Chmura obliczeniowa określana jest nieraz mianem superbohatera pandemii COVID-19. Bez tego rodzaju usług nie byłoby możliwe kontynuowanie działalności gospodarczej, załatwianie spraw administracyjnych czy korzystanie przez konsumentów z cyfrowej rozrywki.

Znaczenie dostępu do rozwiązań chmurowych zostało dostrzeżone przez polskiego ustawodawcę i regulatorów, którzy na czas pandemii COVID-19 wprowadzili szereg szczególnych rozwiązań prawnych. Zawarte są one w tzw. specustawie o COVID-19 z dnia 2 marca 2020 r. (Dz. U. z 2020 r., poz. 374), znowelizowanej następnie w dniu 31 marca 2020 r. (Dz. U. z 2020 r., poz. 568), a także w rekomendacjach organów regulacyjnych. Podstawowym celem przyjęcia tych aktów prawnych było ułatwienie dostępu do usług chmury obliczeniowej; odnoszą się one również do szczególnych ryzyk związanych ze zdalnym korzystaniem z danych i aplikacji IT.

Praca zdalna w chmurze obliczeniowej

Zgodnie z art. 3 specustawy o COVID-19 „W celu przeciwdziałania COVID-19 pracodawca pracodawca może polecić pracownikowi wykonywanie, przez czas oznaczony, pracy określonej w umowie o pracę, poza miejscem jej stałego wykonywania (praca zdalna)”. O takiej organizacji pracy decyduje pracodawca, bez konieczności uzgadniania tej kwestii z pracownikami ani zbiorowo (porozumienie z przedstawicielami pracowników), ani indywidualnie (porozumienie z każdym pracownikiem). Mimo że z formalnego punktu widzenia praca zdalna, w odróżnieniu od telepracy w rozumieniu art. 675 Kodeksu pracy, nie wymaga przekazywania jej wyników za pomocą środków komunikacji elektronicznej, to jednak powszechnie wykonywana jest w środowisku chmury obliczeniowej (np. aplikacje do przetwarzania w chmurze dokumentów czy do komunikacji bezpośredniej).

Z pracą zdalną związane są dodatkowe ryzyka dla pracodawcy. Przykładowo: pracownicy dysponujący zdalnym dostępem do infrastruktury pracodawcy nie podlegają środkom bezpieczeństwa fizycznego, które mogą obowiązywać w lokalu pracodawcy. Zagrożenia te dostrzegł Minister Cyfryzacji, który w komunikacie z dnia 13 marca 2020 r. zawarł szereg rekomendacji dotyczących zasad wykonywania zdalnej pracy (https://www.gov.pl/web/cyfryzacja/razem-ale-osobno–to-powinniscie-wiedziec-o-pracy-zdalnej). Zalecono w nich między innymi nieużywanie prywatnych skrzynek pocztowych czy grup na portalach społecznościowych do komunikacji firmowej oraz zadbanie o bezpieczeństwo urządzeń w sieci domowej poprzez stosowanie silnego hasła do sieci wi-fi oraz aktualizacji oprogramowania.

Z kolei Urząd Ochrony Danych Osobowych (UODO) w komunikacie z dnia 17 marca 2020 r. wskazał na kilka zasad ochrony danych osobowych poza miejscem pracy (https://uodo.gov.pl/pl/138/1459). Jeśli chodzi o korzystanie z chmury obliczeniowej, podkreślono między innymi potrzebę korzystania z zaufanych dostawców oraz przestrzegania wszelkich zasad i procedur organizacyjnych dotyczących logowania i udostępniania danych. W kontekście bezpieczeństwa danych osobowych warto również zapoznać się z poradnikiem „Dane osobowe bezpieczne podczas zdalnego nauczania”, przygotowanym przez Urząd Ochrony Danych Osobowych we współpracy z MEN.

Z pracą zdalną związane są szczególne problemy prawne przetwarzania danych osobowych dotyczące takich sytuacji jak: praca na własnym sprzęcie (ang. Bring Your Own Device – BYOD), zarządzanie urządzeniami mobilnymi (np. konfigurowanie aplikacji, usuwanie danych na żądanie) czy monitorowanie wykonywania obowiązków pracowniczych w trakcie pracy zdalnej. W tym ostatnim przypadku trzeba między innymi pamiętać o obowiązku informowania pracownika o wykorzystaniu i celach technologii monitorowania oraz zadbaniu, aby odbywało się ono zgodnie z zasadą proporcjonalności i minimalizacji danych. Oznacza to, że przetwarzanie danych w tym kontekście musi być proporcjonalne do ryzyka, jakie ponosi pracodawca, oraz że należy w miarę możliwości ograniczać do minimum informacje rejestrowane w ramach ciągłego monitorowania. Wytyczne w tym zakresie określono w opinii nr 2/2017 Grupy Roboczej Art. 29 na temat przetwarzania danych osobowych w miejscu pracy.

