Dane osobowe klientów kancelarii a chmura – czy to bezpieczne rozwiązanie?

Jeszcze niedawno zapisywaliśmy dane na różnych nośnikach przenośnych. Tylko w taki sposób można było je przenieść z jednego komputera na drugi. Obecnie większość danych jest przechowywana w tzw. chmurze. Czy w dzisiejszych czasach można jej uniknąć? Według ekspertów jest to niemożliwe, a nieświadome korzystanie z chmury niesie zagrożenia. Jak mądrze i bezpiecznie wykorzystać możliwości chmury? Zobacz, dlaczego bezpieczeństwo danych jest szczególnie ważne w kancelariach prawnych.

Czym jest chmura?

Warto zacząć od poznania pojęć. Chmura obliczeniowa udostępnia użytkownikowi konieczne zasoby, dzięki czemu nie musi on przechowywać danych na fizycznym nośniku, zajmować się obsługą serwera, aktualizacją oprogramowania czy sprzętu. Potrzebuje jedynie dostępu do internetu oraz zalogowania się do danego serwera.

Czy chmura jest bezpieczna? Zależnie od tego, gdzie przechowywane są Twoje dane (lub dane klientów kancelarii prawnej), poziom zadbania o ich bezpieczeństwo może być większy lub mniejszy. Szczególnie możemy być spokojni, gdy sprawdzimy normy ISO usługodawcy. Na poziomie ISO 27001 dane powinny być dobrze zabezpieczone.

Chmura w kancelariach prawnych szanse i zagrożenia

Jakie są rodzaje chmur?

Przede wszystkim wyróżnia się trzy rodzaje:

1. Prywatne – dla dużych firm, organizacji; wymagają dużych nakładów finansowych, ale są pod pełną kontrolą danej firmy;
2. Publiczne – udostępniane zewnętrznie, są ogólnodostępne; tańsze rozwiązanie;
3. Hybrydowe – łączą w sobie poprzednie dwa rodzaje; część danych znajduje się bowiem w chmurach prywatnych, a część w publicznych.

Poza tym chmury działa w oparciu o kilka modeli biznesowych. Są to:

1. IaaS – użytkownik wykupuje dostęp do serwera
2. SaaS – dostęp bez wykupu funkcji
3. PaaS – dostęp do pełnej platformy

Dane osobowe zamknięte w chmurze – czy są bezpieczne? Ustawa RODO

W kancelariach prawnych w chmurach obliczeniowych przechowywane są nie tylko akta sprawy i firmowe dane, ale i dane osobowe klientów. A z tym wiąże się ustawa o ochronie danych osobowych (RODO).

Pomimo obowiązujących przepisów, niektóre chmury wciąż nie mają odpowiedniej regulacji, więc to na zarządcy kancelarii spoczywa obowiązek zawarcia umowy, która przekazuje nadzór nad danych osobowymi. Jest to ważne, gdyż w proces przetwarzania danych wchodzi trzeci podmiot. Należy zadbać o to, aby umowa zawiera konkretne zapisy, które mówią wyraźnie, kto i w jakim stopniu ma dostęp do przetwarzanych danych, a także wskazujące na serwer, w którym będą przechowywane dane.

A co z danymi osobowymi?

Przedsiębiorca, będący administratorem danych osobowych w rozumieniu ustawy, musi także dopilnować, aby wspomniana umowa wyraźnie określała podmioty, które uzyskują dostęp do przetwarzanych danych oraz zakres tego dostępu. Co więcej, musi zostać wykazane, czy podmioty te spełniają wszystkie ustawowe wymogi bezpieczeństwa danych.

Dodatkowym elementem umowy, który jest niezbędny, jest wskazanie lokalizacji fizycznej serwerów, na których dane będą przechowywane. Jeśli serwer znajduje się poza Europejskim Obszarem Gospodarczym, należy sprawdzić, czy spełnia wymogi Safe Harbor. A w razie potrzeby jest możliwe sprawdzenie go z pomocą GIODO. Jeśli poziom bezpieczeństwa nie będzie wystarczający, administrator zostanie ukarany.

Jak ocenić dostawcę chmury?

„Dostawca chmurowy różni się od dostawcy chmurowego. Wypełnienie pewnych wymogów technicznych, zwłaszcza związanych z cyberbezpieczeństwem jest jednym z elementów, które pozwalają rozróżnić, który dostawca jest lepszy. Możemy sprawdzić, jakiego rodzaju certyfikaty norm i standardów są spełniane, w jaki sposób jest robione szyfrowanie, jakie narzędzia pozwalają nam zbadać, co się dzieje z naszymi danymi, dodatkowo je zabezpieczyć. Te wszystkie elementy gdzieś są zaraz na początku takiego sprawdzenia” – podpowiada Michał Jaworski, członek Zarządu Microsoft w Polsce.

Dedykowane chmury w kancelarii

Warto rozważyć korzystanie z własnych rozwiązań – firmowej chmury na własnym serwerze. To jednak wiąże się z wieloma dodatkowymi obowiązkami, a w tym między innymi z zatrudnieniem własnego działu IT. Można też rozważyć dedykowane rozwiązania dla prawników i kancelarii – systemy, które posiadają nie tylko przydatne funkcjonalności, ale również bezpieczną i wydajną chmurę obliczeniową.