Chmura obliczeniowa (cloud computing) i tajemnica zawodowa, adw. Judyta Kasperkiewicz

W ostatnich dekadach wzrasta rola informacji, co oznacza, że już nie surowce czy pieniądze, ale właśnie dostęp do informacji decyduje o dochodach gospodarki, zyskach przedsiębiorstw czy sukcesie poszczególnych inwestycji. Reforma prawa ochrony danych osobowych (RODO) oraz trwająca obecnie dyskusja nad regulacjami dotyczącymi ochrony danych nieosobowych czy danych cyfrowych (ePrivacy), uświadamiają społeczeństwu, jakie znaczenie mają dane (albo szerzej informacja lub wiedza) oraz zapewnienie odpowiedniego poziomu zabezpieczeń w dostępie do nich, a to staje się szczególnie ważne, gdy te informacje objęte są tajemnicą zawodową.

Na przykładzie tajemnicy adwokackiej – szczególną ochroną objęte jest wszystko, o czym adwokat dowiedział się w związku z udzielaniem pomocy prawnej lub prowadzeniem sprawy, a zachowanie tajemnicy adwokackiej jest nie tylko uprawnieniem adwokata, ale przede wszystkim jego obowiązkiem, pod groźbą odpowiedzialności dyscyplinarnej. Ze względu na brak dostatecznej wiedzy o niektórych technologiach, w tym technologii chmury obliczeniowej prawnicy mają ciągle wiele obaw o możliwość sprawowania faktycznej kontroli nad danymi dostarczanym przez nich dostawcom usług w chmurze. Jednakże, nie muszą rezygnować z usług w chmurze obliczeniowej, ale powinni pamiętać o spełnieniu określonych warunków, aby móc zgodnie z prawem i etyką zawodową korzystać z jej dobrodziejstw, gdyż chmura obliczeniowa pozwala m.in. ograniczyć koszty utrzymywania infrastruktury informatycznej, dokonywania zakupów oprogramowania (przedłużania licencji) czy dbania o inne kwestie, które mają na celu zapewnić bezpieczeństwo danych.

Z danych Eurostatu[1] za rok 2018 wynika, że tylko 11% polskich przedsiębiorstw korzysta z usług w chmurze, co plasuje Polskę niezmiennie od lat na 3. od końca miejscu wśród krajów unijnych. Natomiast dane GUS za poprzedni rok wskazują, że wśród dużych przedsiębiorstw 37,1% korzysta z usług w chmurze, 17,2% spośród średnich przedsiębiorstw a jedynie 8% małych przedsiębiorstw docenia korzyści płynące z usług w chmurze.

DEFINICJA CHMURY OBLICZENIOWEJ, JEJ RODZAJE I MODELE BIZNESOWE

Chmura obliczeniowa nie została ustawowo zdefiniowana. Żadna z ustaw nie odnosi się kompleksowo do tej technologii. Próbując jednak zdefiniować pojęcie chmury obliczeniowej możemy wskazać, że jest to usługa gromadzenia i przetwarzania danych bez konieczności używania własnego sprzętu i oprogramowania, a jedynym warunkiem jej dostępności po wykupieniu abonamentu jest dostęp do Internetu.

Wśród rodzajów chmury obliczeniowej wyróżnia się chmurę publiczną, prywatną i mieszaną, inaczej hybrydową. Natomiast jako modele biznesowe chmury obliczeniowej wskazuje się na model SaaS (oferujący oprogramowanie jako usługę), PaaS (oferujący platformę jako usługę), IaaS (oferujący infrastrukturę jako usługę) i XaaS (oferujący wszystko jako usługę). Z perspektywy prawników najbezpieczniejszą i najbardziej interesującą wydaje się być chmura prywatna w modelu biznesowym XaaS,

CHMURA OBLICZENIOWA W KANCELARII

Kodeksy etyki zawodowej zarówno adwokatów, jak i radców prawnych nie odnoszą się wprost do dopuszczalności korzystania z usług chmury obliczeniowej – §19 Zbioru Zasad Etyki Adwokackiej i Godności Zawodu oraz § 23 Kodeksu Etyki Radcowskiej przewidują jedynie ogólny obowiązek zapewnienia ochrony nośników danych.

