bezpieczna chmura warunki legalnego przetwarzania...

Bezpieczna Chmura – warunki legalnego przetwarzania dokumentów w modelu Cloud

Computing

Wybrane Aspekty PrawneSTEFAN CIEŚLA

KANCELARIA RADCY PRAWNEGO

1

Tajemnica chronionej w Rzeczpospolitej Polskiej

Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl

Tworząc zespoły dokumentów o zróżnicowanym charakterze oraz tematyce należy zadbać, aby publikując je w chmurze nie naruszyć tajemnicy prawnie

chronionej.

Rodzaje tajemnicy prawnie chronionej w prawodawstwie polskim:

1.

2.

3.

Informacja niejawna – tajemnica chroniona ze względu na interes Państwa, czego niniejsza prezentacja nie dotyczy

Tajemnica zawodowa – tajemnica chroniona ze względu na szczególny

charakter informacji uzyskiwanej w toku wykonywania zawodu

Tajemnica służbowa – tajemnica chroniona ze względu na interes

Pracodawcy

Informacja Niejawna

Podstawy prawne

Ustawa z dnia 5 sierpnia 2010 r. o ochronieinformacji niejawnych (Dz.U. z 2010 Nr.182,poz.1228)

§

2Kancelaria Radcy Prawnego Stefan Cieśla | Foksal 18, 00-372 Warszawa | 22 389 61 27 | www.radcaprawny-ciesla.pl

Przetwarzanie w chmurze informacji niejawnych

Kiedy można przetwarzać w chmurze informacje niejawne?

1.

2.

Po uzyskaniu akredytacji bezpieczeństwa teleinformatycznego

Po sporządzeniu „Dokumentu szczególnych wymagań bezpieczeństwa systemu teleinformatycznego”



Podstawy Akredytacji - Potwierdzenia Bezpieczeństwa

1.

2.

dokumentacja bezpieczeństwa systemu teleinformatycznego, zatwierdzona przez ABW lub SKW

wynik audytu bezpieczeństwa systemu teleinformatycznego przeprowadzonego przez ABW lub SKW

Ważne!Akredytacja

bezpieczeństwa wydawana jest na okres 5 lat



Dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego

WYMAGANA ZAWARTOŚĆ

wyniki procesu szacowania ryzyka dla

bezpieczeństwa informacji niejawnych

przetwarzanych w systemie

teleinformatycznym

sposoby osiągania i utrzymywania odpowiedniego

poziomu bezpieczeństwa systemu, przyjęte w ramach

zarządzania ryzykiem

Opis tych aspektów budowy systemu

teleinformatycznego, które mają związek z

bezpieczeństwem systemu

Opis zasad działania i eksploatacji systemu, które

mają związek z bezpieczeństwem systemu

lub wpływają na jego bezpieczeństwo



Dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego

Dokonywanie zmian w systemie

teleinformatycznym

Przeprowadzenie procesu szacowania ryzyka

dla bezpieczeństwa informacji niejawnych

przetwarzanych w tym systemie


Tajemnica zawodowa

Podstawy prawne

Obowiązek zachowania tajemnicy związanej z wykonywaniem zawodu, określony w przepisach regulujących specyficzne zawody

Obowiązek zachowania tajemnicy związanej z informacjami uzyskiwanymi w związku z wykonywanym zawodem konstytuuje około 20 ustaw

Każda ustawa odrębnie reguluje zakres tajemnicy, krąg podmiotów uprawnionych do jej pozyskania oraz zasady jej ujawniania

§


Tajemnica radcowska

Art. 3.3. Radca prawny jest obowiązany zachować w tajemnicy wszystko, o czym dowiedział sięw związku z udzieleniem pomocy prawnej.

4. Obowiązek zachowania tajemnicy zawodowej nie może być ograniczony w czasie.

5. Radca prawny nie może być zwolniony z obowiązku zachowania tajemnicy zawodowejco do faktów, o których dowiedział się udzielając pomocy prawnej lub prowadzącsprawę.

6. Obowiązek zachowania tajemnicy zawodowej nie dotyczy informacji udostępnianychna podstawie przepisów ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniupieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2003 r. Nr 153, poz. 1505, z późn. zm.)- w zakresie określonym tymi przepisami.

Ustawa o radcach prawnych§ §


http://lex.online.wolterskluwer.pl/WKPLOnline/index.rpc






Tajemnica Dziennikarska

Art. 15. ust 2.

