Choć rozwiązania chmurowe nie są czymś oszołamiającym nowym, to jednak cieszą się one coraz większym zainteresowaniem zarówno w biznesie, jak i w sektorze publicznym.

W tym tekście przybliżymy sobie coś niecoś o następujących tematach:

1. Jaki potencjał wiąże się z wdrażaniem chmury i innych technologii?
2. Jak wygląda wdrożenie w Polsce w stosunku do innych krajów?
3. Kogo dane są w chmurze?
4. Jakie istnieją ryzyka dla utraty danych?
5. Akty prawa USA a RODO?
6. Jak dochodzić swoich praw w razie naruszenia danych osobowych, które uciekły dostawcy?

WSTĘP

Przez ostatnie lata wspominając o technologiach, które mają zapewnić rozwój naszym firmom mówimy, m.in. o blockchainie, chmurze czy sztucznej inteligencji. W stosunku do tej ostatniej, szczególnie o machine learning (ML).

W raporcie CFA Society Poland i Spot Data, pt. „Przyszłość sektora finansowego. Ewolucje i rewolucje” – klik – mowa jest już o tym, że największy rozwój w sektorze finansowym zapewnić ma chmura. Nie ujmuje to w mojej ocenie znaczenia SI, bo długoterminowo, to tutaj tkwi największy potencjał. Co jednak warte odnotowania w kontekście kryptografii i rozproszonego rejestru, mimo ogromnych nadziei, a także realnych wdrożeń (zob. trwały nośnik, Alior czy PKO), tak dużego znaczenia nie przypisuje się już technologii blockchain.

Zanim jednak wyrobimy sobie zdanie, że jedne technologie wnoszą mniej, inne zaś więcej – warto zapamiętać, że mogą one być względem siebie kompatybilne. I tak np. chmura wpływa na możliwości obliczeniowe (pozwala wyrzucić więcej danych na zewnątrz) i wspierać w ten sposób choćby machine learning.

JAK JEST W POLSCE?

Klasycznie. Klasycznie, tzn., że kiedy mówimy o technologii to lubimy zrzędzić, że jedyną szansą rozwoju dla naszej gospodarki – gdzie nie ma kapitału, jest stworzenie odpowiednich warunków dla innowacji, co daje szanse być konkurencyjnym technologicznie. Klasycznie jest to dobre życzenie, bo rzeczywistość jest zgoła inna. Według danych Eurostatu w Polsce w 2018 r.11,5 % biznesu korzystało z rozwiązań chmurowych, gdzie, np. w Estonii (33,9 %), Danii (55,6 %), Szwecji (57,2 %) i wreszcie Finlandii (65,3 %.).

Jakkolwiek by było, biznes gwarantuje, że będzie do tych rozwiązań zmierzał. Mamy Operatora Chmury Krajowej współpracującego z Google; mamy coraz więcej dostawców oraz nowe możliwości negocjacji. Obserwujmy…

 

WŁASNOŚĆ DANYCH W CHMURZE

Kiedy zaczynamy mówić o chmurze, podstawową kwestią staje się: co właściwie z tymi danymi się dzieje i kto o tym decyduje. Rzucono w eter niejednoznaczne informacje, że giganci robią z danymi co chcą, a my możemy jedynie przyglądać się pięknej katastrofie. Nie wykluczam, że polityka platform społecznościowych, czy możliwości służb – o czym w dalszej części – mogą budzić u nas uzasadnione obawy. Jednak w przypadku korzystania z usług chmurowych, kontroli nad swoimi danymi osobowymi nie tracimy czy nie powinniśmy utracić, przynajmniej w teorii. Z punktu widzenia RODO to my jesteśmy administratorem danych osobowych (ADO), to my decydujemy o celach i sposobach przetwarzania i wreszcie to my wybieramy dostawcę chmury, który w naszym imieniu dane ma jedynie przetwarzać, a to znaczy, że od nas wciąż zależy cel i sposób tego procesu. Zwróćcie proszę uwagę, że powyższe jest pewnym uproszczeniem i stąd jedno zastrzeżenie: oczywistym jest, że na specyficznym rynku i jako przeciętny kontrahent możemy nie mieć łatwej pozycji negocjacyjnej, gdy po drugiej stronie jest duży dostawca – mimo to, zależy mi na tym, byśmy zapamiętali – z tym dostawcą można i należy negocjować.

