Jak wdrożyć bezpiecznie chmurę? Aspekty prawne

Jak wdrożyć bezpiecznie chmurę?Aspekty prawne.

T: (+48) 500-435-372 Warszawa, 17 czerwca 2014r. E: [email protected]


Wybrałeś chmurę? Co znalazło się w umowie?

Cyberlaw Beata Marek


Nie bądź potem zdziwiony konsekwencjami



Jak zapewnić zgodność prawną?

Regulacje Rekomendacje DecyzjeWybrane: ustawa o ochronie Opinia Grupy Roboczej gmina Odense (2010r.) danych osobowych art. 29 5/2012

Memorandum Sopockie

ustawa P. bankowe Rekomendacja D uchwała 379/2008



Ustawa o ochronie danych osobowych (tj. Dz. U. 2002 r. Nr 101, poz.926 z późn. zm.)

Art. 7 pkt. 2b -> zabezpieczanie danych osobowych to wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnychzapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem

Art. 7 pkt. 4 -> ADO decyduje o celach i środkach przetwarzania danych osobowych

Art. 26 ust.1 ->ADO powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:




Art. 26 ust.1 ->1) przetwarzane zgodnie z prawem,2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami (wyjątek art. 26 ust.2)3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich sąprzetwarzane,4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Art. 36-39a ->Obowiązki zabezpieczania danych przez ADO




Art. 31 ->ADO może powierzyć przetwarzanie danych wyłącznie w drodze pisemnej umowy powierzenia, która określa:

- zakres i cel przetwarzania danych - spełnienie przez przetwarzającego środków zabezpieczających zbiór danych, o których mowa w art. 36-39, oraz spełnienie wymagań określonych w prze-pisach, o których mowa w art. 39a. (w zakresie przestrzegania tych przepisów przetwarzający ponosi odpowiedzialność jak ADO).



Opinia Grupy Roboczej art. 29 w sprawie przetwarzania danych w chmurze obliczeniowej 5/2012

* dotyczy przedsiębiorstw i organów administracji publicznej

Umowa powierzenia powinna zawierać:

1. Szczegółowe informacje na temat (zakresu i rodzajów) instrukcji klienta dla dostawcy w ramach świadczenia usługi2. infromacje na temat gwarantowanego poziomu usług (SLA)3. sankcje finansowe lub inne w przypadku braku zapewnienia zgodności przez przetwarzającego4. określenie środków bezpieczeństwa wdrożonych przez przetwarzającego (co najmniej takich jak ma wdrożone ADO)




5. ramy czasowe umowy o świadczenei usługi6. rodzaje przetwarzanych danych, zakres, cel i sposób przetwarzania7. określenie warunków wyjścia/migracji/usunięcia danych (na wniosek)8. określenie klauzuli poufności (osoby upoważnione mogą mieć dostęp)9. obowiązek współpracy przetwarzającego w zakresie zapewnienia realizacji praw osób, których dane dotyczą (np. prawo dostępu do treści swoich danych)10. brak możliwości przekazywania danych osobom trzecim, nawet w celach zatrzymania.11. zgodę /sprzeciw dla podpowierzenia12. wykaz podmiotów, którym przetwarzający zamierza podpowierzać przetwarzanie danych osobowych + zobowiązanie do takich samych zapisów




13. obowiązek informowania ADO o każdym naruszeniu przetwarzania danych (kontroli przetwarzania przez organ typu GIODO)14. wskazanie listy lokalizacji, w których dane mogą być przetwarzane15. prawo do monitorowania/kontrolowania przetwarzającego przez ADO16. zobowiązanie przetwarzajacego, że w przypadku wdrożenia dodatkowych funkcji czy innych istotnych zmian w umowie musi poinformować on o tym ADO przed ich wdrożeniem (a ADO może od umowy odstąpić)17. prawo do rejestru i kontroli istotnych operacji przetwarzania danych18. zobowiązanie przetwarzającego do informowania o każdym wniosku udo-stępniania danych o ile nie jest to prawnie zabronione (patrz: prawo właściwe!)19. oświadczenie, że wewnętrzne procedury i organizacja pracy przetwarzają-cego jest zgodna z prawem właściwym dla ADO (+wyniki audytów)




20. zobowiązanie do zachowania integralności, poufności, rozliczalności, przejrzystości przetwarzania danych21. zobowiązanie, że dane zostaną odizolowane (chmura prywatna, różne poziomy dostępów do danych, odpowiednie zarządzanie współdzielonymi zasobami)22. szczegółowe adnotacje na temat transferu poza EOG, a w przypadku informacji o certyfikacji (np. safe harbour) ADO powinien załączyć dowód + określić szczegółowe postanowienia związane z bezpieczeństwem23. zobowiązanie, że dane nie będą przekazywane do państw trzecich bez zapewniania dodatkowych gwarancji (jak wyżej)24. w przypadku transgranicznego przekazywania danych wyjściowe są SCC




