W Polsce również obserwowany jest znaczny rozwój usług umieszczonych w chmurze. Według raportu IDC rynek przetwarzania w chmurze obliczeniowej jest najdynamiczniej rozwijającą się częścią rynku przesyłu informacji. Prognozowana, średnioroczna stopa wzrostu rynku przetwarzania w chmurze do roku 2015 to 33% . Zatem polscy przedsiębiorcy coraz częściej będą sięgać po omawiany model biznesowy. Nowy paradygmat przetwarzania danych wymaga gruntownej analizy, ponieważ dotychczasowe rozwiązania, zwłaszcza prawne, nie przystają do cloud computingu. Dostęp z każdego miejsca w każdym czasie – tak najczęściej w skrócie przywoływana jest chmura obliczeniowa. Zdaniem Komisji Europejskiej cloud computing można rozumieć jako przechowywanie, przetwarzaniei wykorzystywanie danych zdalnie poprzez Internet. Dzięki temu użytkownicy mogą korzystać z prawie nieograniczonych mocy obliczeniowych na żądanie i ograniczyć wydatki na IT. Ważną rolę w budowaniu definicji modelu cloud odgrywa Narodowy Instytut Standaryzacji i Technologii (NIST). We wrześniu 2011 r. Instytut wydał dokument 800-145 „The NIST Definition of Cloud Computing” , w którym zdefiniował cloud computing jako:
„Model umożliwiający wszechstronny, wygodny, sieciowy dostęp na żądanie do wspólnej puli konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pamięci, aplikacji i usług), które można szybko zapewniać i udostępniać przy minimalnym wysiłku w zakresie zarządzania czy też interakcją z dostawcą usługi. Na model ten składa się pięć niezbędnych cech charakterystycznych, trzech modeli usług oraz czterech modeli zastosowania.”
Model przetwarzania w chmurze jest w zasadzie nieograniczony, transgraniczny i niezwykle elastyczny. Wszystkie cechy wiążą się z modelem udostępniania usługobiorcy jego danych – rozmieszczenie centrów przetwarzania danych (data center) w chmurze – na całym świecie. Tym samym dane przekraczają granice państw i zmieniają jurysdykcję, co ma spore znaczenie przy określaniu zastosowania odpowiedniego reżimu prawnego, jeżeli zaistnieje potrzeba wszczęcia sporu na drodze sądowej. Cloud computing budzi wiele wątpliwości, ponieważ przedsiębiorca przenosi swoje dane (tajemnice przedsiębiorstwa, know-how, dane osobowe) do infrastruktury, której nie jest właścicielem. Utrata kontroli nad tym co do nas należy zawsze wiąże się z ryzykiem. Zwłaszcza w obliczu tak szybkiego rozwoju technologii i braku regulacji prawnych, a nawet braku wspólnej terminologii międzynarodowej.
Do tej pory nie powstało bezpośrednie prawo stanowione, które regulowałoby istnienie i funkcjonowanie chmur obliczeniowych, a umowa o usługę cloud computingu jest niczym innym jak szczególnym rodzajem outsourcingu. Zagadnienie umowy w omawianym modelu biznesowym jest niejednoznaczne, a decyduje o tym przede wszystkim jej nienazwany i mieszany charakter. W świetle Kodeksu cywilnego zastosowanie będą miały przepisy o umowie zlecenia (art. 750 k.c.). Jednakże w przypadku, gdy administrator danych osobowych będzie chciał skorzystać z cloud computingu znajdą zastosowanie przepisy ustawy o ochronie danych osobowych, która przewiduje w tym zakresie umowę powierzenia przetwarzania danych (art. 31). Wszelkie dotychczasowe działania ustawodawców skupione były i są na aktach o charakterze prawa miękkiego (soft law) ze względu na to, iż przetwarzanie w chmurze oparte jest o transmisję poprzez Internet, a w dodatku dotyka dużej grupy dziedzin prawa m.in.: autorskiego, własności intelektualnej i przemysłowej, pracy lub też ochrony: danych osobowych, baz danych, know-how, praw człowieka. Szereg obwarowań z powyższych dziedzin prawa jest stosowany w zależności od informacji/danych podlegających przetwarzaniu. Regulacja ustawowa chmury obliczeniowej musiałaby zawierać liczne odesłania lub objąć wiele norm już istniejących. Stąd rozważania czy taka regulacja jest konieczna, zwłaszcza, że jak na razie rynek i instytucje zapełniają ewentualnie powstające luki poprzez quasi-prawne akty.
