Chmura obliczeniowa i COVID-19 – przepisy prawa i wytyczne regulatorów

Xawery Konarski, Traple Konarski Podrecki & Wspólnicy

Chmura obliczeniowa określana jest nieraz jako „superbohater” pandemii COVID-19. Bez tych usług nie byłoby możliwe kontynuowanie działalności gospodarczej, załatwianie spraw administracyjnych, czy korzystanie z cyfrowej rozrywki przez konsumentów.

Znaczenie dostępu do rozwiązań chmurowych zostało dostrzeżone przez polskiego ustawodawcę i regulatorów, którzy na czas pandemii COVID-19 wprowadzili szereg szczególnych rozwiązań prawnych. Zawarte są one w tzw. specustawie o COVID-19 z dnia 2 marca 2020 r. (Dz.U. z 2020 r. poz. 374), znowelizowanej następnie w dniu 31 marca 2020 r. (Dz.U. z 2020 r. poz. 568), a także rekomendacjach organów regulacyjnych. Podstawowym celem przyjęcia tych aktów prawnych było ułatwienie dostępu do usług chmury obliczeniowej, odnoszą się one również do szczególnych ryzyk związanych ze zdalnym korzystaniem z danych i aplikacji IT.

Praca zdalna w chmurze obliczeniowej

Zgodnie z art. 3 specustawy o COVID – „W celu przeciwdziałania COVID-19 pracodawca może polecić pracownikowi wykonywanie, przez czas oznaczony, pracy określonej w umowie o pracę, poza miejscem jej stałego wykonywania (praca zdalna)”. O takiej organizacji pracy decyduje pracodawca, bez konieczności uzgadniania tego z pracownikami ani zbiorowo (porozumienie z przedstawicielami pracowników), ani indywidualnie (porozumienie z każdym pracownikiem). Mimo, że z formalnego punktu widzenia praca zdalna, inaczej niż telepraca w rozumieniu art. 675 kodeksu pracy, nie wymaga przekazywania jej wyników za pomocą środków komunikacji elektronicznej, to jednak powszechnie wykonywana jest ona w środowisku chmury obliczeniowej (np. aplikacje do przetwarzania w chmurze dokumentów, czy komunikacji bezpośredniej).

Z pracą zdalną związane są dla pracodawcy dodatkowe ryzyka. Przykładowo, pracownicy dysponujący zdalnym dostępem do infrastruktury pracodawcy nie podlegają środkom bezpieczeństwa fizycznego, które mogą obowiązywać w lokalu pracodawcy. Zagrożenia te dostrzegł  Minister Cyfryzacji, który w komunikacie z dnia 13 marca 2020 r.  zawarł szereg rekomendacji dotyczących zasad wykonywania zdalnej pracy. Click: (https://www.gov.pl/web/cyfryzacja/razem-ale-osobno–to-powinniscie-wiedziec-o-pracy-zdalnej).

Zalecane jest między innymi podjęcie tak działań jak nieużywanie prywatnych skrzynek pocztowych czy grup na portalach społecznościowych do komunikacji firmowej oraz zadbanie o bezpieczeństwo urządzeń w sieci domowej poprzez używanie „silnego” hasła do sieci WiFi oraz aktualizacji oprogramowania.

Z kolei, w komunikacie z dnia 17 marca 2020 r. Urząd Ochrony Danych Osobowych (UODO) wskazał na kilka zasad ochrony danych osobowych poza miejscem pracy (https://uodo.gov.pl/pl/138/1459). W kontekście korzystania z chmury obliczeniowej podkreślono między innymi potrzebę korzystania z zaufanych dostawców oraz przestrzegania wszelkich zasad i procedur organizacyjnych dotyczących logowania i udostępniania danych. W kontekście bezpieczeństwa danych osobowych warto również zapoznać się z poradnikiem Urzędu Ochrony Danych Osobowych, opracowanym przy współpracy z MEN, („Dane osobowe bezpieczne podczas zdalnego nauczania”),

Z pracą zdalną związane są szczególne problemy prawne przetwarzania danych osobowych, dotyczące takich sytuacji jak: praca na własnym sprzęcie (Bring Your Own Device, BYOD), zarządzanie urządzeniami mobilnymi (np. konfigurowanie aplikacji, usuwanie danych na żądanie), czy monitorowanie wykonywania obowiązków pracowniczych w trakcie pracy zdalnej. W tym ostatnim przypadku trzeba między innymi pamiętać o obowiązku informowania pracownika o wykorzystaniu i celach technologii monitorowania, a także zadbaniu aby odbywało się ono zgodnie z zasadą proporcjonalności i minimalizacji danych.

Oznacza to, że przetwarzanie danych w tym kontekście musi być proporcjonalne do ryzyka, jakie ponosi pracodawca, a także, że należy w miarę możliwości ograniczać do minimum informacje rejestrowane w ramach ciągłego monitorowania. Wytyczne w tym zakresie określono w Opinii nr 2/2017 Grupy Roboczej art.29 na temat przetwarzania danych osobowych w miejscu pracy.

