Aplikacje internetowe jak grzyby po deszczu…

Grzybiarze narzekają na brak grzybów w tym sezonie. I nic to, że deszcz pada w październiku bez przerwy, bo wcześniejsza susza przesądziła o nieurodzaju.

W przeciwieństwie do grzybów urodzaj na aplikacje internetowe występuje nieustanny a wykorzystywanie aplikacji do pracy, rozrywki, nauki staje się powszechne.

Z aplikacji udostępnianych przez internet korzystają już prawie wszyscy i większość z nich oczywiście przetwarza dane osobowe, co wkracza w obszar mojego zainteresowania. Z uwagi na fakt, że temat jest niezmiernie szeroki powiem dzisiaj o wykorzystywaniu  aplikacji internetowych do celów związanych z prowadzeniem działalności gospodarczej.

Faktem jest, że większość przedsiębiorców w chwili obecnej korzysta z różnego rodzaju aplikacji udostępnianych przez internet. Oprogramowanie udostępniane przez internet wykorzystywane jest w działalności  firm, szczególnie tych małych i średnich. Aplikacje  służą w szczególności do prowadzenia księgowości w małej firmie, spraw kadrowych, zarządzania biznesem, prowadzenia działań marketingowych.

Pojawiają się aplikacje dedykowane określonym działalnościom takim jak salony kosmetyczne, szkoły tańca, placówki medyczne, firmy handlowe czy wreszcie kancelarie prawnicze a to tylko niektóre branże.

Aplikacje udostępniane przez internet są łatwe w obsłudze, dostępne z każdego miejsca przy pomocy urządzenia telekomunikacyjnego podłączonego do sieci internet, dostosowane do specyficznych potrzeb odbiorcy, umożliwiają szybki i łatwy dostęp do danych w nich przechowywanych. No i są tanie.

Aplikacja udostępniana przez internet czyli  SaaS (Software as a Service)  jest jednym z modeli tzw. chmury obliczeniowej.

A co to ma wszystko wspólnego z danymi osobowymi?

Wykorzystywanie aplikacji w chmurze najczęściej związane jest z wprowadzaniem do niej danych osobowych np. klientów, kontrahentów, pacjentów, pracowników, petentów,  i innych.  Z tego właśnie powodu  jest przedmiotem zainteresowania prawa ochrony danych osobowych.

Należy pamiętać, że z wykorzystywaniem aplikacji związane jest “wyprowadzanie” danych często poufnych, stanowiących tajemnicę przedsiębiorstwa, poza obszar, nad którym firma ma kontrolę. Wprowadzając  dane do aplikacji internetowej  bezpieczeństwo danych od tego momentu zależeć będzie od  podmiotu, który tę aplikację udostępnia.

Z punktu widzenia prawa ochrony danych osobowych administrator danych ma prawo korzystać z zewnętrznych usług, nawet jeśli związane jest z tym powierzanie danych. Prawo mu tego nie zabrania. W takim przypadku przedsiębiorca, który powierza dane osobowe innemu podmiotowi powinien to zrobić w formie umowy zawartej na piśmie. Taką umowę nazywa się krótko umową powierzenia.

Podmiot (firma udostępniająca aplikację), któremu na podstawie umowy powierzenia zostały powierzone dane może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych oraz spełnić inne wymagania określone w przepisach prawa.  W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.

Wiele firm korzysta z aplikacji internetowych przetwarzających dane osobowe, jednakże nieliczni pamiętają o zgodnym z prawem powierzeniu danych. Dzieje się tak dlatego, że firmy nie mają świadomości swoich obowiązków w tym zakresie jak również zagrożeń związanych z powierzeniem danych niesprawdzonym dostawcom.

Zlecając na zewnątrz jakąkolwiek usługę zwykle zachowujemy rozsądek i racjonalnie dokonujemy wyboru kontrahenta, który spełnia określone kryteria na przykład posiada wymagane uprawnienia, certyfikaty, zezwolenia czy koncesje, posiada bogato udokumentowane doświadczenie a także referencje zadowolonych klientów.

