GRUPA ROBOCZA ART. 29 DS. OCHRONY DANYCH

Wielkość: px
Rozpocząć pokaz od strony:

Download "GRUPA ROBOCZA ART. 29 DS. OCHRONY DANYCH"

Transkrypt

1 GRUPA ROBOCZA ART. 29 DS. OCHRONY DANYCH 01037/12/PL WP 196 Opinia 05/2012 na temat przetwarzania danych w chmurze obliczeniowej przyjęta dnia 1 lipca 2012 r. Grupa robocza została ustanowiona na mocy art. 29 dyrektywy 95/46/WE. Jest ona niezależnym europejskim organem doradczym w zakresie ochrony danych i prywatności. Zadania grupy określone są w art. 30 dyrektywy 95/46/WE i art. 15 dyrektywy 2002/58/WE. Obsługę sekretariatu zapewnia Dyrekcja Generalna ds. Sprawiedliwości, Wolności i Bezpieczeństwa Komisji Europejskiej, Dyrekcja C (Prawa Podstawowe i Obywatelstwo Unii Europejskiej), B-1049 Bruksela, Belgia, Biuro nr MO-59 06/036. Strona internetowa: 1

2 Streszczenie W niniejszej opinii Grupa Robocza Art. 29 analizuje wszystkie kwestie istotne dla dostawców usług w chmurze obliczeniowej działających w Europejskim Obszarze Gospodarczym (EOG) i ich klientów, jednocześnie wyszczególniając w stosownych przypadkach wszystkie obowiązujące przepisy zawarte w dyrektywie UE w sprawie ochrony danych (95/46/WE) i dyrektywie o prywatności i łączności elektronicznej 2002/58/WE (zmienionej dyrektywą 2009/136/WE). Pomimo uznanych korzyści przetwarzania danych w chmurze obliczeniowej pod względem gospodarczym i społecznym, w niniejszej opinii przedstawiono, jak zastosowanie usług przetwarzania danych w chmurze obliczeniowej na szeroką skalę może prowadzić do szeregu zagrożeń w zakresie ochrony danych, głównie braku kontroli nad danymi osobowymi, jak również niewystarczających informacji na temat sposobu przetwarzania danych, jego miejsca i podmiotów przetwarzających/podprzetwarzających dane. Podmioty publiczne i przedsiębiorstwa prywatne rozważające skorzystanie z usług w chmurze powinny uważnie ocenić te zagrożenia. W niniejszej opinii zbadano kwestie związane z dzieleniem się zasobami z innymi stronami, brakiem przejrzystości łańcucha outsourcingu składającego się z wielu przetwarzających i podwykonawców, niedostępnością wspólnych ogólnoświatowych ram dotyczących przenoszenia danych i niepewnością co do dopuszczalności przekazywania danych osobowych dostawcom usług w chmurze z siedzibą poza EOG. Również brak przejrzystości w odniesieniu do informacji, jakie administrator danych może dostarczyć osobie, której dane dotyczą, na temat sposobu przetwarzania jej danych osobowych został wskazany w opinii jako kwestia budząca poważne zaniepokojenie. Osoby, których dane dotyczą, muszą 1 być informowane o tym, kto przetwarza ich dane i w jakich celach, oraz aby móc wykonywać stosowne prawa, które zostały im przyznane w tej kwestii. Głównym wnioskiem niniejszej opinii jest pogląd, że podmioty gospodarcze i organy administracji pragnące korzystać z przetwarzania danych w chmurze powinny w pierwszej kolejności przeprowadzić szeroko zakrojoną i dokładną analizę zagrożeń. Wszyscy dostawcy usług w chmurze świadczący usługi na terytorium EOG powinni przekazać klientowi usług w chmurze wszystkie niezbędne informacje, by mógł on właściwie ocenić dodatnie i ujemne strony skorzystania z takiej usługi. Dla klientów najważniejszymi decydującymi elementami oferty świadczenia usług przetwarzania danych w chmurze powinny być bezpieczeństwo, przejrzystość i pewność prawna. Jeżeli chodzi o zalecenia w niniejszej opinii, podkreśla się odpowiedzialność klienta usług w chmurze jako administratora danych i w związku z tym zaleca się, by klient wybrał takiego dostawcę usług w chmurze, który zagwarantuje zgodność z prawodawstwem UE z zakresu ochrony danych. W opinii poruszono kwestię właściwych zabezpieczeń umownych, w tym wymóg, żeby każda umowa między klientem a dostawcą usług w 1 Kluczowe słowa MUSI ( MUST ), NIE WOLNO ( MUST NOT ), WYMAGANY ( REQUIRED ), NALEŻY ( SHALL ), NIE NALEŻY ( SHALL NOT ), POWINIEN ( SHOULD ), NIE POWINIEN ( SHOULD NOT ) ZALECANY ( RECOMMENDED ), MOŻE ( MAY ) i FAKULTATYWNY ( OPTIONAL ) w niniejszym dokumencie należy rozumieć zgodnie z definicjami w zaproszeniu do zgłaszania uwag nr Dokument jest dostępny na stronie internetowej: Ze względu na czytelność wyrazy te nie zostały zapisane wielkimi literami w niniejszej specyfikacji. 2