Dziennikarz ma obowiązek zachowania w tajemnicy:

1) danych umożliwiających identyfikację autora materiałuprasowego, listu do redakcji lub innego materiału o tymcharakterze, jak również innych osób udzielających informacjiopublikowanych albo przekazanych do opublikowania, jeżeliosoby te zastrzegły nieujawnianie powyższych danych,

2) wszelkich informacji, których ujawnienie mogłoby naruszaćchronione prawem interesy osób trzecich.

Ustawa prawo prasowe§ §


Informacja niejawna i tajemnica a technologie

WERYFIKACJATECHNOLOGII

Uzyskanie certyfikatu

bezpieczeństwa technologicznego

Sporządzenie audytu

bezpieczeństwa technologicznego

Dokonywane przez podmioty zaufania publicznego – np. Przez audytorów

z Wielkiej Czwórki

Wydawane przez firmy akredytowane

w organizacjach bezpieczeństwa informatycznego


Podstawy prawne

Kodeks Pracy

Regulaminy wewnętrzne Pracodawcy

Zakresy czynności i indywidualnie określone zobowiązania

Tajemnica służbowa

§


Tajemnica służbowa -wymogi szczególne

Pracownicy są obowiązani do zachowaniatajemnicy służbowej na podstawie ustawy

Zewnętrzne Podmioty przetwarzającemuszą zabezpieczyć tajemnicę służbowąodpowiednimi zapisami umownymi

!

§§§

!

!


Tajemnica zawodowa –wymogi szczególne

Podmioty są obowiązane do zachowaniatajemnicy zawodowej na podstawie ustawy

Zewnętrzne Podmioty przetwarzającemuszą zabezpieczyć tajemnicę zawodowąodpowiednimi zapisami umownymi

!

§§§

!

!


Kiedy można przetwarzać w chmurze pozostałe tajemnice ?

Żaden przepis nie określa sposobuprzetwarzania tajemnic służbowych lubzawodowych

Czy to wyklucza przetwarzanie w chmurze obliczeniowej?

Nie wyklucza – tak jak nie wykluczaprzetwarzania przedmiotowych tajemnic przezpracowników np. kancelarii czy też redakcji!

§


Rodzaj

danych

15

Dopuszczalność przetwarzania danych osobowych


Nawiązanie stosunku usługi,

Ukształtowanie treści w zakresie jej

dostępności dla Klienta

Zmiana lub rozwiązanie stosunku prawnegoNazwisko i imiona KlientaNumer ewidencyjny PESEL lub numer paszportu, dowodu osobistego lub innego dokumentuAdres zameldowania na pobyt stały i

adresy elektroniczne Klienta

Usługodawca gromadzi zbiór danych osobowych Klientów

Przetwarzanie danych

osobowych

Możliwości przetwarzaniainnych danych

osobowych

16



Dane niezbędne do realizacji umów lub

dokonania innej czynności prawnej

z Klientem

Dane, które nie są niezbędne do

świadczenia usługi drogą elektroniczną

Ze względu na: właściwość świadczonej usługiSposób rozliczenia usługi

Wyłącznie za zgodą Klienta

17



1.

2.

3.

4.

Usługodawca może przetwarzać dane osobowe:

Niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności za korzystanie z usługi

Niezbędne do wyjaśnienia okoliczności niedozwolonego korzystania z usługi

Dopuszczone do przetwarzania na podstawie odrębnych ustaw lub umowy

Niezbędne do celów reklamy, badania rynku oraz zachowań i preferencji Klienta w celu polepszenia jakości usług – wyłącznie za zgodą Klienta

18



Usługodawca powinien wyróżnić i określić dane

Klienta niezbędne do świadczenia usługi drogą

elektroniczną

Usługodawca może przetwarzać dane osobowe w zakresie niezbędnym do

ustalenia odpowiedzialności

Usługodawca może przetwarzać dane osobowe, jeśli wie o nieuprawnionym

korzystaniu z usługi przez Klienta, a wiedza ta jest utrwalona dla celów dowodowych

Usługodawca nie może przetwarzać danych

osobowych Klienta po zakończeniu korzystania z usługi świadczonej drogą

elektroniczną

UWAGA

1

4

3

2

19



Szczególne wymogi dotyczące bezpieczeństwa

danych osobowych

Przetwarzanie i przechowywanie danych

osobowych jest dozwolone wyłącznie na serwerach

umiejscowionych na „poszerzonym obszarze UE”.

