Bezpieczna Chmura warunki legalnego przetwarzania...
Transcript of Bezpieczna Chmura warunki legalnego przetwarzania...
Bezpieczna Chmura – warunki legalnego przetwarzania dokumentów w modelu Cloud
Computing
Wybrane Aspekty PrawneSTEFAN CIEŚLA
KANCELARIA RADCY PRAWNEGO
1
Tajemnica chronionej w Rzeczpospolitej Polskiej
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Tworząc zespoły dokumentów o zróżnicowanym charakterze oraz tematyce należy zadbać, aby publikując je w chmurze nie naruszyć tajemnicy prawnie
chronionej.
Rodzaje tajemnicy prawnie chronionej w prawodawstwie polskim:
1.
2.
3.
Informacja niejawna – tajemnica chroniona ze względu na interes Państwa, czego niniejsza prezentacja nie dotyczy
Tajemnica zawodowa – tajemnica chroniona ze względu na szczególny
charakter informacji uzyskiwanej w toku wykonywania zawodu
Tajemnica służbowa – tajemnica chroniona ze względu na interes
Pracodawcy
Informacja Niejawna
Podstawy prawne
Ustawa z dnia 5 sierpnia 2010 r. o ochronieinformacji niejawnych (Dz.U. z 2010 Nr.182,poz.1228)
§
2Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Przetwarzanie w chmurze informacji niejawnych
Kiedy można przetwarzać w chmurze informacje niejawne?
1.
2.
Po uzyskaniu akredytacji bezpieczeństwa teleinformatycznego
Po sporządzeniu „Dokumentu szczególnych wymagań bezpieczeństwa systemu teleinformatycznego”
3Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Przetwarzanie w chmurze informacji niejawnych
Podstawy Akredytacji - Potwierdzenia Bezpieczeństwa
1.
2.
dokumentacja bezpieczeństwa systemu teleinformatycznego, zatwierdzona przez ABW lub SKW
wynik audytu bezpieczeństwa systemu teleinformatycznego przeprowadzonego przez ABW lub SKW
Ważne!Akredytacja
bezpieczeństwa wydawana jest na okres 5 lat
4Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Przetwarzanie w chmurze informacji niejawnych
Dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego
WYMAGANA ZAWARTOŚĆ
wyniki procesu szacowania ryzyka dla
bezpieczeństwa informacji niejawnych
przetwarzanych w systemie
teleinformatycznym
sposoby osiągania i utrzymywania odpowiedniego
poziomu bezpieczeństwa systemu, przyjęte w ramach
zarządzania ryzykiem
Opis tych aspektów budowy systemu
teleinformatycznego, które mają związek z
bezpieczeństwem systemu
Opis zasad działania i eksploatacji systemu, które
mają związek z bezpieczeństwem systemu
lub wpływają na jego bezpieczeństwo
5Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Przetwarzanie w chmurze informacji niejawnych
Dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego
Dokonywanie zmian w systemie
teleinformatycznym
Przeprowadzenie procesu szacowania ryzyka
dla bezpieczeństwa informacji niejawnych
przetwarzanych w tym systemie
6Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Tajemnica zawodowa
Podstawy prawne
Obowiązek zachowania tajemnicy związanej z wykonywaniem zawodu, określony w przepisach regulujących specyficzne zawody
Obowiązek zachowania tajemnicy związanej z informacjami uzyskiwanymi w związku z wykonywanym zawodem konstytuuje około 20 ustaw
Każda ustawa odrębnie reguluje zakres tajemnicy, krąg podmiotów uprawnionych do jej pozyskania oraz zasady jej ujawniania
§
7Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Tajemnica radcowska
Art. 3.3. Radca prawny jest obowiązany zachować w tajemnicy wszystko, o czym dowiedział sięw związku z udzieleniem pomocy prawnej.
4. Obowiązek zachowania tajemnicy zawodowej nie może być ograniczony w czasie.
5. Radca prawny nie może być zwolniony z obowiązku zachowania tajemnicy zawodowejco do faktów, o których dowiedział się udzielając pomocy prawnej lub prowadzącsprawę.
6. Obowiązek zachowania tajemnicy zawodowej nie dotyczy informacji udostępnianychna podstawie przepisów ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniupieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2003 r. Nr 153, poz. 1505, z późn. zm.)- w zakresie określonym tymi przepisami.
Ustawa o radcach prawnych§ §
8Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Tajemnica Dziennikarska
Art. 15. ust 2.