3 chmurze zawierała wystarczające gwarancje co do środków technicznych i organizacyjnych. Istotne jest również zalecenie, by klient zweryfikował, czy dostawca usług w chmurze może zagwarantować zgodność z prawem wszelkich operacji międzynarodowego przekazywania danych. Tak jak w przypadku każdego procesu o charakterze ewolucyjnym, również coraz częstsze stosowanie przetwarzania danych w chmurze jako światowego paradygmatu technologicznego stało się wyzwaniem. Niniejsza opinia w obecnej postaci może być uznana za ważny krok w definiowaniu zadań, których powinno się podjąć w nadchodzących latach środowisko zajmujące się ochroną danych. 3

4 Spis treści Streszczenie Wprowadzenie Zagrożenia dla ochrony danych w chmurze obliczeniowej Ramy prawne Ramy prawne ochrony danych Prawo właściwe Obowiązki i odpowiedzialność różnych podmiotów Klient i dostawca usług w chmurze Podwykonawcy Wymogi dotyczące ochrony danych w stosunku klient-dostawca Zgodność z podstawowymi zasadami Przejrzystość Określenie i ograniczenie celu Usuwanie danych Zabezpieczenia umowne stosunku administrator danych przetwarzający Środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo danych Dostępność Integralność Poufność Przejrzystość Odizolowanie (ograniczenie celu) Możliwość interwencji Możliwość przenoszenia danych Rozliczalność Międzynarodowe przekazywanie danych Program Bezpieczna przystań ( Safe Harbor ) i państwa zapewniające odpowiedni poziom ochrony Wyłączenia Standardowe klauzule umowne Wiążące reguły korporacyjne: w kierunku podejścia globalnego Wnioski i zalecenia Wskazówki dla klientów i dostawców usług w chmurze obliczeniowej Certyfikacja w zakresie ochrony danych zapewniona przez osobę trzecią Zalecenia: przyszłe zmiany ZAŁĄCZNIK a) Modele wdrożenia b) Modele świadczenia usług