Międzynarodowa Grupa Robocza ds. Ochrony Danych w Telekomunikacji 24 kwietnia 2012 r. zaprezentowała dokument roboczy w sprawie przetwarzania danych w chmurze obliczeniowej – Memorandum Sopockie . W dokumencie oparto się na sytuacji, gdzie wszyscy użytkownicy chmury w danym łańcuchu usługi (administrator danych, przetwarzający, podprzetwarzający) podlegają odmiennym przepisom o ochronie danych lub posiadają siedziby w różnych jurysdykcjach. Ponadto Grupa odniosła się jedynie do przedsiębiorstw i organów publicznych, które korzystają z chmur obliczeniowych.
Dla każdego przedsiębiorcy, a zarazem potencjalnego użytkownika usług typu cloud, dokument powinien stanowić istotną lekturę. Memorandum zawiera rozbudowany katalog zagrożeń. Analizując je z innymi aktami soft law lub opiniami prawników czy specjalistów z zakresu bezpieczeństwa danych można wyróżnić obecnie następujące główne zagrożenia powstające w usługach cloud computingu:
1. Klient usługi w chmurze (administrator danych) nie zauważa naruszeń bezpieczeństwa informacji (poufności, integralności, dostępności danych). Działania te mogą prowadzić do popełnienia czynów naruszających przepisy ochrony danych i prywatności.
2. Dane mogą być przekazywane do jurysdykcji, które nie zapewniają odpowiedniego poziomu ochrony.
3. Jeżeli dostawca cloud computingu będzie korzystał z podwykonawców, czyli tzw. podprzetwarzających to ustalenie odpowiedzialności w łańcuchu usługodawców może być niezwykle trudne.
4. Klient cloud computingu straci kontrolę nad danymi i przetwarzaniem danych. Największą obawą jest zagrożenie, że dostawcy usług cloud lub ich podwykonawcy będą wykorzystywać dane administratorów danych do własnych celów bez wiedzy lub zgody administratorów danych.
5. Administrator danych lub strona trzecia nie będzie w stanie na odpowiednim poziomie monitorować dostawcy usługi w chmurze.
Mimo tych zagrożeń wiele firm nadal decyduje się na przeniesienie swoich danych do chmury obliczeniowej. Przekonuje je do tego wiele zalet. Przetwarzanie danych w modelu cloud ma wpływ na efektywność wykorzystania zasobów i pozwala na ograniczenie kosztów nie tylko budowy i utrzymania infrastruktury IT, ale także osobowych lub energii. Jednakże dla tych przedsiębiorców, którzy chcieliby ograniczyć ryzyko można przytoczyć pewne ogólne zalecenia, które dotyczą przede wszystkim bardzo dobrze sformułowanej umowy o przeniesienie danych i korzystanie z nich w modelu cloud computingu.
Odpowiednio sformułowana umowa powinna zawierać odpowiednie klauzule umowne: umożliwiające przenoszenie danych (portability) i kontrolowanie ich, zakazujące nielegalne przekazywanie danych do jurysdykcji, bez wystarczającego poziomu ochrony danych. Dostawca usług opartych o cloud powinien zapewnić, że usunięcie danych osobowych z dysków oraz z innych nośników może być przeprowadzone w skuteczny sposób. Istotne jest także zabezpieczenie, że nikt poza klientem usług w chmurze nie powinien mieć dostępu do jego danych – powinny być one szyfrowane. Umowa ma gwarantować także odpowiednie tworzenie i zapisywanie kopii zapasowych w bezpiecznych lokalizacjach oraz wprowadzać zasadę przejrzystości lokalizacji, w których dane mogą być przechowywane i przetwarzane.
Ponadto klientowi w umowie powinno być zagwarantowane prawo wglądu do:
– dzienników kontroli lokalizacji – to w nich powinny być automatycznie rejestrowane fizyczne lokalizacje , tj. gdzie przechowuje się lub przetwarza dane osobowe, a także w jakim czasie,
– dzienników kontroli każdego przetworzenia danych.
Odpowiednie zapisy powinny również zakazywać dostarczycielowi usług cloud i jego podwykonawcom wykorzystywania danych klienta dla własnych celów. Ważnym elementem będzie zabezpieczenie klienta przed tzw. Vendor lock-in, czyli uzależnieniem od dostawcy (uzgodnienie zasad rozwiązania umowy) i „odzyskania” przekazanych danych. Uwzględnić trzeba jasne zasady umożliwiające przestrzeganie przez klienta usług w chmurze przepisów prawa obowiązujących go ze względu na dane, które umieszcza w infrastrukturze chmurowej, np. przepisów z zakresu ochrony danych osobowych, prawa bankowego. Szczególną rolę zajmuje tu Komisja Nadzoru Finansowego mająca wpływ na umowy z zakresu outsourcingu chmurowego poprzez swoje działania nadzorcze nad rynkiem finansowym. Ten nowy paradygmat przetwarzania danych opiera się na komunikacji internetowej. Należy zatem odpowiednio uregulować kwestie dostępności usług i ewentualnych przerw w dostawie. Wielu usługodawców posiada własną infrastrukturę (np. światłowody) w zakresie dostępu do Internetu, co z jednej strony powinno wpłynąć na stronę ekonomiczną całego przedsięwzięcia, ale jednocześnie stwarza ryzyko zależności od dostawcy.
