GoldenLine
Zaloguj się
Mariola Malicka

Mariola Malicka Radca Prawny

Temat: chmura obliczeniowa a serwery dedykowane

Witam,
Czy ktos spotakał się z taka hybrydą? Na serwerze dedykowanym firma udostępnia oprogramowanie uzytkownikom końcowym (aplikacje biznezsowe). Serwer jest dedykowany usługodawca więc sam administruje system, hostingodawca nie ma dostępu do danych. Czyli nie ma powierzenia? Zgadza się? natomiast nasz usługodawca świadczący usługi w modelu SaaS ma dostęp do zbiorow swoich klientów. Czyli między naszym Usługodawcą a użytkownikiem końcowym jest powierzenie przetwarznia jednak nie ma podpowierzenia z uwagi na usługę serwera dedykowanego? Czy w polityce wystarczy opisać, że serwer jest dedykowany i dzierżawiony od firmy X jako adres serwerowni wpisać ich siedzibę oraz wykorzystać informację odnośnie środków technicznych dodając nasze zabezpieczenia w postaci instalowanego oprogramowania. Mam nadzieję, że bardzo nie namieszałam;-)

pozdrawiam
Link do wypowiedziLink

konto usunięte

Temat: chmura obliczeniowa a serwery dedykowane

Jakoś sobie nie wyobrażam że hostingodawca nie ma dostępu do danych na swoim jak rozumiem sprzęcie powiem szczerze... no może oprócz sytuacji gdyby usługodawca sam wstawił swój serwer w jakieś wynajęte miejsce w data center, lub miałby ten serwer wydzierżawiony na takiej zasadzie że tylko on miałby do niego dostęp (również fizyczny), tylko że wtedy to nie był by hosting w moim mniemaniu przynajmniej. Dla mnie hosting to jednak coś, czym na najwyższym poziomie administruje jednak głównie posiadacz infrastruktury i to on serwisuje serwery.Ten post został edytowany przez Autora dnia 12.11.13 o godzinie 18:41
Link do wypowiedziLink
Mariola Malicka

Mariola Malicka Radca Prawny

Temat: chmura obliczeniowa a serwery dedykowane

Nie zaznaczyłam, że Serwer dedykowany jest usługą cloud computing, gdzie podobno dzięki szyfrowaniu danych Hostingodawca nie ma dostępu do danych.
Z owu:
serwer dedykowany - Instalacja zbioru stron i elementów stanowiących jedną lub kilka stron
internetowych na serwerze, który jest zarezerwowany wyłącznie dla Klienta.
Klient nie ma fizycznie dostępu do sprzętu dzierżawionego w X
10.2. Klient ma dostęp „root” do serwera i jest administratorem serwera dzierżawionego w X. Z tego tytułu, jest on odpowiedzialny za instalację i treść każdej aplikacji zainstalowanej przez niego na tym serwerze.
Klient działa jako jednostka niezależna i sam ponosi ryzyko swojej działalności. Klient jest
odpowiedzialny za serwisy i strony internetowe utworzone na jego serwerze dedykowanym, za treść przesyłanych, rozpowszechnianych lub gromadzonych informacji, za ich eksploatację i aktualizację, jak również za wszystkie pliki, zwłaszcza dane adresowe.

Ze strony GIODO:

Jeżeli podmiot udostępniający system (serwer) nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych w myśl art. 31 ustawy, to podlega on postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie z art. 12–15 tej ustawy.

Nie wiem jak to działa w praktyce.
Link do wypowiedziLink

konto usunięte

Temat: chmura obliczeniowa a serwery dedykowane

Właściciel infrastruktury zawsze ma dostęp do danych chyba, że ustawienia przesądzają o szyfrowaniu danych przez klienta. To się zdarza jednak bardzo rzadko.

