Przechowywanie i przetwarzanie danych poza przedsiębiorstwem w modelu cloud computing. Na co zwracać szczególną uwagę przy podpisywaniu umów z dostawcą.

Slides:



Advertisements
Podobne prezentacje
AKTUALIZACJA STANU PRAWNEGO W ZAKRESIE KONTROLI WYMOGÓW I KONTROLI IDENTYFIKACJI I REJESTRACJI ZWIERZĄT Puławy, ; r.;
Advertisements

JASTRZĘBIA GÓRA 2010 Przekształcenia do postaci mapy zasadniczej do postaci cyfrowej i utworzenia baz danych Karol Kaim.
Dr hab. Fryderyk Zoll, prof. UJ i ALK
1 Zatrudnianie personelu do projektu Reguła proporcjonalności Kwalifikowalność uczestników.
1. Podstawy prawne: - ustawa z dnia 7 kwietnia 1989 r.  Prawo o stowarzyszeniach, (Dz.U j. t. z późn. zm.) - ustawa z dnia 25 czerwca 2010 r.
Prace UE w zakresie systemów zabezpieczenia społecznego
Organizacje pozarządowe
Plan gospodarowania wodami – harmonogram i planowane prace
POSTĘPOWANIE KONTROLNE
Wdrożenie Dyrektywy 98/83/EC
Zasady wyboru podręczników przez nauczycieli.
Katowice, dnia 2 października 2012 roku
[Main presentation title here – Verdana – 16 font]
Szwajcarsko-Polski Program Współpracy
Prof. dr hab. Krystyna Szczepanowska – Kozłowska
Kompleksowe zarządzanie bezpieczeństwem informacji
Michał Sztąberek iSecure Sp. z o.o.
Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE.
Rodzaje danych i podstawy prawne ich przetwarzania w branży ubezpieczeniowej adw. dr Paweł Litwiński 1 1.
Emilia Stępień, Bird&Bird Warszawa, 21 maja 2010
RADY PRACOWNIKÓW Katarzyna Dulewicz Tomasz Sancewicz
Najważniejsze prace legislacyjne dotyczące problematyki społeczeństwa informacyjnego zakończone w 2001 r. Grażyna Omarska p.o. Dyrektor Departamentu Systemów.
PRZYGOTOWANIA DO REACH W POLSCE PIOTR ZABADAŁA MINISTERSTWO GOSPODARKI
elektronicznego fakturowania
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Ochrona danych osobowych
Realizacja planu kontroli agencji zatrudnienia z terenu województwa pomorskiego przez Wojewódzki Urząd Pracy w Gdańsku za okres od r. do
Aktualne zagadnienia prawne.
WSPÓŁPRACA W ZAKRESIE NADZORU NAD WYROBAMI MEDYCZNYMI WPROWADZANYMI DO OBROTU I DO UŻYWANIA NA TERYTORIUM POLSKI Zgodnie z art ustawy z dnia 20 kwietnia.
–KANCELARIA RADCÓW PRAWNYCH SOBCZAK - POŁCZYŃSKA ŁAGODA –1–1 człowiek – najlepsza inwestycja Projekt współfinansowany przez Unię Europejską w ramach Europejskiego.
Szkolenie w zakresie ochrony danych osobowych
Dane Osobowe - prezentacja zrealizowana przez Katarzynę Malinowską w ramach projektu „Twoje Dane – Twoja sprawa”
BIURA PODRÓŻY OPRACOWAŁA: D.DUNIEWICZ-KUFEL
mgr Michał Czerniawski LL.M. Uniwersytet Warszawski
w Jednostce Wojskowej Nr i jednostkach wojskowych podporządkowanych
PAŃSTWOWA INSPEKCJA SANITARNA
Tworzenie i organizacja banków
Ochrona danych osobowych
WYDZIAŁ KSZTAŁCENIA PRZEDSZKOLNEGO, PODSTAWOWEGO I GIMNAZJALNEGO Gdańsk, dnia 26 sierpnia 2008 r. Kuratorium Oświaty w Gdańsku.
RADY PRACOWNIKÓW nowy aktor dialogu społecznego
Podatki Vat.
Ochrona danych osobowych: wybrane aspekty
Usługi BDO - odpowiedź na realne potrzeby rynku
Asseco Poland S.A. dla banków spółdzielczych
Zasady stosowania 50 % kosztów uzyskania przychodu
Quo Vadis ? 50 lat kodeksu cywilnego
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Pracownicze dane osobowe
1 Nowe przepisy unijne Dyrektywa z roku 2014 w sprawie ustawowych badań rocznych sprawozdań finansowych i skonsolidowanych sprawozdań finansowych Maria.
PAWEŁ SOBOTKO Ponadzakładowy układ zbiorowy pracy w szkolnictwie wyższym. Ewolucja regulacji prawnej.
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
 Przedmiotem zamówienia jest wykonanie usług ochroniarskich i usług portierskich na terenie domów pomocy społecznej, wchodzących.
Jak powstaje chmura? Maciej Nabożny, Miłosz Zdybał
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
Bezpieczeństwo cloud computing FAKTY I MITY Beata Marek, cyberlaw.pl Beata Marek, cyberlaw.pl Kancelaria w chmurze, Kancelaria w chmurze, 19.X X.2012.
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
Bezpieczeństwo informacyjne i informatyczne państwa
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
TRANSPORTOWY DOZÓR TECHNICZNY
Departament Rozwoju Regionalnego i Funduszy Europejskich
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
DZIAŁANIA GRUPY ROBOCZEJ ART.29
RODO Rafał Kiełkowski Wiceprezes Okręgowej Rady Lekarskiej
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
Ochrona baz danych.
Prawo ubezpieczeń gospodarczych - Ramy Prawne
OCHRONA DANYCH OSOBOWYCH Andrzej Rybus-Tołłoczko
Klauzula informacyjna
KREDYT KONSUMENCKI OCHRONA KONSUMENTA mgr Barbara Trybulińska.
Zapis prezentacji:

Przechowywanie i przetwarzanie danych poza przedsiębiorstwem w modelu cloud computing. Na co zwracać szczególną uwagę przy podpisywaniu umów z dostawcą i na jakie niebezpieczeństwa prawne uważać? Janina Ligner-Żeromska, adwokat, Partner Konferencja pt.: Systemy dla przedsiębiorstw 24 października 2012 roku, Łódź

Przechowywanie i przetwarzanie danych poza przedsiębiorstwem w modelu cloud computing Charakterystyka usług przetwarzania w chmurze; Rodzaje danych przetwarzanych w chmurze; Zasady ochrony danych osobowych w chmurze; Podstawowe zagadnienia do uregulowania w umowach.

Wartość światowego rynku usług CC ma wynieść w 2012 roku 37,9 mld USD Wartość rynku CC Usługi przetwarzania w chmurze stanowiły 7% wartości całego rynku IT outsourcingu szacowanego na 520 mln USD w 2010 roku; Przewidywane tempo wzrostu tego segmentu usług do roku 2015 to 33% rocznie Poland's Cloud Services Market 2011-2015 Forecast and 2010 Competitive Analysis Wartość światowego rynku usług CC ma wynieść w 2012 roku 37,9 mld USD Visiongain (badania z 2012) Wartość światowego rynku usług CC ma wynieść w 2015 roku 72,9 mld USD, co stanowi roczny wzrost o średnio 27,6%, podczas gdy ogólny rynek usług IT wzrasta o około 6,7% średniorocznie. IDC cloud research badania z 2010 roku

Charakterystyka usług przetwarzania w chmurze

Charakterystyka usług przetwarzania w chmurze (1) Cel: zapewnienie zasobów IT (zarówno software, jak i hardware) na żądanie użytkowników, podczas gdy przetwarzanie nie odbywa się wewnątrz struktury przedsiębiorstwa, lecz poza nim, u usługodawcy. Zalety cloud computing: On-demand; Redukcja kosztów; Niezależność od położenia źródeł danych; Mierzalność; Skalowalność; Łatwiejsze utrzymanie.