Jednakże, na pomoc przychodzi Rada Adwokatur i Stowarzyszeń Prawniczych Europy (CCBE) ze swoimi wytycznymi w zakresie korzystania przez prawników z usług pracy w chmurze, które pomimo tego, że wydane zostały w 2012 roku nie tracą na ważności i pozwalają kancelariom na korzystanie z chmury pod warunkiem przeprowadzenia najpierw analizy due diligence samego dostawcy usług i zastosowania odpowiednich klauzul zabezpieczających w umowach zawieranych z dostawcą usług. Klauzule powinny dotyczyć zapewnienia np. nieprzerwanego dostępu do swoich danych, nieprzekraczalnych terminów usunięcia awarii czy prawa kontroli środków technicznych dostawcy usług.

Dla prawników kluczowe powinny być wnioski przeprowadzonej analizy due diligence dostawcy i następnie odpowiednio wynegocjowana z nim umowa. Największe wyzwanie stanowi właśnie umowa, gdyż tego rodzaju umowy zwykle są bardzo lakoniczne, adhezyjne (zawierane przez przystąpienie) i przy poruszaniu istotnych zagadnień odsyłają do regulaminów przygotowanych jednostronnie przez dostawcę usług, co jest uzasadnione specyfiką samej technologii, która podlega ciągłemu rozwojowi, ale mogą budzić uzasadnione obawy usługobiorców.

O CZYM POWINIEN PAMIĘTAĆ PRAWNIK PRZY WYBORZE DOSTAWCY USŁUG W CHMURZE?

Przy wyborze dostawcy usług prawnicy powinni kierować się tym, jakie certyfikaty posiada dany dostawca, lokalizacją jego serwerów, opinią o jego usługach oraz otwartością na negocjacje poszczególnych postanowień umowy. Natomiast już przy korzystaniu z usług w chmurze prawnicy powinni opracować własne zasady bezpieczeństwa dotyczące korzystania z tych usług.

Wykorzystując przygotowany przez GIODO (obecnie UODO) w 2013 roku na potrzeby administracji publicznej „Dekalogu chmuroluba” i adaptując te zasady na potrzeby adwokatów i radców prawnych możemy przyjąć, że każdy zamierzający korzystać z usług w chmurze obliczeniowej i zobowiązany do zachowania tajemnicy zawodowej powinien pamiętać przynajmniej o poniżej wskazanych zasadach.

DOBRE PRAKTYKI PRAWNIKÓW PRZY KORZYSTANIU Z USŁUG W CHMURZE OBLICZENIOWEJ

1. Dostawca usług przekazuje usługobiorcy (prawnikowi) informacje o lokalizacji swoich serwerów (Europejski Obszar Gospodarczy lub państwa trzecie).
2. Dostawca usług powinien udostępnić usługobiorcy dokumentację dotyczącą stosowanych przez niego zasad bezpieczeństwa oraz środków technicznych podejmowanych przy przetwarzaniu danych.
3. Dostawca usług jest zobowiązany dostarczyć usługobiorcy pełną informację o podwykonawcach i współpracujących z nim podmiotach.
4. Każdy z podwykonawców musi być traktowany jako podprzetwarzający i powinien zostać związany takimi samymi klauzulami umownymi, jak dostawca usług.
5. Usługobiorca powinien pozostać wyłącznym administratorem danych osobowych,
6. Dostawca usług jest zobowiązany do informowania usługobiorcy o wszelkich żądaniach od policji, organów ścigania lub innych instytucji publicznych i podmiotów prywatnych w zakresie przekazania im dostępu do danych usługobiorcy zamieszczonych w chmurze.
7. Dostawca usługi powinien uzgodnić z usługobiorcą zasady przeszukiwania, retencji i usuwania danych dostarczonych przez usługobiorcę.
8. Dostawca usługi powinien zostać zobowiązany do raportowania wszystkich incydentów bezpieczeństwa danych dotyczycących danych osobowych przetwarzanych przez usługobiorcę w chmurze. Jednocześnie powinien udzielić usługobiorcy wszelkiej możliwej pomocy przy zwalczaniu skutków takich incydentów bezpieczeństwa.
9. Usługobiorca powinien w procesie negocjacji umowy z dostawcą usługi chmurowej ustalić, jakie zasady wyłączenia lub ograniczenia odpowiedzialności dostawcy usługi mogą zostać zastosowane przy realizacji usługi.
10. Usługobiorca powinien unikać przywiązania do pojedynczego dostawcy usług chmurowych i jego rozwiązań technicznych.

 

adwokat Judyta Kasperkiewicz

[1] https://ec.europa.eu/eurostat/statistics-explained/index.php/Cloud_computing_-_statistics_on_the_use_by_enterprises