Najważniejsze aspekty zapewnienia
bezpieczeństwa przetwarzania danych w chmurze
według obowiązujących regulacji prawnych

Najważniejsza jest ocena tego co będziemy przetwarzali w chmurze, dlatego
że analiza ewentualnej umowy chmurowej wymaga od nas określenia ryzyka
i zagrożeń jakie mogą się z tym wiązać. Bez oceny charakteru danych i bez oce-
ny krytyczności danych dla naszej działalności nie można tego zrobić. Drugą
kwestią jest weryfikacja umów z dostawcą chmury, które należy szczegółowo
przeanalizować, porównać pod kątem zgodności z polskimi przepisami i we-
wnętrznymi politykami firmy.

Poziom bezpieczeństwa a rodzaj branży

Wszystko zależy od chmury i sektora gospodarki, gdyż w różnych sektorach
obowiązują różne regulacje, które mogą nakładać dodatkowe obowiązki na ad-
ministratorów danych, które muszą być spełnione w przypadku przetwarzania
w chmurze. Takimi sektorami są: sektor finansowy, sektor zdrowia, sektor pu-
bliczny (jeżeli posiadamy dostęp do informacji niejawnych). Nie oznacza to jed-
nak, że chmura nie nadaje się do przechowywania danych niejawnych. W takich
przypadkach musimy zweryfikować czy chmura spełnia odpowiednie wymaga-
nia i np.: w przypadku danych medycznych czy nie zastosować chmury dedy-
kowanej lub łącza dedykowanego, zapewniającego bezpieczeństwo danych na
poziomie wymaganym przez przepisy.

Odpowiedzialność za przetwarzanie danych
w chmurze. Kompetencje między dostawcą
a zleceniodawcą

W chmurze, która nie służy do wykorzystywania danych klienta do własnych ce-
lów, głównym podmiotem odpowiedzialnym wobec klientów za ewentualne na-
ruszenie bezpieczeństwa pozostaje klient czyli administrator danych (zlecający
dostawcy przetwarzanie danych). Pozostaje on odpowiedzialny wobec klientów
za ewentualne naruszenia bezpieczeństwa. Umowa między administratorem a
przetwarzającym regulująca kwestie odpowiedzialności musi być zweryfikowa-
na przez klienta z dostawcą chmury przed jej podpisaniem.