Na początek proponuję sprawdzić kto jest właścicielem infrastruktury oraz usługodawcą/hostingodawcą usługi chmurowej. Nie zawsze będzie to ten sam podmiot. Potem powinno pójść już z górki.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: chmura obliczeniowa a serwery dedykowane

W przypadku serwera dedykowanego klient jest administratorem, a więc może podjąć takie działania i środki, aby wykryć nieuprawniony dostęp. A na pewno większe ma ku temu możliwości niż w modelu "shared hosting". Usługodawca zaś udostępnia fizyczną (albo prawie fizyczną - bo wirtualną) maszynę. Zatem nie będzie przetwarzać danych osobowych w żaden sposób. Nie powinien miec też do nich dostępu, bo jego usługa polega na dostarczeniu jakby tylko samego serwera, postawieniu go, zasilaniu, podłączeniu do internetu, etc. Owszem - jeśli zechce, łatwo może go "ukraść" - szczególnie gdy jest to wirtualna maszyna (może sklonować), ale z tego powodu, że usługodawca mógłby (ale nie powinien i nie ma prawa) mieć dostęp dostęp do danych nie powinno się zawierać umowy powierzenia przetwarzania danych osobowych.

Przykładowo serwery w chmurze udostępnia http://e24cloud.com i moim zdaniem kupując taki serwer i przechowując na nim dane osobowe nie należy zawierać umowy powierzenia przetwarzania danych osobowych, bo usługodawca nie będzie w stanie (i nie ma prawa, jak sądzę) zaglądać na serwer. Może co najwyżej niepostrzeżenie sklonować wirtualną maszynę i próbować się do niej wlamać, ale na to są inne paragrafy.

Ale uwaga - inna usługa tej samej firmy będzie już wymagać umowy powierzenia - "Pliki w Chmurze". Bo tu przedmiotem usługi nie jest "dostarczenie komputera" ale przechowywanie już samych danych, do których dostęp może byc wymagany w ramach administracji usługą przez dostawcę.
Link do wypowiedziLink
Mariola Malicka

Mariola Malicka Radca Prawny

Temat: chmura obliczeniowa a serwery dedykowane

Pani Beato usługa dzierżawy serwera dedykowanego, to znaczy serwera używanego przez Klienta, ale znajdującego się w serwerowni firmy X, i którego prawidłowe funkcjonowanie zapewnia firma X. Serwer pozostaje własnością firmy X. Czyli infrastruktura należy do firmy X tej, ktora świadczy usługę serwera dedykowanego. Pani mówi, że właściciel infrastruktury zawsze ma dostęp do danych. Natomiast Pan Leszek jak rozumiem cos w sumie przeciwnego, iż jelłi istota tej usługi polega na tym, że uslugodawca nie powinien mieć dostępu do danych to nie ma jednak powierzenia do przetwarzania tylko dlatego, że mógłby teoretycznie to zrobić na przykład przez sklonowanie serwera.
W moim przykładzie mamy stos chmur, bo jedna firma jest właścicielem serwera i go dzierżawi (X) a druga na wydzierżawionym serwerze (Y) udostępnia oprogramowanie użytkownikom końcowym (Z). Moja firma to jest ta w środku dostawca oprogramowania będzie miał dostęp do danych swoich użytkowników więc tutaj będzie powierzenie przetwarzania, ale jak rozumiem może nie byc podpowierzenia aczkolwiek jakos mentalnie jako prawnik mam z tym pewien problem. Poza tym firmy tego rodzaju mają problem z indywidualnym negocjwaniem warunków umowy, umieszczają regulaminy na www, ktore to często pozostawiają do zyczenia.
Z innej jeszcze strony przeglądałam oferty innych wiodących firm w tym zakresie i tak na przykład home.pl oferuje przy kazdej swojej usludze zawarcie umowy o powierzenie przetwarzania. Wystarczy zgłosić wniosek. Jak widać praktyka nie jest w tym zakresie jednolita.
pozdrawiam i dziękuje za opinie:-)
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: chmura obliczeniowa a serwery dedykowane

