Obowiązek zapewnienia zgodności z wymogami prawa wykorzystywanych rozwiązań chmurowych oraz sposobów ich stosowania leży zarówno po stronie użytkowników, jak i dostawców środowisk chmurowych. Zobligowani są do tego tak samo administratorzy danych oraz przetwarzający je – na ich zlecenie – operatorzy. Problem polega na tym, że na gruncie polskiego prawa nie ma jednego uniwersalnego aktu, który w sposób całościowy i kompleksowy regulowałby wszystkie kwestie związane z zastosowaniami chmury obliczeniowej.

Regulacje dotyczące funkcjonowania tego rynku są mocno rozproszone. Trzeba się odwoływać do wielu różnych przepisów, które w sposób pośredni lub bezpośrednio, ale w odniesieniu do konkretnych, wybranych obszarów działalności gospodarczej, określają wymagania wobec usług w chmurze.

Umowa to podstawa

Podstawowym sposobem określania relacji pomiędzy poszczególnymi stronami usługi chmurowej jest obecnie umowa między usługodawcą i usługobiorcą. Odpowiednio spisana, wskazująca wzajemne zobowiązania i uprawnienia, staje się kluczem do dobrej współpracy biznesowej dostawcy środowiska chmurowego bądź jego partnera z klientami w zakresie przetwarzania danych w chmurze.

Powinny się w niej znaleźć nie tylko zasady i warunki podjęcia oraz realizacji współpracy, lecz również okoliczności rezygnacji z usług w chmurze. Chodzi o zabezpieczenie na wypadek sytuacji, gdyby wskutek rozwiązania przez użytkownika umowy bez ważnego powodu, doszło do szkody po stronie dostawcy. Użytkownik jest wtedy zobowiązany do jej naprawienia. Trzeba jednak pamiętać, że ta reguła działa również w drugą stronę.

W umowie mogą zostać zawarte wyłączenia lub ograniczenia odpowiedzialności dostawcy usług chmurowych. Nie zawsze jednak będą one dopuszczalne i możliwe. Na przykład, w sytuacji korzystania z rozwiązań chmurowych przez indywidualnych konsumentów, klauzule ograniczające odpowiedzialność dostawcy usługi za wyrządzone szkody są uznawane za niedopuszczalne. W przypadku gdy użytkownikowi zostanie wyrządzona szkoda, może on dochodzić odszkodowania od dostawcy na drodze sądowej.

W relacjach biznesowych dostawcy usług chmurowych mogą próbować chronić swoje interesy poprzez ograniczenie odpowiedzialności w sytuacjach niedookreślonych lub nieprecyzyjnie uregulowanych. Korzystne jest więc zawieranie dokładnych, szczegółowych umów, w których w miarę precyzyjnie i przejrzyście zostaną określone wzajemne zobowiązania stron oraz zakresy ich odpowiedzialności. Dla jej ustalenia umowa ma w razie potrzeby kluczowe znaczenie – przede wszystkim ważne jest kto i do czego się zobowiązał oraz na co się zgodził.

Jednak w praktyce często umowa świadczenia usług chmurowych ma tylko ogólny, przekrojowy charakter. Podstawą stosunków z klientem jest bowiem w wielu sytuacjach opracowany przez dostawcę regulamin świadczenia usługi. Ma to miejsce szczególnie w przypadku świadczenia usług chmurowych w obszarze konsumenckim, chociaż nie tylko – zdarza się również we współpracy z klientami biznesowymi.

Regulacje ogólne

Podpisywane umowy muszą oczywiście zawierać rozstrzygnięcia zgodne z obowiązującym porządkiem prawnym. Co więcej, należy pamiętać, że określone przepisami prawa wymagania obowiązują wszystkie strony kontraktu, bez względu na to, czy zostały wprost uwzględnione i wskazane w umowie, czy też nie. Istotne jest przy tym, że część regulacji ma charakter ogólny i jest wspólna dla całego sektora publicznego oraz dla biznesu, a inne mają charakter sektorowy czy branżowy. Wśród ogólnych jest co najmniej kilka ustaw, które należy uwzględniać w działalności związanej z udostępnianiem rozwiązań o charakterze chmurowym i korzystaniem z nich.

