wstępna konsultacja

Chmura obliczeniowa na rynku rozwiązań dla biznesu i konsumentów zadomowiła się na dobre. Już dziś nie wyobrażamy sobie powszechnych usług bankowych, oglądania filmów a tym bardziej pracy zdalnej bez usług opartych o przetwarzanie danych w zasadzie bez określenia konkretnego miejsca geograficznego. Na rynku możemy spotkać dostawców usług chmurowych oferujących rożne modele rozwiązań od najpopularniejszych IaaS (Infrastructure as a Service) czyli udostępnienie online przestrzeni dyskowej lub mocy obliczeniowej, czy też aplikacji SaaS (Software as a Service), które świadczy usługi udostępnienia oprogramowania pracującego w chmurze i udostępniającego swoje funkcje zdalnie, bez jakiejkolwiek konieczności jego instalacji na urządzeniu końcowym. A skończywszy na rozwiązaniach udostępniających algorytmy jako usługę AAAS poprzez API (Application Programming Interface, czyli Interfejs Programowania Aplikacji.) O popularności tych rozwiązań niech świadczy przykład rozwoju sektora martech (rozwiązań chmurowych sklasyfikowych jako aplikacje w chmurze dla marketingu i sprzedaży). Raport „Krajobraz technologii marketingowych” wg Chiefmartech i MartechTribe opublikowany w 2022 roku pokazuje, że branża martech eksplodowała pod względem wielkości i w sumie wszystkich rozwiązań chmurowych dla marketingu i sprzedaży, które są dostępne obecnie jest już 9932.

Źródło: https://chiefmartec.com/2022/05/marketing-technology-landscape-2022-search-9932-solutions-on-martechmap-com/ Ryc. 1: Ewolucja rozwiązań chmurowych IT dla branży marketingowej i sprzedaży w latach 2011 do 2022 

Wzrost branży martech a przepisy RODO


Raport opracowany przez analityków serwisu Cheifmartec ujawnia, że branża wzrosła o 6521 procent od 2011 roku do dziś, a od 2020 roku odnotowała wzrost o 24 procent dostawców, co podniosło sumę netto z 8000 do 9932 podmiotów świadczących rozwiązania oparte o chmurę w branży, która żyje z automatyzacji przetwarzania danych, a w szczególności danych osobowych np. w systemach klasy CRM, czy marketing automation takich jak www.dmsales.com.

Tym bardziej zasadnym są pytania, czy przepisy RODO pozwalają na korzystanie z chmury, której oryginalnie podmiot został powołany do życia np. wg prawa w USA, czy Chinach? Akt ten nie zabrania korzystania z usług chmurowych. Co więcej, same przepisy RODO są zupełnie neutralne technologicznie i nie dyskryminują żadnej technologii ani nie wymusza korzystania z niej. Natomiast przepisy określają obowiązki dotyczące sposobu przetwarzania danych na dostawców chcących działać globalnie i zamierzają świadczyć usługi na odległość. W praktyce, należy przede wszystkim pamiętać, iż klient wykupując usługę w modelu np. subskrypcyjnym akceptuje regulamin usługi wraz z postanowieniami dotyczącymi przetwarzania danych osobowych. Powinny one określać zasady powierzenia przetwarzania danych i w szczególności te, o których mowa w art. 28 ust. 3 RODO. Stąd klient, który wykupuje usługę i akceptuje treść w/w dokumentów, akceptuje treść regulaminów jako tzw. „wzorzec umowny”.

Dobrą praktyką jest umieszczenie w serwisie chmurowym kontaktu do Inspektora Ochrony Danych lub data center, gdzie klient ma możliwość kontaktu lub automatycznego usunięcia swych danych. Przykład poniżej pokazuje jak to wykonuje spółka DBMS:

Źródło: https://dbms.com.pl/iod/ Ryc. 2: Panel kontaktu z IOD oraz automatycznego usuwania danych

Niemniej istotnym jest jednak to, aby administrator danych, a zatem firma, która zdecyduje się na wykupienie usług chmury obliczeniowej przeanalizowała zapisy regulaminu dostawcy dotyczące powierzenia przetwarzania mu danych osobowych, który będzie występował w roli procesora.

Przed zakupem usług należy dokonać, przede wszystkim analizy regulaminu danego serwisu.

