Przetwarzanie, a przechowywanie danych w data center. Co na to GIODO?

Przetwarzanie, a przechowywanie danych w data center. Co na to GIODO?

Przetwarzanie, a przechowywanie danych w data center. Co na to GIODO?

Coraz więcej firm zastanawia się nad skorzystaniem z usług przechowywania danych w profesjonalnym data center,  które potrafi zapewnić dużo większy poziom bezpieczeństwa, niż serwerownia własna. Nasilające się ataki hakerskie zmuszają przedsiębiorców do poważnego rozważania kwestii bezpieczeństwa – nie tylko w zakresie ochrony danych przez atakami np. wymuszającymi okup (ransomware), ale również w kwestii powierzenia danych zewnętrznemu dostawcy do przechowywania.

W tym drugim przypadku obawy związane są przede wszystkim z tym, kto w data center będzie miał dostęp do danych i czy na pewno dane nie wyciekną do konkurencji.

Przedsiębiorcy często nie widzą różnicy pomiędzy wyrażeniami: powierzanie danych, a przechowywanie danych. Zrozumienie tego jest kluczowe w zakresie oceny dostępu do danych w data center. Dla zwiększenia własnego poczucia bezpieczeństwa we współpracy z zewnętrznym dostawcą takiej usługi, oczekują certyfikatów GIODO lub całej masy innych potwierdzeń, które mają wzmocnić ich wewnętrzne przekonanie, że nikt nie będzie patrzył w ich dane.

Wyjaśnijmy zatem czym jest powierzanie i przechowywanie danych oraz dlaczego GIODO nie wystawia certyfikatów w tym zakresie.

 

Przetwarzanie danych

Przetwarzanie danych osobowych to wykonywanie pewnych operacji lub zestawu operacji na danych osobowych. Jakie to operacje? Mianowicie: gromadzenie, archiwizacja, zmienianie, udostępnianie, przechowywanie, odzyskiwanie, modyfikacja, usuwanie. Operacje te, wykonywane są najczęściej przez administratora zbiorów tych danych, za pośrednictwem środków zautomatyzowanych. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zawiera zasady przetwarzania danych, określa, które z nich mogą być przetwarzane oraz kto i w jakich okolicznościach może tego dokonać.

Administrator danych ma obowiązek wykazania, że spełnione zostały odpowiednie wymagania prawne i dopełnione obowiązki informacyjne dla przetwarzania danych. Przy dokonywaniu tych czynności podmiot powinien respektować prawa osób, a także odpowiednio zabezpieczyć ich dane.

 

Klienci pytają nas najczęściej o „umowę o przetwarzaniu danych osobowych”, która zgodnie z zapisami ustawy oraz orzecznictwie i interpretacji GIODO podpisywana jest w przypadku, gdy :

  • dostawca świadczonej usługi posiądzie wiedzę o zgromadzonych w systemie danych;
  • wykonywana jest administracja bazy danych lub aplikacji służącej do przetwarzania danych;
  • wykonywana jest administracja całego systemu operacyjnego i aplikacji;
  • wykonywane jest odzyskiwanie danych.

Zgodnie z wytycznymi GIODO sama dzierżawa przestrzeni dyskowej, serwera w całości lub usługi hostingowe nie są „przetwarzaniem danych osobowych”w związku z tym nie wymaga to odrębnej umowy od dostawcy takich usług. Ważne jest natomiast, aby w umowie abonamentowej na świadczenie wybranej usługi, były zapisy określające zasady przechowywania danych w data center.

Pracownicy data center nie są w stanie posiąść wiedzy co do tego, jakie dane klient chce przechowywać, jeśli nie będą równocześnie ich administratorami (czyli muszą mieć zgodę klienta na administrowanie jego systemami IT).

 

Przechowywanie danych

Obecnie jednym z najbezpieczniejszych miejsc na przechowywanie danych jest chmura obliczeniowa. Oczywiście, o jej bezpieczeństwie decyduje poziom techniczny i organizacyjny obiektów data center pozostających w zarządzaniu usługodawcy chmury oraz narzędzia jakie wykorzystuje dostawca.

Chmura gwarantuje klientowi szybki dostęp do danych w każdym czasie i miejscu, wystarczy do tego tylko urządzenie i dostęp do Internetu. Rozwiązanie to ma wiele zalet, ale szczególnie ważne wydają się dziś te związane z redukcją kosztów, elastycznością rozbudowy i ciągłością działania.

 

Data center to obiekt, w którym przechowywane są dane klientów. Aby mogło funkcjonować takie miejsce, obiekt musi spełniać szereg wymagań i uzyskać wiele pozwoleń. Na przykład takich jak: certyfikat ISO/ ISO/IEC 27001:2005 (norma potwierdzająca jakość systemu zarządzania bezpieczeństwem informacji),  norma ANSI/TIE-942 (opisująca wytyczne dotyczące projektowania obiektów data center, m.in.: układu pomieszczeń, sposobu okablowania, poziomu niezawodności, stosowanych systemów bezpieczeństwa oraz względów środowiskowych), unijna Dyrektywa 95/46/EC, która ustala i określa zasady zbierania, gromadzenia i udostępnienia danych osobowych, itd.

Pojawiają się ze strony klientów również zapytania typu: Co na to GIODO? Otóż w opracowaniu pt.: „ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych”, wydanej przez Wydawnictwo sejmowe, zawarte są informacje na temat wykazu budynków, pomieszczeń, w których przetwarzane są dane osobowe. Tam dokładnie jest opisane, gdzie należy dane przechowywać i jak określić obszar ich przechowywania.

Wyciąg z tego opracowania wskazuje, że: „Jeżeli dane osobowe przetwarzane są w systemie informatycznym, do którego dostęp poprzez sieć telekomunikacyjną posiada wiele podmiotów, to w polityce bezpieczeństwa informacje o tych podmiotach (jego nazwa, siedziba, pomieszczenia, w których przetwarzane są dane) powinny być również wymienione jako obszar przetwarzania danych. Wymóg powyższy nie dotyczy: sytuacji udostępniania danych osobowych użytkownikom, którzy dostęp do systemu uzyskują tylko z prawem wglądu w swoje własne dane po wprowadzeniu właściwego identyfikatora i hasła…”

Certyfikat GIODO?

Potencjalni klienci, którzy decydują się na współpracę z dostawcą usług data center, pytają o tzw. „certyfikat GIODO”, którego posiadanie jest warunkiem legalności przetwarzania danych. NIE ISTNIEJE COŚ TAKIEGO. Na oficjalnej stronie internetowej Generalnego Inspektoratu Ochrony Danych Osobowych można znaleźć specjalny komunikat, w którym GIODO informuje, że taki certyfikat nie istnieje i nie jest on wydawany (Sprawdź: http://www.giodo.gov.pl/560/id_art/2652/j/pl/).

Skontaktuj się z nami, jeśli zainteresował Cię artykuł.