5 1. Wprowadzenie W opinii niektórych osób przetwarzanie danych w chmurze jest jedną z największych rewolucji technologicznych, do których ostatnio doszło. Dla innych stanowi to po prostu naturalną ewolucję grupy technologii mającą na celu ziszczenie odwiecznych marzeń o użytkowym dostępie do narzędzi informatycznych (utility computing). W każdym razie wiele zainteresowanych stron uznało przetwarzanie danych w chmurze za priorytet w kontekście opracowywania swoich strategii technologicznych. Na przetwarzanie danych w chmurze składa się zbiór technologii i modeli usług, które koncentrują się na wykorzystywaniu i dostarczaniu przez internet aplikacji informatycznych, zdolności przetwarzania, przechowywania i pojemności pamięci. Przetwarzanie danych w chmurze może przynieść istotne korzyści gospodarcze z uwagi na relatywną łatwość konfiguracji, rozszerzania i dostępu do zasobów na żądanie w internecie. Oprócz korzyści gospodarczych przetwarzanie danych w chmurze może również przynieść korzyści w zakresie bezpieczeństwa; przedsiębiorstwa, w szczególności małe i średnie, mogą nabyć po marginalnych kosztach technologie najwyższej klasy, które w innym przypadku przekraczałyby ich możliwości budżetowe. Dostawcy usług w chmurze oferują szeroki wybór usług, począwszy od systemów wirtualnego przetwarzania (które zastępują standardowe serwery pod bezpośrednią kontrolą administratora danych lub funkcjonują łącznie z nimi), przez usługi wspierania opracowywania oprogramowania i udostępniania wyspecjalizowanych zaawansowanych usług w chmurze, po rozwiązania dotyczące oprogramowania opartego na sieci, które może zastąpić aplikacje standardowo instalowane w komputerach osobistych użytkowników końcowych. Obejmuje to edytory tekstów, aplikacje zawierające terminarze i kalendarze, systemy archiwizacji służące do przechowywania dokumentów online oraz rozwiązania dotyczące outsourcingu obsługi poczty elektronicznej. W załączniku do niniejszej opinii zawarto niektóre z najczęściej używanych definicji opisujących te różne rodzaje usług. W niniejszej opinii Grupa Robocza Art. 29 ds. Ochrony Danych (zwana dalej Grupą Roboczą Art. 29 ) analizuje obowiązujące prawo i zobowiązania administratorów danych na terytorium Europejskiego Obszaru Gospodarczego (zwanego dalej EOG ) oraz dostawców usług w chmurze w stosunku do klientów na terytorium EOG. W opinii skoncentrowano się na sytuacji zakładającej istnienie stosunku między administratorem danych a przetwarzającym, gdzie klienta uznano za administratora danych, a dostawcę usług w chmurze za przetwarzającego. W przypadkach gdy dostawca usług w chmurze działa również w charakterze administratora danych, musi on spełnić dodatkowe wymagania. W konsekwencji koniecznym warunkiem korzystania z przetwarzania danych w chmurze jest w przypadku administratora danych przeprowadzenie właściwej oceny zagrożeń, w tym lokalizacji serwerów, na których dane są przetwarzane, i uwzględnienie zagrożeń i korzyści w kontekście ochrony danych, zgodnie z kryteriami przedstawionymi poniżej. Niniejsza opinia precyzuje zasady obowiązujące tak administratorów danych, jak i przetwarzających, objęte ogólną dyrektywą o ochronie danych (95/46/WE), mianowicie określenie i ograniczenie celu, usuwanie danych oraz środki techniczne i organizacyjne. Opinia zawiera wskazówki na temat wymogów bezpieczeństwa stanowiących zabezpieczenie struktury i procedur. Szczególną uwagę zwrócono na ustalenia umowne, które powinny regulować stosunek między administratorem danych i przetwarzającym w tym zakresie. Klasycznymi celami bezpieczeństwa danych są dostępność, integralność i poufność. Ochrona 5

6 danych nie ogranicza się jednak do zapewnienia bezpieczeństwa danych, dlatego cele te zostały uzupełnione celami szczegółowymi ochrony danych, mianowicie zachowaniem przejrzystości, odizolowaniem danych, możliwością interwencji i możliwością przenoszenia danych w celu potwierdzenia prawa osoby fizycznej do ochrony danych zapisanego w art. 8 Karty praw podstawowych Unii Europejskiej. W odniesieniu do przekazywania danych poza terytorium EOG analizuje się standardowe klauzule umowne przyjęte przez Komisję Europejską, ustalenia dotyczące odpowiedniego poziomu ochrony i potencjalne przyszłe wiążące reguły korporacyjne obowiązujące przetwarzających, jak również zagrożenia dla ochrony danych wynikające z międzynarodowych wniosków organów ścigania. W końcowym punkcie niniejszej opinii przedstawiono zalecenia na temat przyszłych zmian w europejskich ramach ochrony danych dla klientów usług w chmurze jako administratorów danych, dostawców usług w chmurze jako przetwarzających oraz dla Komisji Europejskiej. Berlińska międzynarodowa grupa robocza ds. ochrony danych w sektorze telekomunikacji przyjęła w kwietniu 2012 memorandum sopockie 2. W dokumencie tym zbadano kwestie dotyczące prywatności i ochrony danych w przetwarzaniu danych w chmurze obliczeniowej i podkreślono, że przetwarzanie danych w chmurze nie może prowadzić do obniżenia norm ochrony danych w porównaniu ze standardowym przetwarzaniem danych. 2. Zagrożenia dla ochrony danych w chmurze obliczeniowej Ponieważ w niniejszej opinii skoncentrowano się na operacjach przetwarzania danych osobowych przy użyciu usług przetwarzania danych w chmurze, uwzględniono jedynie szczególne zagrożenia powiązane z tym kontekstem 3. Większość zagrożeń należy do dwóch pojemnych kategorii: chodzi mianowicie o brak kontroli nad danymi i niewystarczające informacje w odniesieniu do samej operacji przetwarzania (brak przejrzystości). Szczególne rodzaje zagrożeń przetwarzania danych w chmurze uwzględnione w niniejszej opinii obejmują: Brak kontroli Ze względu na powierzenie danych osobowych systemom zarządzanym przez dostawcę usług w chmurze jego klienci mogą utracić wyłączną kontrolę nad tymi danymi i nie mogą zastosować środków technicznych i organizacyjnych, by zapewnić dostępność danych, ich integralność, poufność, przejrzystość, odizolowanie 4, możliwość interwencji i przenoszenia danych. Brak kontroli może przejawiać się w poniższy sposób. o Brak dostępności z powodu braku interoperacyjności (uzależnienie od określonego dostawcy): jeżeli dostawca usług przetwarzania danych w chmurze opiera się na zastrzeżonej technologii, klientowi usług przetwarzania danych w chmurze może być trudno przenosić dane i dokumenty między różnymi systemami opartymi na usługach w chmurze (przenoszenie danych) lub wymieniać się informacjami z podmiotami Ponadto oprócz zagrożeń związanych z przetwarzaniem danych osobowych w chmurze wyraźnie wymienionych w niniejszej opinii, należy również uwzględnić wszystkie zagrożenia związane z outsourcingiem przetwarzania danych osobowych. W Niemczech wprowadzono szersze pojęcie, mianowicie niepołączalność. Por. przypis 24 poniżej. 6

