WYMOGI GLOBALNEJ KONKURENCYJNOŚCI PRZEDSIĘBIORSTW

OFICYNA WYDAWNICZA SZKOŁA GŁÓWNA HANDLOWA W WARSZAWIE WARSZAWA 2014

KONKURENCYJNOŚCI PRZEDSIĘBIORSTW

redakcja naukowa

Roman Sobiecki

Jerzy W. Pietrewicz

Recenzent Józef Biskup

Redaktor

Elżbieta Szablewska

© Copyright by Szkoła Główna Handlowa w Warszawie, Warszawa 2014

Wszelkie prawa zastrzeżone. Kopiowanie, przedrukowywanie i rozpowszechnianie całości lub fragmentów niniejszej publikacji bez zgody wydawcy zabronione.

Wydanie I

ISBN 978-83-7378-890-9

Szkoła Główna Handlowa w Warszawie – Oficyna Wydawnicza 02-554 Warszawa, al. Niepodległości 162

tel. 22 564 94 77, 22 564 94 86, fax 22 564 86 86 www.wydawnictwo.sgh.waw.pl

e-mail: wydawnictwo@sgh.waw.pl

Projekt i wykonanie okładki Monika Trypuz

Skład i łamanie Gemma

Druk i oprawa QUICK-DRUK s.c.

tel. 42 639 52 92 e-mail: quick@druk.pdi.pl

Zamówienie 26/III/14

Tomasz Niedziółka

Prawne uwarunkowania wchodzenia 3. polskich przedsiębiorstw na rynki

międzynarodowe (na przykładzie przetwarzania danych osobowych w chmurze ponad granicami)

Wstęp

Wchodzenie polskich przedsiębiorstw na rynki międzynarodowe związane jest z konfrontacją sposobu ich dotychczasowego funkcjonowania, opierającego się na krajowych regulacjach prawnych, z normami, które regulują funkcjonowanie przedsiębiorstw na rynkach innych państw

prowadzenie działalności gospodarczej ponad granicami związane jest z koniecz‑

nością dostosowania się przedsiębiorstw do oczekiwań prawodawców nie jednego, a wielu państw, z których każde w odmienny sposób może chronić konsumentów, dane osobowe czy własność przemysłową

konieczność sprostania tym wyzwaniom może powstrzymywać część przedsię‑

biorstw przed podjęciem decyzji dotyczącej internacjonalizacji swojej działalności, co z kolei może przyczynić się do umocnienia dalece niezadowalającego już dzisiaj poziomu ekspansji polskich przedsiębiorstw na rynki międzynarodowe inne polskie przedsiębiorstwa, chcąc zachować swą konkurencyjność, starają się funkcjonować w gąszczu niejednokrotnie wykluczających się wzajemnie przepisów poszczególnych państw zjawisko to jest szczególnie widoczne w sektorze ict, w którym postęp technologiczny wyprzedza niejednokrotnie istniejące regulacje prawne

W niniejszym rozdziale skoncentrowano się na zagadnieniu przetwarzania danych osobowych w chmurze ponad granicami zagadnienie to stanowi jedno z kluczowych wyzwań stojących przed przedsiębiorstwami wchodzącymi na rynki

42 TomaszNiedziółka

innych państw, będącymi administratorami danych, przetwarzanych w modelu chmury obliczeniowej (cloud computing)¹

Szanse i obawy związane z

3.1. cloud computing

przetwarzanie danych w chmurze wiąże się z wieloma szansami, choć budzi również liczne obawy do katalogu szans płynących z zastosowania tego rodzaju rozwiązania należy zaliczyć:

• dostępność na żądanie,

• redukcję kosztów,

• dostępność niezależnie od miejsca, z którego się z niego korzysta,

• skalowalność,

• mierzalność,

• odpowiedzialność za infrastrukturę po stronie dostawcy usługi²

najważniejsze obawy, artykułowane w związku z przetwarzaniem danych w chmurze, dotyczą natomiast kwestii takich, jak:

• bezpieczeństwo,

• wydajność,

• wzrost kosztów,

• dostępność,

• problem z powrotem do poprzedniego rozwiązania³

jak wynika z przedstawionego wyliczenia, jedną z kluczowych obaw związanych z przetwarzaniem danych w chmurze jest zapewnienie odpowiedniego poziomu bezpieczeństwa tego procesu jest to szczególnie istotne, ponieważ – poza danymi osobowymi – w modelu chmury mogą być przetwarzane takie dane, jak m in : dane