Większość firm ma świadomość, że kontrahenta należy w miarę możliwości sprawdzić czy zapewni wykonanie usługi zgodnie z umową. Jednakże, jeśli chodzi o korzystanie z aplikacji internetowych praktyka sprawdzenia dostawcy pod katem zapewniania bezpieczeństwa danych osobowych jest bardzo rzadka.

Pamiętać należy, że przekazując dane do aplikacji internetowej, która nie jest należycie zabezpieczona może narazić  klientów na przykład na wyciek danych lub inną szkodę. Osoba pokrzywdzona będzie mogła wówczas dochodzić odszkodowania na drodze postępowania cywilnego na przykład z tytułu naruszenie dóbr osobistych. Takie procesy już się zdarzają.

Powierzenie danych osobowych niesprawdzonemu usługodawcy, bez umowy powierzenia może przesądzić o odpowiedzialności administratora danych nawet, jeśli faktycznie wyciek nastąpił z winy usługodawcy. Dodatkowo administrator danych osobowych, który powierza dane osobowe niezgodnie  z prawem naraża się na odpowiedzialność administracyjną oraz karną.

Decydując się wiec na wykupienie abonamentu  dostępu do kolejnej aplikacji  lub rozpoczęcie współpracy, z którą związane jest powierzenie danych do przetwarzania innemu podmiotowi należy pamiętać, aby zawrzeć umowę powierzenia i uregulować w niej wymagane prawem obszary. W szczególności, jeśli powierzenie związane jest z przekazaniem danych do  aplikacji udostępnianych w tzw. chmurze.

Cloud Computing Część II

W jednym z ostatnich wpisów poruszałam tak ostatnio modny temat jak usługi cloud computing. Popularności zagadnienia dowodzi fakt dodania wpisu reklamującego ten rodzaj usług pod wpisem.

Dzisiaj chcę napisać kilka wskazówek dla klientów odbiorców końcowych usług w chmurze.

Zważywszy na szeroki wachlarz usług oferowanych w chmurze, łatwą dostępność a jednocześnie stosunkowo niski koszt zainteresowanie tymi usłgami stale wzrasta. I mimo, iż usługi cloud computing różnią się nieco od klasycznych usług outsourcingu IT to obecnie w obrocie mało kto to dostrzega.

Problemem w zakresie przetwarzania danych osobowych w jednym i drugim modelu świadczenia usług jest częsta wielopoziomowość przetwarzania danych. W odniesienie do przetwarzania danych mówi się nawet o stosie chmur czyli wielu podmiotach, które w tym przetwarzaniu biorą udział. Rodzi to ryzyko rozproszenia i rozmycia odpowiedzialności za przetwarzanie danych w tym łańcuchu podpowierzenia.

Tym, co widzi klient-mały przedsiębiorca-administrator danych osobowych jest jego bezpośredni dostawca usługi na przykład firma sprzedająca mu oprogramowanie w chmurze.

Z reguły klient końcowy nie wnika z jakich podwykonawców korzysta jego dostawca a zdarza się, że tych podwykonawców jest kilku, co gorsza czasami bywa, że podwykonawcy i ich serwery zlokalizowani są poza europejskim obszarem gospodarczym, który nie gwarantuje adekwatnego do eupropejskiego poziomu ochrony  danych osobowych.

Oznaczać to może, że końcowy klient mały administrator powierzając przetwarzanie  danych swoich klientów niejako utracił nad nimi kontrolę, czasami zupełnie nie jest świadomy jak bardzo.

W świetle prawa to administrator jest odpowiedzialny za ochronę danych osobowych przetwarzanych w swoich zbiorach, jest odpowiedzialany za legalność przetwarzania tych danych, za należyte zabezpieczenie ich przed dostępem osób nieuprawnionych. Administrator też powinien pamiętać, iż na nim spoczywa obowiązek należytej weryfikacji podmiotów, którym dane swoich klientów powierza.