Ze względu na wspomnianą już, znaczącą rolę umów w kontraktach chmurowych, wśród przepisów o charakterze ogólnym istotne znaczenie ma Kodeks cywilny. Reguluje on stosunki między podmiotami będącymi stronami procesu udostępniania i wykorzystania usług chmurowych. Relacja dostawcy chmury bądź działającego na jego rzecz partnera (pośrednika) i jego klienta ma charakter cywilnoprawny. Dlatego też to właśnie Kodeks cywilny znajduje się w gronie najważniejszych aktów prawnych regulujących zagadnienia dotyczące tego typu rozwiązań.

Natomiast z uwagi na to, że usługa chmurowa ma charakter cyfrowy, należy stosować się do regulacji wynikających z ustawy o świadczeniu usług drogą elektroniczną. Jej art. 7 mówi, że usługodawca musi zapewnić taki poziom bezpieczeństwa, by uniemożliwić osobom nieuprawnionym dostęp do treści przekazu składającego się na usługę. Sposobem osiągnięcia takiego poziomu zabezpieczeń jest w szczególności zastosowanie technik kryptograficznych. Niedopełnienie tego wymogu może być podstawą do pociągnięcia dostawcy usługi do odpowiedzialności. Natomiast art. 8 nakłada na usługodawcę obowiązek stworzenia regulaminu świadczenia usług drogą elektroniczną oraz jego nieodpłatnego udostępnienia usługobiorcy przed zawarciem umowy.

W zakresie ochrony danych poufnych, zastosowanie będą miały zapisy ustawy o zwalczaniu nieuczciwej konkurencji oraz ustawy o ochronie informacji niejawnych. Ta ostatnia ustanawia specjalne warunki ich przetwarzania we wszelkiego rodzaju systemach teleinformatycznych, co może skutkować tym, że zastosowanie w praktyce chmury może okazać się niejednokrotnie niemożliwe lub co najmniej utrudnione. Może to wynikać z tego, że przepisy nakazują dokonanie akredytacji systemów teleinformatycznych, w których mają być przetwarzane informacje niejawne. Akredytacja udzielana jest na czas określony, nie dłuższy niż 5 lat. Warunkiem jej uzyskania jest sporządzenie kompletnej dokumentacji bezpieczeństwa systemu teleinformatycznego i jej zatwierdzenie przez odpowiedni organ (np. ABW lub SKW w przypadku systemu przeznaczonego dla informacji o klauzuli „poufne” lub wyższej).

Oprócz danych poufnych, będących na przykład tajemnicą przedsiębiorstwa, szczególnej ochronie ze względu na wysokie ryzyko wycieku w wyniku ataku podlegają także dane osobowe. Zasady ich zabezpieczania reguluje obowiązujące od 2018 r. unijne Rozporządzenie o ochronie danych osobowych (RODO). Określone w nim wymogi odnoszą się nie tylko do administratorów danych osobowych, lecz również do podmiotów, którym administratorzy powierzyli ich przetwarzanie, a więc i do operatorów usług chmurowych. Ich obowiązki są wskazane w art. 28 RODO.

Podmiot przetwarzający dane osobowe w imieniu administratora zobowiązany jest przede wszystkim do stosowania odpowiednich do tego celu środków organizacyjnych i technicznych. Jednymi z możliwych są, na przykład, szyfrowanie czy pseudonimizacja danych. Ostateczna decyzja o wyborze konkretnych rozwiązań zabezpieczających dane należy do operatora po analizie ryzyka związanego z procesem ich przetwarzania. Przepisy nie pozwalają dostawcom usług przetwarzania danych osobowych na zlecanie zadań podwykonawcom bez uprzedniej zgody administratora tych danych. Jednak w sytuacji, gdy dostawca dostanie zgodę na korzystanie z usług osób trzecich, musi nałożyć na tychże podwykonawców takie same obowiązki w zakresie ochrony danych, jakie obejmują jego samego na podstawie podpisanej z administratorem umowy.