7 korzystającymi z usług przetwarzania danych w chmurze zarządzanych przez innych dostawców (interoperacyjność). o Brak integralności spowodowany dzieleniem się zasobami: chmura obliczeniowa składa się ze współdzielonych systemów i infrastruktur. Dostawcy usług w chmurze przetwarzają dane osobowe pochodzące z wielu źródeł pod względem osób, których dane dotyczą, oraz organizacji i istnieje możliwość, że dojdzie do konfliktu interesów lub istnienia różnych celów. o Brak poufności w kontekście wniosków organów ścigania skierowanych bezpośrednio do dostawcy usług w chmurze: dane osobowe przetwarzane w chmurze obliczeniowej mogą stać się przedmiotem wniosków organów ścigania wydanych przez organy ścigania państw członkowskich UE i państw trzecich. Istnieje zagrożenie, że dane osobowe mogą zostać ujawnione (obcym) organom ścigania bez ważnej unijnej podstawy prawnej, a zatem doszłoby do naruszenia prawa UE z zakresu ochrony danych. o Brak możliwości interwencji z powodu złożoności i dynamiki łańcucha outsourcingu: usługa przetwarzania danych w chmurze proponowana przez jednego dostawcę może być wykonana przez połączenie usług wielu innych dostawców, które można w zależności od sytuacji dodawać lub usuwać w czasie trwania umowy z klientem. o Brak możliwości interwencji (prawa osób, których dotyczą dane): dostawca usług w chmurze nie zawsze zapewnia niezbędne środki i narzędzia, by wspomóc administratora danych w zarządzaniu danymi w odniesieniu do np. dostępu, usuwania lub poprawienia danych. o Brak odizolowania danych: dostawca usług w chmurze może wykorzystać fakt, że fizycznie kontroluje dane od różnych klientów, do połączenia danych osobowych. Jeżeli osoby zarządzające przetwarzaniem mają prawa wystarczająco uprzywilejowanego dostępu (role wysokiego ryzyka), mogą połączyć informacje od różnych klientów. Brak informacji dotyczących przetwarzania (przejrzystość) Niewystarczające informacje o operacjach przetwarzania w ramach usług w chmurze stanowią zagrożenia dla administratorów danych, jak również osób, których dane dotyczą, ponieważ mogą być oni nieświadomi potencjalnych niebezpieczeństw i zagrożeń, zatem nie mogą podjąć kroków, które uznają za właściwe. Niektóre potencjalne niebezpieczeństwa mogą wynikać z niewiedzy administratora danych na temat poniższych kwestii. o W przetwarzaniu biorą udział liczni przetwarzający i podwykonawcy. o Dane osobowe są przetwarzane w różnych lokalizacjach geograficznych na terytorium EOG. Wpływa to bezpośrednio na prawo właściwe w razie sporów z zakresu ochrony danych, które mogą powstać między użytkownikiem a dostawcą. o Dane osobowe są przekazywane do państw trzecich poza EOG. Państwa trzecie nie zawsze zapewniają odpowiedni poziom ochrony danych, a operacje przekazania mogą nie być zabezpieczone odpowiednimi środkami (np. standardowymi klauzulami umownymi lub wiążącymi regułami korporacyjnymi), a zatem mogą być niezgodne z prawem. Wymaga się, by osoby, których dane dotyczą, a których dane osobowe są przetwarzane w chmurze, były informowane o tożsamości administratora oraz celu przetwarzania danych (istniejący wymóg dla wszystkich administratorów danych na podstawie dyrektywy w 7