Przetwarzanie i przechowywanie danych

osobowych musi być zgodne z zasadami określonymi w

Ustawie o ochronie danych osobowych

AdministratorzyPodmioty

przetwarzające

20

Obowiązki Usługodawca przetwarzającego dane osobowe


Możliwości korzystania przez Klienta z usługi świadczonej drogą elektroniczną anonimowo

lub udostępnianych przez Usługodawcę z wykorzystaniem pseudonimu

Podmiocie, któremu Usługodawca powierza przetwarzanie danych osobowych Klienta, ich zakresie i zamierzonym terminie

przekazania, jeżeli Usługodawca zawarł z tym podmiotem umowę o powierzenie danych osobowych

Udostępnianych przez Usługodawcę środkach technicznych zapobiegających pozyskiwaniu i modyfikowaniu przez osoby

nieuprawnione danych osobowych Klienta, pozyskiwanych drogą elektroniczną

Ryzyko przetwarzania

przetwarzanie w prywatnej chmurze obliczeniowej

outsourcing przetwarzania przezpodmioty zewnętrzne

Własne ryzyko

Delegowane ryzyko


Rodzaje ryzyka

Ryzyko dopuszczalności przetwarzania

Ryzyko poziomu zabezpieczeniaumownego

Ryzyko wyboru kontrahenta

1

2

3


Odpowiedzialność za ryzyko

Odpowiedzialność za ryzyko

Reguła generalna

Reguła szczególna

odpowiada osoba zobowiązana do zachowania

tajemnicy

współodpowiadają osoby przetwarzające



Podstawowe akty prawne Unii Europejskiej regulujące

procesy gromadzenia, przetwarzania i archiwizacji

danych osobowych:

Aktualnie obowiązujące podstawowe akty prawne dotyczące danych osobowych

w Unii Europejskiej

Dyrektywa nr. 95/46/WE Parlamentu Europejskiego i Rady z dn. 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych

Traktat o Funkcjonowaniu Unii Europejskiej (TFUE) (Traktat lizboński) z 13 grudnia 2007 r., art. 16 w sprawie ochrony danych osobowych i swobodnego przepływu danych osobowych, umożliwiającego również współpracę policji i wymiaru sprawiedliwości w sprawach karnych.

1

2



w Unii Europejskiej

Traktat o Funkcjonowaniu Unii Europejskiej, art. 16:

Stworzył nową podstawę prawną bardziej nowoczesnego i kompleksowego podejścia do ochrony danych osobowych

Umożliwił współpracę policyjną i współpracę wymiaru sprawiedliwości w sprawach karnych dotyczących danych osobowych

1.

2.



w Unii Europejskiej

Traktat o Funkcjonowaniu Unii Europejskiej, art. 16

Ust. 1:

Ust. 2:

Ustanawia zasadę, zgodnie z którą każda osoba ma prawo do ochrony danych osobowych jej dotyczących

Art. 8: wprowadził ochronę danych osobowych jako jedno z praw podstawowych – jest to szczególna podstawa prawna dla ochrony w/w danych

zapewnienie równorzędnego poziomu ochrony danych w UECel:

27

Dlaczego zmiany?


Technologia umożliwia zarówno przedsiębiorcom prywatnym, jak i organom publicznym wykorzystywanie danych osobowych do wykonywania

powierzonych im zadań na niespotykaną dotąd skalę.

Procesy po 1995 r., jakie wpłynęły na potrzebę nowych regulacji prawnych w dziedzinie ochrony danych osobowych:

Szybki rozwój technologiczny

Szybki rozwój gospodarczy

Wzrost skali wymiany i zbierania danych osobowych

Osoby fizycznie coraz częściej udostępniają informacje osobowe publicznie i globalnie, nie zdając sobie w pełni sprawy, jakie z tym wiążą się ryzyka.