Dziennikarz ma obowiązek zachowania w tajemnicy:
1) danych umożliwiających identyfikację autora materiałuprasowego, listu do redakcji lub innego materiału o tymcharakterze, jak również innych osób udzielających informacjiopublikowanych albo przekazanych do opublikowania, jeżeliosoby te zastrzegły nieujawnianie powyższych danych,
2) wszelkich informacji, których ujawnienie mogłoby naruszaćchronione prawem interesy osób trzecich.
Ustawa prawo prasowe§ §
9Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Informacja niejawna i tajemnica a technologie
WERYFIKACJATECHNOLOGII
Uzyskanie certyfikatu
bezpieczeństwa technologicznego
Sporządzenie audytu
bezpieczeństwa technologicznego
Dokonywane przez podmioty zaufania publicznego – np. Przez audytorów
z Wielkiej Czwórki
Wydawane przez firmy akredytowane
w organizacjach bezpieczeństwa informatycznego
10Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Podstawy prawne
Kodeks Pracy
Regulaminy wewnętrzne Pracodawcy
Zakresy czynności i indywidualnie określone zobowiązania
Tajemnica służbowa
§
11Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Tajemnica służbowa -wymogi szczególne
Pracownicy są obowiązani do zachowaniatajemnicy służbowej na podstawie ustawy
Zewnętrzne Podmioty przetwarzającemuszą zabezpieczyć tajemnicę służbowąodpowiednimi zapisami umownymi
!
§§§
!
!
12Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Tajemnica zawodowa –wymogi szczególne
Podmioty są obowiązane do zachowaniatajemnicy zawodowej na podstawie ustawy
Zewnętrzne Podmioty przetwarzającemuszą zabezpieczyć tajemnicę zawodowąodpowiednimi zapisami umownymi
!
§§§
!
!
13Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Kiedy można przetwarzać w chmurze pozostałe tajemnice ?
Żaden przepis nie określa sposobuprzetwarzania tajemnic służbowych lubzawodowych
Czy to wyklucza przetwarzanie w chmurze obliczeniowej?
Nie wyklucza – tak jak nie wykluczaprzetwarzania przedmiotowych tajemnic przezpracowników np. kancelarii czy też redakcji!
§
14Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Rodzaj
danych
15
Dopuszczalność przetwarzania danych osobowych
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Nawiązanie stosunku usługi,
Ukształtowanie treści w zakresie jej
dostępności dla Klienta
Zmiana lub rozwiązanie stosunku prawnegoNazwisko i imiona KlientaNumer ewidencyjny PESEL lub numer paszportu, dowodu osobistego lub innego dokumentuAdres zameldowania na pobyt stały i
adresy elektroniczne Klienta
Usługodawca gromadzi zbiór danych osobowych Klientów
Przetwarzanie danych
osobowych
Możliwości przetwarzaniainnych danych
osobowych
16
Dopuszczalność przetwarzania danych osobowych
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Dane niezbędne do realizacji umów lub
dokonania innej czynności prawnej
z Klientem
Dane, które nie są niezbędne do
świadczenia usługi drogą elektroniczną
Ze względu na: właściwość świadczonej usługiSposób rozliczenia usługi
Wyłącznie za zgodą Klienta
17
Dopuszczalność przetwarzania danych osobowych
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
1.
2.
3.
4.
Usługodawca może przetwarzać dane osobowe:
Niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności za korzystanie z usługi
Niezbędne do wyjaśnienia okoliczności niedozwolonego korzystania z usługi
Dopuszczone do przetwarzania na podstawie odrębnych ustaw lub umowy
Niezbędne do celów reklamy, badania rynku oraz zachowań i preferencji Klienta w celu polepszenia jakości usług – wyłącznie za zgodą Klienta
18
Dopuszczalność przetwarzania danych osobowych
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Usługodawca powinien wyróżnić i określić dane
Klienta niezbędne do świadczenia usługi drogą
elektroniczną
Usługodawca może przetwarzać dane osobowe w zakresie niezbędnym do
ustalenia odpowiedzialności
Usługodawca może przetwarzać dane osobowe, jeśli wie o nieuprawnionym
korzystaniu z usługi przez Klienta, a wiedza ta jest utrwalona dla celów dowodowych
Usługodawca nie może przetwarzać danych
osobowych Klienta po zakończeniu korzystania z usługi świadczonej drogą
elektroniczną
UWAGA
1
4
3
2
19
Dopuszczalność przetwarzania danych osobowych
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Szczególne wymogi dotyczące bezpieczeństwa
danych osobowych
Przetwarzanie i przechowywanie danych
osobowych jest dozwolone wyłącznie na serwerach
umiejscowionych na „poszerzonym obszarze UE”.
