MENU

Jak chronić dane przechowywane w chmurze

1 sierpnia 2013CSO, Polecane tematy

PRISM być może spowodował to, że europejskie firmy zaczęły zastanawiać się nad przeniesieniem „wrażliwych” danych od dostawców amerykańskich, do europejskich. Ale są i inne obawy związane z przechowywaniem danych w chmurze.

Ostatnio zadano mi pytanie, jak podejść do rozwiązań cloud computing w kontekście obowiązku zachowania tajemnicy radcowskiej/adwokackiej. Co się stanie, gdy np. prokurator przyjdzie do firmy, na której serwerach przechowywane są dokumenty prawników i zażąda wglądu w nie? Może są już jakieś rozwiązania? Może da się to zastrzec w umowie – dostęp do danych tylko za zgodą ich właściciela? Ogólne wskazówki, w zakresie zachowania tajemnicy danych przechowywanych w chmurze wydało CCBE, ale nie rozwiewa to wątpliwości osoby, która mnie o to zapytała…

Umowa z dostawcą usług cloud computing daje poczucie spełnienia prawnikom. „Od strony praktycznej pozostaje jedynie silne szyfrowanie. Jeśli przechowujemy jawnie dokumenty, nie ma żadnej gwarancji, że ktoś ich nie czyta, nawet niechcący” – komentuje Andrzej Sobczak, IT Professional Project Manager & Information Security Consultant ISO27001.

Dokumenty objęte tajemnicą adwokacką/radcowską powinny być przechowywane, co do zasady na serwerze znajdującym się w siedzibie kancelarii. Życie przynosi jednak w tym zakresie wyzwania. Jak np. przechowywać zasoby związane z projektami realizowanymi w ramach konsorcjum przez dwie kancalarie, aby obie miały komfort dostępu do wspólnych zasobów?” – zastanawia się Maciej Potoczny, IP/IT lawyer, partner w kancelarii Porwisz i Partnerzy – Adwokaci i Radcowie Prawni.

„Moim zdaniem prawnicy, których obowiązują określone przepisami prawa zasady przestrzegania tajemnicy zawodowej, czyli adwokaci i radcy prawni, nie powinni przechowywać danych w chmurze. Jest tak z powodu gwarancji dotyczących przeszukania w siedzibie kancelarii. Dane przechowywane w chmurze nie są tymi gwarancjami objęte. Silne szyfrowanie tego aspektu formalnego nie załatwia, a to, co zaszyfrowano można odszyfrować. Przechowywanie danych w chmurze oznacza na dziś pozbawienie ich gwarancji służących zapewnieniu poszanowania zasad dotyczących tajemnicy adwokackiej i radcowskiej przez policję i prokuraturę” – dodaje.

Moim zdaniem nie ma specjalnych gwarancji dotyczących przeszukania w siedzibie kancelarii poza zapisami w kodeksach etycznych, które nie wiążą służb. Obszerne opracowanie tej kwestii przygotowali radcy prawni. Dlatego też ja nie widzę przeszkod, aby korzystać z chmury – pod warunkiem stosowania zabezpieczen. Nawiasem mowiąc – Blackberry (i pewnie inne podobne sysemy) to także chmura – wszystkie maile przechodzą przez serwery RIM. Czy przeszkadza to prawnikom w korzystaniu w praktyce z tego rozwiązania?” – Tomasz Zalewski, IP, E-business & Public Procurement, partner w kancelarii Wierzbowski Eversheds.

„W powołanym materiale, znajdującym się na stronie OIRP w Krakowie, jest powołana podstawa prawna, która wiąże każdego, kto przeprowadza przeszukanie. Jest to art. 224 par. 2 k.p.k. Na jego podstawie radca prawny obowiązany jest żądać, zgodnie z art. 18 KERP udziału przedstawiciela samorządu w przeszukaniu” – odpowiada Maciej Potoczny.

Natomiast każdy dostęp do danych (także poprzez ich odszyfrowanie) wymaga jakiejś formy dostępu do nośnika, na którym je utrwalono. Tylko w przypadku nośników przechowywanych w siedzibie kancelarii lub przy sobie (w domu), radca prawny ma kontrolę nad legalnym dostępem do tych nośników i może udostępniać je zgodnie z obowiązującymi go zasadami.

Co do poczty, to KERP przewiduje wykorzystywanie środków przekazu, które nie gwarantują zachowania poufności w przekazaniu informacji objętych tajemnicą zawodową, o ile klient został o tym powiadomiony” – dodaje.

Co do poczty wiele zależy od tego czy jest używana do przesyłania dokumentów jako załączników czy tylko do informowania o ich pojawieniu się w bezpiecznym repozytorium, jako osobnej aplikacji do zarządzania dokumentami. W kwestii przeszukania: istotne jest czy mowa o przeszukaniu fizycznym – nośnik z danymi – czy udostępnieniu ‚wszystkich posiadanych dokumentów’. To drugie nie implikuje wymogu fizycznego przechowywania w kancelarii. Zaś dostęp do fizycznego nośnika nie implikuje dostępności do treści dokumentów. To nie jest proste” – mówi Jaroslaw Zelinski, business and systems modeling, analysis, design expert.

Więcej w dyskusji na Grupie na LinkedIn – IT Professionals in Poland.

The following two tabs change content below.
Adam Jadczak

Adam Jadczak

O IT w biznesie pisze od 23 lat. Specjalizuje się w zagadnieniach związanych z rynkiem IT oraz informatyką w zastosowaniach biznesowych. Od września 2013 roku redaktor naczelny serwisu ITwiz.pl, od kwietnia 2014 roku redaktor naczelny magazynu ITwiz. Pomysłodawca raportu ITwiz Best 100 „Dwa oblicza IT”, wydanego w czerwcu 2015 roku.

Podobne tematy:

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

« »