub co zastrzegają przepisy?
Za stale rozwijająca się technologią nie nadąża nasze prawo. Przez długi czas brak było regulacji dotyczącej przechowywania, archiwizowania, przetwarzania czy zarządzania danymi w „chmurze”. Obecnie z uwagi na obowiązujące od maja 2018 r. Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO) firmy zajmujące się tym lub stosujące przechowywanie danych w „chmurze” zaczęły się dostosowywać do ww. rozporządzenia. Podkreślić należy, że ww. rozporządzenie wiąże wszystkich, którzy będą przetwarzać, a więc przechowywać dane osobowe w związku z prowadzoną działalnością gospodarczą. A zatem również firmy zajmujące się archiwizowaniem czy zarządzaniem danymi w „chmurze”.
Rozporządzenie dot. ochrony danych osobowych (RODO) wprowadziło nowe regulacje dot. zarządzania danymi osobowymi dla wszystkich, którzy oferują swoje usługi lub produkty obywatelom UE, na jej obszarze, ale również poza granicami UE. Co ważniejsze dostawcy technologii i „chmur” tacy jak np. Microsoft nie tylko dostosowali swoje usługi do wymagań RODO, ale również dla zapewnienia lepszego bezpieczeństwa stosują standardy wynikające z norm ISO/IEC 27001, ISO/IEC 27017 i ISO/IEC 2018.
Zgodnie z art. 4 ust. 1 przywołanego rozporządzenia dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Zgodnie z art. 4 ust. 2 przywołanego rozporządzenia przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Innymi słowy w zakresie archiwizowania i zarządzania bazami danych zawierających dane osobowe (np. dane klientów, kontrahentów, pracowników, doradców, ekspertów, biegłych) należy stosować reżim rozporządzenia RODO.
Ponadto kwestie zagadnień prywatności i łączności elektronicznej reguluje Dyrektywa 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej). Akt ten dotyczy w głównej mierze przetwarzania danych osobowych w związku z świadczeniem powszechnie dostępnych usług łączności elektronicznej w publicznych sieciach łączności (operatorzy telekomunikacyjni) i tym samym ma zastosowanie, gdy takie usługi są świadczone przy wykorzystaniu technologii przetwarzania w chmurze.
Zanim wybierzesz podmiot, z którym zawrzesz umowę o archiwizowanie baz danych i zarządzania nimi w „chmurze” musisz ustalić, jakie dane zawiera baza danych, która ma zostać zarchiwizowana w chmurze. Jeżeli bowiem wśród tych danych znajdują się dane osobowe, wówczas umowa powinna uwzględniać regulacje RODO, a więc co do zasady, na ogólnych dotychczasowych warunkach takich zbiorów nie można przekazać!
3. Na co zwracać uwagę zawierając umowę archiwizowania baz danych i zarządzania nimi
Umowa archiwizowania baz danych i zarządzania nimi w chmurze jest to umowa nienazwana o świadczenie usług, wobec tego, zgodnie z art. 750 Kodeksu cywilnego, odpowiednie zastosowanie do niej znajdą przepisy Kodeksu dotyczące umowy zlecenia. Patrz: http://mikroporady.pl/wzory-dokumentow/zatrudnianie/item/25-umowa-zlecenia.html.
Przedmiotem tej umowy jest świadczenie przez jedną stronę umowy (usługodawcę) konkretnej usługi polegającej albo na udostępnieniu aplikacji (SaaS), platformy (PaaS) lub infrastruktury (IaaS) służącej do archiwizowania bazy danych, przy jednoczesnym zarządzaniu tą bazą, podczas gdy druga strona za wynagrodzeniem korzysta z określonych w umowie usług i wypracowanych rozwiązań polegających na archiwizacji baz danych i zarządzaniu nimi przez usługodawcę.
Na naszym rynku nie ma jeszcze dużego wyboru usługodawców w przedmiotowym zakresie, pomimo to umowa archiwizowania bazy danych i zarzadzania nimi rzadko jest „szyta na miarę”. Najczęściej przedsiębiorcy oferujący swoje usługi w tej dziedzinie posługują się szablonami. Margines swobody przy negocjowaniu zapisów umowy jest, zatem znikomy, wobec tego, należy zwrócić szczególną uwagę zarówno na typowe zapisy umowne, jak i na szczególne związane z rodzajem usługi, tak, aby zawierając umowę być świadomym zakresu praw i obowiązków z niej wynikających.