25. zobowiązanie do ponoszenia odpowiedzialności/współodpowiedizalności przetwarzającego26. w przypadku braku oparcia się na SCC wdrożenie lub/i BCR

! Umowa powinna zostać zawarta w formie pisemnej albo innej równoważnej

! ADO może załączyć do umowy kopię certyfikatu strony trzeciej w zakresieprzeprowadzonego audytu

! Ważne kwestie: prawo właściwe, odpłatność, język umowy, zmiany umowy



Memorandum Sopockie

dot. wszystkich podmiotów

Przed podpisaniem umowy należy sprawdzić:

1. Czy powierzenie przetwarzania może prowadzić do obniżenia standardów?2. Czy została przeprowadzana analiza ryzyka (w tym PIA)?3. Czy klauzule umowne są negocjowalne? Czy odpowiadają naszej zgodności?4. Jakie procedury w celu ochrony danych wdrożył przetwarzający?5. Czy jest certyfikowany?6. Czy są prowadzone i udostępniane dzienniki lokalizacji danych?7. Czy jest prowadzony i udostępniany automatycznie rejestrowany dziennik kontroli kopiowania i usuwania?8. Czy są sporządzane kopie zapasowe powyższych dokumentów?



Memorandum Sopockie

9. Jakiego rodzaju środki techniczne są wdrożone w celu zabezpieczenia da-nych i nie przekazywania ich do jurysdykcji państw trzecich? 10. Czy dane są usuwane w skuteczny sposób, np. poprzez natychmiastowe nadpisanie losowych danych? 11. Czy dane w spoczynku i transporcie są szyfrowane?12. Czy jest prowadzona i udostępniana automatyczna rejestracja danych każdego przetworzenia danych?


1. informacje na temat wszystkich fizycznych lokalizacji przetwarzania danych2. zobowiązanie do nieprzekazywania danych poza tę lokalizację (np. EOG)



Memorandum Sopockie


3. zobowiązanie do przetwarzania danych zgodnie z instrukcjami ADO4. uprawnienie do rozwiązania umowy, migracji danych w przypadku jednostronnej zmiany umowy przez przetwarzającego5. zobowiązanie do przetwarzania zgodnie z celami wskazanymi przez ADO6. uprawnienie prawa wglądu/sprawdzenia lokalizacji przetwarzania (!)7. uprawnienie do przeprowadzania audytów przez zaufane podmioty8. zapisy aby uniknąć uzależnienia od dostawcy usług w chmurze (lock-in)9. zapisy dotyczące współdziałania/procedur działania pomiędzy stronami (ADO musi mieć możliwość prawidłowo realizować swoje obowiązki prawne)



Decyzja duńskiego rzecznika ochrony danych (sprawa Odense)

Przetwarzanie danych w szkolnictwie Google Aps

Nie jest wskazane! dane wrażliwe dane objęte tajemnicami



Ustawa Prawo bankowe (t.j. Dz. U. z 2012 r. poz. 1376 z późn. zm.)

Art. 6a -> powierzenie wykonywania czynności w imieniu banku (przetwarzający ma siedzibę w UE)

1. Forma pisemna umowy2. W przypadku „innych czynności powierzanych do wykonania” zgoda KNF3. Możliwość podpowierzenia w przypadku wyraźnego zezwolenia w umowie

Art. 6b -> określenie odpowiedzialności

Art. 6c ust.1 -> analiza ryzyka i ocena zgodności (przetwarzający musi zapewniać co najmniej takie same standardy jak bank)



Ustawa Prawo bankowe (t.j. Dz. U. z 2012 r. poz. 1376 z późn. zm.)

Art. 6c ust.2 -> powiadomienie KNF w przypadku planowanego transferu poza EOG (14 dni przed podpisaniem umowy powierzenia)

Art. 6c ust.3 -> ewidencja umów (dane identyfikujące, zakres powierzonych czynności i miejsce ich wykonywania, okres obowiązywania umów)

Art. 6c ust.5 -> KNF może nakazać rozwiązać umowę

Art. 6d -> powierzenie wykonywania czynności w imieniu banku(przetwarzający nie ma siedziby w UE) wymagana zgoda KNF



Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach/zalecenia wejdą w życie z dniem 31 grudnia 2014 r./


Dziękuję za uwagęT: (+48) 500-435-372 E: [email protected]

Warszawa, 17 czerwca 2014r.

Źródła grafik: 1) Startrek: źródło na dole zdjęcia2) Strartrek i Lord Vader: http://www.sheldonsfans.com/img_articles/original/672.jpg3) Frank: https://copperblog.s3.amazonaws.com/wp-content/uploads/2013/12/funny-dog-mugshot.png4) Enterprise: https://c1.staticflickr.com/1/90/231478071_24bf502c2e.jpg

Jak wdrożyć bezpiecznie chmurę? Aspekty prawne

Law

Transcript of Jak wdrożyć bezpiecznie chmurę? Aspekty prawne