Dane osobowe w chmurze AWS (Amazon Web Services)
Czy można przechowywać dane osobowe w chmurze Amazona (AWS)?
Połączenie słów „chmura” i „dane osobowe” zapala u wielu osób czerwoną lampkę i znak stop z hasłem „nie da się”. Nic bardziej mylnego. Ludzie potrafią komplikować sobie najprostsze rzeczy i nie inaczej jest w tym wypadku. Ustawa o ochronie danych osobowych wiele wymagań opisuje ogólnikowo i to od nas zależy, jak bardzo dane te zabezpieczymy. Nic zatem dziwnego, że chcemy to zrobić lepiej niż wymagają od nas przepisy – w końcu chronimy dane ludzi, sami przy okazji starając się nie ucierpieć wizerunkowo w razie kompromitującej wpadki i wycieku danych. Nadrzędnym celem jest ochrona danych. Dane w chmurze będą zwyczajnie bezpieczniejsze niż na zwykłych serwerach czy VPSach. Polskie prawo nie zabrania przetwarzania danych na terenie EOG (Europejski Obszar Gospodarczy). Nie ma więc przeszkód, aby dane osobowe umieścić w chmurze Amazona w regionie zlokalizowanym na terenie Irlandii, czy Niemiec. Spełniony jest też warunek posiadania wiedzy, gdzie dokładnie znajdują się dane osobowe oraz konieczność podpisania umowy o przetwarzaniu danych osobowych – podpisując ją z Hostersami masz pewność, że posiadamy stosowne umowy z Amazon Web Services.
Co na to Ustawa o Ochronie Danych Osobowych
Kluczowym dokumentem stanowiącym o przetwarzaniu danych osobowych jest dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Te unijne przepisy mają istotne znaczenie dla wykładni polskich przepisów o ochronie danych osobowych. Już ustawa o ochronie danych osobowych z 1997 roku określała zasady przekazywania danych osobowych do tzw. państw trzecich, czyli tych, które nie należą do Europejskiego Obszaru Gospodarczego. Znaczące ich uproszczenie nastąpiło w momencie pojawienia się wspomnianej Dyrektywy.
Hosting baz danych zawierających dane osobowe
Hosting baz danych zawierających dane osobowe nie jest regulowany odrębnymi przepisami i przekazywanie danych do Europejskiego Obszaru Gospodarczego obejmują te same przepisy. W myśl polskiego prawa, państwa obszaru EOG nie są traktowane jako państwa trzecie, więc przepływ danych w ich obrębie jest traktowany tak samo. jak transfer danych na terytorium Polski. Przy czym EOG to Państwa Unii Europejskiej oraz dodatkowo Islandia, Lichtenstein i Norwegia. Zważywszy jednak na położenie serwerowni głównych usługodawców chmurowych czy usług dedykowanych. w dużej mierze mieć będziemy do czynienia a krajami EU – Irlandia, Niemcy, Francja, Holandia – w tych krajach znajdują się największe skupiska usługodawców, do jakich mogą powędrować nasze dane. Takie działanie wynika z wymogów członkostwa Polski w Unii, a celem Dyrektywy było zapewnienie odpowiednio wysokiego poziomu ochrony danych osobowych i swobodny przepływ danych wewnątrz terytorium Unii Europejskiej. Dzięki temu przekazywanie danych osobowych do państwa należącego do EOG podlega zasadom przetwarzania danych opisanych w ustawie o ochronie danych osobowych.
Sprawa znacząco komplikuje się przy przekazywaniu danych do państwa trzeciego (poza EOG). Szczególnie w związku z brakiem zawartej umowy, zwanej „Safe harbour”. Więcej na ten temat tutaj: http://www.giodo.gov.pl/163/id_art/1519/j/pl/
Przechowywanie danych osobowych w AWS
Amazon deklaruje całkowitą zgodność z Dyrektywą. Umiejętność dostosowywania się do lokalnych przepisów AWS udowodnił już wielokrotnie. W USA znajduje się specjalny GOV region czyli region przeznaczony do przechowywania danych przez Amerykańskie instytucje rządowe, a w Chinach AWS posiada także swój region objęty szeregiem restrykcji wymaganych przez Państwo Środka.
AWS dostosował się do głównych standardów bezpieczeństwa, takich jak ISO 27001, Soc 1/2/3 oraz PCI DSS poziom 1. Obowiązujący model dzielonej odpowiedzialność w chmurze stanowi, iż AWS jest odpowiedzialny za bezpieczeństwo podstawowej infrastruktury chmury, a klienci są odpowiedzialni za bezpieczeństwo swoich danych i aplikacji. AWS zapewnia wsparcie konsultantów w zakresie bezpieczeństwa i zgodności z Dyrektywą, aby pomagać klientom AWS w osiąganiu wysokiego poziomu bezpieczeństwa i stosowaniu najlepszych praktyk.
Najważniejsze kwestie stanowiące o zgodności z Dyrektywą:
- Do przechowywania danych osobowych wykorzystujemy region AWS Irlandia lub Frankfurt – oba położone na terenie EOG.
- Dane osobowe przechowywane w bazie danych, S3 lub instancjach EC2 z dyskami, utrzymywane są w Irlandii lub Frankfurcie, zatem nie ma mowy również, że przechowywane są w jakiejkolwiek usłudze CDN czy poza wskazanymi regionami, szczególnie w USA.
- Podstawą prawną na te okoliczność jest zawarta pomiędzy Hostersi Sp. z o.o. a Amazon Web Services umowa powierzenia przetwarzania danych osobowych – DPA, o której mowa jest również w dokumentacji Amazona.
- Amazon zamieszcza na swoich stronach wyjaśnienia na okoliczność bezpiecznego przechowywania danych osobowych oraz pismo komisji działającej przy Komisji Europejskiej potwierdzające wysoki poziom bezpieczeństwa danych osobowych w Amazon.
Polecamy uwadze linki:
https://aws.amazon.com/compliance/gdpr-center/
http://aws.amazon.com/compliance/data-privacy-faq/
Pomożemy Ci w całym procesie powierzenia przetwarzania danych osobowych w chmurze
Hostersi opiekując się Twoją infrastrukturą zlokalizowaną w AWS podpisują umowę o przetwarzaniu danych osobowych z firmą zlecającą taką opiekę. Sami mamy zawartą taką umowę z AWS, więc wszystko odbywa się legalnie i zgodnie z prawem. Stosujemy tutaj te same dobre praktyki zabezpieczenia danych, jakie stosujemy w odniesieniu do hostingu zgodnego z UODO (GIODO) w Polsce. Wszystko to sprawia, że hosting danych zawierających dane osobowe nie jest usługą, której nie da się zrealizować. Co więcej, w usługach AWS łatwiej zaszyfrować dane, zabezpieczyć do nich dostęp, wykonywać kopie zapasowe, w tym również zaszyfrowane.
Zapraszamy do kontaktu – umowy o powierzeniu danych osobowych podpisujemy od 2006 roku i w tym czasie pozytywnie przeszliśmy dziesiątki audytów, m.in. z banków i dużych międzynarodowych korporacji. Wraz z naszym partnerem możemy Ci też doradzić w zakresie sporządzenia odpowiedniej dokumentacji, czy też outsourcingu ABI (Administratora Bezpieczeństwa Informacji).
Pytania? Skontaktuj się z nami
Zobacz również:
Amazon Web Services ma już 10 lat
Skąd się bierze wysoka dostępność (HA) w chmurze?