Oczywiście nie możemy mieć do czynienia z sytuacją, kiedy to dostawca decydowałby o sposobie i celach przetwarzania danych za nas. Byłoby to w ogóle sprzeczne z przedmiotem zawieranej umowy, chyba że chcielibyśmy dać dostawcy dane, dać mu uprawnienie do ich wykorzystania w jakimś zakrojonym celu w zamian za świadczenie z jego strony.

 

O czym trzeba pamiętać w relacji konsument – dostawca?

O tym, że w standardowym przypadku, nie mamy czego negocjować – dostajemy usługę as is, a zatem pozostaje nam zaakceptować regulamin świadczenia usług (ToS), który stanowi nasze źródło praw i obowiązków. Pomimo tego, że zostajemy właścicielami przekazywanych przez nas materiałów i nie pozbywamy się praw własności intelektualnej, to jednocześnie udzielamy licencji na określony sposób wykorzystywania, udostępnienia, reprodukowania, modyfikowania, etc. przekazanych dostawcy materiałów. Z jednej strony, to nam pozwala zarządzać tymi danymi, a z drugiej dostarczamy dostawcy materiału do analizy zachowania użytkowników, przesyłanych przez nich treść, ulepszania jego usług, a także… źródła dowodowego dla służb.

 

Ryzyka utraty danych, prawa do ich udostępniania

W dobie pisanych żółtymi napisami teorii spiskowych, łatwo o założenie, że dostawca chmury dzieli się naszymi danymi. Być może z [I] naszą konkurencją, a już na pewno ze [II] służbami.

Pierwsze, choć teoretycznie możliwe, uznać należy za mało prawdopodobne. W razie wystąpienia takich działań, poszkodowani mają narzędzie w postaci regulacji z zakresu zwalczania nieuczciwej konkurencji, przepisów karnych, a dostawca taki skutecznie skompromitowałby się na rynku.

Jeśli idzie o drugi wątek nie jest on już tak oczywisty i powinniśmy spoglądać nań z dużo dozą ostrożności. Wynika to mianowicie z ujawnionych w przeszłości akcji podejmowanych przez aparat państwa. Niech jako najbardziej znany przykład posłuży nam ujawniony przez E. Snowdena PRISM – szpiegowski program rządowy wcielany w życie przez amerykańskie NSA, w ramach którego współpracowali co do zasady wszyscy giganci (Google, Microsoft, czy Youtube…)

Tajemnicą, a raczej tajemnicą poliszynela jest, że dostawcy usług chmurowych zobowiązani są także do współpracy z organami administracji państwowej na mocy Patriot Act. W tym kontekście wymowne jest, że większość naszych dostawców pochodzi właśnie z USA.

Powyższe pokazuje, że przy wyborze usługi kontrahenci dostawców będą musieli zwracać uwagę także na zaufanie. Jako przykład atrakcyjnych rozwiązań podać można tutaj płatny oraz szyfrowany end to end komunikator Threema, którego serwery znajdują się w Szwajcarii. Warto też zwrócić uwagę na dostawców usług chmurowych, którzy wyraźnie wskazują na możliwość korzystania z serwerów zlokalizowanych wyłącznie na terytorium Europy. To wszystko ma znaczenie, bowiem jestem przekonany, że wraz ze wzrostem świadomości biznesu oraz konsumentów (a temu sprzyjają regulacje takie jak RODO) zaufanie do dostawcy może okazać się jednym z ważnych czynników wpływających na jego decyzję.

Wspominając o amerykańskich regulacjach, nie wypada wymienić również CLOUD Act. Nazwa nie jest taka, jak mogłoby się wydawać, choć kojarzy się dobrze. Pełna nazwa aktu to: Clarifying the Lawful Use of Overseas Data Act.