8 sprawie ochrony danych 95/46/WE). Uwzględniając potencjalną złożoność łańcuchów przetwarzania w środowisku przetwarzania danych w chmurze, administratorzy danych powinni również, w ramach dobrych praktyk, przekazywać informacje dotyczące (pod-) przetwarzających świadczących usługi w chmurze, aby zagwarantować rzetelność przetwarzania w odniesieniu do osoby, której dane dotyczą (art. 10 dyrektywy 95/46/WE). 3. Ramy prawne 3.1 Ramy prawne ochrony danych Odpowiednimi ramami prawnymi jest dyrektywa w sprawie ochrony danych 95/46/WE. Dyrektywę tę stosuje się w każdym przypadku, w którym przetwarzane są dane osobowe w następstwie korzystania z usług przetwarzania danych w chmurze obliczeniowej. Dyrektywę o prywatności i łączności elektronicznej 2002/58/WE (zmienioną dyrektywą 2009/136/WE) stosuje się do przetwarzania danych osobowych w związku z dostarczaniem publicznie dostępnych usług łączności elektronicznej w publicznych sieciach łączności (operatorzy telekomunikacyjni), a zatem jest ona właściwa, jeżeli takie usługi są dostarczane w drodze przetwarzania w chmurze Prawo właściwe Kryteria ustalenia prawa właściwego zostały określone w art. 4 dyrektywy 95/46/WE odnoszącym się do prawa mającego zastosowanie do administratorów danych 6, którzy mają co najmniej jedną siedzibę na terytorium EOG, jak również prawa mającego zastosowanie do administratorów danych działających poza EOG, którzy w celu przetwarzania danych osobowych użytkują jednak urządzenia zlokalizowane w EOG. Grupa Robocza Art. 29 przeanalizowała tę kwestię w opinii 8/2010 w sprawie prawa właściwego 7. W pierwszym przypadku czynnikiem decydującym o zastosowaniu prawa UE w stosunku do administratora danych jest lokalizacja jego siedziby, zgodnie z art. 4 ust. 1 lit. a) dyrektywy, bez względu na rodzaj modelu usług przetwarzania w chmurze. Właściwym ustawodawstwem jest prawo kraju, w którym siedzibę ma administrator danych zlecający usługi w chmurze obliczeniowej, a nie miejsce, w którym zlokalizowani są dostawcy usług przetwarzania danych w chmurze obliczeniowej. Jeżeli administrator ma siedziby w różnych państwach członkowskich i przetwarza dane w ramach swojej działalności gospodarczej w tych krajach, prawem właściwym jest prawo każdego z państw członkowskich, w którym dochodzi do przetwarzania Dyrektywa o prywatności i łączności elektronicznej 2002/58/WE (zmieniona dyrektywą 2009/136/WE): Dyrektywa 2002/58/WE o prywatności w sektorze telekomunikacji stosuje się do dostawców publicznie dostępnych usług łączności elektronicznej i nakłada wymóg, by zapewnić zgodność z obowiązkami odnoszącymi się do poufności komunikacji i ochrony danych osobowych, jak również praw i obowiązków w odniesieniu do usług i sieci łączności elektronicznej. W przypadkach gdy dostawcy przetwarzania danych w chmurze obliczeniowej działają jako dostawcy publicznie dostępnej usługi łączności elektronicznej, będą podlegać tej dyrektywie. Pojęcie administratora można znaleźć w art. 2 lit. h) dyrektywy i zostało ono przeanalizowane przez Grupę Roboczą Art. 29 w jej opinii 1/2010 w sprawie pojęć administrator danych i przetwarzający. 8