Wyłączenia z prawa zamówień publicznych

Istotne wyłączenie stosowania prawa zamówień publicznych zawarte zostało w  art. 6.1 specustawy o COVID. Zgodnie z nim, „do zamówień na usługi lub dostawy niezbędne do przeciwdziałania COVID-19 nie stosuje się przepisów ustawy z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych (Dz. U. z 2019 r. poz. 1843), jeżeli zachodzi wysokie prawdopodobieństwo szybkiego i niekontrolowanego rozprzestrzeniania się choroby lub jeżeli wymaga tego ochrona zdrowia publicznego.” W Komunikacie Prezesa UZP z dnia 24 marca 2020 r., wyjaśniono, że wyłączenie to może znaleźć zastosowanie również do zamówień publicznych, których przedmiotem są dostawy sprzętu IT, czy też usługi z zakresu IT. Będzie tak np. w przypadku kupna usług chmury obliczeniowej w celu wykonywania pracy zdalnej. Zamawiający może bowiem argumentować, że zakup ten jest niezbędny do przeciwdziałania COVID-19 (zamknięcie miejsca pracy), a także że zachodzi wysokie prawdopodobieństwo szybkiego i niekontrolowanego rozprzestrzeniania się choroby wśród pracowników. W pewnych przypadkach, zastosowanie znajdzie również przesłanka ochrony zdrowia publicznego (np. przy zakupie usług chmurowych na potrzeby monitorowania wykonania obowiązków dotyczących kwarantanny domowej).

Ułatwienia z korzystania z chmury obliczeniowej przez administrację publiczną

Niezależnie od zmian w prawie zamówień publicznych, podejmowane są również inne inicjatywy, które mają ułatwiać podmiotom publicznym korzystanie z usług chmury obliczeniowej.

W II kwartale 2020 r. planowana jest w zmiana uchwały nr 97 Rady Ministrów z dnia 11 września 2019 r.  w sprawie Inicjatywy „Wspólna Infrastruktura Informatyczna Państwa” (WIIP). Uchwała ta odnosi się do usług przetwarzania w Rządowej Chmurze Obliczeniowej lub publicznych chmurach obliczeniowych przez podmioty publiczne wymienione w jej § 6 ust.1.

Planowana zmiana ma na celu ułatwienie przejścia na usługi chmurowe przez te podmioty, których zamiar skorzystania z usług przetwarzania w chmurach wynika z przeciwdziałania COVID-19. Przewidywane ułatwienia dotyczą w szczególności wymogów zawartych w § 6 ust.2 i §8 WIIP. Po pierwsze, planowane jest tymczasowe wyłączenie stosowania załącznika nr 2 do uchwały WIIP, w którym wymieniono kategorie systemów teleinformatycznych, które mogą korzystać z usług przetwarzania w Rządowej Chmurze Obliczeniowej lub w publicznych chmurach obliczeniowych. Oznacza to zwolnienie z wymogu spełnienia kryteriów klasyfikacji systemów teleinformatycznych (np. wymogu spełnienia jurysdykcji krajowej), jeżeli zamiar skorzystania z usług przetwarzania w publicznych chmurach obliczeniowych wynika z przeciwdziałania COVID-19. Po drugie, planowane jest tymczasowe skrócenie terminu na wydanie przez właściwy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego opinii w zakresie możliwości wykorzystania publicznych chmur obliczeniowych. W obecnym stanie prawnym, konieczne jest dochowanie 30-dniowego terminu (§ 8).

Liberalizacja obowiązków dla sektora finansowego

W komunikacie Urzędu Krajowego Nadzoru Finansowego (UKNF) z 23 stycznia 2020 r., dotyczącym przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej wprowadzono obowiązki dotyczące dostosowania się do zawartych w nim wymogów oraz uprzedniego informowania UKNF o zamiarze korzystania z usług chmury obliczeniowej. Obowiązki te dotyczą między innymi banków, zakładów ubezpieczeń, funduszy inwestycyjnych oraz funduszy emerytalnych.

Z dniem 25 marca 2020 r. UKNF wprowadził dwie, istotne zmiany w zakresie stosowania w/w Komunikatu. Po pierwsze, dla podmiotów nadzorowanych, które już korzystają z usług chmury obliczeniowej, zmianie uległ termin dostosowania się do wymagań Komunikatu – z dnia 1 sierpnia 2020 r. na dzień 1 listopada 2020 r. Po drugie, dla podmiotów nadzorowanych, które zamierzają dopiero korzystać z usług chmury obliczeniowej, obowiązek informowania UKNF o zamiarze korzystania z usługi z wyprzedzeniem 14-dniowym został zastąpiony obowiązkiem informowania UKNF o fakcie korzystania z usługi nie później niż 30 dni po rozpoczęciu korzystania z usługi.

Obydwie zmiany należy ocenić pozytywnie, przesunięcie terminu poinformowania UKNF-u o korzystaniu z chmury obliczeniowej może być istotnym ułatwieniem, szczególnie w czasie, gdy od pracodawców wymaga się umożliwienia pracy zdalnej, a podmioty nadzorowane zmuszone są do jak najszerszego umożliwienia klientom zdalnego załatwienie spraw. Dzięki wprowadzonym zmianom, zgłoszenia będzie można dokonać już po produkcyjnym wdrożeniu usług chmury obliczeniowej.

Ilustracja: Pixabay

Bądź pierwszy, który skomentuje ten wpis!

Dodaj komentarz

Twój adres email nie zostanie opublikowany.


*