Ankieta

Jaki ubiór jest wymagany w Twoim biurze?

Strój dowolny - jeansy są na porządku dziennym - 62.5%
Typowy strój biurowy - garsonka i kołnierzyk - 16.7%
Oficjalnie tylko w dniu ważnych spotkań - 20.8%

Czy Cloud Computing jest bezpieczne?

Chmura obliczeniowa jest jednym z najciekawszych zjawisk, które pojawiły się na rynku informatycznym w przeciągu ostatnich kilku lat. Jej popularność rośnie z każdym rokiem, gdyż pozwala ona na redukcję kosztów utrzymywania licznych rozwiązań informatycznych oraz dopasowanie ich zakresu do bieżących wymagań.

  1. Nowość
  2. Ryzyko prawne
  3. Więcej na ten temat

Ryzyko prawne

Rzeczywistym ryzykiem, które należy za to brać pod uwagę rozpoczynając przygodę z chmurą, jest ryzyko prawne. Istotnych kwestii do rozważenia jest wiele. Jednym z najważniejszych z nich jest problem przetwarzania danych osobowych. Przetwarzanie danych osobowych w chmurze jest najczęściej incydentalne, lecz pozostaje właściwie nie do uniknięcia, natomiast rygorystyczne przepisy dotyczące ochrony danych osobowych powodują, iż zarówno odbiorca, jak i dostawca narażeni są na ryzyka zarówno cywilno-prawne, jak i prawno-karne.

Ustawa o ochronie danych osobowych z 1997 roku oraz unijna dyrektywa, na kanwie której powstała polska ustawa, nakładają na podmioty zaangażowane w przetwarzanie danych osobowych rozliczne nakazy i zakazy dotyczące poziomów zabezpieczeń, praw dostępu i obowiązków rejestracji zbiorów. Przepisy te nie są dostosowane do w wysokim stopniu zautomatyzowanego i zglobalizowanego modelu chmury, co dodatkowo utrudnia ich stosowanie. Polscy i europejscy ustawodawcy wyjątkowo nieufnie podeszli również wobec wysyłania danych osobowych poza granice Unii - bez konieczności przechodzenia przez biurokratyczne piekło, dane tego rodzaju wysyłać można do kilku wybranych państw, których przepisy dot. ochrony danych sensytywnych Komisja Europejska uznała za wystarczająco surowe. Nie znajdziemy wśród nich najbardziej popularnych lokalizacji dużych data centers - USA, Indii czy Chin i innych krajów Azji Południowo-Wschodniej.

Stwarza to pewne problemy natury strategicznej globalnym dostawcom usług w chmurze, takim jak Microsoft, Google czy Amazon, lecz również międzynarodowym korporacjom, posiadającym chmury prywatne (systemy cloud computing stworzone wyłącznie na potrzeby konkretnej organizacji), których fizyczne serwery zlokalizowane są poza granicami Unii. Wprawdzie istnieją metody prawne pozwalające na obejście tych restrykcji (np. stosowanie tzw. modelowych klauzul umownych Komisji Europejskiej lub amerykańskich certyfikatów Safe Harbor), generują one dodatkowe koszta i przedłużają proces wdrażania chmury.

Obowiązek przestrzegania tych przepisów spoczywa zarówno na dostawcy, jak i odbiorcy usług w chmurze. Wynika to z faktu, iż zarówno podmiot przetwarzający dane osobowe (dostawca), jak i „administrator danych osobowych” (zazwyczaj - odbiorca) odpowiedzialni są za legalność przetwarzania danych osobowych. Wprawdzie cywilnoprawne konsekwencje niespełnienia wymogów prawa wiąże się jedynie z (relatywnie) niskimi karami finansowymi, prawno-karne konsekwencje są znacznie bardziej motywujące do traktowania tego problemu z należytą powagą - administrator danych, którym najczęściej jest członek wyższej kadry menadżerskiej w strukturach odbiorcy, może nawet zostać pozbawiony wolności.

Przykład: Grupa kapitałowa FEBC z siedzibą w Luksemburgu posiada spółki zarejestrowane w rozlicznych krajach Unii Europejskiej oraz kolejną spółkę FEBC India w New Delhi. Zarząd FEBC w Luksemburgu decyduje się na wdrożenie w całej strukturze korporacyjnej systemu informatycznego służącego do zarządzania relacjami z klientami (CRM); system ten ma być osadzony w prywatnej chmurze obliczeniowej, która fizycznie oparta będzie na serwerach znajdujących się w siedzibie spółki FEBC India. Wszystkie bazy klientów zostaną osadzone właśnie w tym systemie.

Przeciętna baza klientów zawiera rozliczne dane osobowe- np. imiona i nazwiska czy numery identyfikacyjne przedstawicieli klientów. W konsekwencji, dane osobowe przedstawicieli klientów europejskich spółek FEBC zostaną przesłane do Indii. Żeby proces ten był zgodny z prawem, FEBC India musi zawrzeć umowy dot. przetwarzania danych osobowych zawierające klauzule modelowe UE z każdą europejską spółką wchodzącą w skład grupy FEBC. Umowy te nałożą na FEBC India obowiązek stosowania poziomów zabezpieczeń odpowiadających rygorystycznym wymogom europejskim.

Abstrahując jednak od tych komplikacji, chmurę obliczeniowa uznać należy za rozwiązanie przyszłościowe. W pewnym sensie jest ona tym, do czego zawsze starałem się dążyć nadzorując informatyzację w bankach - rozwiązaniem, które pozwala na zakup tych, i tylko tych narzędzi, których akurat dana organizacja potrzebuje. Informatyzacja nie jest bowiem celem przeciętnego przedsiębiorstwa, lecz tylko narzędziem pozwalającym na usprawnienie jego działania.


Zostaw komentarz
Musisz się zalogować, aby wziąć udział w tej dyskusji.

Produkt tygodnia

Napisz artykuł

Podziel się swoją wiedzą i doświadczeniem.

Najciekawsze prace zostaną nagrodzone spinaczami.

Pytanie otwarte

Jakimi tematami artykułów z obszaru zarządzania biurem jesteś zainteresowany?