Ja się nadal nie zgadzam z podejściem, że jeżeli dostawca obieca, że nie będzie do danych zaglądał, to już nie musimy podpisać umowy powierzenia.
Po pierwsze, jeżeli nie szyfrujemy danych po stronie klienta, to dostęp do nich zawsze jest możliwy. Deklarowanie przez dostawcę usługi, że tego nie zrobi nie jest dla mnie wystarczające – właśnie to powinno się znaleźć w umowie powierzenia.
Przy okazji ciekawostka – w czasie jednej z ostatnich edycji Auli, Łukasz Bromirski opowiadał o odczytywaniu danych poprzedniego klienta z dysku maszyny wirtualnej (ale zgodzę się, że w takim wypadku wystarczy uruchomić szyfrowanie dysków systemu maszyny wirtualnej).
Maszyna wirtualna działa też środowisku hosta i to ten system, zarządzany przecież przez dostawcę usług, zapewnia dostęp do zasobów dyskowych. Nie możemy patrzeć, na maszyny wirtualne, jak na zamknięte pudełka. One działają w środowisku programowym dostarczanym przez dostawcę, np. realizując operacje dyskowe.

Ale przede wszystkim, nie skupiałbym się tu na poufności. Jesteśmy zobowiązani zabezpieczyć dane również przed „zabraniem przez osobę nieuprawnioną”, „utratą, uszkodzeniem lub zniszczeniem”. Czyli np. przed pracownikiem dostawcy, albo jakąkolwiek inną osobą, która odłączy zasilanie macierzy i spowoduje, że utracimy nasze dane.

Nie komplikując za bardzo. Nawet jeżeli ograniczymy się jedynie do przechowywania danych, to jest ono formą przetwarzania. Dostawca zobowiązany jest przechowywać dane w taki sposób, aby nie zostały one uszkodzone lub zabrane przez osobę nieuprawnioną. A skoro powierzyliśmy mu ich przechowywanie, to mamy obowiązek zawrzeć umowę powierzenia.
Link do wypowiedziLink
Mariola Malicka

Mariola Malicka Radca Prawny

Temat: chmura obliczeniowa a serwery dedykowane

I jeszcze jedno słowo do Pana Leszka. Napisał Pan:

"Ale uwaga - inna usługa tej samej firmy będzie już wymagać umowy powierzenia - "Pliki w Chmurze". Bo tu przedmiotem usługi nie jest "dostarczenie komputera" ale przechowywanie już samych danych, do których dostęp może byc wymagany w ramach administracji usługą przez dostawcę."

Jednak w ich dokumentacji znalazłam taki zapis tu cytuję:

"Usługa e24cloud w rozumieniu przepisów prawa jest tożsama z wykorzystywaniem serwerów dzierżawionych od zewnętrznego usługodawcy.

Dla Ciebie oznacza to że korzystając z usługi e24cloud spełniasz warunki Ustawy o Ochronie Danych Osobowych w zakresie infrastruktury, jej lokalizacji i fizycznej organizacji dostępu do serwerowni.

Dla e24cloud jako usługodawcy oznacza to konieczność spełnienia określonych warunków co do urządzeń i infrastruktury. Działając zgodnie z obowiązującymi zasadami spełniamy te wymogi. Na życzenie udostępniamy wyczerpujące informacje na temat infrastruktury świadczonej przez e24cloud usługi.

Jednocześnie wszelkie czynności realizowane na rzecz odbiorcy usługi przez e24cloud nie stanowią przetwarzania danych osobowych w rozumieniu art. 7, pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz.U. z 2002 r., Nr 101, poz. 926 z późn. zm.). W związku z tym podmiotem wyłącznie uprawnionym i zobowiązanym w zakresie wynikającym z regulacji tejże ustawy jest klient e24cloud. On tez jest podmiotem decydującym o celach i środkach przetwarzania danych osobowych.