Kluczowym dla tego aktu jest słowo „overseas” i to, że pozwala on ze względu na bezpieczeństwo USA sięgać do danych zgromadzonych na serwerach zlokalizowanych poza USA. Ciekawym jest, że jak dotąd rozwiązanie regulacyjne przyznaje prawa jednej stronie, a z naszego Ministerstwa Cyfryzacji dochodzą głosy, że takie rozwiązania należy negocjować i zapewnić przynajmniej dwustronność. Trudno odmówić takim twierdzeniom racji, bowiem to sytuacja jaskrawo dysproporcjonalna i trochę jak zgoda na obciążenie karą umowną – tylko nas samych.

To wszystko może okazać się pewnego rodzaju gamechangerem dla całej branży, a to dlatego, że już teraz niektórzy dostawcy z dumą przyznają, że ich serwery zlokalizowane są w Europie i tym samym próbują wzbudzić zaufanie klientów…

 

Relacja Cloud Act do RODO

Powyższa relacja jest interesująca z punktu widzenia kontrahenta dostawcy, który zobowiązany jest zadbać o bezpieczeństwo powierzanych dostawcy danych osobowych. Mówiąc wprost jako kontrahenci, powinniśmy zbadać, czy dostawca w ogóle gwarantuje przestrzeganie RODO, do czego jesteśmy zobowiązani względem podmiotów, których dane posiadamy.

Tutaj zaczyna robić się ciekawie, ponieważ RODO dopuszcza przetwarzanie danych przez dostawcę, gdy wymagają tego przepisy powszechnie obowiązującego prawa państwa członkowskiego UE lub wprost przepisy UE. Takie rozwiązanie nie dziwi nas specjalnie i nierzadko stanowi ono postanowienie umowy o przetwarzanie danych osobowych. Istotą jednak jest to, że Cloud Act, do żadnej ze wskazanych kategorii przepisów nie należy…

Tak opisana rzeczywistość być może będzie sprawiała realne problemy, bo z uwagi na przepisy USA, żaden z najpopularniejszych dostawców nie będzie mógł nam zagwarantować zgodności przetwarzania z RODO. Jeden z tech prawników (uszanowanie, jeśli czyta) zobrazował opisany problem całkiem ciekawym określeniem: „chmura jest jak kot Schrödingera”, z jednej strony legalna, a z drugiej nie dająca gwarancji przestrzegania przepisów UE. Nie twierdzę już, że to zagadnienie wyklucza w ogóle nawiązywanie stosunków z gigantami chmurowymi, jednak nie możemy zignorować sytuacji, w której jako Administrator danych powierzymy dane dostawcy (procesorowi), to my w świetle domniemań wynikających z RODO będziemy, po [1] odpowiadać za to naruszenie, po [2] to nas będzie ciążyć obowiązek uwolnienia się od tej odpowiedzialności poprzez wykazanie, że naruszenie wystąpiło po stronie dostawcy chmury.

Taka a nie inna rzeczywistość, winna zmusić przedsiębiorców korzystających z usług chmurowych do rozważenia obok ryzyka biznesowego, także tego prawnego. Słowem: chodzi o uniknięcie, tzw. vendorlocku, tj. sytuacji, kiedy jako kontrahent jesteśmy uzależnieni od jednego dostawcy i nie możemy go zmienić z uwagi na znaczne koszty, bądź niekompatybilność leżącą u podstaw usługi. Taka niekompatybilność u podstaw może, np. objawiać się w formacie zapisywanych danych. W przypadku chmury ma to znaczenie w kontekście rozwoju produktu, który może wymagać migracji lub chociażby zmiany dostawcy z uwagi na opisane wyżej ryzyko niekompatybilności systemów prawa.

Zagadnienie venderlocku powinno być brane pod uwagę szczególnie przez podmioty działające na rynku nadzorowanym, chociażby w branży finansowej czy ubezpieczeniowej. Tam istnieją przedstawione przez organ nadzoru szczególne wytyczne, a sytuacja, w której na venderlock bylibyśmy skazani jest już elementem blokującym na samym wstępie negocjacji. Dla zainteresowanych tym tematem, warto przyswoić chmurowe wytyczne Komisji Nadzoru Finansowego, które w obecnej chwili są projektowane (15 listopada 2019 r. minął termin na zgłaszanie uwag do projektu, a na ostateczną wersję wciąż czekamy).