Przetwarzanie i przechowywanie danych
osobowych musi być zgodne z zasadami określonymi w
Ustawie o ochronie danych osobowych
AdministratorzyPodmioty
przetwarzające
20
Obowiązki Usługodawca przetwarzającego dane osobowe
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Możliwości korzystania przez Klienta z usługi świadczonej drogą elektroniczną anonimowo
lub udostępnianych przez Usługodawcę z wykorzystaniem pseudonimu
Podmiocie, któremu Usługodawca powierza przetwarzanie danych osobowych Klienta, ich zakresie i zamierzonym terminie
przekazania, jeżeli Usługodawca zawarł z tym podmiotem umowę o powierzenie danych osobowych
Udostępnianych przez Usługodawcę środkach technicznych zapobiegających pozyskiwaniu i modyfikowaniu przez osoby
nieuprawnione danych osobowych Klienta, pozyskiwanych drogą elektroniczną
Ryzyko przetwarzania
przetwarzanie w prywatnej chmurze obliczeniowej
outsourcing przetwarzania przezpodmioty zewnętrzne
Własne ryzyko
Delegowane ryzyko
21Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Rodzaje ryzyka
Ryzyko dopuszczalności przetwarzania
Ryzyko poziomu zabezpieczeniaumownego
Ryzyko wyboru kontrahenta
1
2
3
22Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Odpowiedzialność za ryzyko
Odpowiedzialność za ryzyko
Reguła generalna
Reguła szczególna
odpowiada osoba zobowiązana do zachowania
tajemnicy
współodpowiadają osoby przetwarzające
23Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
24Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Podstawowe akty prawne Unii Europejskiej regulujące
procesy gromadzenia, przetwarzania i archiwizacji
danych osobowych:
Aktualnie obowiązujące podstawowe akty prawne dotyczące danych osobowych
w Unii Europejskiej
Dyrektywa nr. 95/46/WE Parlamentu Europejskiego i Rady z dn. 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych
Traktat o Funkcjonowaniu Unii Europejskiej (TFUE) (Traktat lizboński) z 13 grudnia 2007 r., art. 16 w sprawie ochrony danych osobowych i swobodnego przepływu danych osobowych, umożliwiającego również współpracę policji i wymiaru sprawiedliwości w sprawach karnych.
1
2
25Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Aktualnie obowiązujące podstawowe akty prawne dotyczące danych osobowych
w Unii Europejskiej
Traktat o Funkcjonowaniu Unii Europejskiej, art. 16:
Stworzył nową podstawę prawną bardziej nowoczesnego i kompleksowego podejścia do ochrony danych osobowych
Umożliwił współpracę policyjną i współpracę wymiaru sprawiedliwości w sprawach karnych dotyczących danych osobowych
1.
2.
26Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Aktualnie obowiązujące podstawowe akty prawne dotyczące danych osobowych
w Unii Europejskiej
Traktat o Funkcjonowaniu Unii Europejskiej, art. 16
Ust. 1:
Ust. 2:
Ustanawia zasadę, zgodnie z którą każda osoba ma prawo do ochrony danych osobowych jej dotyczących
Art. 8: wprowadził ochronę danych osobowych jako jedno z praw podstawowych – jest to szczególna podstawa prawna dla ochrony w/w danych
zapewnienie równorzędnego poziomu ochrony danych w UECel:
27
Dlaczego zmiany?
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Technologia umożliwia zarówno przedsiębiorcom prywatnym, jak i organom publicznym wykorzystywanie danych osobowych do wykonywania
powierzonych im zadań na niespotykaną dotąd skalę.
Procesy po 1995 r., jakie wpłynęły na potrzebę nowych regulacji prawnych w dziedzinie ochrony danych osobowych:
Szybki rozwój technologiczny
Szybki rozwój gospodarczy
Wzrost skali wymiany i zbierania danych osobowych
Osoby fizycznie coraz częściej udostępniają informacje osobowe publicznie i globalnie, nie zdając sobie w pełni sprawy, jakie z tym wiążą się ryzyka.