Dla Ciebie oznacza to konieczność zarejestrowania zbioru danych osobowych na stronie GIODO. Dla e24cloud oznacz to, iż na Twoje życzenie związane z rejestracją zbioru danych uzupełniamy jedynie załącznik dotyczący kwestii zabezpieczeń centrum danych z którego korzystamy."

W dokumentacji używane jest określenie "usługa cloud 24" rozumiem, że chodzi o każdą usługę, którą ta firma oferuje również "pliki w chmurze", o ktorych Pan wspomniał, ze wymagane będzie umowy powierzenie, natomiast z opisu zalączonego wyżej wyglądałoby na to, iż firma nie bierze tego pod uwagę.

pozdrawiam

Mariola Malicka
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: chmura obliczeniowa a serwery dedykowane

Jak dla mnie (po raz kolejny napiszę, że to moje zdanie i mogę się mylić) sprawa jest prosta.
Firma udostępniająca serwery w chmurze, serwery posiada fizycznie... wynajmując je nadal pozostaje właścicielem zarówno serwera, jak miejsca wynajętego dla klienta.
W związku z tym firma wynajmująca serwer / miesjce PRZECHOWUJE dane. A jak wiadomo, przechowywanie to też przetwarzanie,
Czyli a+b daje oczywiście c, więc skoro jest przetwarzanie, to powinna być umowa powierzenia.

Żadne tłumaczenie, że właściciel serwera nie ma dostępu do danych, nie jest wiarygodne. Właściciel w każdej chwili może skopiować dane, skasować, przenieść itp.Ten post został edytowany przez Autora dnia 13.11.13 o godzinie 14:44
Link do wypowiedziLink
Mariola Malicka

Mariola Malicka Radca Prawny

Temat: chmura obliczeniowa a serwery dedykowane

No właśnie dla mnie jako prawnika, legalisty sprawa również wydawała się prosta. Jednak zgłebiając temat wątpliwości pojawiało się coraz więcej również z pewnością z uwagi na brak dostatecznej wiedzy technicznej. Jednakże nie do końca nawet w świetle prawa widzę uzasadnienie dla stosowania art.12-14 ustawy o świadczeniu usług droga elektroniczną w przypadku jeśli podmiot wynajmuje infrastrukturę i deklaruje, że nie ma dostępu do danych. Powyższe przepisy w moim mniemaniu regulują inną sytuację. Jednak, jak widac zdania są podzielone a rynek pokazuje, że jakoś to działa a stanowisko samego GIODO nie jest raczej definitywne.
W każdym razie dziękuję wszystkim bardzo za cenne uwagi.

pozdrawiam
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: chmura obliczeniowa a serwery dedykowane

Wojciech C.:

Żadne tłumaczenie, że właściciel serwera nie ma dostępu do danych, nie jest wiarygodne. Właściciel w każdej chwili może skopiować dane, skasować, przenieść itp.

Jeśli jeden podmiot będący właścicielem lokalu wynajmuje go innemu podmiotowi, który będzie tam przetwarzał (w tym przechowywał) dane osobowe - to wcale nie znaczy, że przetwarza czyjeś dane osobowe - nieprawdaż?

Co do zasady moim zdaniem umowa powierzenia powinna mieć zastosowanie tam, gdzie strona przyjmująca dane wie, że je przyjmuje do przetwarzania. W przypadku dzierżawy serwera jedyne co dostarcza druga strona jest serwer, zasilanie, internet, etc. Nie ma prawa dostępu do serwera - zatem nie widzę powodów aby zawierać umowę powierzenia.