Umowy z zakresu cloud computingu często składają się z ogólnej umowy, regulaminu korzystania z usługi oraz SLA (Service Level Agreement). Ten ostatni element ma znaczenie ze względu na odpowiednie stosowanie kar umownych. Co do zasady SLA nie powinno być zbyt rozbudowane, ale wskazane jest, żeby zawrzeć w nim odpowiednie standardy usługi. Coraz większa ilość dostawców usług umieszczonych w cloud computingu decyduje się na zastosowanie tzw. wiążących reguł korporacyjnych (ang. Binding Corporate Rules, BCR). Pozwalają one na stworzenie indywidualnego „prawa korporacji”, które nakłada na podmioty nimi związane określone obowiązki w zakresie zwiększenia bezpieczeństwa danych. Dostawca cloud, który zobowiąże się do przestrzegania BCR jest bardziej wiarygodny i wpływa na zwiększenie poziomu zaufania do swoich usług. Dla przedsiębiorców, którzy chcieliby przenieść swoje dane do data center, które umiejscowione jest w USA, wymagane będzie sprawdzenie czy usługodawca przeszedł pozytywnie Safe Harbor – program, który pozwala amerykańskim organizacjom na spełnienie wymogów unijnej dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Proces jest skutkiem negocjacji pomiędzy Federalną Komisją Handlu, a Komisją Europejską.
Wszystkie dotychczasowe działania zarówno ustawodawców, usługodawców i klientów chmur obliczeniowych koncentrują się na wypracowaniu pewnych zaleceń, wskazówek oraz metod, które zniwelują niepewności związane z nowym modelem biznesowym. W związku z niezwykłym tempem rozwoju usług w chmurach obliczeniowych, nieodzownym wydaje się skonstruowanie odpowiednich norm, niekoniecznie „sztywnych” regulacji prawnych. Niezwykle ważne na naszym rynku mogą się okazać główne działania założone w strategii Komisji Europejskiej z września 2012 r. Przewiduje ona rozwiązanie problemu mnogości standardów, aby zapewnić użytkownikom chmury interoperacyjność, przenoszenie danych i odwracalność danych. Niezbędne normy mają być określone do końca 2013 r. Konieczne będzie także promowanie ogólnounijnych mechanizmów certyfikacji dla wiarygodnych dostawców usług w modelu chmury (lista systemów ma powstać do 2014 roku). Komisja wskazała również potrzebę opracowania wzoru "bezpiecznych i uczciwych" warunków dla umów dotyczących usług w chmurze, w tym umów o gwarantowanym poziomie usług. Ciekawym projektem jest ustanowienie europejskiego partnerstwa na rzecz chmur obliczeniowych z udziałem państw członkowskich i podmiotów branżowych. Działania Komisji mają przede wszystkim za zadanie pobudzić rozwój chmur w UE, nie zakłócając ich naturalnego rozwoju. Liczne korzyści wynikające z zastosowania cloud computingu w znacznym stopniu mogą przewyższać zagrożenia. Nie należy ich jednak lekceważyć. Przeniesienie danych nie zwalnia przedsiębiorcy z odpowiedzialności na podstawie przepisów prawa krajowego czy unijnego. Szczególnie ważne są tu obowiązki administratorów danych na podstawie ustawy o ochronie danych osobowych. Nowoczesne data center przypominają twierdze nie do zdobycia – umieszczone na odosobnionych terenach, z technologiami chroniącymi budynki, nawet przed katastrofą lotniczą. Jednakże zawsze najistotniejszym ryzykiem jest czynnik ludzki. Nawet najlepsza technologia nie uchroni nas przed tym zagrożeniem. Stąd też klient usług umieszczonych w chmurze musi stosować także po swojej stronie odpowiednie środki ochrony danych. Bezpieczeństwo informacji powinno być monitorowane nieustannie w każdym przedsiębiorstwie, niezależnie od tego czy posiada własną infrastrukturę, czy korzysta z danych zdalnie. Pod względem ekonomicznym omawiany paradygmat przetwarzania danych pozwala na ograniczenie kosztów, a poprawnie skonstruowana umowa pozwoli klientowi powierzającemu dane odpowiednio ograniczyć ryzyko związane z cloud computingiem. Stąd też zgodnie z prognozami zainteresowanie tym modelem biznesowym będzie ciągle wzrastać. Mimo to outsourcing oparty na chmurze obliczeniowej wymaga jeszcze wykształcenia pewnej praktyki, zwłaszcza w zakresie prawa umów i jednolitej, międzynarodowej terminologii.
