Adresy

Czy polskie przepisy nakazują dostawcy usług online ujawnienie
dokładnych adresów centrów danych oraz adresów i pełnych nazw jego
podwykonawców? Jaka informacja jest informacją wystarczającą?

Klienci z siedzibą w Polsce czasami wskazują, że muszą podać dokładne adresy centrów da-
nych w swojej polityce bezpieczeństwa, która zgodnie z polskimi przepisami powinna zawierać
wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwa-
rzane są dane osobowe.

W usługach chmurowych, klient jest administratorem danych, a dostawca usług jest podmiotem
przetwarzającym dane, a zatem podmiotem działającym w imieniu oraz zgodnie z instrukcjami
i poleceniami klienta korzystającego z usług online. W przypadku gdy klient korzysta z usług
chmurowych, jego polityka bezpieczeństwa jest w takiej sytuacji nadal polityką bezpieczeń-
stwa administratora danych, a nie przetwarzającego. Sam przetwarzający, zwłaszcza jeżeli
jest podmiotem z siedzibą w UE, również powinien wdrożyć środki techniczno-organizacyjne
zabezpieczenia danych osobowych, z zastrzeżeniem, że zgodnie z art. 17 Dyrektywy 95/46/
WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie prze-
twarzania danych osobowych i swobodnego przepływu tych danych, dotyczą go te obowiązki
określone przez ustawodawstwo Państwa Członkowskiego, w którym przetwarzający prowa-
dzi działalność. W związku z tym, nie ma wymogu wskazywania dokładnych adresów centrów
danych przetwarzających w polityce bezpieczeństwa polskiego administratora. Takie adresy
będą oczywiście musiały być ujawnione w polityce bezpieczeństwa przetwarzającego – opera-
tora centrum danych, jeżeli prawo właściwe dla niego wprowadza wymóg analogiczny do pol-
skich przepisów. Warto jednocześnie podkreślić, że informacje co do lokalizacji centrum danych
w określonym mieście czy kraju są z reguły publicznie dostępne. Tytułem przykładu, Microsoft
wskazuje, że jego główne centra danych w Europie znajdują się w Dublinie i w Amsterdamie.
Dostawcy usług chmurowych nie podają jednak dokładnych adresów tych centrów. Jest to po-
dyktowane przede wszystkim względami bezpieczeństwa.

Jeśli chodzi o pełne nazwy i adresy podwykonawców, to w świetle polskich przepisów, do zaan-
gażowania podprzetwarzającego wystarczająca jest zgoda administratora na dalsze powierze-
nie przetwarzania danych przez przetwarzającego. Polskie przepisy o ochronie danych osobo-
wych (poza niektórymi przepisami sektorowymi) nie wymagają wskazania w umowie dokładnej
nazwy czy adresu podprzetwarzającego. W przypadku usług chmurowych, na konieczność
wskazania nazwy i adresu podprzetwarzającego w rejestrze dostępnym publicznie wskazała
jednak Grupa Robocza art. 29 ds. Ochrony Danych w swojej opinii nr 05/2012. Grupa Robocza
podkreśliła, że umowa na usługi chmurowe powinna też przewidywać, że dostawca nie może
przekazywać danych osobom trzecim bez zgody klienta, a jeżeli umowa przewiduje podwyko-
nawstwo, dostawca powinien informować klienta o wszelkich zamierzonych zmianach odno-
śnie podwykonawców, przy czym administrator powinien mieć możliwość wyrażenia sprzeciwu
co do tych zmian i rozwiązania umowy. Rozwiązanie zgodne z tą rekomendacją zostało wdro-
żone np. w Postanowieniach dotyczących usług online Microsoft.

Kwestia adresu podwykonawcy wiąże się z jeszcze jednym zagadnieniem. Wielu podwykonaw-
ców znajduje się bowiem w USA lub innych państwach trzecich (czyli poza EOG), które nie za-
pewniają należytego standardu ochrony danych osobowych. Jeżeli zatem umowa o usługi chmu-
rowe przewiduje możliwość angażowania podwykonawców, którzy mogą mieć dostęp do danych,
co, na marginesie, w większości przypadków wsparcia nie jest konieczne, ich adres pozwoli ad-
ministratorowi na ustalenie czy znajdują się oni w takich państwach trzecich i czy dostawca usług
chmurowych wdrożył odpowiednie instrumenty umożliwiające przekazanie danych tym podmio-
tom np. czy oferuje administratorom – klientom korzystającym z usług online zawarcie standardo-
wych klauzul umownych zatwierdzonych decyzją Komisji Europejskich. Od 1 stycznia 2015 r. ko-
rzystanie ze standardowych klauzul umownych nie wymaga już zgody GIODO, co istotnie ułatwiło
polskim klientom korzystanie z usług chmurowych oferujących to rozwiązanie.