Ochrona danych w Chmurze IBM


05 czerwca

Andrzej Osmak

Ochrona danych w Chmurze IBM

Za mniej niż rok, dokładnie 25 maja 2018 roku, wchodzi w życie nowe Rozporządzenie Unii Europejskiej dotyczące ochrony danych osobowych - General Data Protection Regulation (GDPR). Jego celem jest unifikacja i wzmocnienie procedur ochrony danych każdego mieszkańca Unii Europejskiej, włączając w to transfer danych poza obszar Unii oraz przetwarzanie tych danych przez podmioty międzynarodowe. Rozporządzenie zmieni przepisy obowiązujące od 1995 roku i jest postrzegane jako próba dopasowania obowiązującego prawa do szybko zmieniającego się cyfrowego świata. Według RODO (GDPR) dane osobowe definiowane są poprzez informacje o zidentyfikowaniu lub możliwej do zidentyfikowania osoby fizycznej. Warto dodać, że możliwa do zidentyfikowania osoba fizyczna to podmiot, którego można bezpośrednio lub pośrednio zidentyfikować w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Rangę nowych przepisów podnosi również fakt, że zostały one przygotowane w formie rozporządzenia (czasem zwanego też regulacją) a nie dyrektywy. Różnica jest dość istotna, bo rozporządzenie stosowane jest bezpośrednio i jednakowo na całym obszarze Unii, podczas gdy dyrektywa zostawia krajom członkowskim swobodę w sposobie jej realizacji.

Rozporządzenie GDPR jest obecnie szeroko komentowane w Sieci głównie ze względu na skalę oddziaływania (obejmuje każdy podmiot przetwarzający dane osobowe mieszkańców Unii, aczkolwiek przywołana jest zasada proporcjonalności, która ogranicza lub wyłącza stosowanie wybranych obowiązków dla mikroprzedsiębiorstw, średnich i małych przedsiębiorstw oraz podmiotów zatrudniających poniżej 250 osób) oraz na konieczność potwierdzenia zgodności z nowymi przepisami przez podmioty, których nowe prawo dotyczy. Definicja danych osobowych jest szeroka i dotyczy każdej informacji, która może zostać użyta do identyfikacji osoby. Przykładami mogą tu być nie tylko imię, zdjęcie lub numer konta bankowego, ale również wpisy z sieci społecznościowych czy adres IP.

Bez wątpienia nowe rozporządzenie dotyczy również dostawców usług IT oferowanych w formie Chmury Publicznej. Do tej pory większość z nich zadeklarowała, że do czasu wejścia w życie nowych przepisów ich rozwiązania będą z nimi zgodne. Takie deklaracje są szczególnie istotne dla podmiotów już korzystających, lub rozważających korzystanie z usług dostępnych w formie Chmury Publicznej, bo budują wzajemne zaufanie i zmniejszają niepewność co do skutków wejścia w życie nowej regulacji.

Firma IBM, mając na uwadze ochronę danych swoich klientów oraz wieloletnie doświadczenie we wspieraniu standardów i certyfikacji już w 2012 roku, wraz grupą europejskich dostawców usług chmurowych, rozpoczęła współpracę z Komisją Europejską, której efektem była publikacja w czerwcu 2016 roku uzgodnionego wspólnie dokumentu o nazwie „Data Protection Code of Conduct for Cloud Service Providers in Europe”. W swojej początkowej formie dokument powstał na bazie obecnie obowiązujących w Europie przepisów ochrony danych oraz globalnych standardów takich jak ISO/IEC 27001 oraz 27018. Obecnie trwają prace nad dopasowaniem dokumentu do regulacji GDPR. Dostawcy usłuch chmurowych, którzy podpisują dokument, muszą spełnić wszystkie wymienione w nim wymagania, przez co potwierdzają, że ich procedury bezpieczeństwa i ochrony danych stoją na wysokim poziomie a nawet wykraczają poza zakres wymagany prawem. Istotne jest również to, że zarządzanie „Kodeksem Postępowania” oraz jego promocję i rozwój, powierzono niezależnemu podmiotowi zewnętrznemu (SCOPE Europe). Wszelkie działania związane z kodeksem mają charakter otwarty i może w nich wziąć udział każdy.

Firma IBM 13 Marca 2017 roku, jako jeden z pierwszych dostawców usłuch chmurowych w Europie, podpisała dokument „Data Protection Code of Conduct for Cloud Service Providers in Europe” w obszarze usług IBM Softlayer oraz IBM Bluemix Infrastructure. W najbliższym czasie planowane jest rozszerzenie zakresu o kolejne usługi.

Dodatkowe informacje o zaangażowaniu firmy IBM w „Kodeks Postępowania” dla dostawców usług chmurowych w Europie dostępne są w języku angielskim tutajtutaj.

Aktualna wersja kodeksu jest dostępna online tutaj.

Zainteresował Cię nasz blog i chcesz wiedzieć więcej?

Zapisz się na nasz newsletter

Na Twój e-mail wyślemy ciekawe informacje związane z blogiem i IBM