1 definicja cloud computing, opracowana przez national institute of standard and technology, zakłada, że „(…) cloud computing jest modelem umożliwiającym dostęp przez internet do współdzie‑

lonej puli zasobów obliczeniowych (np sieci, serwerów, pamięci masowych, aplikacji i usług), są one konfigurowalne, dostępne »na życzenie«, mogą być szybko alokowane i zwalniane przy minimalnej interakcji użytkownika, czy dostawcy usług”, zob m nowicka, cloud computing – nowy model bizne‑

sowy wykorzystujący outsourcing iT poprzez internet, http://www praktycznateoria pl/cloud ‑computing/

[dostęp: 1 03 2013]

2 a auleytner, j ligner ‑żeromska, b marcinkowski, j zimoch ‑tuchołka, m Wach, m malinowska‑

‑hyla, m skrzypczyk, r surowiec, j j kubalski, Raport o usługach cloud computing w działalności ubez‑

pieczeniowej dla Polskiej izby ubezpieczeń, styczeń 2013, http://www dzp pl/files/publikacje/piu_raport pdf [dostęp: 2 03 2013], s 5–6

3 m nowicka, op cit

ubezpieczonych, tajemnica bankowa, tajemnica lekarska, tajemnica adwokacka, tajemnica handlowa, tajemnica produkcji⁴

optymalizacja bezpieczeństwa wymienionych wyżej danych ma fundamentalne znaczenie dla firm będących administratorami tego rodzaju danych, a także dla osób, których dane te dotyczą

Administrator a przetwarzający dane 3.2.

Warto zwrócić uwagę na fakt, że odpowiedzialności za bezpieczeństwo danych nie można po prostu przekazać dalej odpowiedzialność jest w tej sytuacji dzielona pomiędzy dwie strony kontraktu: administratora oraz przetwarzającego dane firma zlecająca przetwarzanie danych w chmurze (data administrator) musi troszczyć się o to, czy usługodawca (data processor) przestrzega istniejących reguł dotyczących przetwarzania danych⁵

polskie przedsiębiorstwa, tworzące filie i oddziały poza granicami kraju, muszą liczyć się z często zróżnicowanym poziomem ochrony danych osobowych w poszczególnych państwach oraz z odmiennymi przepisami w tym zakresie różnice te widoczne są zarówno w obrębie poszczególnych państw należących do europejskiego obszaru gospodarczego, jak i pomiędzy nimi a państwami trzecimi sytuacja ta dodatkowo komplikuje się przy przetwarzaniu danych w chmurze, kiedy trudno jest określić miejsce aktualnego położenia zbioru danych⁶

miejsca, w których przetwarzający tworzą centra przetwarzania danych, mogą znajdować się w wielu krajach, usytuowanych przy tym na różnych kontynentach zróżnicowanie miejsc przetwarzania danych jest wynikiem oceny dokonywanej przez przetwarzającego, który kieruje się w wyborze tego rodzaju lokalizacji takimi czynnikami, jak:

• dostępność oraz cena elektryczności,

• stopień łagodności lokalnego klimatu,

• różnice czasowe.

na miejsce zlokalizowania danych w chmurze mają również wpływ czynniki o charakterze nieprzewidywalnym, takie jak:

4 u sury, cloud computing und Recht, „zeitschrift informatik ‑spektrum der deutschen gesellschaft für informatik” 2009, nr 2, http://www dieadvokatur ch/fileadmin/user_upload/publikationen/facharti‑

kel/2010/information_und_recht pdf [dostęp: 3 03 2013], s 2

5 ibidem, s 3

6 opinia 8/2010 o prawie właściwym (Wp 179), tekst w wersji polskiej (tłumaczenie nieoficjalne), http://www giodo gov pl/457/id_art/3937/j/pl/ [dostęp: 3 03 2013], s 5

44 TomaszNiedziółka

• zakłócenia w jednym z centrów danych,

• niewystarczająca przepustowość w godzinach szczytu⁷

Wymienione czynniki mogą przyczynić się do zmiany aktualnego położenia danych w obrębie chmury

Wybór prawa właściwego 3.3.