Charakterystyka usług przetwarzania w chmurze (2) Modele usług cloud computing: Kolokacja; Infrastructure as a Service (IaaS); Platform as a Service (PaaS); Software as a Service (SaaS). Modele świadczenia usług w chmurze: Chmura prywatna; Chmura publiczna; Chmura hybrydowa.

Rodzaje danych przetwarzanych w chmurze

Rodzaje danych przetwarzanych w chmurze (1) Dane przetwarzane w chmurze, jak wszelkie dane, informacje, oraz inna treść, może podlegać ochronie prawnej na różnych podstawach, np. jako: Dane osobowe, uregulowane: Dyrektywą Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/EC) w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu tych danych oraz Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst jednolity: Dz. U. 2002 r., Nr 101 poz. 926, ze zm.); Tajemnica przedsiębiorstwa, uregulowana: Ustawą z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (tekst jednolity: Dz. U. 2003 r., Nr 153, poz. 1503, ze zm.);

Rodzaje danych przetwarzanych w chmurze (2) Tajemnica bankowa lub ubezpieczeniowa, uregulowane: Ustawą z dnia 29 sierpnia 1997 r. prawo bankowe (tekst jednolity: Dz.U. 2002 r., Nr 72, poz. 665, ze zm.); Ustawa z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (tekst jednolity: Dz.U. 2010, Nr 11, poz. 66, ze zm.); Informacje niejawne, uregulowane: Ustawą z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U. 2010 r., Nr 182, poz. 1228,); Utwór w rozumieniu: Ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (tekst jednolity: Dz.U. 2000 r. Nr 80, poz. 904, ze zm.);

Rodzaje danych przetwarzanych w chmurze (3) Tajemnica telekomunikacyjna, uregulowana: Ustawą z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. 2004 r., Nr 171, poz. 1800, ze zm.); Know-how: w rozumieniu tajemnicy przedsiębiorstwa uregulowane w Ustawie o zwalczaniu nieuczciwej konkurencji lub W postaci utworu uregulowane ustawą o prawie autorskim i prawach pokrewnych.

Zasady ochrony danych osobowych w chmurze

Zasady ochrony danych osobowych w chmurze (1) Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; Danymi osobowymi będą zatem informacje odnoszące się do wszystkich aspektów danej osoby, jej życia osobistego i zawodowego, wykształcenia, cech fizycznych i charakteru, stanu majątkowego, etc. – o ile te informacje można przypisać tejże konkretnej osobie; Identyfikacja bezpośrednia (np. poprzez podanie imienia, nazwiska i adresu), lub pośrednia - przetwarzane informacje pozwalają bez nadmiernego nakładu kosztów, czasu i środków na dokonanie takiej identyfikacji; Przetwarzanie danych osobowych to: jakiekolwiek operacje dokonywane na danych osobowych, m.in.: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, zwłaszcza w systemach teleinformatycznych.

Zasady ochrony danych osobowych w chmurze (2) Generalna zasada przekazywania przetwarzania do państw trzecich : Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych (art. 47 uodo); Problem przy chmurze – przetwarzanie z reguły odbywa się bez konkretyzacji lokalizacji serwera/infrastruktury IT. Administrator Danych osobowych to: Organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych; O fakcie czy dany podmiot jest, czy też nie jest administratorem decyduje jego faktyczna „decyzyjność” w zakresie środków i celów przetwarzania – nie można natomiast uregulować statusu administratora umownie, np. przenieść pełnienie tej funkcji na inny podmiot.