Standardowe zapisy umowne, na jakie warto zwrócić uwagę, to m.in. czas trwania umowy, możliwość i warunki wypowiedzenie umowy, kary umowne, cena za świadczone usługi, ochrona danych, zasady dostępu.
Do specyficznych warunków związanych z przedmiotem umowy oraz istotnych z punktu widzenia charakteru umowy zaliczyć należy m.in. obowiązki stron umowy, odpowiedzialność, parametry archiwizacji danych oraz prawo właściwe i właściwość sądów, regulacje związane z prawem autorskim, odpowiedzialność usługodawcy za utrudniania w dostępie do danych, odpowiedzialność za udostępnienie danych osobom trzecim, określenie osób uprawnionych do dostępu do przechowywanych danych. Poniżej przedstawione zostały kluczowe elementy, na które należy zwrócić uwagę zawierając umowę archiwizowania baz danych i zarządzania nimi w „chmurze”.
4. Rodzaj chmury
Przed wyborem usługodawcy trzeba też ustalić, w jakiej chmurze chcesz archiwizować swoje dane. Należy pamiętać, iż istnieją trzy rodzaje „chmur”: publiczna, prywatna oraz hybrydowa. Chmurą publiczną zarządza zewnętrzy ogólnodostępny dostawca (np. Google, Amazon, Microsoft). Chmura prywatna zarządzana jest przez autonomicznego dostawcę. Natomiast chmura hybrydowa to jak sama nazwa wskazuje hybryda chmury publicznej i prywatnej, w której pewna część aplikacji i infrastruktury klienta chmury pracuje w chmurze prywatnej, a część jest umiejscowiona w przestrzeni chmury publicznej.
Należy przy tym pamiętać, iż często do chmury publicznej ma szersza liczba osób, np. poprzez przesłany przez Ciebie link. Zazwyczaj, zatem w celach związanych z prowadzoną przez Ciebie działalnością gospodarczą będziesz korzystał z chmury prywatnej, rzadziej z hybrydy.
5. Dodatkowe oprogramowanie
Po wyborze usługodawcy lub rozpoznając oferty, zanim zaczniesz analizować warunki umowy spytaj dostawcę usług, czy korzystanie z usługi i jej świadczenie wymaga zainstalowania dodatkowego oprogramowania w Twoim systemie. Jeżeli tak, to ustal, jakie ryzyko i jakie koszty wiążą się z instalacją takiego oprogramowania, zarówno, jeżeli chodzi o obciążenie pamięci i procesora, jak i ewentualne implikacje z punktu widzenia ochrony i bezpieczeństwa danych.
6. Dostęp do danych osobom, którym powierzono świadczenie usług
Niezwykle istotnym z uwagi na charakter świadczenia usług archiwizowania bazy danych i zarządzania nimi w „chmurze” jest ocena warunków umowy z punktu widzenia ochrony danych osobowych. W umowie powinno zostać ściśle określone, jakie podmioty uprawnione będą do dostępu do powierzonej przez Ciebie bazy danych, tj. archiwizowania i zarządzania nimi. Jeżeli usługobiorca, tj. przetwarzający zamierza powierzyć wykonywanie niektórych czynności dodatkowym osobom lub podmiotom gospodarczym, wówczas powinieneś być o tym poinformowany, tym samym w umowie powinien się znaleźć zapis o możliwości lub braku możliwości podzielenia niektórych usług, a w przypadku, gdy przetwarzający będzie mógł posługiwać się osobami trzecimi, w umowie powinien znaleźć się zapis, iż będziesz poinformowany o tym, kto i w jakim zakresie będzie miał dostęp do bazy danych. Powinno zostać również zastrzeżone prawo sprzeciwu lub konieczność wyrażenia zgody na taki dostęp. Związane to jest z zasadą przejrzystości, która ma kluczowe znaczenie dla rzetelnego i zgodnego z prawem przetwarzania danych osobowych. Innymi słowy przejrzystość umożliwia ocenę legalności przetwarzania danych osobowych w chmurze.
7. Paramenty archiwizacji
Na etapie negocjowania treści umowy należy zwrócić uwagę na to jak zostały określone parametry archiwizacji, tj.:
- okres, po jakim dane będą ulegały archiwizacji – dzień, tydzień, miesiąc, rok,
- czas retencji danych (przechowywania), po którym dane zostaną usunięte lub brak określenia takiego czasu;
- czy zarchiwizowane dane będą mogły być przez Ciebie modyfikowane, tj. czy będą to dane wyłącznie do odczytu, czy też możliwe będzie dokonanie w nich zapisu, czy też różnicowany będzie poziom dostępu i uprawnienia korzystających.