Nierozłączna para: REGULACJA I BEZPIECZEŃSTWO  

 

Ryzyko związane z bezpieczeństwem oraz zapewnieniem zgodności z wymaganiami regulacyjnymi to – zdaniem uczestniczących w badaniu Accenture szefów działów IT – największa przeszkoda w czerpaniu pełnych korzyści z rozwiązań chmurowych. Również według analityków Gartnera, kluczowymi wyzwaniami w kontekście przechowywania danych w chmurze są cyberbezpieczeństwo oraz zapewnienie zgodności z regulacjami. Ta zbieżność w określaniu dwóch najważniejszych aspektów funkcjonowania środowiska chmurowego jest znacząca. Bezpieczeństwo zasobów i usług chmurowych można bowiem w wielu wypadkach osiągnąć właśnie poprzez zapewnienie zgodności z przepisami prawa, czy też istniejącymi normami i standardami.

  

Regulacje branżowe  

Wśród regulacji branżowych warto zwrócić uwagę na przepisy dotyczące wykorzystania chmury obliczeniowej w bankach. Możliwość taką dopuszcza art. 6a Prawa bankowego. Zgodnie z jego zapisami umowa korzystania przez bank z chmury obliczeniowej ma charakter outsourcingowej umowy agencyjnej, regulowanej przepisami Kodeksu cywilnego. W niektórych przypadkach podpisanie umowy z dostawcą wymagać będzie dodatkowo zezwolenia Komisji Nadzoru Finansowego (KNF). Jest ono wymagane m.in. w sytuacji tzw. podoutsourcingu. Do tego możliwość przekazywania zadań podwykonawcom jest ograniczona tylko do jednego poziomu w dół.

Niektóre aspekty korzystania z rozwiązań chmurowych zostały uwzględnione w wydanej przez KNF w 2013 r. Rekomendacji D, dotyczącej zarzadzania obszarami technik informacyjnych i bezpieczeństwa środowiska teleinformatycznego w bankach. Podobna rekomendacja została też wydana dla firm i towarzystw ubezpieczeniowych. Dodatkowo, w styczniu 2020 r. Urząd Komisji Nadzoru Finansowego opublikował komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Doprecyzowuje on i wyjaśnia zasady korzystania przez instytucje finansowe z usług chmurowych. Dokument zawiera także przykłady praktycznego rozumienia wielu zagadnień związanych z wykorzystaniem rozwiązań chmurowych na rynku finansowym.

Tak zwany komunikat chmurowy UKNF należy do grupy zaleceń o charakterze soft-law. Znajduje się w nim rekomendacja, by serwery obsługujące chmurę dla banków czy ubezpieczycieli znajdowały się na terenie państw należących do Europejskiego Obszaru Gospodarczego (EOG). Lokalizację powinna wskazywać umowa z dostawcą usług chmurowych. Jeśli jej precyzyjne określenie może rodzić zagrożenie dla bezpieczeństwa, powinien być podany co najmniej kraj umiejscowienia centrum przetwarzania danych. Natomiast banki uznane za operatorów usług kluczowych – na mocy ustawy o krajowym systemie cyberbezpieczeństwa – powinny, w myśl zaleceń KNF, korzystać w pierwszej kolejności z centrów przetwarzania danych zlokalizowanych na terenie Polski, o ile oferowane przez nie warunki nie są gorsze od tych oferowanych przez centra poza granicami kraju.

Do grupy pozaprawnych regulacji, które powinni uwzględniać dostawcy usług (w tym chmurowych) i rozwiązań cyfrowych, należą również różnego rodzaju standardy, normy (w tym ISO), rekomendacje oraz zbiory dobrych praktyk. Dookreślają one wskazane na poziomie ustawowym wymagania i zasady korzystania z potrzebnych do prowadzenia działalności biznesowej systemów teleinformatycznych.

W sektorze finansowym funkcjonuje kilka tego typu opracowań. Związek Banków Polskich przygotował dokument pt. „Standard wdrożeń przetwarzania informacji w chmurze obliczeniowej”. Również Polska Izba Ubezpieczeń przyjęła podobny standard dla swojej branży. Natomiast na poziomie podstawowym korzystanie z chmury przez firmy i towarzystwa ubezpieczeniowe w ramach umów outsourcingowych reguluje ustawa o działalności ubezpieczeniowej i reasekuracyjnej oraz ustawa o dystrybucji ubezpieczeń.

