FAQ – chmura obliczeniowa
Poniżej prezentujemy najpopularniejsze pytania oraz odpowiedzi naszych Ekspertów. Zanim prześlecie Państwo pytanie, zachęcamy do sprawdzenia, czy nie mamy już na nie właściwej odpowiedzi.
1.Czy można zmusić pracownika do pracy zdalnej w chmurze w trakcie COVID-19?
Chmura obliczeniowa określana jest nieraz jako „superbohater” pandemii COVID-19. Bez tych usług nie byłoby możliwe kontynuowanie działalności gospodarczej, załatwianie spraw administracyjnych, czy korzystanie z cyfrowej rozrywki przez konsumentów.
Znaczenie dostępu do rozwiązań chmurowych zostało dostrzeżone przez polskiego ustawodawcę i regulatorów, którzy na czas pandemii COVID-19 wprowadzili szereg szczególnych rozwiązań prawnych. Zawarte są one w tzw. specustawie o COVID-19 z dnia 2 marca 2020 r. (Dz.U. z 2020 r. poz. 374), znowelizowanej następnie w dniu 31 marca 2020 r. (Dz.U. z 2020 r. poz. 568), a także rekomendacjach organów regulacyjnych. Podstawowym celem przyjęcia tych aktów prawnych było ułatwienie dostępu do usług chmury obliczeniowej, odnoszą się one również do szczególnych ryzyk związanych ze zdalnym korzystaniem
z danych i aplikacji IT. Zgodnie z art. 3 specustawy o COVID - „W celu przeciwdziałania COVID-19 pracodawca może polecić pracownikowi wykonywanie, przez czas oznaczony, pracy określonej w umowie o pracę, poza miejscem jej stałego wykonywania (praca zdalna)”. O takiej organizacji pracy decyduje pracodawca, bez konieczności uzgadniania tego
z pracownikami ani zbiorowo (porozumienie z przedstawicielami pracowników), ani indywidualnie (porozumienie z każdym pracownikiem). Mimo, że z formalnego punktu widzenia praca zdalna, inaczej niż telepraca w rozumieniu art. 675 kodeksu pracy, nie wymaga przekazywania jej wyników za pomocą środków komunikacji elektronicznej, to jednak powszechnie wykonywana jest ona w środowisku chmury obliczeniowej (np. aplikacje do przetwarzania w chmurze dokumentów, czy komunikacji bezpośredniej).
adw. Xawery Konarski – Wiceprezes PIIT
2. Jakie ryzyka związane są z pracą zdalną w chmurze obliczeniowej?
Przykładowo, pracownicy dysponujący zdalnym dostępem do infrastruktury pracodawcy nie podlegają środkom bezpieczeństwa fizycznego, które mogą obowiązywać w lokalu pracodawcy. Zagrożenia te dostrzegł Minister Cyfryzacji, który w komunikacie z dnia 13 marca 2020 r. zawarł szereg rekomendacji dotyczących zasad wykonywania zdalnej pracy (https://www.gov.pl/web/cyfryzacja/razem-ale-osobno--to-powinniscie-wiedziec-o-pracy-zdalnej). Zalecane jest między innymi podjęcie takich działań jak nieużywanie prywatnych skrzynek pocztowych czy grup na portalach społecznościowych do komunikacji firmowej oraz zadbanie o bezpieczeństwo urządzeń w sieci domowej poprzez używanie „silnego” hasła do sieci WiFi oraz aktualizacji oprogramowania.
Z kolei, w komunikacie z dnia 17 marca 2020 r. Urząd Ochrony Danych Osobowych (UODO) wskazał na kilka zasad ochrony danych osobowych poza miejscem pracy (https://uodo.gov.pl/pl/138/1459). W kontekście korzystania z chmury obliczeniowej podkreślono między innymi potrzebę korzystania z zaufanych dostawców oraz przestrzegania wszelkich zasad i procedur organizacyjnych dotyczących logowania i udostępniania danych. W kontekście bezpieczeństwa danych osobowych warto również zapoznać się z poradnikiem Urzędu Ochrony Danych Osobowych, opracowanym przy współpracy z MEN, („Dane osobowe bezpieczne podczas zdalnego nauczania”).
Z pracą zdalną związane są szczególne problemy prawne przetwarzania danych osobowych, dotyczące takich sytuacji jak: praca na własnym sprzęcie (Bring Your Own Device, BYOD), zarządzanie urządzeniami mobilnymi (np. konfigurowanie aplikacji, usuwanie danych na żądanie), czy monitorowanie wykonywania obowiązków pracowniczych w trakcie pracy zdalnej. W tym ostatnim przypadku trzeba między innymi pamiętać o obowiązku informowania pracownika o wykorzystaniu i celach technologii monitorowania, a także zadbaniu aby odbywało się ono zgodnie z zasadą proporcjonalności i minimalizacji danych. Oznacza to, że przetwarzanie danych w tym kontekście musi być proporcjonalne do ryzyka, jakie ponosi pracodawca, a także, że należy w miarę możliwości ograniczać do minimum informacje rejestrowane w ramach ciągłego monitorowania. Wytyczne w tym zakresie określono w Opinii nr 2/2017 Grupy Roboczej art.29 na temat przetwarzania danych osobowych w miejscu pracy.
adw. Xawery Konarski – Wiceprezes PIIT
3. Jakie inicjatywy podejmuje administracja publiczna celem ułatwienia korzystania z chmury obliczeniowej?
W II kwartale 2020 r. planowana jest w zmiana uchwały nr 97 Rady Ministrów z dnia 11 września 2019 r. w sprawie Inicjatywy „Wspólna Infrastruktura Informatyczna Państwa” (WIIP). Uchwała ta odnosi się do usług przetwarzania w Rządowej Chmurze Obliczeniowej lub publicznych chmurach obliczeniowych przez podmioty publiczne wymienione w jej § 6 ust.1.
Planowana zmiana ma na celu ułatwienie przejścia na usługi chmurowe przez te podmioty, których zamiar skorzystania z usług przetwarzania w chmurach wynika z przeciwdziałania COVID-19. Przewidywane ułatwienia dotyczą w szczególności wymogów zawartych w § 6 ust.2 i §8 WIIP. Po pierwsze, planowane jest tymczasowe wyłączenie stosowania załącznika nr 2 do uchwały WIIP, w którym wymieniono kategorie systemów teleinformatycznych, które mogą korzystać z usług przetwarzania w Rządowej Chmurze Obliczeniowej lub w publicznych chmurach obliczeniowych. Oznacza to zwolnienie z wymogu spełnienia kryteriów klasyfikacji systemów teleinformatycznych (np. wymogu spełnienia jurysdykcji krajowej), jeżeli zamiar skorzystania z usług przetwarzania w publicznych chmurach obliczeniowych wynika
z przeciwdziałania COVID-19. Po drugie, planowane jest tymczasowe skrócenie terminu na wydanie przez właściwy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego opinii w zakresie możliwości wykorzystania publicznych chmur obliczeniowych. W obecnym stanie prawnym, konieczne jest dochowanie 30-dniowego terminu (§ 8).
adw. Xawery Konarski – Wiceprezes PIIT
Nie znaleźliście Państwo odpowiedzi na nurtujące pytania?
Prosimy o przesyłanie pytań na adres: zapytaj_eksperta@piit.org.pl.