jednym z podstawowych wyzwań stojących przed polskimi przedsiębiorstwami wchodzącymi na rynki innych państw jest zagadnienie wyboru prawa właściwego W przypadku przetwarzania danych osobowych w chmurze kwestia ta określona została w opinii 8/2010 o prawie właściwym⁸ opinia ta wydana została przez grupę roboczą art 29 ds ochrony danych osobowych⁹, która powołana została na mocy dyrektywy 95/46/We parlamentu europejskiego i rady z dnia 24 paź‑

dziernika 1995 r w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych¹⁰ W dokumencie tym można przeczytać, iż podstawowym kryterium przy wyznaczaniu prawa właściwego jest miejsce prowadzenia działalności przez administratora, jak również położenie środków wykorzystywanych przez administratora¹¹

rozpatrując to zagadnienie z punktu widzenia polskiej firmy, posiadającej filię lub oddział w innym państwie członkowskim ue, prawem właściwym dla przetwarzania danych osobowych przez dany oddział będzie prawo tego państwa, w którym jest on zlokalizowany, z tym jednak zastrzeżeniem, że przetwarzanie odbywa się w związku z działalnością prowadzoną przez ten oddział W sytuacji, gdy takich oddziałów jest więcej, wybór prawa właściwego będzie zależał od liczby oraz rodzaju działalności poszczególnych oddziałów zgodnie z przepisami analizo‑

wanego dokumentu administrator danych musi podjąć niezbędne działania w celu zapewnienia, aby każdy z oddziałów wywiązywał się z obowiązków przewidzianych w odpowiednich przepisach prawa krajowego przepisy te obejmują jednak wspo‑

mniane oddziały dopiero wtedy, gdy w sposób efektywny i rzeczywisty prowadzą

7 dokument roboczy w sprawie przetwarzania danych w chmurze obliczeniowej – kwestii ochrony danych i prywatności, „memorandum z sopotu”, 51 spotkanie, 23–24 kwietnia 2012 r , sopot (polska), www giodo gov pl/plik/id_p/2689/j/pl/ [dostęp: 4 03 2013], s 7–8

8 opinia 8/2010 o prawie właściwym (Wp 179), op cit

9 zob http://ec europa eu/justice/data ‑protection/article‑29/index_en htm [dostęp: 7 03 2013]

10 dyrektywa 95/46/We parlamentu europejskiego i rady z dnia 24 października 1995 r w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dz u l 281, 23/11/1995 p 0031‑0050), http://eur‑lex europa eu/lexuriserv/lexuriserv do?u‑

ri=oj:l:1995:281:0031:006:pl:html [dostęp: 9 03 2013]

11 opinia 8/2010 o prawie właściwym (Wp 179), op cit , s 6

one działalność, w kontekście której przetwarzane są dane osobowe, poprzez sto‑

sowanie stabilnych rozwiązań¹² za działalność stabilną należy uznać sytuację, w której ludzkie oraz techniczne zasoby, niezbędne do prowadzenia działalności, muszą być stale dostępne

istotnym elementem określania prawa właściwego jest zagadnienie „kontekstu działalności” zgodnie z nim prawem właściwym jest prawo tego kraju, w któ‑

rym działalność administratora wiąże się z przetwarzaniem danych oto przykład wyjaśniający tę kwestię: administrator, prowadząc działalność w kraju a, zleca przetwarzanie danych podwykonawcy z kraju b, a przetwarzanie to odbywa się dla celów biznesowych oraz na podstawie instrukcji firmy z kraju a W tej sytuacji zastosowanie będzie miało prawo kraju a, jednak przetwarzający z kraju b będzie musiał spełnić jednocześnie obowiązki w zakresie bezpieczeństwa przetwarzania danych kraju b¹³

uzupełniając podane już informacje należy wskazać, iż w sytuacji, w której podmiot przetwarzający dane nie posiada siedziby na terenie żadnego państwa członkowskiego ue, prawem właściwym jest prawo tego kraju, na terenie którego znajdują się środki wykorzystywane do przetwarzania danych¹⁴

polskie przedsiębiorstwa, wchodzące na rynki innych państw, przy określaniu prawa właściwego dla przetwarzania danych osobowych muszą więc brać pod uwagę kwestię kontekstu prowadzonej przez siebie działalności

z punktu widzenia przetwarzania danych osobowych w chmurze ponad gra‑

nicami istotna jest kwestia właściwości sądu oznacza ona zdolność danego sądu krajowego do wydawania wyroków w danej sprawie lub też egzekwowania już wydanych wyroków i nakazów prawo właściwe danego kraju i właściwość danego sądu krajowego nie muszą być tożsame tego rodzaju sytuacje mogą prowadzić do występowania spraw o charakterze transgranicznym, w których wymagana jest współpraca organów ochrony danych z różnych państw¹⁵

podsumowując analizę wyboru prawa właściwego w przypadku przetwarza‑

nia danych osobowych w chmurze, należy stwierdzić, iż dane te są przetwarzane i przechowywane często w wielu miejscach na świecie określenie prawa właściwego zależy od tego, czy administrator dokonuje przetwarzania w kontekście działalności na terytorium ue lub też czy wykorzystywane przez niego środki znajdują się na tym terytorium

12 ibidem, s 7–8

13 opinia 8/2010 o prawie właściwym (Wp 179), op cit , s 9

14 ibidem, s 6

15 ibidem, s 7

46 TomaszNiedziółka

Wgląd do danych w chmurze 3.4.