W odniesieniu do przetwarzania w chmurze ma to tym większe znaczenie, że istnieje znaczne ryzyko, że dostawca usługi w chmurze jest pierwszym ale nie jedynym podmiotem przetwarzającym dane oraz, że klient do końca nigdy nie jest pewny lokalizacji serwerów, na których przechowywane są dane.

NIe bez znaczenia też jest fakt, że  klient końcowy właściwie nie ma możliwośći negocjowania umowy. Z reguły wybór dostawcy chmurowego sprowadza się do konieczności zaakceptowania odpowiedniego wzorca umownego umieszczonego na stronie usługodawcy.

Problem jest na tyle istotny i ważny, iż aktulanie na poziomie eupropejskim trwają prace mające na celu opracowanie odpowiedniego wzorca umownego. Wzorzec taki w mojej ocenie podniósłby znacząco bezpieczeństwo korzystania z usług cloud computing przez odbiorcę końcowego i zaoszczędził  mu dylematów związanych z tym przetwarzaniem.

Jak ugryźć chmurę…

chmura z góry

Chmura, przetwarzanie w chmurze, cloud computing to pojęcia, które ostatnio dość często słyszymy. Myślę, że większość z nas kojarzy chmurę jako możliwość korzystania z zasobów informatycznych (serwery, oprogramowanie, aplikacje) po prostu przez internet (w chmurze).

Posłużę się cytatem, który ładnie wyraża ducha chmury:

“Chmura oznacza wirtualną przestrzeń usług dostępnych dla klienta, w której ukryte są wszystkie szczegóły, a świadomość których jest zbędna w korzystaniu z usług”

Według prof. Bolesława Szafrańskiego z Wojskowej Akademii Technicznej co do istoty cloud computingu nadal panuje chaos pojęciowy i koncepcyjny, chociaż jak przyjmuje profesor panuje zgoda, co do kilku cech charakteryzujących usługi w chmurze. Są to:

  • zasada oferowania usług przez zewnętrzne podmioty
  • zasada dostępności na życzenie do potrzebnych zasobów funkcjonalnych, obliczeniowych, pamięciowych,
  • zasada elastyczności tych wymagań w czasie, przy czym ich spełnienie nie powinno zmuszać zamawiającego do ponoszenia nadmiernych kosztów.

Czym jednak różnią się usługi cloud computing od dotychczas oferowanych usług zwłaszcza w sytuacji, gdy zakres znaczeniowy tego pojęcia w opinii większości znawców tematu ogranicza się do znacznie wczesniej znanych i stosowanych sposóbów przetwarzania i gromadzenia danych. Czy chmura jest czymś zupełnie nowym a jeśli tak to co odróżnia ją od tego, co już było.

Mówi się, że usługi cloud computingu oferowane są najczęściej w trzech modelach biznesowych: modelu IaaS czyli infrastruktura jako usługa, PaaS -platforma jako usługa  i SaaS – oprogramowanie jako usługa. Usługi te są dostępne przez internet, decydując się na zkupienie usługi musimy wiedzieć tylko, która opcja jest dla nas satysfakcjonująca. Nie musimy kupować drogiego sprzętu, oprogramowania, przez wybór właściwej usługi wszystko to mamy dostępne zdalnie, przez internet.

Sceptycy powiedzą, że to wszystko już było a wymyślono tylko nową nazwę nie tyle z przyczyn merytorycznych co marketingowych. Sami usługodawcy wprowadzają nie lada zamęt oferując stare usługi pod chwytliwą nazwą chmury.

Jednakże idea chmury obliczeniowej stała się faktem przyjętym przez czołowych dostawców technologii informatycznych wspieranych przez organizacje publiczne takie jak Komisja Europejska.

Według profesora Szafrańskiego swoisty “jarmark idei”, który aktualnie ma miejsce doprowadzi do wyników, które znacznie będą odbiegały od dzisiejszego rozumienia tych idei oraz do rozwiązań faktycznie odróżniających chmurę od dotychczas oferowanych usług na rynku.