square mask on article list

Chmura a cyberbezpieczeństwo – co powinno znaleźć się w Twojej umowie z dostawcą?

Wdrażając rozwiązania oparte na chmurze obliczeniowej, firmy koncentrują się na wydajności, skalowalności i dostępności usług. Tymczasem w mojej praktyce prawnika IT to właśnie umowa z dostawcą chmury najczęściej przesądza o tym, czy organizacja zachowa realną kontrolę nad danymi i spełni wymogi dotyczące bezpieczeństwa i ochrony danych w komputerach i sieciach komputerowych.

Chmura to nie tylko technologia – to przede wszystkim relacja prawna między klientem a usługodawcą, która musi zostać precyzyjnie opisana w umowie. Niezależnie od tego, czy korzystasz z modelu SaaS, PaaS czy IaaS, każda z tych opcji przenosi część odpowiedzialności na dostawcę. Dlatego postanowienia umowne powinny zabezpieczać nie tylko dostępność usługi, ale również zgodność z regulacjami RODO, dyrektywą NIS2 i – w przypadku instytucji finansowych – rozporządzeniem DORA.

Spis treści
1. Odpowiedzialność za bezpieczeństwo danych w modelu cloud computing
2. Jakie elementy powinna zawierać bezpieczna umowa o świadczenie usług chmurowych?
3. Zakres usług i poziomy SLA – co warto doprecyzować?
4. Obowiązki dostawcy w zakresie ochrony danych osobowych
5. Klauzule dotyczące zgodności z RODO i NIS2 – czego wymagać od dostawcy?
6. Lokalizacja danych i transfery poza EOG – jak zabezpieczyć interesy firmy?
7. Audyty, certyfikaty i prawo do kontroli – jak wzmocnić bezpieczeństwo?
8. Jakie certyfikaty powinien mieć Twój dostawca chmurowy?
9. Czego unikać w umowach chmurowych? Najczęstsze błędy firm

Odpowiedzialność za bezpieczeństwo danych w modelu cloud computing

Model chmurowy opiera się na podziale odpowiedzialności. Dostawca zapewnia infrastrukturę, ale to klient ponosi odpowiedzialność za zgodność operacji z przepisami prawa i konfigurację środowiska. To złożony układ, który w przypadku incydentu może prowadzić do sporu, kto i w jakim zakresie odpowiada za naruszenie.

Z punktu widzenia prawa kluczowe jest, aby umowa precyzowała granice odpowiedzialności oraz sposób rozliczania incydentów bezpieczeństwa. W praktyce oznacza to konieczność ustalenia, kto odpowiada za:

  • konfigurację i aktualizacje systemów,
  • szyfrowanie danych w spoczynku i w transmisji,
  • kontrolę dostępu i logowanie zdarzeń,
  • reakcję na incydenty i ich zgłaszanie do UODO.

W dobrze skonstruowanej umowie te aspekty muszą być jasno określone, by ograniczyć ryzyka regulacyjne oraz operacyjne.

Jakie elementy powinna zawierać bezpieczna umowa o świadczenie usług chmurowych?

Z punktu widzenia cyberbezpieczeństwa, umowa z dostawcą chmury powinna być szczegółowa, przejrzysta i dostosowana do realnych potrzeb firmy. Niedopuszczalne jest podpisywanie wzorców umownych bez negocjowania kluczowych postanowień, co – niestety – nadal często obserwuję w praktyce.

Zakres usług i poziomy SLA – co warto doprecyzować?

Umowa powinna zawierać dokładny opis zakresu usług, wskazując nie tylko, jakie funkcjonalności oferuje dostawca, ale także jakie są gwarantowane poziomy dostępności (SLA). Warto zadbać o zdefiniowanie pojęć takich jak:

  • dostępność usługi (np. 99,9% uptime),
  • czas reakcji i czas przywrócenia usługi,
  • kary umowne za niedotrzymanie SLA.

To nie są kwestie techniczne, ale kluczowe gwarancje prawne, które w razie awarii lub ataku mogą przesądzić o możliwości dochodzenia roszczeń.

Obowiązki dostawcy w zakresie ochrony danych osobowych

Jeśli w ramach usługi chmurowej dochodzi do przetwarzania danych osobowych – a zazwyczaj tak właśnie jest – niezbędne jest zawarcie umowy powierzenia przetwarzania danych (zgodnie z art. 28 RODO). W ramach tej umowy należy wymagać, by dostawca:

  • przetwarzał dane wyłącznie na udokumentowane polecenie klienta,
  • zapewniał środki bezpieczeństwa zgodne z art. 32 RODO,
  • współpracował w realizacji praw osób, których dane dotyczą,
  • umożliwiał audyty i inspekcje.