Dochodzenie roszczeń w razie naruszeń ochrony danych osobowych

Tak opisane zagrożenia i niejasności prawa czynią, że pewnym jest, że będziemy mieli do czynienia z naruszeniami danych osobowych. W związku z tym oraz poczynioną na wstępie obietnicą, teraz krótko przyjrzymy się i tym zagadnieniom.

Zacznijmy od właściwości sądu, dobrze będzie jak kwestie personalne (takie jak ochrona danych osobowych czy naruszenia dóbr osobistych), będziemy kojarzyć z Sądem Okręgowym. Mówi nam o tym tak ustawa o ochronie danych osobowych, jak i przepisy postępowania cywilnego.

Poszkodowany jest w dobrej pozycji. Często przeszkodą w dochodzeniu prawa może okazać się siedziba Sądu (widać to dobrze, gdy strony umów przerzucają się właściwością miejscową na swoją korzyść), tutaj z pomocy przychodzi nam RODO, które rozstrzyga, że to poszkodowany ma wybór, dzięki czemu poza siedzibą naruszyciela, może on wybrać sąd swojego miejsca pobytu, a zatem: jeśli chcemy, to gramy u siebie.

Wspominając o drodze dochodzenia roszczeń z tytułu naruszeń danych osobowych, nie możemy zignorować kwestii ciężaru dowodowego. I w tym przypadku odwrócono podstawową zasadę prawa cywilnego, że dowodzi ten, kto wywodzi skutki z danego zdarzenia. Dzięki temu odwróceniu onus probandi (ciężaru dowodu) spoczywa na podmiocie przetwarzającym dane (koniecznie zwróćcie uwagę, że to może okazać się problematyczne, gdy jako administrator danych korzystamy z usług dostawcy chmurowego, który nie spełnia wymogów RODO). Innymi słowy: powinniśmy być w stanie pokazać, że w naruszenie danych danego podmiotu, jesteśmy bez winy.

Mówiąc o modelu odpowiedzialności za naruszenie danych osobowych, musimy mieć na uwadze, że model ten jest podobny jak dla odpowiedzialności cywilnej w ogóle, tzn., że możemy dochodzić dwóch roszczeń: [1] odszkodowania, kiedy mamy do czynienia ze szkodą materialną oraz [2] zadośćuczynienia, kiedy mamy do czynienia z krzywdą, tj. cierpieniami „niemierzalnymi” natury psychicznej. Te drugie, doniosłe znaczenie będą osiągać w sytuacji, gdy przetwarzamy szczególne kategorię danych a ich ujawnienie może budzić daleko idące konsekwencje dla dobrego imienia podmiotu danych, np. uderzać w jego reputację czy stan zdrowia – jako elementy niezbędne do wykonywania określonego rodzaju pracy.

Trzeba mieć na uwadze, że orzecznictwo dotyczące naruszeń danych osobowych dopiero się rozwija i jak dotąd nie są to spektakularne postępowania. Jednak coraz większa świadomość swoich praw oraz danych krążących w chmurach, zdaje się stwarzać ryzyko, że liczba oraz doniosłość tych spraw będzie wzrastać. To jest pierwsza strona medalu, która wychodzi z założenia, że dane są walutą cenniejszą od złota, dla pełni obrazu, zwracam uwagę też na drugą stronę – a zdaniem niektórych wygląda ona tak, że z powodu swawoli podmiotów danych i tego, jak wiele danych sami przekazaliśmy – znaczenie tych spraw bynajmniej nie będzie rosło.

Na sam koniec, by podkreślić, że warto wiedzieć co się w zachmurzonym internecie dzieje, przypomnę o kierunku, w którym zmierza rynek. Można to określić hasłem: nie potrzebujemy już własnego data center.

Większość firm do 2025 roku chce zrezygnować z utrzymania własnych centrów danych– oczywiście na rzecz rozwiązań chmurowych – więcej. Powyższe jest efektem tego, że zmieniła się optyka, w której przedsiębiorcy z budowania rozwiązań przeszli do ich utrzymania oraz poszukiwania przestrzeni dla ich rozwoju. Gdy możemy ograniczyć koszty i przełożyć ciężar utrzymania na kogoś innego – nie mamy chyba uzasadnienia by dziwić się tym zmianom.