9 Artykuł 4 ust. 1 lit. c) 8 odnosi się do sposobu zastosowania przepisów dotyczących ochrony danych do administratorów danych, którzy nie mają siedziby na terytorium EOG, ale używają zautomatyzowanych lub niezautomatyzowanych urządzeń zlokalizowanych na terytorium danego państwa członkowskiego, z wyjątkiem gdy urządzenia te służą jedynie do celów tranzytu. Oznacza to, że jeżeli klient usług w chmurze ma siedzibę poza EOG, ale zleca usługę w chmurze dostawcy zlokalizowanemu na terenie EOG, wówczas przepisy dotyczące ochrony danych mają zastosowanie wobec klienta. 3.3 Obowiązki i odpowiedzialność różnych podmiotów Jak wskazano wcześniej przetwarzanie danych w chmurze obliczeniowej obejmuje szereg różnych podmiotów. Istotne jest, by ocenić i wyjaśnić rolę każdego z tych podmiotów w celu ustalenia ich konkretnych obowiązków w odniesieniu do obowiązujących przepisów z zakresu ochrony danych. Należy przywołać, że Grupa Robocza Art. 29 wskazała w swojej opinii 1/2010 w sprawie pojęć administrator danych i przetwarzający, że w przypadku pojęcia administratora danych podstawową i najważniejszą rolą jest określenie, kto odpowiada za zgodność z zasadami ochrony danych i w jaki sposób osoby, których dane dotyczą, mogą w praktyce wykonywać swoje prawa. Innymi słowy: powierzenie odpowiedzialności. W trakcie przedmiotowej analizy zainteresowane podmioty powinny pamiętać o tych dwóch podstawowych kryteriach wpływających na zgodność i powierzanie odpowiedzialności Klient i dostawca usług w chmurze Od klienta usług w chmurze zależy ostateczny cel przetwarzania i to on podejmuje decyzje dotyczące outsourcingu przetwarzania i delegowania organizacji zewnętrznej całej lub części działalności związanej z przetwarzaniem. Klient usług w chmurze działa zatem w charakterze administratora danych. Dyrektywa definiuje administratora danych jako osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych. Klient usług w chmurze jako administrator danych musi przyjąć odpowiedzialność za przestrzeganie przepisów prawnych dotyczących ochrony danych, jest odpowiedzialny za wypełnienie wszystkich obowiązków prawnych, o których mowa w dyrektywie 95/46/WE, oraz im podlega. Klient usług w chmurze może powierzyć dostawcy usług w chmurze zadanie wyboru metody oraz środków technicznych i organizacyjnych, które zostaną użyte, by osiągnąć cele administratora danych. Dostawca usług w chmurze jest podmiotem, który świadczy usługi przetwarzania danych w chmurze obliczeniowej w różnych omówionych powyżej formach. Kiedy dostawca usług w chmurze dostarcza środki oraz platformę, działając w imieniu klienta usług w chmurze, dostawcę tego uznaje się za przetwarzającego dane, a zatem zgodnie z dyrektywą 95/46/WE za osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych Artykuł 4 ust. 1 lit. c) stanowi, że ustawodawstwo państwa członkowskiego stosuje się, gdy administrator danych nie prowadzi działalności gospodarczej na terytorium Wspólnoty a do celów przetwarzania danych osobowych wykorzystuje środki, zarówno zautomatyzowane jak i inne, znajdujące się na terytorium wymienionego państwa członkowskiego, o ile środki te nie są wykorzystywane wyłącznie do celów tranzytu przez terytorium Wspólnoty. Niniejsza opinia koncentruje się jedynie na klasycznym stosunku administrator danych przetwarzający. 9

