Rozwiązanie Cloudflare jest liderem rozwiązań ochrony przed atakami DDOS (blokującymi dostęp) na świecie, nie posiadającego odpowiednika w Polsce i UE, szczególnie w kontekście skali ataków, z którymi mieliśmy do czynienia w ostatnim czasie (ponad 800 mln prób wejść w ciągu 24 godzin), które blokowały dostęp internetowy do serwisu dziennika elektronicznego. Wdrożenie tego rozwiązania wynika z naszej troski o jak najlepszą jakość usług, które dla Państwa świadczymy.
Dodatkowo pragniemy wyjaśnić, iż serwery, dane i aplikacja nie zmieniają swojej lokalizacji i znajdują się w Polsce, w profesjonalnej serwerowni posiadającej między innymi certyfikaty Agencji Bezpieczeństwa Wewnętrznego (Sprint Data Center). Rozwiązanie Cloudflare jest jedynie rozwiązaniem, w którym następuje przetwarzanie sieciowe (szyfrowane dane z dziennika jedynie przechodzą przez rozproszoną sieć rozwiązania Cloudflare, by przekazać je naszym Użytkownikom, oddzielając niepożądane próby masowych wejść). Claudlfare zapewnia rozproszenie dostępu do naszych serwerów znajdujących się w Polsce, w celu uniknięcia ich blokady (tzw. atak DDOS). Pragniemy wyjaśnić, iż nie przenosimy serwerów poza Polskę.
Jeśli chodzi o aspekt prawny to tutaj też wszystko jest w jak najlepszym porządku. Użycie rozwiązań spoza EOG jest od kilku miesięcy prawnie możliwe. Komisja Europejska 10 lipca 2023 r. przyjęła nową decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych zapewniony przez tzw. "Ramy ochrony danych UE-USA” (EU-US Data Privacy Framework). UE umożliwiła tym samym korzystanie z rozwiązań typu Cloudflare – nie narusza to RODO. Więcej o tym można przeczytać na stronie Urzędu Ochrony Danych Osobowych: https://uodo.gov.pl/pl/138/2767
Dokument potwierdzający spełnienie wymagań wynikających z porozumienia UE-USA ze strony rozwiązania Cloudflare znajduje się tutaj:
https://www.cloudflare.com/cloudflare-customer-dpa/
Zapis w polskim tłumaczeniu:
[...]
3.2 W zakresie, w jakim Cloudflare przetwarza Dane osobowe w imieniu Klienta w ramach ustawy CCPA, Cloudflare podejmuje wobec Klienta następujące dodatkowe zobowiązania: Cloudflare nie będzie zatrzymywać, wykorzystywać ani ujawniać tych Danych osobowych do celów innych niż cele określonych w Umowie głównej i niniejszej Umowie dotyczącej ochrony danych oraz zgodnie z postanowieniami ustawy CCPA, w tym w ramach wszelkich zwolnień dotyczących „sprzedaży”. Cloudflare nie będzie „sprzedawać” ani „udostępniać” takich Danych osobowych w rozumieniu tych terminów zdefiniowanych w umowie CCPA. Niniejsza klauzula 3.2 nie ogranicza ani nie zmniejsza żadnych zobowiązań w zakresie ochrony danych, jakie Cloudflare podejmuje wobec Klienta w ramach Umowy głównej lub niniejszej Umowy o ochronie danych.
3.3 Cloudflare oświadcza, że rozumie i będzie przestrzegać obowiązków i ograniczeń określonych w punktach 2 i 3 oraz Obowiązujących Przepisach o ochronie danych.\
[...]
(e) W przypadku, gdy którekolwiek postanowienie niniejszej umowy o ochronie danych jest sprzeczne, bezpośrednio lub pośrednio, z SKU UE (i, odpowiednio, z aneksem brytyjskim), pierwszeństwo mają te drugie.
Dodatkowo pragniemy wyjaśnić, iż serwery, dane i aplikacja nie zmieniają swojej lokalizacji i znajdują się w Polsce, w profesjonalnej serwerowni posiadającej między innymi certyfikaty Agencji Bezpieczeństwa Wewnętrznego (Sprint Data Center). Rozwiązanie Cloudflare jest jedynie rozwiązaniem, w którym następuje przetwarzanie sieciowe (szyfrowane dane z dziennika jedynie przechodzą przez rozproszoną sieć rozwiązania Cloudflare, by przekazać je naszym Użytkownikom, oddzielając niepożądane próby masowych wejść). Claudlfare zapewnia rozproszenie dostępu do naszych serwerów znajdujących się w Polsce, w celu uniknięcia ich blokady (tzw. atak DDOS). Pragniemy wyjaśnić, iż nie przenosimy serwerów poza Polskę.