Zasady ochrony danych osobowych w chmurze (3) Administratorzy danych decydujący się na powierzenie przetwarzania danych w chmurze zobowiązani się do wybrania przetwarzającego, który zapewni wystarczające techniczne i organizacyjne środki bezpieczeństwa. Na administratorze danych ciąży obowiązek zapewnienia aby dane były: przetwarzane zgodnie z prawem; zbierane dla oznaczonych zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami; merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; a także przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Zasady ochrony danych osobowych w chmurze (4) Umowa o świadczenie usług przetwarzania w chmurze w zakresie danych osobowych będzie miała charakter umowy powierzającej przetwarzanie danych osobowych. Zgodnie z Opinią nr 5/2012 Grupy Roboczej Art. 29 ds. Ochrony Danych w sprawie przetwarzania danych w chmurze obliczeniowej : „umowa musi co najmniej ustanawiać fakt, w szczególności, że przetwarzający ma przestrzegać instrukcji administratora oraz że przetwarzający (procesor) musi wdrożyć środki techniczne i organizacyjne, aby odpowiednio chronić dane”; Grupa Robocza Art. 29 sformułowała wytyczne dotyczące wymogów, którym powinna odpowiadać umowa pomiędzy klientem, a dostawcą usług w chmurze, które mogą okazać się pomocne przy konstruowaniu takich umów.

Zasady ochrony danych osobowych w chmurze (5) Zgodnie z Opinią nr 5/2012 Grupa Robocza art. 29 formułuje m.in. następujące wytyczne co do zawartości umów z dostawcami usług w chmurze: informacje o gwarantowanym poziomie usług (SLA) i ew. konsekwencje; stosowane środki bezpieczeństwa; ramy czasowe świadczenia usługi, zakres, sposób i cel przetwarzania, rodzaje danych; zasady zwrotu danych lub zniszczenia danych; klauzula poufności; wsparcie dostawcy usług w wykonywaniu obowiązków administratora; odpowiednia regulacja możliwości podpowierzania przetwarzania danych osobowych;

Zasady ochrony danych osobowych w chmurze (6) zawiadomienie klienta o wszelkich przypadkach naruszeń ochrony danych; obowiązek wskazania klientowi listy lokalizacji, w których dostawca będzie dane przetwarzał; monitorowanie i kontrola przetwarzania; obowiązek informowania klienta o istotnych zmianach dotyczących świadczonej usługi; rejestrowanie i kontrolowanie istotnych operacji przetwarzania; obowiązek zawiadamiania klienta o każdym prawnie wiążącym wniosku o udostępnienie danych osobowych przez organ egzekwowania prawa.

Zasady ochrony danych osobowych w chmurze (7) Zabezpieczenia umowne: Transgraniczne przekazywanie danych: możliwość ograniczenia przypadku przekazywania danych do wybranych krajów – zastrzeganie geolokalizacji serwerów/infrastruktury IT; Rejestrowanie i kontrolowanie przetwarzania: wymóg rejestrowania operacji przetwarzania danych; Środki techniczne i organizacyjne: eliminacja lub złagodzenie zagrożeń wynikających z braku kontroli i braku informacji (zapewnienie środków mających na celu zapewnienie dostępności, integralności, poufności, odizolowania, możliwości interwencji i przenoszenia danych). Należy spodziewać się, iż na przestrzeni nadchodzących lat istotnie zmieni się regulacja. W szczególności Dyrektywa 95/46 oraz uodo mają zostać zastąpione ogólnym rozporządzeniem o ochronie danych osobowych, które ujednolici w pełni regulacje w całej UE.

Planowany zakres nowelizacji uodo w 2012 r. Projekt nowelizacji Stowarzyszenia Administratorów Bezpieczeństwa Informacji z 4 maja 2012 r. uodo zakłada: rozszerzenie kompetencji rejestracyjnych GIODO na informacje o Administratorach Bezpieczeństwa Informacji (ABI); możliwość przeprowadzania przez niezależnego ABI, na wniosek GIODO, uproszczonej kontroli przestrzegania przepisów o ochronie danych osobowych; nowy status i zakres zadań ABI, zapewniające mu niezależność w wykonywaniu zadań, możliwość kontroli przestrzegania przepisów i prowadzenie wewnętrznego rejestru zbioru danych; wyłączenie od obowiązku rejestracyjnego administratorów zbiorów danych, jeśli powołali oni i zgłosili do Generalnego Inspektora ABI , który prowadzi wewnętrzny i uproszczony rejestr zbiorów danych; Powyższe wyłączenie nie dotyczy danych wrażliwych. W tym przypadku administrator danych nie będzie zobowiązany do powstrzymywania się od przetwarzania danych do momentu dokonania rejestracji, o ile ABI stwierdzi zgodność przetwarzania danych wrażliwych z ustawą.