28

Efekty dotychczasowej dyrektywy


Dotychczasowe dyrektywy a prawo wewnątrzpaństwowe

Rozdrobnione otoczenie prawne, w którym występuje brak pewności prawnej i nierówna ochrona osób

fizycznych

W przepisach obowiązujących w państwach członkowskich nadal

istnieją istotne rozbieżności

29

Efekty dotychczasowej dyrektywy


Dotychczasowe dyrektywy

a osoby fizyczne

72% użytkowników Internetu w Unii

Europejskiej:

Utrata kontroli nad własnymi danymi

osobowymi

Codziennie gromadzeniu i przetwarzaniu podlega bardzo duża ilość danych osobowych

Osoby fizyczne bardzo często nie są świadome, iż ich dane są

gromadzone i przetwarzane

Nadal uważa, że w środowisku online musi podawać zbyt wiele

danych osobowych

Nie wie, jak egzekwować swoje prawa w środowisku internetowym

30

Przyczyny nowej regulacji


Brak zaufania konsumenta do

Internetu

Dokonywania zakupów towarów w Internecie

Dokonywania zakupów usług w Internecie, w tym usług

bankowych

Korzystania z nowych usług, w tym usług administracji

państwowej (e-government)

Niepewność w kwestii:

31

Główne cele nowej regulacji


Cel:

Środek do celu:

Lepsze i szersze wykorzystanie nowych możliwości technologicznych związanych z Internetem, w tym z cloud computingiem

Budowa zaufania do Internetu jako kluczowego elementu rozwoju tej technologii

32

Główne cele nowej regulacji


Zwiększenie wymiaru ochrony danych osobowych, związanych z rynkiem wewnętrznym poprzez zmniejszenie

rozdrobnienia, poprawę spójności i uproszczenie środowiska regulacyjnego

Zwiększenie spójności unijnych ram ochrony danych osobowych, w tym w obszarze współpracy policyjnej i

współpracy wymiarów sprawiedliwości

Podwyższenie skuteczności podstawowego prawa do ochrony danych osobowych

33

Szczegółowe zmiany w nowej regulacji


1.

3.

2.

Do

do

tych

czas

ow

ych

zas

ad

prz

etw

arza

nia

dan

ych

oso

bo

wyc

h

do

dan

o w

szc

zegó

lno

ści z

asad

y: Przejrzystości zbioru danych

Minimalizacji danych

Ponoszenia całkowitej odpowiedzialności przez administratora

34



Uzupełniono obowiązek informowania podmiotu danych o jego prawach w zakresie danych osobowych o obowiązek:

Informowania podmiotów danych o okresie przechowywania ich danych

Prawach do poprawiania lub usuwania danych oraz zgłaszania skarg

35



Podkreślono prawo podmiotu danych do bycia zapomnianym i do usunięcia danych

poinformowania osób trzecich o wniosku podmiotu danych dotyczącym usunięcia wszelkich linków do danych

poinformowania osób trzecich o wniosku podmiotu danych dotyczącym usunięcia wszelkich kopii lub replikacji tych danych

Wprowadzono obowiązek administratora, który podał dane osobowe podmiotu do wiadomości publicznej do:

1.

2.

36



Wprowadzono prawo podmiotu danych do przenoszenia danych, tj. do przenoszenia ich z jednego elektronicznego systemu przetwarzania do innego

Administrator nie ma prawa do zapobiegania takiemu przenoszeniu danych podmiotu

1.

2.

Podmiot danych ma prawo do uzyskania od administratora swoich danych w zorganizowanym i powszechnie stosowanym formacie elektronicznym

3.

37

Szczegółowe zmiany w nowej regulacji: wzmocnienie organów krajowych


Wzmocnienie niezależności i uprawnień krajowych

organów do spraw ochrony danych

Obowiązek przekazywania unijnym organom przez państwa członkowskie

wystarczających zasobów

Znaczące wzmocnienie pozycji krajowych

organów nadzoru w strukturze zarządzania

państwem

38

Szczegółowe zmiany w nowej regulacji: Europejska Rada Ochrony Danych


Prawo do reprezentacji w Radzie oraz do uczestniczenia w jej działaniach ma Komisja Europejska

Europejski Inspektor Ochrony Danych

Szefowie organów nadzorczych wszystkich państw członkowskich

Skła

d E

uro

pe

jski

ej R

ady

Och

ron

y d

anyc

h

39

DZIĘKUJĘ ZA WYSŁUCHANIE PRELEKCJI


Stefan Cieśla

Kancelaria Radcy Prawnego Stefan CieślaUl. Foksal 18

00-372 Warszawawww.radcaprawny-ciesla.pl

[email protected]. 22 389 61 27

© opracowanie koncepcyjne i graficzne: Elżbieta Cieśla ©

http://www.radcaprawny-ciesla.pl/

mailto:[email protected]

bezpieczna chmura warunki legalnego przetwarzania...

Documents