Umowa główna powinna także zawierać zapisy dotyczące odpowiedzialności za incydenty i obowiązku ich zgłaszania.

Klauzule dotyczące zgodności z RODO i NIS2 – czego wymagać od dostawcy?

W kontekście coraz ostrzejszych regulacji europejskich, takich jak dyrektywa NIS2 (w zakresie usług istotnych i ważnych) czy rozporządzenie DORA (dla podmiotów finansowych), należy uwzględnić w umowie z dostawcą chmury wymóg zgodności z przepisami sektorowymi.

Moim zdaniem nie wystarczy ogólne zapewnienie o „zgodności z RODO”. Istotne jest wprowadzenie konkretnych obowiązków, takich jak:

  • współpraca przy ocenie skutków dla ochrony danych (DPIA),
  • obowiązek raportowania incydentów w czasie rzeczywistym,
  • deklaracja zgodności z NIS2, w tym dotycząca łańcucha dostaw,
  • przechowywanie danych wyłącznie w lokalizacjach zatwierdzonych przez klienta.

Lokalizacja danych i transfery poza EOG – jak zabezpieczyć interesy firmy?

Lokalizacja danych to często niedoceniany, a kluczowy element bezpieczeństwa w chmurze. Transfer danych poza Europejski Obszar Gospodarczy wymaga spełnienia określonych warunków prawnych. W praktyce oznacza to konieczność wdrożenia mechanizmów takich jak:

  • standardowe klauzule umowne (SCC),
  • dodatkowe środki techniczne (np. szyfrowanie end-to-end),
  • dokumentacja oceny ryzyka transferu (TIA – Transfer Impact Assessment).

Umowa z dostawcą powinna precyzować, gdzie będą fizycznie przetwarzane i przechowywane dane, czy mogą być przekazywane do podwykonawców spoza EOG i na jakich warunkach.

Audyty, certyfikaty i prawo do kontroli – jak wzmocnić bezpieczeństwo?

Zgodnie z zasadami cyberbezpieczeństwa, jednym z fundamentów zaufania w relacji z dostawcą chmurowym jest możliwość weryfikacji – nie tylko deklaratywna, ale także praktyczna.

Jakie certyfikaty powinien mieć Twój dostawca chmurowy?

Rekomenduję, by dostawca posiadał jeden z uznanych certyfikatów branżowych, np. ISO 27001 – zarządzanie bezpieczeństwem informacji.

Dodatkowo warto zadbać, aby klient miał zagwarantowane prawo do przeprowadzenia audytu, a także dostęp do raportów z audytów zewnętrznych. W umowie należy również określić częstotliwość aktualizacji dokumentacji bezpieczeństwa i mechanizmów kontroli.

Czego unikać w umowach chmurowych? Najczęstsze błędy firm

Z mojego doświadczenia wynika, że wiele firm, szczególnie tych średnich i rosnących, popełnia kilka powtarzających się błędów przy zawieraniu umów chmurowych. Warto być ich świadomym, by nie osłabić bezpieczeństwa swojej infrastruktury:

  • akceptowanie ogólnych warunków bez negocjacji,
  • brak zapisów o lokalizacji danych,
  • niedookreślony zakres odpowiedzialności dostawcy,
  • brak procedur postępowania w przypadku incydentu,
  • nieaktualna lub ogólnikowa umowa powierzenia danych osobowych.

Tego typu zaniedbania mogą skutkować nie tylko problemami operacyjnymi, ale również poważnymi konsekwencjami prawnymi, zwłaszcza jeśli dojdzie do incydentu naruszającego bezpieczeństwo i ochronę danych w komputerach i sieciach komputerowych.

Podsumowując, bezpieczeństwo w chmurze to nie tylko sprawa technologii, ale przede wszystkim efekt odpowiednio skonstruowanej i świadomie negocjowanej umowy. Jeżeli zależy Ci na trwałym zabezpieczeniu danych, zgodności z przepisami i przewidywalności usług – poświęć czas na analizę zapisów umownych. Zasady cyberbezpieczeństwa zaczynają się nie w serwerowni, lecz przy stole negocjacyjnym.

Zobacz inne artykuły

button aquamarine icon image Zobacz wszystkie
button aquamarine icon image Zobacz wszystkie

Zapisz się na newsletter




    Podając adres e-mail wyrażasz zgodę na otrzymywanie newslettera. Administratorem danych osobowych jest
    Łochowski.Legal, ul. Skawińska 15/6, 31-066 Kraków. W każdej chwili możesz zrezygnować z otrzymywania
    newslettera. Wycofanie zgody nie wpływa na ważność przetwarzania, które miało miejsce do tej chwili. Więcej informacji znajdziesz w Polityka prywatności.

    square mask on contact form