Zapisy w regulaminie pod kątem art. 28 przepisów RODO


Do kwestii, które należy ustalić należą:

  • cele przetwarzania danych, w szczególności należy zwrócić uwagę na cele dodatkowe takie jak statystyczne, marketingowe, uzasadniony interes administratora;
  • zakres przetwarzanych danych przez usługodawcę chmury obliczeniowej;
  • lokalizacja serwera lub serwerów dostawcy, w szczególności w regulaminie powinna być informacja, infrastruktura znajduje się na terenie Unii Europejskiej tudzież Europejskiego Obszaru Gospodarczego (EOG) czy w państwie trzecim;
  • informacje o transferze danych poza obszar UE, w szczególności należy zwrócić uwagę do jakiego państwa;
  • jaki jest zakres odpowiedzialności dostawcy usługi chmury;
  • informacja na temat dalszych podmiotów przetwarzających dane;

Tych informacji zwykle należy szukać w np. części strony internetowej poświęconej danym i sposobom przetwarzania np. „Privacy Center” lub „terms and conditions”, jak poniższe przykłady firm Apollo oraz Sonv.io:

Apollo

Źródło: https://www.apollo.io/company/privacy-center/ Ryc. 3: strona dla kupujących informująca o sposobie przetwarzania danych serwisu apollo

snovio

Źródło: https://snov.io/t_and_c Ryc. 4: Warunki przetwarzania danych

Szczególnie ważna jest analiza stanu faktycznego i prawnego, jeżeli przetwarzanie danych odbywa się poza EOG. Takiej sytuacji poświęcono w RODO cały Rozdział V (art. 44 i dalsze), gdzie określono cały szereg warunków i wymagań, które powinny zostać spełnione, aby takie przetwarzanie było zgodne z przepisami o ochronie danych osobowych. Aby przetwarzanie było bezpieczne w takiej sytuacji, należy dokonać kilkustopniowej analizy – począwszy od weryfikacji, czy dane państwo zapewnia odpowiedni stopień ochrony w rozumieniu przepisów wspólnotowych, poprzez weryfikację stosowania przez podmiot przetwarzający odpowiednich zabezpieczeń (np. standardowych klauzul umownych) na weryfikacji, czy przetwarzanie mieści się na liście wyjątków z art. 49 skończywszy. Jeżeli w firmie nie jest zatrudniony specjalista w zakresie RODO, opieranie rozwiązań chmurowych na przetwarzaniu danych poza EOD warto zweryfikować z ekspertami zewnętrznymi. Usługę taką świadczy na przykład kancelaria LT LAW Ciupka, Stachurski sp. k.

Podsumowanie


Podsumowując, wdrażając usługi chmurowe jeśli chcemy korzystać z ich zalet, to musimy pamiętać, iż zawsze pełnimy rolę administratora danych osobowych i jesteśmy zobowiązani dokonać weryfikacji podmiotu, któremu dane będziemy powierzać, stąd w polityce przetwarzania danych należy zwrócić na ten fakt uwagę. Dodatkowo, to na administratorze spoczywa obowiązek przeprowadzenia oceny ryzyka naruszenia danych i systematyczne przeglądy ryzyka, bo od ich wyników zależy, jakie środki ochrony administrator powinien wdrożyć. Warto szczególnie o tym pamiętać, jeśli korzysta się z rozwiązań chmurowych typu open source lub po prostu bezpłatnych. Ich używanie nie zwalnia nas z pełnienia obowiązków administratora i szczególnie wtedy powinna być wzmocniona nasza czujność, w związku z wzrostem incydentów bezpieczeństwa w obszarze danych.

Z perspektywy dostawcy, ważnym jest aby tworząc usługę chmurową zapewnić maksimum bezpieczeństwa i transparentności w obszarze przetwarzania danych, co pozwoli na pewno się wyróżnić i budować zaufanie użytkowników dając niewątpliwą wartość, szczególnie tam, gdzie będą przetwarzane dane osobowe. Osobną kwestią jest ograniczona odpowiedzialność w zakresie świadczenia usługi chmurowej wobec administratora, ale to już temat na inne rozważanie. Dlatego, jeśli mierzycie się z wdrożeniem usługi chmurowej w waszej firmie lub sami takową dostarczacie i chcielibyście porozmawiać o tym jakie podejście zastosować w ramach wdrożenia to już teraz zapraszam do zadawania pytań w ramach naszej wstępnej konsultacji. Chętnie wskażemy kierunki do uwzględnienia przy projektowaniu usług cyfrowych opartych o chmurę obliczeniową, czy regulaminów gdzie usługa korzysta już z jakiejś chmury.

Link Skopiowany!

Powiązne publikacje

zobacz wszystkie publikacje
umowa
wstępna konsultacja