8. Środki techniczne i organizacyjne w zakresie ochrony i zabezpieczenia danych i bezpieczeństwa danych
Musisz być świadomy, iż jeżeli jesteś administratorem danych osobowych, to zgodnie z art. 28 RODO ponosisz odpowiedzialność za wybranie dostawcy usług w „chmurze” zobowiązanych do wdrożenia odpowiednich technicznie i organizacyjne środków bezpieczeństwa w celu ochrony danych osobowych oraz w celu możliwości wykazanie rozliczalności. Innymi słowy, jeżeli jesteś administratorem danych osobowych Twoich klientów, kontrahentów, etc., to w przypadku przekazania bazy danych do archiwizowania i zarządzania nimi w „chmurze”, w której to bazie danych znajdują się dane osobowe dotyczące tych podmiotów, to wówczas jesteś odpowiedzialny za wybór konkretnego usługodawcę stosującego konkretne zabezpieczenia, których rodzaj i zakres akceptujesz podpisując umowę.
Ponadto powinieneś ustalić, czy i w jaki sposób usługodawca zabezpiecza się przed utratą połączenia sieciowego, skutkującego brakiem lub szerokim dostępem do Twojej bazy danych. Czy i w jaki sposób uwzględnił takie okoliczności, jak przypadkowe uszkodzenie sprzętu, zarówno w sieci, jak i w systemie archiwizowania i zarządzania danymi w chmurze, awaria zasilania lub inne problemy uniemożliwiające nieuprawniony dostęp i korzystanie z powierzonej bazy danych oraz czy przewidział środki, które mają zapewnić ciągłość dostępu do bazy danych na wypadek zakłóceń.
Wreszcie, gdy będziesz miał wynegocjowany, wstępny projekt umowy, z której jesteś zadowolony albo, co, do której zapisów masz wątpliwości, to zawsze jednak przekaż do zaopiniowania osobom, które zawodowo się tym zajmują, chyba, że zatrudniasz taką osobę w swoim przedsiębiorstwie (np. prawnika).
9. Podsumowanie
Zanim zdecydujesz się na wybór konkretnego dostawcy usług archiwizowania bazy danych i zarządzania nimi w „chmurze” w pierwszej kolejności przeprowadź dokładną analizę zagrożeń związanych z korzystaniem z takich usług. Szczególną uwagę zwróć na przejrzystość usług w zakresie uprawnionych podmiotów do dostępu do bazy danych, instrumenty mające na celu zapewnić ochronę powierzanych danych osobowych oraz obowiązki usługodawcy w zakresie bezpieczeństwa, jak również system i rodzaj wprowadzanych zabezpieczeń.
Wybierając dostawcę usług w „chmurze” kieruj się w pierwszej kolejności bezpieczeństwem i przejrzystością oferowanych usług, jak również zwróć uwagę, czy oferowane usługi są zgodne z ustawodawstwem UE i prawem polskim w zakresie ochrony danych. Z uwagi na specyfikę umowy niezwykle istotne są gwarancje związane z środkami technicznymi i organizacyjnymi archiwizowania i zarządzania danymi.
Umowa powinna przedstawić przejrzyście przedmiot i ramy czasowe usługi, w cel i wymierne poziomy usługi oraz właściwe sankcje. Ponadto powinna określać środki bezpieczeństwa, które należy zapewnić stosownie do zagrożeń przetwarzania, charakteru danych oraz stosowania przepisów dotyczących ochrony danych osobowych, w szczególności w postaci środków technicznych i organizacyjnych mających taką ochroną zapewnić.
Dostęp do danych powinny mieć wyłącznie upoważnione osoby, podmioty, a w umowie powinna dodatkowo znaleźć się klauzula poufności w odniesieniu do usługodawcy i jego pracowników, lub osób, którymi ma zamiar się posługiwać.
Również możliwość udostępniania bazy danych podmiotom trzecich powinna zostać uregulowane umową, której zapisy powinny stanowić, kto, na jakich warunkach i w jakich okolicznościach taki dostęp będzie posiadać.
Podstawa prawna:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej RODO), (t.j. Dz.Urz.UE.L 2016 Nr 119, str. 1);
- Dyrektywa 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), (t.j. Dz.Urz.UE.L 2002 Nr 201, str. 37);
- Ustawa z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz.U.2020.1740 t.j.);
- Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz.U.2020.1913 t.j.).