Podstawowe zagadnienia do uregulowania

Podstawowe zagadnienia do uregulowania (1) Bezpieczeństwo Szyfrowanie (protokół SSL); Firewalle; Standardy atestowanych centrów danych; Polska: standard SAS 70 i ISAE 3402. Audyt, kontrola jakości Zewnętrzna firma audytorska, komitety audytów, standardy, certyfikaty. Podwykonawcy Możliwość korzystania z usług podwykonawstwa; Wymagania co do kwalifikacji i doświadczenia podwykonawcy i jego personelu; odpowiedzialność – solidarna, lub jak za własne działania.

Podstawowe zagadnienia do uregulowania (2) Gwarancja jakości (SLA) Dotycząca wymaganych poziomów niezawodności; Pod względem konkretnych parametrów technicznych lub zakresów czasowych dostępności usługi; Minimalne poziomy usług; Backupy, redundantność systemów; koszta tworzenia i przechowywania kopii zapasowych, częstotliwość. Usługi utrzymania i rozwoju, business continuity planning Kwestie fuzji; Upadłość; Cesje. Wynagrodzenie, zasady rozliczeń Zmiany wynagrodzeń (inflacja). Kary umowne Łatwiejsze dochodzenie – odpowiedzialność kontraktowa.

Podstawowe zagadnienia do uregulowania (3) Dane osobowe Podstawa prawna na przetwarzanie danych osobowych osób będących np. w bazach danych, które są przedmiotem umowy; Wymagania zgodne z wytycznymi Grupy Roboczej art. 29. Umowy licencyjne (podatki) Spory, arbitraż Klauzule eskalacyjne – negocjacje pomiędzy komitetami, pomiędzy przedstawicielami spółek, arbitraż (Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji, Polska Izba Informatyki i Telekomunikacji (PIIT) , zapis na sąd polubowny, wybór właściwości miejscowej sądu i prawa, konwencje międzynarodowe. Odstąpienie, rozwiązanie umowy, odwracalność

Niebezpieczeństwa w chmurze (1) Mimo obowiązków odpowiedniego zabezpieczania danych przetwarzanych w chmurze, znane są przykłady wielkich „wycieków” tych danych, mi. in: W 2010 r. Microsoft poinformował, że dane użytkowników ich usługi Business Productivity Online Suite, zawarte w ich książkach adresowych, zostały udostępnione i mogły zostać pobrane przez osoby nieupoważnione; Microsoft oznajmił, że przyczyną tej awarii były „kwestie konfiguracji” w centrach danych w Stanach Zjednoczonych, Europie i Azji. Usterkę w systemie naprawiono po 2 godzinach od jej wykrycia, jednak nie wiadomo, na jak długo dane zostały udostępnione i jak wiele z nich zostało pobranych przez nieupoważnionych użytkowników.

Niebezpieczeństwa w chmurze (2) Problem z „wyciekiem” danych dotknął także użytkowników usługi Dropbox. W 2011 r. Dropbox na swoim blogu ogłosił, że jedna z aktualizacji uszkodziła mechanizm uwierzytelniania kont użytkowników; Awaria pozwoliła przez 4 godziny na zalogowanie się dowolnej osobie na konto użytkownika Dropbox bez podania prawidłowego hasła; Po wykryciu usterki, Dropbox unieważnił wszystkie zalogowane sesje oraz powiadomił, że błąd dotyczył niewielkiej części posiadaczy kont, którzy zostali poinformowani o usterce.

Kontakt Janina Ligner-Żeromska Adwokat, Partner T: +48 22 557 7685 E: Janina.Ligner-Zeromska@dzp.pl

www.dzp.pl