10 Jak stwierdzono w opinii 1/2010, niektóre kryteria 11 można zastosować do oceny sprawowania kontroli nad przetwarzaniem. W rzeczywistości może dojść do sytuacji, w których dostawcę usług w chmurze można uznać albo za współadministratora danych, albo za samego administratora danych w zależności od konkretnych okoliczności. Ma to miejsce na przykład wtedy, gdy dostawca przetwarza dane dla swoich własnych celów. Należy podkreślić, że nawet w złożonych środowiskach przetwarzania danych, w których przetwarzaniem danych osobowych zajmują się różni administratorzy danych, należy jednoznacznie określić, kto ponosi odpowiedzialność za zapewnienie zgodności z przepisami dotyczącymi ochrony danych i za ewentualne naruszenie tych przepisów, by uniknąć sytuacji, w której ochrona danych zostanie ograniczona lub powstanie negatywny spór kompetencyjny oraz luki, z powodu których niektóre zobowiązania i prawa wynikające z dyrektywy nie będą wykonywane przez żadną ze stron. Obecnie w kontekście przetwarzania danych w chmurze obliczeniowej klienci tych usług nie zawsze mają pole manewru w negocjacjach warunków umownych korzystania z usług w chmurze, ponieważ cechą wielu takich usług są wzorce umowne. Ostatecznie jednak to klient decyduje, czy całość lub część ogółu operacji przetwarzania dla konkretnych celów zostanie objęta usługami w chmurze; dostawca usług w chmurze będzie odgrywał w stosunku do klienta rolę zleceniobiorcy, co jest w tym przypadku najważniejszym elementem. W opinii 1/ w sprawie pojęć administrator danych i przetwarzający Grupa Robocza Art. 29 stwierdziła, że nie należy uznawać nierównowagi w określonych w umowie uprawnieniach małego administratora danych w stosunku do dużego usługodawcy, jako uzasadnienia przyjmowania przez administratora danych klauzul i warunków umów niezgodnych z przepisami dotyczącymi ochrony danych. Z tego względu administrator danych musi wybrać takiego dostawcę usług w chmurze, który zagwarantuje zgodność z przepisami dotyczącymi ochrony danych. Szczególną uwagę należy zwrócić na cechy obowiązujących umów muszą one obejmować zestaw standardowych zabezpieczeń dotyczących ochrony danych, w tym tych wymienionych przez Grupę Roboczą Art. 29 w pkt (Środki techniczne i organizacyjne) i w pkt 3.5 (Przepływy danych o charakterze transgranicznym) jak również wszelkie dodatkowe mechanizmy, które mogą okazać się odpowiednie, by ułatwić zapewnienie należnej staranności i rozliczalności (tj. audyty niezależnych stron trzecich i certyfikacja usług dostawców zob. pkt 4.2). Dostawcy usług w chmurze (jako przetwarzający) mają obowiązek zapewnić poufność. Dyrektywa 95/46/WE stanowi, że: Żadna osoba działająca z upoważnienia administratora danych lub przetwarzającego, włączając samego przetwarzającego, który ma dostęp do danych osobowych, nie może przetwarzać ich bez polecenia administratora danych, chyba że wymaga tego prawo. Dostęp do danych przez dostawcę usług w chmurze w trakcie świadczenia usług jest również unormowany co do zasady wymogiem zachowania zgodności z przepisami art. 17 dyrektywy zob. pkt Środowisko przetwarzania danych w chmurze obliczeniowej może być również wykorzystane przez osoby fizyczne (użytkowników) do wykonywania działalności o charakterze wyłącznie osobistym lub domowym. W takim przypadku należy dokładnie przeanalizować, czy ma zastosowanie tzw. wyjątek ze względu na domowy charakter działania, powodujący wyłączenie użytkowników z kategorii administratorów. Kwestia ta pozostaje jednak poza zakresem niniejszej opinii. Na przykład szczegółowość poleceń, monitorowanie przez klienta usług w chmurze, wiedza ekspercka stron. Opinia 1/2010 w sprawie pojęć administrator danych i przetwarzający 10