Jeśli chodzi o aspekt prawny to tutaj też wszystko jest w jak najlepszym porządku. Użycie rozwiązań spoza EOG jest od kilku miesięcy prawnie możliwe. Komisja Europejska 10 lipca 2023 r. przyjęła nową decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych zapewniony przez tzw. "Ramy ochrony danych UE-USA” (EU-US Data Privacy Framework). UE umożliwiła tym samym korzystanie z rozwiązań typu Cloudflare – nie narusza to RODO. Więcej o tym można przeczytać na stronie Urzędu Ochrony Danych Osobowych: https://uodo.gov.pl/pl/138/2767
Dokument potwierdzający spełnienie wymagań wynikających z porozumienia UE-USA ze strony rozwiązania Cloudflare znajduje się tutaj:
https://www.cloudflare.com/cloudflare-customer-dpa/
Zapis w polskim tłumaczeniu:
[...]
3.2 W zakresie, w jakim Cloudflare przetwarza Dane osobowe w imieniu Klienta w ramach ustawy CCPA, Cloudflare podejmuje wobec Klienta następujące dodatkowe zobowiązania: Cloudflare nie będzie zatrzymywać, wykorzystywać ani ujawniać tych Danych osobowych do celów innych niż cele określonych w Umowie głównej i niniejszej Umowie dotyczącej ochrony danych oraz zgodnie z postanowieniami ustawy CCPA, w tym w ramach wszelkich zwolnień dotyczących „sprzedaży”. Cloudflare nie będzie „sprzedawać” ani „udostępniać” takich Danych osobowych w rozumieniu tych terminów zdefiniowanych w umowie CCPA. Niniejsza klauzula 3.2 nie ogranicza ani nie zmniejsza żadnych zobowiązań w zakresie ochrony danych, jakie Cloudflare podejmuje wobec Klienta w ramach Umowy głównej lub niniejszej Umowy o ochronie danych.
3.3 Cloudflare oświadcza, że rozumie i będzie przestrzegać obowiązków i ograniczeń określonych w punktach 2 i 3 oraz Obowiązujących Przepisach o ochronie danych.\
[...]
(e) W przypadku, gdy którekolwiek postanowienie niniejszej umowy o ochronie danych jest sprzeczne, bezpośrednio lub pośrednio, z SKU UE (i, odpowiednio, z aneksem brytyjskim), pierwszeństwo mają te drugie.
---
Poniżej zamieszczamy odnośnik do strony potwierdzającej przystąpienie Cloudflare do programu:
***
Przekazywanie (a dokładnie jedynie przesyłanie strumieniowe online) danych odbywa się za pomocą bezpiecznej transmisji SSL podpisanym cyfrowym certyfikatem.
Jeszcze raz warto podkreślić, że chociaż określenie „przekazywanie danych” może kojarzyć się z fizycznym przekazywaniem, przenoszeniem danych, to w rzeczywistości mówimy w tym przypadku jedynie o transmitowaniu w czasie rzeczywistym zaszyfrowanych danych, w celu oddzielenia zmasowanych, generowanych prób wejścia na stronę od wejść realnych użytkowników.
***
Nie zmieniamy lokalizacji serwerów danych i aplikacji, które od prawie 15 lat (od początku) są w bezpiecznej, profesjonalnej serwerowni, w Polsce. Firma Cloudflare, lider w zakresie ochrony przed atakami DDOS ma swoją główną siedzibę w USA, jednak posiada oddziały w wielu krajach na świecie. Z uwagi na wymagania prawne musimy podać również jej adres USA, dlatego w aneksie do umowy powierzenia przetwarzania danych osobowych jest on wpisany. Jest to zgodne z obowiązującym prawem i nie ma żadnych do tego przeciwwskazań. Jeszcze w czerwcu 2023 r. takie przeciwwskazania mogłyby mieć miejsce, ale od dnia 11 lipca 2023 r. już nie, ponieważ zostało to dookreślone w umowie między UE-USA, o której pisaliśmy wcześniej i być może informacja o tym nie jest jeszcze powszechnie znana, stąd mogą wynikać być może Państwa wątpliwości, które mamy nadzieję udało się wyjaśnić.
Serdecznie pozdrawia,
Zespół MobiReg