Podobnie w zasadzie mogłoby być w przypadku plików w chmurze, ale moim zdaniem szansa, że dostawca będzie musiał przetwarzać dane osobowe /a więc też konieczność umowy powierzenia/ jest nieco większa - bo może on przetwarzać w swoich logach np. numery PESEL, imiona, nazwiska jeśli te będą składać się na nazwy plików albo folderów. Może też świadczyć usługę wsparcia, która może wymagać dostępu do plików, bo coś sie dzieje/stało. Zapewne też wykonuje zapasowe kopie danych. Więc może być, że usługodawca zakłada, że nie będzie przetwarzał danych osobowych, ale faktycznie to przetwarzanie będzie występować.
Link do wypowiedziLink

konto usunięte

Temat: chmura obliczeniowa a serwery dedykowane

No właśnie nie do końca... zakładając iż podmiot wynajmujący zobligowany jest do serwisowania uszkodzeń w wynajmowanym lokalu, to na czas wykonywania serwisu powinien mieć upoważnienie do przebywania w obszarze przetwarzania ;)

Wracając do serwera, a więc w zasadzie ciągłego serwisu, załatwiamy to umową powierzenia ;)Ten post został edytowany przez Autora dnia 16.11.13 o godzinie 09:29
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: chmura obliczeniowa a serwery dedykowane

Przy czym w przypadku najmu z tak krytycznymi elementami nie ma możliwości wejścia bez nadzoru. W tym momencie upoważnienie raczej nie potrzebne, bo będzie w asyście osoby upoważnionej.
Link do wypowiedziLink

konto usunięte

Temat: chmura obliczeniowa a serwery dedykowane

różnie to może być skoro już sobie takie nieco abstrakcyjne porównania robimy ;)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: chmura obliczeniowa a serwery dedykowane

No to akurat jest bardzo abstrakcyjne ;-) Szczerze - nie widziałem takiego rozwiązania, żeby mi ktoś na konserwację wchodził bez asysty. Czy to były budowlane, czy techniczne, pożarówka czy inne zawsze informacja wcześniej z wykazem miejsc do udostępnienia. A gość wchodzi na podstawie naszych instrukcji ruchu osobowego i materiałowego. Czyli przepustka jednorazowa (lub okresowa) plus materiałowa.
Link do wypowiedziLink
Mariola Malicka

Mariola Malicka Radca Prawny

Temat: chmura obliczeniowa a serwery dedykowane

Zakładając, że sprawę załatwiamy umową przetwarzania. To nasz przetwarzający ma wszystkie obowiązki w zakresie zabezpieczenia, w zakresie dokumentacji i tu mnie zastanawia, bo skoro przetwarza to powinien wykazać w polityce zbiory przyjęte do przetwarzania, ich strukture itd. Jednak jakoś trudno mi sobie wyobrazić, że hostingodawcy tak szczegółowo te obowiązki wypełniają.
Link do wypowiedziLink

konto usunięte

Temat: chmura obliczeniowa a serwery dedykowane

Mariola M.:
Zakładając, że sprawę załatwiamy umową przetwarzania. To nasz przetwarzający ma wszystkie obowiązki w zakresie zabezpieczenia, w zakresie dokumentacji i tu mnie zastanawia, bo skoro przetwarza to powinien wykazać w polityce zbiory przyjęte do przetwarzania, ich strukture itd. Jednak jakoś trudno mi sobie wyobrazić, że hostingodawcy tak szczegółowo te obowiązki wypełniają.

Witam Pani Mariolu. To co Pani napisała pod moją wypowiedzią jednoznacznie wskazuje, że należy zawrzeć z dostawcą umowę podpowierzenia. Co do samej jej konstrukcji jak i problematyki stosu chmur to więcej pisałam o tym tutaj: http://www.cyberlaw.pl/biznes-w-chmurze/umowa-podpowie...

Umowa powierzenia zawierana jest pisemnie. Przed wyborem dostawcy warto jest przeprowadzić analizę GRC (http://www.cyberlaw.pl/?s=analiza+GRC) . Jej wyniki mogę być zaskakujące. Co do natomiast samych umów to ja już przerabiałam takie gdzie dokładnie były określane nazwy zbiorów i cele przetwarzania - z tym, że to się sprawdza najlepiej przy umowie powierzenia.