28
Efekty dotychczasowej dyrektywy
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Dotychczasowe dyrektywy a prawo wewnątrzpaństwowe
Rozdrobnione otoczenie prawne, w którym występuje brak pewności prawnej i nierówna ochrona osób
fizycznych
W przepisach obowiązujących w państwach członkowskich nadal
istnieją istotne rozbieżności
29
Efekty dotychczasowej dyrektywy
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Dotychczasowe dyrektywy
a osoby fizyczne
72% użytkowników Internetu w Unii
Europejskiej:
Utrata kontroli nad własnymi danymi
osobowymi
Codziennie gromadzeniu i przetwarzaniu podlega bardzo duża ilość danych osobowych
Osoby fizyczne bardzo często nie są świadome, iż ich dane są
gromadzone i przetwarzane
Nadal uważa, że w środowisku online musi podawać zbyt wiele
danych osobowych
Nie wie, jak egzekwować swoje prawa w środowisku internetowym
30
Przyczyny nowej regulacji
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Brak zaufania konsumenta do
Internetu
Dokonywania zakupów towarów w Internecie
Dokonywania zakupów usług w Internecie, w tym usług
bankowych
Korzystania z nowych usług, w tym usług administracji
państwowej (e-government)
Niepewność w kwestii:
31
Główne cele nowej regulacji
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Cel:
Środek do celu:
Lepsze i szersze wykorzystanie nowych możliwości technologicznych związanych z Internetem, w tym z cloud computingiem
Budowa zaufania do Internetu jako kluczowego elementu rozwoju tej technologii
32
Główne cele nowej regulacji
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Zwiększenie wymiaru ochrony danych osobowych, związanych z rynkiem wewnętrznym poprzez zmniejszenie
rozdrobnienia, poprawę spójności i uproszczenie środowiska regulacyjnego
Zwiększenie spójności unijnych ram ochrony danych osobowych, w tym w obszarze współpracy policyjnej i
współpracy wymiarów sprawiedliwości
Podwyższenie skuteczności podstawowego prawa do ochrony danych osobowych
33
Szczegółowe zmiany w nowej regulacji
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
1.
3.
2.
Do
do
tych
czas
ow
ych
zas
ad
prz
etw
arza
nia
dan
ych
oso
bo
wyc
h
do
dan
o w
szc
zegó
lno
ści z
asad
y: Przejrzystości zbioru danych
Minimalizacji danych
Ponoszenia całkowitej odpowiedzialności przez administratora
34
Szczegółowe zmiany w nowej regulacji
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Uzupełniono obowiązek informowania podmiotu danych o jego prawach w zakresie danych osobowych o obowiązek:
Informowania podmiotów danych o okresie przechowywania ich danych
Prawach do poprawiania lub usuwania danych oraz zgłaszania skarg
35
Szczegółowe zmiany w nowej regulacji
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Podkreślono prawo podmiotu danych do bycia zapomnianym i do usunięcia danych
poinformowania osób trzecich o wniosku podmiotu danych dotyczącym usunięcia wszelkich linków do danych
poinformowania osób trzecich o wniosku podmiotu danych dotyczącym usunięcia wszelkich kopii lub replikacji tych danych
Wprowadzono obowiązek administratora, który podał dane osobowe podmiotu do wiadomości publicznej do:
1.
2.
36
Szczegółowe zmiany w nowej regulacji
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Wprowadzono prawo podmiotu danych do przenoszenia danych, tj. do przenoszenia ich z jednego elektronicznego systemu przetwarzania do innego
Administrator nie ma prawa do zapobiegania takiemu przenoszeniu danych podmiotu
1.
2.
Podmiot danych ma prawo do uzyskania od administratora swoich danych w zorganizowanym i powszechnie stosowanym formacie elektronicznym
3.
37
Szczegółowe zmiany w nowej regulacji: wzmocnienie organów krajowych
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Wzmocnienie niezależności i uprawnień krajowych
organów do spraw ochrony danych
Obowiązek przekazywania unijnym organom przez państwa członkowskie
wystarczających zasobów
Znaczące wzmocnienie pozycji krajowych
organów nadzoru w strukturze zarządzania
państwem
38
Szczegółowe zmiany w nowej regulacji: Europejska Rada Ochrony Danych
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Prawo do reprezentacji w Radzie oraz do uczestniczenia w jej działaniach ma Komisja Europejska
Europejski Inspektor Ochrony Danych
Szefowie organów nadzorczych wszystkich państw członkowskich
Skła
d E
uro
pe
jski
ej R
ady
Och
ron
y d
anyc
h
39
DZIĘKUJĘ ZA WYSŁUCHANIE PRELEKCJI
Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl
Stefan Cieśla
Kancelaria Radcy Prawnego Stefan CieślaUl. Foksal 18
00-372 Warszawawww.radcaprawny-ciesla.pl
[email protected]. 22 389 61 27
© opracowanie koncepcyjne i graficzne: Elżbieta Cieśla ©