Polityka i prawo
Chmura publiczna w administracji
Rozwiązania chmurowe są coraz bardziej popularne w każdej dziedzinie naszej cyfrowej aktywności. W skrócie można je określić jako metodę przetwarzania danych opartą na wspólnych i elastycznych zasobach udostępnianych użytkownikom z wykorzystaniem technologii internetowych. To rozwiązanie łatwe, szybkie i przyjazne w obsłudze. Dlatego też coraz częściej myśli się o wykorzystaniu chmury w administracji publicznej.
W związku z tym Ministerstwo Cyfryzacji zleciło przygotowanie analizy prawnej dotyczącej możliwości wykorzystania platform chmurowych wspierających komunikację wewnętrzną i zarządzanie dokumentami. Intencją Ministra Cyfryzacji jest określenie ram, w których nowe rozwiązania technologiczne będą mogły efektywnie i bezpiecznie służyć celom publicznym. Z analizy płyną następujące wnioski:
- Pod pojęciem chmury obliczeniowej należy rozumieć model przetwarzania umożliwiający dogodny, realizowany na żądanie dostęp do współdzielonej puli konfigurowalnych zasobów informatycznych (np. sieci, serwerów, pamięci, aplikacji i usługi), które mogą zostać natychmiastowo zaalokowane i udostępnione poprzez dostęp sieciowy z minimalnym wysiłkiem zarządzania oraz na minimalnym poziomie interwencji członków personelu usługodawcy chmurowego. Do podstawowych cech cloud computingu należą: samoobsługowość, dostęp przez sieć, współdzielenie wykorzystywanych zasobów, alokowanie zasobów, mierzalność usług, różnorodność modeli świadczenia usług.
- Nie istnieje żaden akt prawny regulujący całościowo zagadnienie chmury obliczeniowej. W świetle prawa stanowi ona rodzaj umowy o świadczenie usług uregulowanej w Kodeksie cywilnym, zazwyczaj wzbogaconej elementami licencyjnymi, podlegającymi regulacji prawa autorskiego (przy czym często przysparza trudności precyzyjne wskazanie, w jakim zakresie postanowienia umowy dotycząca cloud computingu mają charakter usługowy, a w jakim licencyjny). Ponadto odnośnie do chmury znajdują zastosowanie szczegółowe regulacje dotyczące pewnych obszarów gospodarki – takie jak np. prawo bankowe w zakresie przepisów o outsourcingu bankowym. W związku z nimi bywają wydawane akty tzw. soft law dotyczące bardzo szczegółowych zagadnień powiązanych (m.in.) z cloud computingiem.
- Nie istnieje także żaden akt prawny ustanawiający restrykcje dla administracji publicznej w zakresie stosowania przez nią chmury obliczeniowej. Nie robi tego w szczególności prawo zamówień publicznych. Z jego perspektywy zamówienie na usługi chmurowe jest standardowym zamówieniem publicznym. Przy czym jego kwalifikacja jako dostawy lub usługi w rozumieniu prawa zamówień publicznych będzie zależeć od specyfiki przedmiotu takiego zamówienia. Co więcej, w razie oferowania usług chmurowych przez „pośrednika” (partnera) dostawcy chmury, co jest często spotykane na rynku, o ile relacja pomiędzy nim a zamawiającym będzie podlegać reżimowi prawa zamówień publicznych, o tyle relacja pomiędzy zamawiającym a właściwym dostawcą chmury co do zasady będzie z niego wyłączona (a więc p.z.p. nie będą podlegały umowy, porozumienia czy regulaminy dostawcy – chyba że stanowiłyby one integralną część umowy w sprawie zamówienia publicznego).
-
Z wykorzystaniem rozwiązań chmurowych wiąże się szereg istotnych ryzyk. Do najważniejszych z nich należy zaliczyć kwestie dotyczące:a)danych osobowych – co wynika w dużej mierze ze znaczących zmianprawnych w tym obszarze – implikowanych wprowadzeniem przepisów RODO. Rozporządzenie to przewiduje w szczególności konieczność:1. zawarcia między stronami umowy o powierzenie przetwarzania danych osobowych, która powinna wskazywać zwłaszcza: przedmiot i czas przetwarzania danych, ich rodzaj, charakter, a także cel przetwarzania,2. zastosowania przez dostawcę chmury odpowiednich środków organizacyjnych i technicznych w celu zapewnieniabezpieczeństwa danym osobowym (czego obowiązek powinna uwzględniać umowa z dostawcą),3. zaakceptowania przez administratora danych (usługobiorcę) wykorzystywania przez dostawcę podwykonawców oraz, jeśli mają oni świadczyć usługi, nałożenia na nich takich samych obowiązków w zakresie przetwarzania danych osobowych, jakie ciążą na dostawcy4. usunięcia lub zwrotu danych osobowych po zakończeniu świadczenia usług,5. umożliwienia administratorowi (usługobiorcy) otrzymywania informacji od dostawcy o zakresie ochrony danych oraz przeprowadzania audytu,6. spełnienia szczególnych warunków w sytuacji transferu danych osobowych za granicę, do kraju innego niż należący do EOG lub Konfederacji Szwajcarskiejb) informacji niejawnych– ustawa o ochronie informacji niejawnych przewiduje specjalne warunki przetwarzania informacji niejawnych wewszelkiego rodzaju systemach teleinformatycznych. W ich wyniku przetwarzanie informacji niejawnych w chmurze publicznej może okazać się w praktyce niemożliwe. Natomiast nie musi to dotyczyć chmury prywatnej, nad której fizyczną infrastrukturą usługobiorca może mieć pełną kontrolę (analiza w stosunku do chmury wspólnotowej lub hybrydowej musiałaby być przeprowadzona odrębnie dla każdego przypadku, w zależności od jej właściwości).Wspomniane wyżej problemy w przetwarzaniu informacji niejawnych w chmurze publicznej dotyczą przede wszystkim:1. braku kontroli usługobiorcy kontroli nad fizyczną infrastrukturą – którą zarządza dostawca chmury i która w większości przypadków jest bardzo rozproszona,2. braku wiedzy usługobiorcy nt. architektury i mechanizmów działania chmury,3. braku wpływu na modyfikowanie i rozwijanie oprogramowania budującego chmurę,4. kwestii usuwania danych zawierających informacje niejawne – a precyzyjniej, braku wiedzy usługobiorcy o sposobie i terminach przeprowadzenia takiego usunięcia,5. braku realnej możliwości przeprowadzenia przez usługobiorcę testów i audytów oprogramowania „budującego” chmurę.Opinię prawną można znaleźć tutaj.