Przetwarzanie, a przechowywanie danych w data center. Co na to GIODO?
GIODO a data center. Przetwarzanie a przechowywanie danych w data center, znasz różnicę?
Coraz więcej firm zastanawia się nad skorzystaniem z usług przechowywania danych w profesjonalnym data center, które potrafi zapewnić dużo wyższy poziom bezpieczeństwa niż własna serwerownia. Nasilające się ataki hakerskie zmuszają przedsiębiorców do poważnego rozważania kwestii bezpieczeństwa. Bezpieczeństwa nie tylko w zakresie ochrony danych przez atakami, np. wymuszającymi okup (ransomware), ale również w kwestii powierzenia danych zewnętrznemu dostawcy do przechowywania. Jak rozwiązać kwestie prawne? Rozważmy kwestie takie jak GIODO a data center.
Przedsiębiorcy często nie widzą różnicy pomiędzy wyrażeniami: powierzanie danych a przechowywanie danych. Zrozumienie tego jest kluczowe w zakresie oceny dostępu do danych w data center. Dla zwiększenia poczucia bezpieczeństwa, oczekują certyfikatów GIODO i masy innych potwierdzeń, które mają wzmocnić przekonanie, że nikt nie będzie patrzył w ich dane.
Wyjaśnijmy zatem czym jest powierzanie i przechowywanie danych oraz dlaczego GIODO nie wystawia certyfikatów w tym zakresie.
Przetwarzanie danych
Przetwarzanie danych osobowych to wykonywanie pewnych operacji lub zestawu operacji na danych osobowych. Jakie to operacje? Mianowicie: gromadzenie, archiwizacja, zmienianie, udostępnianie, przechowywanie, odzyskiwanie, modyfikacja, usuwanie. Operacje te wykonywane są najczęściej przez administratora zbiorów tych danych, za pośrednictwem środków zautomatyzowanych. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zawiera zasady przetwarzania danych. Określa ona, które z nich mogą być przetwarzane oraz kto i w jakich okolicznościach może tego dokonać.
Administrator danych ma obowiązek wykazania, że spełnione zostały odpowiednie wymagania prawne i dopełnione obowiązki informacyjne dla przetwarzania danych. Przy dokonywaniu tych czynności podmiot powinien respektować prawa osób, a także odpowiednio zabezpieczyć ich dane.
Klienci pytają nas najczęściej o „umowę o przetwarzaniu danych osobowych”. Zgodnie z zapisami ustawy oraz orzecznictwem i interpretacją GIODO, należy ją podpisać, gdy :
- dostawca świadczonej usługi posiądzie wiedzę o zgromadzonych w systemie danych;
- wykonywana jest administracja bazy danych lub aplikacji służącej do przetwarzania danych;
- wykonywana jest administracja całego systemu operacyjnego i aplikacji;
- wykonywane jest odzyskiwanie danych.
Zgodnie z wytycznymi GIODO sama dzierżawa przestrzeni dyskowej, serwera w całości lub usługi hostingowe nie są „przetwarzaniem danych osobowych”, w związku z tym nie wymaga to odrębnej umowy od dostawcy takich usług. Ważne jest natomiast, aby w umowie abonamentowej na świadczenie wybranej usługi, były zapisy określające zasady przechowywania danych w data center.
Pracownicy data center nie mają dostępu do danych klienta, jeśli nie będą równocześnie ich administratorami (czyli muszą mieć zgodę klienta na administrowanie jego systemami IT).
Przechowywanie danych
Obecnie jednym z najbezpieczniejszych miejsc na przechowywanie danych jest chmura obliczeniowa. O jej bezpieczeństwie decyduje poziom techniczny i organizacyjny obiektów data center. Oczywiście sam obiekt pozostaje w zarządzaniu usługodawcy chmury. Bardzo ważne są również narzędzia, jakie wykorzystuje dostawca.
Klient ma gwarantowany szybki dostęp do danych w każdym czasie i miejscu. Wystarczą do tego tylko laptop lub komputer i dostęp do Internetu. Rozwiązanie ma wiele zalet, ale szczególnie ważne wydaje się redukcja kosztów, elastyczność rozbudowy i ciągłość działania.
Data center to obiekt, w którym przechowywane są dane klientów. Obiekt musi spełniać szereg wymagań i uzyskać wiele pozwoleń, aby móc funkcjonować. Na przykład certyfikat ISO/ ISO/IEC 27001:2005. To norma potwierdzająca jakość systemu zarządzania bezpieczeństwem informacji. Istotną jest również norma ANSI/TIA-942, która opisuje wytyczne dotyczące projektowania obiektów data center. ANSI/TIA-942 określa układ pomieszczeń, sposób okablowania, poziom niezawodności, stosowanych systemów bezpieczeństwa oraz względy środowiskowe. Natomiast unijna Dyrektywa 95/46/EC ustala i określa zasady zbierania, gromadzenia i udostępnienia danych osobowych itd.
Klienci często zadają pytania typu: co na to GIODO? Wydawnictwo sejmowe wydało opracowanie pt.: „ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych”. W publikacji zawarte są informacje na temat wykazu budynków, pomieszczeń, w których przetwarzane są dane osobowe. Opisane jest tam, gdzie należy dane przechowywać i jak określić obszar ich przechowywania.
Wyciąg z tego opracowania wskazuje, że: „Jeżeli dane osobowe przetwarzane są w systemie informatycznym, do którego dostęp poprzez sieć telekomunikacyjną posiada wiele podmiotów, to w polityce bezpieczeństwa informacje o tych podmiotach (…) powinny być również wymienione jako obszar przetwarzania danych. Wymóg powyższy nie dotyczy: sytuacji udostępniania danych osobowych użytkownikom, którzy dostęp do systemu uzyskują tylko z prawem wglądu w swoje własne dane po wprowadzeniu właściwego identyfikatora i hasła…”
Certyfikat GIODO?
Potencjalni klienci, którzy decydują się na współpracę z dostawcą usług data center, pytają o tzw. „certyfikat GIODO”. Rzekomo posiadanie go jest warunkiem legalności przetwarzania danych. NIE ISTNIEJE COŚ TAKIEGO. Na oficjalnej stronie Generalnego Inspektoratu Ochrony Danych Osobowych można znaleźć komunikat, że taki certyfikat nie istnieje i nie jest wydawany. Sprawdź: http://www.giodo.gov.pl/560/id_art/2652/j/pl/