Wyłączenia z Prawa zamówień publicznych

Istotne wyłączenie stosowania Prawa zamówień publicznych zawarto w art. 6 ust. 1 specustawy o COVID-19. Zgodnie z nim „do zamówień na usługi lub dostawy niezbędne do przeciwdziałania COVID-19 nie stosuje się przepisów ustawy z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych (Dz. U. z 2019 r., poz. 1843), jeżeli zachodzi wysokie prawdopodobieństwo szybkiego i niekontrolowanego rozprzestrzeniania się choroby lub jeżeli wymaga tego ochrona zdrowia publicznego”. W komunikacie Prezesa Urzędu Zamówień Publicznych z dnia 24 marca 2020 r. wyjaśniono, że wyłączenie to może znaleźć zastosowanie również do zamówień publicznych, których przedmiotem są dostawy sprzętu IT czy też usługi z zakresu IT. Będzie tak np. w przypadku kupna usług chmury obliczeniowej w celu wykonywania pracy zdalnej. Zamawiający może bowiem argumentować, że zakup ten jest niezbędny do przeciwdziałania COVID-19 (np. zamknięciu miejsca pracy) lub że zachodzi wysokie prawdopodobieństwo szybkiego i niekontrolowanego rozprzestrzeniania się choroby wśród pracowników. W pewnych przypadkach zastosowanie mieć będzie również przesłanka ochrony zdrowia publicznego (np. przy zakupie usług chmurowych na potrzeby monitorowania wykonywania obowiązków dotyczących kwarantanny domowej).

Ułatwienia w korzystaniu z chmury obliczeniowej przez administrację publiczną

Niezależnie od zmian w Prawie zamówień publicznych podejmowane są też inne inicjatywy, które mają ułatwiać podmiotom publicznym korzystanie z usług chmury obliczeniowej. Na II kwartał 2020 r. zaplanowano nowelizację uchwały nr 97 Rady Ministrów z dnia 11 września 2019 r. w sprawie Inicjatywy „Wspólna Infrastruktura Informatyczna Państwa” („uchwała WIIP”). Uchwała ta dotyczy usług przetwarzania w Rządowej Chmurze Obliczeniowej lub publicznych chmurach obliczeniowych przez podmioty publiczne wymienione w jej § 6 ust. 1.

Planowana zmiana ma na celu ułatwienie przejścia na usługi chmurowe tym podmiotom, których zamiar skorzystania z usług przetwarzania w chmurze wynika z przeciwdziałania COVID-19. Przewidywane ułatwienia dotyczą w szczególności wymogów zawartych w § 6 ust. 2 i § 8 uchwały WIIP. Po pierwsze, planuje się tymczasowe wyłączenie stosowania załącznika nr 2 do uchwały WIIP, zawierającego wyliczenie kategorii systemów teleinformatycznych, które mogą korzystać z usług przetwarzania w Rządowej Chmurze Obliczeniowej lub w publicznych chmurach obliczeniowych. Oznacza to zwolnienie z wymogu spełnienia kryteriów klasyfikacji systemów teleinformatycznych (np. wymogu spełnienia jurysdykcji krajowej), jeżeli zamiar skorzystania z usług przetwarzania w publicznych chmurach obliczeniowych wynika z przeciwdziałania COVID-19. Po drugie, planuje się tymczasowe skrócenie terminu na wydanie przez właściwy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego opinii w zakresie możliwości wykorzystania publicznych chmur obliczeniowych. W obecnym stanie prawnym konieczne jest dochowanie 30-dniowego terminu (§ 8 uchwały WIIP).

Liberalizacja obowiązków dla sektora finansowego

W komunikacie Urzędu Komisji Nadzoru Finansowego (UKNF) z 23 stycznia 2020 r. dotyczącym przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej wprowadzono obowiązki w zakresie dostosowania się do zawartych w nim wymogów oraz uprzedniego informowania UKNF o zamiarze korzystania z usług chmury obliczeniowej. Obowiązki te dotyczą między innymi banków, zakładów ubezpieczeń, funduszy inwestycyjnych oraz funduszy emerytalnych.

Z dniem 25 marca 2020 r. UKNF wprowadził dwie istotne zmiany w zakresie stosowania komunikatu. Po pierwsze, dla podmiotów nadzorowanych, które już korzystają z usług chmury obliczeniowej, przesunięciu uległ termin dostosowania się do wymagań komunikatu – z 1 sierpnia 2020 r. na 1 listopada 2020 r. Po drugie, dla podmiotów nadzorowanych, które dopiero zamierzają korzystać z usług chmury obliczeniowej, obowiązek informowania UKNF o zamiarze korzystania z usługi z 14-dniowym wyprzedzeniem został zastąpiony obowiązkiem informowania UKNF o fakcie korzystania z usługi nie później niż 30 dni po rozpoczęciu korzystania z niej.

Obydwie zmiany należy ocenić pozytywnie. Przesunięcie terminu poinformowania UKNF o korzystaniu z chmury obliczeniowej może być istotnym ułatwieniem, szczególnie w czasie, gdy od pracodawców wymaga się umożliwienia pracy zdalnej, a podmioty nadzorowane zmuszone są do jak najszerszego umożliwienia klientom zdalnego załatwiania spraw. Dzięki wprowadzonym zmianom zgłoszenia będzie można dokonać już po produkcyjnym wdrożeniu usług chmury obliczeniowej.