Swoje standardy i wytyczne pod adresem rozwiązań chmurowych mają również inne środowiska zawodowe. Na przykład, na zlecenie Okręgowej Izby Radców Prawnych w Warszawie został opracowany w ubiegłym roku standard przetwarzania informacji w chmurze obliczeniowej przez radców prawnych. Natomiast Krajowa Izba Radców Prawnych przyjęła wytyczne CCBE, czyli wytyczne Rady Adwokatur i Stowarzyszeń Prawniczych Europy w zakresie korzystania przez prawników z usług pracy w chmurze. Z kolei w placówkach opieki zdrowotnej zasady korzystania z usług chmurowych określają przepisy ustawy o prawach pacjenta oraz ustawy o zawodach lekarza i lekarza dentysty, w których istotne znaczenie ma wymóg zachowania tajemnicy lekarskiej.

CERTYFIKATY podnoszą wiarygodność dostawcy  

 

Gwarancją wysokiej jakości usług świadczonych w chmurze mogą być certyfikaty posiadane przez dostawców. Do najważniejszych należą te związane z normami ISO, jak: ISO 27018 (Bezpieczeństwo danych w chmurze), ISO 27001 (Zarządzanie bezpieczeństwem informacji) czy ISO 22301 (Zarządzanie ciągłością działania). Posiadanie przez operatora certyfikatów norm technicznych może stanowić dla administratora danych ważną przesłankę do podjęcia decyzji o wyborze danego dostawcy.

 

  

Chmura w sektorze publicznym

W szczególny sposób regulowane jest wykorzystanie rozwiązań z zakresu chmur obliczeniowych w sektorze publicznym. Przy zamawianiu i kontraktowaniu tego typu usług podstawowe znaczenie ma Prawo zamówień publicznych. Dopuszcza ono możliwość przetwarzania danych w chmurze. W myśl jego zapisów, zamówienie na usługi chmurowe mieści się w zakresie standardowego zamówienia publicznego. Praktyka realizacji przetargów pokazuje jednak, że problemem często bywa właściwe zdefiniowanie przedmiotu zamówienia na rozwiązanie chmurowe. Szczególnie chodzi o decyzję, czy traktować korzystanie z komponentów chmury jako usługę, czy jako dostawę.

Można przyjąć, że określenie usługi chmurowej jako dostawy produktów standardowych sprawdza się szczególnie w sytuacji, gdy dostęp do zasobów chmurowych realizowany jest przez pośrednika, czyli partnera dostawcy chmury. Jego rola jako wykonawcy przedmiotu zamówienia ogranicza się w tym przypadku do zapewnienia zamawiającemu dostępu do usług chmurowych świadczonych przez dostawcę chmury, na przykład poprzez dostarczenie pakietów subskrypcyjnych lub abonamentowych. Dostawca nie bierze wtedy udziału w przetargu, a stroną kontraktu jest wykonujący zadanie pośrednik. Z nim też, a nie z dostawcą chmury, wiążą instytucję publiczną relacje umowne i rygory Prawa zamówień publicznych.

Ministerstwo Cyfryzacji przygotowało Standardy Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO), które stanowią część Narodowych Standardów Cyberbezpieczeństwa. Pierwsza wersja SCCO została opublikowana w lutym 2020 r. Definiuje ona cztery poziomy bezpieczeństwa determinujące stosowanie poszczególnych modeli chmur obliczeniowych w sektorze publicznym: niekontrolowane informacje nieklasyfikowane; kontrolowane informacje urzędowe; kontrolowane wrażliwe informacje urzędowe; informacje niejawne.

Ponadto, na zlecenie Kancelarii Prezesa Rady Ministrów zostały opracowane „Wytyczne dla administracji publicznej w zakresie wykorzystania usług chmurowych w sektorze usług publicznych”. Zawierają one opis procesu oceny, pomagającego określić, które z posiadanych danych mogą być przetwarzane w chmurze. Te wskazówki mogą być pomocne przy podejmowaniu decyzji dotyczących nabywania przez jednostki administracji publicznej usług IT.