Warto zwrócić uwagę na zagadnienie możliwości wglądu do danych przetwa‑

rzanych w chmurze dotyczy to przede wszystkim różnego rodzaju służb bezpie‑

czeństwa wewnętrznego, takich jak:

• policja,

• organy ścigania,

• krajowe służby wywiadowcze,

• urzędy skarbowe,

• służby migracyjne.

Wgląd do danych ze strony instytucji państwowych ma dodatkowe znaczenie w sytuacji, gdy dane przetwarzane są w państwie o dyktatorskim systemie władzy Wówczas władze danego kraju mogłyby odkryć informacje będące podstawą do m in prowadzenia prześladowań, inwigilacji, aresztowań czy nawet zasądzenia kary śmierci

pewnym sposobem przeciwdziałania tego rodzaju sytuacjom może stać się szyfrowanie danych oraz stosowanie technicznych środków zaradczych, które uniemożliwiają ocenę danych bez dostępu do cech umożliwiających ich przypo‑

rządkowanie

niemniej część państw stworzyła przepisy prawne dotyczące obowiązku prze‑

kazania, na żądanie władz, cech danych służących do ich odszyfrowania ponadto, przede wszystkim w sektorze bezpieczeństwa, urzędy niemal wszystkich państw posiadają uprawnienia, by omijać środki zaradcze dotyczące bezpieczeństwa danych¹⁶

przykładem tego rodzaju uprawnień jest uchwalony w usa „patriot act”, umoż‑

liwiający władzom wgląd do różnych danych w imię obrony kraju przed zagroże‑

niami oraz walki z terroryzmem¹⁷ dokument ten jest jednak źródłem wielu sytuacji spornych polegają one na tym, iż dostawcy usług w chmurze, mający swą siedzibę w usa, tworzą na terenie unii europejskiej swoje serwerownie w formie spółek córek spółki te, otrzymując z centrali w usa polecenie udostępnienia danych, stają przed wyborem, czy powinny przestrzegać prawa usa i pod karą grzywny udo‑

16 t Weichert, cloud computing und Datenschutz, https://www datenschutzzentrum de/cloud‑

‑computing/20100617‑ cloud ‑computing‑und‑datenschutz html [dostęp: 10 03 2013]

17 zob uniting and Strengthening America by Providing Appropriate Tools Required to intercept and obstruct Terrorism Act of 2001, public law, pub l 107–56

stępnić dane, czy też wybrać ustawodawstwo kraju ue, na terenie którego odbywa się faktyczne przetwarzanie danych, a które zakazuje tego typu praktyk¹⁸

poza możliwością wglądu do danych ze strony władz państwowych prawo poszczególnych państw może umożliwiać wgląd do danych prywatnym osobom trzecim jest to możliwe w sytuacji braku sankcji za łamanie prawa do ochrony danych dlatego też można stwierdzić, że im niższy jest poziom ochrony danych w państwie, w którym faktycznie odbywa się przetwarzanie danych, tym większe jest ryzyko naruszenia praw osób, których dane dotyczą¹⁹

Kontrakt na usługi w chmurze 3.5.

biorąc pod uwagę fakt, iż wiele kwestii związanych z przetwarzaniem danych w chmurze nie zostało jeszcze uregulowanych, należy zwrócić uwagę na istotną rolę umowy cywilno prawnej, zawieranej pomiędzy stronami transakcji, w zakresie optymalizacji bezpieczeństwa przetwarzanych danych²⁰ przygotowanie optymalnej umowy nastręcza jednak wiele trudności, wynikających z niedostatecznej wiedzy poszczególnych administratorów danych na temat rodzaju zapisów, które powinny znaleźć się w tego rodzaju dokumencie

zalecenia w tej mierze zawiera tzw memorandum z sopotu, prezentujące katalog dobrych praktyk stosowanych przy przetwarzaniu danych w chmurze²¹ W dokumencie tym można przeczytać, iż przedmiotem szczególnej troski admi‑

nistratora danych powinno być przede wszystkim:

• wskazanie w umowie wszystkich lokalizacji, w których dane mogą być prze‑

twarzane oraz przechowywane;