Pozdrawiam,
Link do wypowiedziLink
Mariola Malicka

Mariola Malicka Radca Prawny

Temat: chmura obliczeniowa a serwery dedykowane

Wszystko to piękne Pani Beato tylko w życiu trochę trudne w realizacji. Na przykład usłuogdawcy oferujący usługę w modelu SaS tysiącom administratorów, z którym z każdym powiedzmy powinni zawrzeć umowę powierzenia a w przypadku gdy dalej przekazują ich dane (korzystają z zewnętrznej infrastruktury) powinni odebrać zgodę od administratorów na podpowierzenie. Zgoda nie powinna być blankietowa, administrator powinien mieć prawo sprzeciwu wobec wyboru subprocesora. Jednak takie gwarancje w przypadku modelu biznesowego duży procesor i setki małych administratorów całkowicie może zahamować biznes. W jaki sposób pojedynczy użytkownik chmury może uzyskać informacje o podjętych przez dostawce środkach bezpieczeństwa. Nie bardzo widzę jak co chwila jakis mały admistrator wpada do procesora i go audytuje. Byłoby to nie lada wyzwanie organizacyjne dla zleceniobiorcy, problem właściwie nie do rozwiązania.Czy na przykład jeden zgłosi sprzeciw wobec subprocesora i zablokuje go pomimo, iż reszta się zgadza. To prawo veta całkowicie uniemożliwiałoby płynną eksploatację chmury. WIem, że takie są wytyczne grupy roboczej, jednak nie widzę tego w praktyce w tym modelu biznesowym, o którym wyżej. Nie wszystkie sytuacje oczywiście są takie, jak opisałam wyzej i tam, gdzie umowy mają charakter umów adhezyjnych a użytkowników są tysiące.
Link do wypowiedziLink

konto usunięte

Temat: chmura obliczeniowa a serwery dedykowane

Mariola M.:
Wszystko to piękne Pani Beato tylko w życiu trochę trudne w realizacji. Na przykład usłuogdawcy oferujący usługę w modelu SaS tysiącom administratorów, z którym z każdym powiedzmy powinni zawrzeć umowę powierzenia a w przypadku gdy dalej przekazują ich dane (korzystają z zewnętrznej infrastruktury) powinni odebrać zgodę od administratorów na podpowierzenie. Zgoda nie powinna być blankietowa, administrator powinien mieć prawo sprzeciwu wobec wyboru subprocesora. Jednak takie gwarancje w przypadku modelu biznesowego duży procesor i setki małych administratorów całkowicie może zahamować biznes. W jaki sposób pojedynczy użytkownik chmury może uzyskać informacje o podjętych przez dostawce środkach bezpieczeństwa. Nie bardzo widzę jak co chwila jakis mały admistrator wpada do procesora i go audytuje. Byłoby to nie lada wyzwanie organizacyjne dla zleceniobiorcy, problem właściwie nie do rozwiązania.Czy na przykład jeden zgłosi sprzeciw wobec subprocesora i zablokuje go pomimo, iż reszta się zgadza. To prawo veta całkowicie uniemożliwiałoby płynną eksploatację chmury. WIem, że takie są wytyczne grupy roboczej, jednak nie widzę tego w praktyce w tym modelu biznesowym, o którym wyżej. Nie wszystkie sytuacje oczywiście są takie, jak opisałam wyzej i tam, gdzie umowy mają charakter umów adhezyjnych a użytkowników są tysiące.

Pani Mariolu,

Jeśli chodzi o samo określenie podpowierzającego w umowie powierzenia to przybiera ono różne formy. Klauzula zgody jest udzielana już na poziomie tej umowy. Zapisy te są naprawdę różne. Różne bowiem są rodzaje usług, grupy odbiorców i kryteria ich zgodności. Są przypadki gdzie są nawet różne wzory umów powierzenia, przedkładane w zależności od klienta. Dobrą praktyką, którą ja polecam, jest jeden wzór i otwartość na modyfikowanie w zależności od potrzeb klienta.