Do tego, w ramach Wspólnej Infrastruktury Informatycznej Państwa (WIIP), działa System Zapewniania Usług Chmurowych (ZUCH). Zawiera on również wskazówki, które pomogą ocenić przydatność technik chmurowych w sektorze publicznym. Jest to platforma informatyczna, za pośrednictwem której organy administracji publicznej mogą wyszukiwać i pozyskiwać zweryfikowane pod względem bezpieczeństwa usługi chmurowe. W ten sposób ma udostępniać kupującym możliwość zapoznania się z ofertą zweryfikowanych dostawców usług świadczonych z chmury lub usług wsparcia związanych z chmurą obliczeniową.

Przede wszystkim należyta staranność

Umowa i obowiązujące przepisy, to jednak nie wszystko, na co trzeba zwrócić uwagę w przypadku prowadzenia działalności biznesowej w obszarze chmur obliczeniowych. Dostawca takich usług musi w razie potrzeby wykazać, że dochował należytej staranności w zapewnieniu wymaganego poziomu usługi, w tym szczególnie bezpieczeństwa przetwarzanych danych i udostępnianych rozwiązań informatycznych. Bez względu na zastosowane środki bezpieczeństwa podmiot przetwarzający dane może zostać pociągnięty do odpowiedzialności, gdyby okazało się, że wykorzystywane przez niego zabezpieczenia okazały się być niewystarczające.

Z drugiej strony należy pamiętać, że to na administratorze danych, w szczególności danych osobowych, spoczywa podstawowa odpowiedzialność za ich ochronę. Dlatego też jego zadaniem jest wybranie wiarygodnego, rzetelnego, gwarantującego poprawne i bezpieczne przetwarzanie danych dostawcy usług chmurowych. Decyzja musi opierać się przede wszystkim na dokładnie przeprowadzonej analizie ryzyka oraz skrupulatnej ocenie kompetencji podmiotu oferującego świadczenie usług w chmurze. Incydent, który zdarzy się operatorowi przetwarzającemu dane, będzie miał bowiem wpływ również na sytuację prawną i wizerunek samego administratora danych.

Duża liczba rozproszonych po różnych miejscach przepisów, które mają wpływ na ostateczny kształt kontraktów chmurowych, nie ułatwia zadania ani jednej, ani drugiej stronie. Na dodatek, w obecnym ustawodawstwie coraz bardziej zyskuje na znaczeniu podejście bazujące na konieczności analizy ryzyka, w miejsce wyznaczania jednoznacznych, ściśle określonych wymagań. To zmusza zarówno usługodawców, jak i usługobiorców rozwiązań chmurowych do nieustannej obserwacji otoczenia biznesowego i technicznego w celu jak najlepszego, jak najskuteczniejszego przeciwdziałania istniejącym ryzykom i zagrożeniom. Z tego też względu coraz bardziej znacząca staje się na gruncie działalności gospodarczej rola umów między dostawcami i użytkownikami rozwiązań chmurowych. Dzięki nim można bowiem w miarę precyzyjnie określić konkretne, wzajemne zobowiązania i relacje oraz dostosować oczekiwane rozwiązania do istniejących potrzeb i możliwości.

OBOWIĄZKI w krajowym systemie cyberbezpieczeństwa  

 

Uchwalona w 2018 r. ustawa o krajowym systemie cyberbezpieczeństwa (u.k.s.c.) obejmuje dostawców usług elektronicznych, do których zaliczeni zostali również dostawcy usług w chmurze. Ich obowiązki zostały określone w rozdziale 4 ustawy, szczególnie w art. 17 i 18. Przede wszystkim muszą oni „podejmować właściwe i proporcjonalne środki techniczne i organizacyjne w celu właściwego zarządzania ryzykiem, na jakie narażone są wykorzystywane do świadczenia usługi systemy informacyjne”. Środki te muszą zapewniać odpowiedni poziom cyberbezpieczeństwa, adekwatny do istniejącego ryzyka. Powinny ponadto uwzględniać: bezpieczeństwo systemów informacyjnych i obiektów, postępowanie w przypadku obsługi incydentu, zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej, monitorowanie, audyt i testowanie oraz najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi. Zadaniem dostawcy usługi chmurowej jest także „podejmowanie środków zapobiegających i minimalizujących wpływ incydentów na usługę cyfrową w celu zapewnienia ciągłości jej świadczenia”.