• zawarcie w umowie klauzuli, iż ani przetwarzający, ani też ich podwykonawcy, przetwarzający dane, nie będą przekazywali danych do innych lokalizacji niż te, które wymieniono w umowie;

• opracowanie umowy w wersji niezawierającej dwuznaczności umożliwiających przetwarzanie danych w sposób niezgodny z instrukcjami administratora;

• zawarcie w umowie zapisu, iż administrator ma prawo wglądu we wszystkie, istotne jego zdaniem, obszary działalności dostarczyciela usług w chmurze oraz

18 zob W szpringer, innowacyjne modele e‑biznesu. Aspekty instytucjonalne, difin, Warszawa 2012

19 t Weichert, op cit

20 ibidem

21 dokument roboczy w sprawie przetwarzania danych w chmurze obliczeniowej – kwestii ochrony danych i prywatności, op cit

48 TomaszNiedziółka

jego podwykonawców, które według administratora są ważne dla spełnienia warunków umowy;

• zawarcie w umowie zapisu dającego administratorowi danych prawo do powie‑

rzenia kontroli nad przetwarzaniem danych stronie trzeciej, np firmie audy‑

torskiej;

• zawarcie w umowie zapisu obligującego przetwarzającego dane do wdrożenia procedury umożliwiającej szybkie wyegzekwowanie swych praw przez osoby, których dane dotyczą

„memorandum z sopotu” mówi ponadto o praktycznych aspektach optymali‑

zacji bezpieczeństwa danych w chmurze, takich jak np konieczność udostępniania administratorowi dzienników kontroli lokalizacji danych przez przetwarzającego dzienniki te powinny być przy tym rejestrowane w sposób automatyczny, a także powinny pokazywać fizyczne lokalizacje, w których przechowuje się lub też prze‑

twarza dane osobowe, wraz z terminami, w jakich miało to miejsce dokument ten mówi także, iż dane osobowe będące w spoczynku oraz w tranzycie powinny być szyfrowane z zastosowaniem uznanych, standardowych algorytmów oraz kluczy o odpowiedniej długości

Wspomniane już wytyczne „memorandum z sopotu” mogą stać się dla pol‑

skich firm, wchodzących na rynki innych państw, istotnym wsparciem w zakresie zawierania kontraktów maksymalizujących bezpieczeństwo danych osobowych w chmurze

Podsumowanie

przypatrując się kwestii wchodzenia polskich przedsiębiorstw na rynki innych państw przez pryzmat ciążących na nich – jako administratorach danych osobo‑

wych – obowiązków, należy stwierdzić, iż wiedza na temat obowiązków, jakie trzeba spełnić na terenie poszczególnych państw, jest kluczowym elementem determinują‑

cym skuteczną ochronę danych możliwość partycypacji przedsiębiorstw w katalogu korzyści, jakie niesie za sobą cloud computing, uzależniona jest od wypełnienia przez nie szeregu zobowiązań w zakresie przetwarzania danych osobowych, mających na celu przeciwdziałanie zagrożeniom, jakie potencjalnie niesie za sobą przetwarzanie danych w chmurze W sytuacji, gdy zobowiązania te różnią się od siebie na terenie poszczególnych państw, ich wypełnienie wymaga od zarządzających danym przed‑

siębiorstwem ogromnego wysiłku należy bowiem zauważyć, iż do katalogu dzia‑

łań, jakie musi podjąć przedsiębiorstwo decydujące się na swą internacjonalizację, należy zaliczyć poznanie opisanych już, charakterystycznych dla danego państwa

uwarunkowań ochrony danych osobowych, takich jak: obowiązki administratora i przetwarzającego dane, określenie prawa właściwego, a także kontekstu działal‑

ności, właściwości sądów oraz możliwości wglądu do danych ze strony władz lub osób trzecich polskie przedsiębiorstwa wchodzące na rynki zagraniczne, decydując się na przetwarzanie administrowanych przez siebie danych w chmurze ponad granicami, powinny mieć na uwadze zarówno szanse, jakie niesie za sobą takie rozwiązanie, jak i ciążące na nich zobowiązania, różniące się od siebie na obszarze poszczególnych państw dokładne poznanie katalogu tego rodzaju obowiązków oraz umiejętne poruszanie się w gąszczu niejednoznacznych często przepisów mogą przyczynić się do stopniowego wygrywania globalnej konkurencji przez rodzime przedsiębiorstwa, a także mogą stać się kluczem do rozwoju polskiej gospodarki