Nie rozumiem Pani twierdzenia "Czy na przykład jeden zgłosi sprzeciw wobec subprocesora i zablokuje go pomimo, iż reszta się zgadza. To prawo veta całkowicie uniemożliwiałoby płynną eksploatację chmury".

W praktyce jest tak, że dostawca wybiera podpowierzającego i przed faktem dokonanym stawia Administratora Danych. Często w umowach stosowane są klauzule zgody na dalsze powierzenie podmiotowi mającemu siedzibę na terenie EOG. Administrator Danych ma wtedy cztery opcje:

1. podpisuje umowę
2. modyfikuje umowę w poszczególnych zapisach, z którymi zgadza się dostawca i następnie strony podpisują umowę
3. nie podpisuje umowy, korzysta z usługi
4. nie podpisuje umowy, nie korzysta z usługi

Jeśli jeden klient nie podpisze umowy to nie wpłynie w żadnym stopniu na SLA dostawcy. Będzie on dalej świadczył na określonym poziomie usługę dla klientów.

Pamiętajmy jednak, że to dostawca dostarcza usługę klientowi, a nie odwrotnie. Dostawca powinien wiedzieć jaką zgodność mają spełniać jego klienci (grupa docelowa) by mogli korzystać z jego usług. Jeśli jego prawnik nie zwróci mu na to uwagi już na etapie wyboru podpowierzającego to będzie ponosił straty (nie będzie miał klientów). Podam przykład:

Jeżeli jedną z kluczowych przesłanek dla odbiorców usługi są serwery na terenie Polski, a dostawca nie ma własnej infrastruktury to jego pole wyboru jest ograniczone tym kryterium. Jeśli wybierze sobie podmiot poza Polską to będzie miał problem gdy klienci jeszcze przed zawarciem umowy o świadczenie usługi będą chcieli w umowie powierzenia określać położenie serwerów na terenie Polski. Administrator Danych decyduje o środkach i celach przetwarzania danych osobowych i ponosi odpowiedzialność za przetwarzanie danych. Ma zatem pełne prawo modyfikować zapisy aż do osiągnięcia swojej zgodności. W omawianym przypadku jej nie osiągnie bo serwery są poza Polską. Umowa nie zostanie podpisana. Klient pójdzie do konkurencji, a dostawca jeśli szybko nie zareaguje będzie tracił kolejnych klientów. Oczywiście w takim przypadku powinien dostrzec także to, że to jego prawnik zatwierdził wybór podpowierzającego i nie zasygnalizował możliwych problemów, które właśnie się pojawiły. Jeżeli przyczyną jest brak specjalziacji to warto albo wymienić prawnika na nowego albo korzystać z usług zewnętrznego prawnika specjalizującego się w temacie, który wspiera dział prawny firmy.

Jeśli zaś chodzi o audyt to jest to sprawa bardzo indywidualna. Często klientom wystarcza odpowiedź na kilka pytań (wypełniają sobie swoją listę kontrolną) a czasem nie. Wszystko zależy od wielkości klienta. Prawda jest taka, że mniejsi klienci ostatecznie zostają z checklistami, a więksi mogą sobie audytować inaczej. Zawsze jest tak, że to dostawca współpracuje z Administratorem Danych. Jeśli nie będzie tego robił odpowiednio to straci klienta.

Pozdrawiam,
Beata Marek
Link do wypowiedziLink
Mariola Malicka

Mariola Malicka Radca Prawny

Temat: chmura obliczeniowa a serwery dedykowane

Dziękuję za obszerne stanowisko. Widać Pani ma inne doświadczenia w tej kwestii, ale ja niestety nie. Moim zdaniem najlepszym rozwiązaniem dla tej sytuacji duży usługodawca i mali przedsiębiorcy byłby wypracowany na poziomie europejskimwzorzec umowny, który ustalłby bezpieczne i uczciwe warunki przetwarzania przeznaczony dla konsumentów i małych przedsiębiorców.
pozdrawiam
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Chmura na dane osobowe na t...




Wyślij zaproszenie do
Anuluj