Gdzie bezpiecznie przechowywać dane osobowe? Serwery wewnętrzne, zewnętrzne i chmura obliczeniowa
Wybór odpowiedniej infrastruktury przechowywania danych stanowi problem dla wielu organizacji. Na rynku dostępne są nowe rozwiązania, które umożliwiają przechowywanie danych poza organizacją - na serwach zewnętrznych. Ta metoda znajduje zwolenników w szczególności wśród firm, które nie posiadają własnych zasobów, aby samodzielnie przechowywać dane. Nie jest to jednak rozwiązanie bez wad. O tym, gdzie bezpiecznie przechowywać dane osobowe, dowiesz się z LEX Ochrona Danych Osobowych.
Decydując się na przechowywanie danych na serwerach zewnętrznych często zapomina się o wymogach prawnych, organizacyjnych i technicznych, które muszą być zapewnione dla zachowania bezpieczeństwa danych. Świadczą o tym decyzje Prezesa UODO, nakładające administracyjne kary pieniężne na administratorów. Znaczna część tego typu decyzji dotyczy właśnie niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, co skutkuje naruszeniem ich poufności i rozliczalności. Przyczyn tego zjawiska można doszukiwać się wśród braku świadomości na temat przepisów prawa oraz powszechnie przyjmowanych standardów tego rodzaju świadczeń.
Czy przechowywanie danych wrażliwych na serwerach zewnętrznych jest bezpieczne?
Przechowywanie danych osobowych, a w szczególności danych poufnych i wrażliwych na serwerach zewnętrznych, powinna poprzedzać dogłębna weryfikacja podmiotu świadczącego usługi z zakresu przechowywania danych. Zwłaszcza, gdy podmiot ten korzysta z chmur obliczeniowych. Przed podjęciem decyzji warto również zapoznać się z przepisami regulującymi dany sektor, gdyż mogą znaleźć się regulacje determinujące infrastrukturę przechowywania konkretnego typu danych. Zatem, odpowiedź na pytanie, czy przechowywanie danych wrażliwych na serwerach zewnętrznych jest bezpieczna, nie może być jednoznaczna.
Ekspertki z zakresu danych osobowych, dr Beaty Konieczna – Drzewiecka i dr hab. Marlena Sakowska, w komentarzu praktycznym "Jakie mogą być przeciwwskazania do przechowywania danych wrażliwych lub poufnych dla organizacji na serwerze zewnętrznym?", rekomendują jakie kroki podjąć przed wyborem dostawcy serwera i jak skutecznie zweryfikować czy jego metody są zgodne z przepisami RODO, ustawy o krajowym systemie bezpieczeństwa, uchwały nr 97 Rady Ministrów w sprawie Inicjatywy „Wspólna Infrastruktura Informatyczna Państwa” oraz Narodowymi Standardami Cyberbezpieczeństwa – Standardy Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO) v.1.00.
Czy administrator powinien zawrzeć umowę powierzenia przetwarzania danych osobowych z podmiotem świadczącym usługę VPS (Virtual Private Server)?
Popularnym rozwiązaniem jest usługa VPS, czyli Virtual Private Server, która polega na przechowywaniu danych na wynajętej przestrzeni dyskowej. W praktyce częstym problemem administratorów jest kwestia czy zawierając umowę świadczenia usług z takim podmiotem należy również podpisać umowę powierzenia przetwarzania danych osobowych. Zdaniem Ekspertów z LEX Ochrona Danych Osobowych, zależne jest to od tego czy wykonywana usługa będzie polegała na udostępnieniu miejsca na serwerze i na zapewnieniu odpowiedniego zabezpieczenia przetwarzanych danych przed nieupoważnionymi zmianami lub zniszczeniem. Zadania usługodawcy będą określone w ramach umowy o świadczenie usług. Należy przeanalizować ją pod kątem występowania przetwarzania danych osobowych w imieniu administratora. Jeżeli usługodawca będzie udostępniał miejsce na serwerze i jednocześnie zapewniał zabezpieczenia przetwarzanych danych przed nieupoważnionymi zmianami lub zniszczeniem, należy podpisać z nim umowę powierzenia.
Zalety i wady przechowywania danych na serwerach wewnętrznych
Samodzielne przechowywanie danych w organizacji umożliwia kontrolę nad jakością, bezpieczeństwem i dostępnością. Pozwala również na sprawowanie stałego nadzoru nad integralnością i poufnością danych. Utrzymanie jednak serwerów wewnętrznych nie należy do tanich rozwiązań. Jak słusznie zauważyły Ekspertki, dr Beaty Konieczna – Drzewiecka i dr hab. Marlena Sakowska, utrzymanie wykwalifikowanego zespołu IT oraz wdrażanie dodatkowych rozwiązań pozwalających zdalne łączenie się z zasobami zlokalizowanymi wewnętrznie, może stanowić wyzwanie szczególnie dla małych organizacji.
Więcej ma temat zalet i wad przechowywania danych nie tylko na serwerach wewnętrznych, ale również zewnętrznych, przeczytasz w nowym komentarzu praktycznym.
Warunki prawidłowego przechowywania danych na serwerach wewnętrznych
Decydując się na przechowywanie danych osobowych na serwerach wewnętrznych należy także zadbać o odpowiednią dokumentację (obowiązek z art. 24 RODO). Dokumentacja w postaci polityk ochrony danych i innych aktów kierownictwa wewnętrznego jest dowodem wywiązywania się z obowiązku zapewnienia odpowiednich środków organizacyjnych i technicznych. Jest ona również istotna z praktycznego punktu widzenia - jest to źródło informacji o serwerze, o tym jak się z niego korzysta, jego infrastrukturze technicznej, o danych na nim zgromadzonych, a także o tym, kto jest uprawniony do dostępu i innych działań w ramach narzędzia oraz kto ponosi odpowiedzialność za ewentualne naruszenia i jaki będzie miała ona wymiar. Powyższe informacje mogą znaleźć się również w instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych w organizacji lub polityce bezpieczeństwa.
Ekspertki przygotowały listę zagadnień, które powinny znaleźć się w tego typu dokumentacji. Znajdziesz nią w komentarzu praktycznym "Jakie warunki powinna zapewnić organizacja, aby prawidłowo przechowywać dane na swoich serwerach wewnętrznych?".
Julia Magulska
Redakcja Publikacji Elektronicznych