Według danych GUS i Eurostatu, w 2023 roku blisko 56% polskich firm korzystało z usług chmurowych1,2. Ze względu na swoje liczne zalety chmura obliczeniowa staje się coraz popularniejszym rozwiązaniem wśród przedsiębiorców. Korzystają z niej zarówno małe, jak i największe firmy o globalnym zasięgu. Przed migracją zasobów do chmury, należy jednak pamiętać o aspektach prawnych towarzyszących temu procesowi. Jak wygląda to obecnie i na co należy zwrócić uwagę?
Dlaczego chmura jest taka atrakcyjna
Chmura obliczeniowa to model przetwarzania danych, w którym zasoby informatyczne, takie jak serwery, bazy danych, platformy aplikacyjne, są udostępniane przez dostawcę zdalnie za pośrednictwem internetu. To rozwiązanie pozwala firmom znacząco zmniejszyć koszty związane z zakupem i utrzymaniem infrastruktury oraz zatrudnieniem personelu IT. Koszty te są redukowane, ponieważ firmy płacą tylko za faktycznie wykorzystane zasoby.
Jedną z największych zalet chmury jest opcja jej skalowania. Przedsiębiorstwa mogą dostosowywać zasoby do aktualnych potrzeb, co pozwala na szybkie zwiększenie mocy obliczeniowej lub przestrzeni dyskowej bez konieczności inwestowania w dodatkowe urządzenia. Ponadto chmura zmniejsza ryzyko utraty dostępu do zasobów. Jako niezależne środowisko pozwala przy odpowiedniej konfiguracji nie tylko na dostęp do danych z biura, ale także z dowolnego miejsca na świecie. To rozwiązanie zwiększa szanse mniejszych firm na rynku – dzięki niemu mogą korzystać z zaawansowanych technologii i narzędzi dostępnych wcześniej tylko dla dużych korporacji. Wprowadzenie infrastruktury chmurowej pozwala na ograniczenie lokalnych zasobów i zmniejszenie kosztów energii związanych z codziennym korzystaniem z infrastruktury biurowej
Efektywność usługi zależy od doboru odpowiedniego dostawcy tych rozwiązań. Jest to kluczowa decyzja, która rzutuje na funkcjonowanie narzędzia, dlatego warto sprawdzić, czy dostawca posiada odpowiednie doświadczenie, kwalifikacje, zasoby oraz infrastrukturę spełniającą wymogi formalne oraz odpowiada na potrzeby firmy. Ważne jest także ustalenie Service Level Agreement (SLA), czyli gwarancji poziomu świadczenia usług.
Aspekty prawne
Migracja do chmury wiąże się z koniecznością zapoznania się z wieloma pomniejszymi wytycznymi prawnymi, ponieważ obecnie nie ma żadnego głównego, nadrzędnego dokumentu, który byłby adekwatny dla wszystkich przedsiębiorstw.
To, co zyskało w ostatnich latach na ważności, czyli ochrona danych osobowych (RODO), ma odzwierciedlenie także w obszarze chmury. Przenosząc do niej zasoby, należy pamiętać, że administrator danych wciąż ponosi za nie odpowiedzialność. Aby zapewnić maksimum zgodności z RODO, warto wybrać dostawcę, który gwarantuje miejsce przechowywania danych na terenie Europejskiego Obszaru Gospodarczego (EOG). Kolejnym krokiem jest upewnienie się że, nie narusza się praw dotyczących własności intelektualnej. Opisują to artykuły 44-50 rozporządzenia.
Firmy muszą również chronić swoje tajemnice handlowe oraz informacje poufne klientów. Zgodnie z art. 32 RODO, konieczne jest zatem zapewnienie odpowiednich zabezpieczeń w chmurze, aby chronić te dane przed nieuprawnionym dostępem. Wprawdzie domyślnie dostawcy chmurowi pozwalają na korzystanie ze swoich usług przez internet, ale nie jest to jedyna metoda dostępu. Dzięki dedykowanym połączeniom istnieje możliwość pełnej separacji sieci usług chmurowych od publicznego internetu.
Istotnym dokumentem jest też Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Przeniesienie danych do chmury wiąże się ze zwiększonym ryzykiem ataków cybernetycznych, dlatego firmy, tak jak dostawcy usług, muszą wdrożyć własne procedury i zabezpieczenia. Należy zadbać także o wyszkolenie pracowników.
Kontrola prawidłowego wdrożenia chmury
Firmy mogą być kontrolowane pod kątem prawidłowego wdrożenia chmury. W zależności od branży mogą obowiązywać różne regulacje i wytyczne.
- Najczęstszą formą kontroli są audyty bezpieczeństwa - zarówno te wewnętrzne, jak i zewnętrzne wymagane przez regulatorów (czyli przez instytucje kontrolne kraju czy Europejskiego Obszaru Gospodarczego) posiadają dziesiątki, a czasem i setki punktów kontrolnych (ang. controls), które są weryfikowane. Wypełnienie wszystkich punktów kontrolnych nie jest łatwe, dlatego z pomocą przychodzą standardy przemysłowe, takie jak PCI DSS czy CIS. Dostawcy usług chmurowych także rozumieją regulacyjne potrzeby i tworzą narzędzia ułatwiające dostosowanie do standardów przemysłowych, a dzięki nim do regulacji i wymagań prawnych. Odpowiednie zrozumienie regulacji i wykorzystanie dostępnych narzędzi, daje dobrze zaadoptowaną usługę chmurową, która dzięki swojej elastyczności zapewnia zarówno krótko- jak i długoterminowe korzyści - komentuje Sebastian Nieszwiec, Delivery Architect w Capgemini Polska.
Chmura według potrzeb
Migracja do chmury przynosi szereg korzyści, ale także wymaga uwzględnienia licznych aspektów prawnych. Wybór odpowiedniego dostawcy, ustalenie SLA, ochrona danych osobowych, własności intelektualnej, cyberbezpieczeństwo oraz zgodność z różnymi regulacjami – te kwestie mogą wydawać się skomplikowane. Jednak korzyści płynące z elastyczności usług chmurowych przewyższają w długim terminie początkowe koszty związane z analizą prawną i bezpieczeństwa. Od tego zależy również konkurencyjność, więc decyzja o skorzystaniu z opisanych rozwiązań nie jest odpowiedzią na pytanie „czy warto?”, a raczej „kiedy i na jakich zasadach?”.
1 https://ec.europa.eu/eurostat/statistics-explained/index.php?title=Cloud_computing_-_statistics_on_the_use_by_enterprises
2 https://stat.gov.pl/obszary-tematyczne/nauka-i-technika-spoleczenstwo-informacyjne/spoleczenstwo-informacyjne/spoleczenstwo-informacyjne-w-polsce-w-2023-roku,2,13.html