11 Przetwarzający muszą uwzględnić rodzaj danej chmury (publiczna, prywatna, środowiskowa czy hybrydowa / IaaS, SaaS lub PaaS [zob. załącznik a) Modele wdrożenia - b) Modele świadczenia usług]) oraz rodzaj usługi zleconej przez klienta. Przetwarzający są odpowiedzialni za przyjmowanie środków bezpieczeństwa zgodnie z prawodawstwem UE stosowanym w jurysdykcji administratora danych i przetwarzającego. Przetwarzający muszą również wspierać i wspomagać administratora danych w przestrzeganiu (wykonywanych) praw osób, których dane dotyczą Podwykonawcy Usługi przetwarzania danych w chmurze obliczeniowej mogą wiązać się z zaangażowaniem szeregu stron, którym powierzono usługi i które działają w charakterze przetwarzających. Powszechne jest również podzlecanie usług przez przetwarzających dodatkowym podprzetwarzającym, którzy następnie zyskują dostęp do danych osobowych. Jeżeli przetwarzający zlecają świadczenie usług podprzetwarzającym, są zobowiązani do udostępnienia tej informacji klientowi, wskazując dokładnie rodzaj podzleconej usługi, cechy obecnych i potencjalnych podwykonawców i gwarancje, jakie podmioty te przedstawiły dostawcy usług w chmurze obliczeniowej na dowód, iż będą przestrzegać dyrektywy 95/46/EC. Wszystkie odpowiednie zobowiązania muszą się zatem stosować także do podprzetwarzających w drodze umów zawieranych między dostawcą usług w chmurze i podwykonawcą, odzwierciedlając postanowienia umowy między dostawcą i klientem usług w chmurze. W swojej opinii 1/2010 w sprawie pojęć administrator danych i przetwarzający Grupa Robocza Art. 29 odniosła się do faktu istnienia wielu przetwarzających w sprawach, w których przetwarzający mogą być bezpośrednio powiązani z administratorem danych lub działać jako podwykonawcy, gdy przetwarzający zlecają na zewnątrz część przetwarzania, które zostało im powierzone. Żaden z przepisów dyrektywy nie zabrania, aby ze względu na wymogi organizacyjne, jako wykonawców lub podwykonawców przetwarzania danych można było wyznaczyć szereg podmiotów, również poprzez podział odnośnych zadań. Przetwarzając dane, wszystkie takie podmioty mają jednak obowiązek przestrzegać instrukcji wydanych przez administratora danych. 13. W takich wariantach obowiązki i odpowiedzialność wynikające z przepisów prawnych dotyczących ochrony danych powinny być jednoznacznie określone, a nie rozproszone wzdłuż całego łańcucha outsourcingu lub podwykonawstwa, by zapewnić skuteczną kontrolę nad działaniami związanymi z przetwarzaniem i jednoznaczny podział odpowiedzialności za te działania. Potencjalny model gwarancji, który może być stosowany, by wyjaśnić obowiązki i zobowiązania przetwarzających, w sytuacji gdy podzlecają przetwarzanie danych, został wprowadzony po raz pierwszy decyzją Komisji z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich 14. W tym modelu podprzetwarzanie jest dozwolone jedynie w razie uzyskania uprzedniej pisemnej zgody administratora danych i zawarcia pisemnej umowy nakładającej na podprzetwarzającego te same obowiązki, które zostały nałożone na przetwarzającego. Jeżeli podprzetwarzający na podstawie takiej umowy pisemnej nie wypełnia swoich obowiązków w zakresie ochrony Por. WP 169, s. 30, Opinia 1/2010 w sprawie pojęć administrator danych i przetwarzający (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_pl.pdf). Zob. Często zadawane pytania (FAQ) II.5 w WP

12 danych, przetwarzający na jej podstawie ponosi pełną odpowiedzialność wobec administratora za wykonanie obowiązków podprzetwarzającego. Postanowienie tego rodzaju mogłoby być stosowane we wszelkich klauzulach umownych między administratorem danych i dostawcą usług w chmurze, jeśli zamierza on świadczyć usługi w drodze podwykonawstwa, by zapewnić wymagane gwarancje dotyczące podprzetwarzania. Podobne rozwiązanie dotyczące gwarancji w toku podwykonawstwa zostało ostatnio zaproponowane przez Komisję we wniosku dotyczącym ogólnego rozporządzenia o ochronie danych 15. Przetwarzanie przez podmiot przetwarzający musi być regulowane umową lub innym aktem prawnym wiążącym podmiot przetwarzający z administratorem i stanowiącym w szczególności, że oprócz innych wymogów podmiot przetwarzający zatrudnia inny podmiot przetwarzający jedynie za uprzednią zgodą administratora (art. 26 ust. 2 wniosku). W opinii Grupy Roboczej Art. 29 przetwarzający może podzlecić swoją działalność jedynie na podstawie zgody administratora danych, która co do zasady może być udzielona na początku świadczenia usługi 16, przy jednoznacznym zachowaniu obowiązku informowania administratora danych o wszelkich zamierzonych zmianach dotyczących dodania nowych lub zastąpienia dotychczasowych podwykonawców, przy czym administrator danych w każdym momencie ma możliwość wyrażenia sprzeciwu co do tych zmian lub rozwiązania umowy. Dostawca usług w chmurze powinien być jednoznacznie zobowiązany do wskazania podwykonawców, którym powierzył zlecenie. Ponadto dostawca usług w chmurze powinien podpisać umowę z podwykonawcą, która odzwierciedlałaby postanowienia umowy między klientem i dostawcą usług w chmurze. Administrator danych powinien być w stanie skorzystać z możliwości dochodzenia odszkodowania z tytułu niewykonania umowy przez podprzetwarzających. Można to osiągnąć w drodze zapewnienia bezpośredniej odpowiedzialności przetwarzającego przed administratorem danych za wszelkie naruszenia spowodowane przez któregokolwiek z podprzetwarzających zatrudnionych przez podmiot przetwarzający, w drodze wpisania prawa świadczenia na rzecz osoby trzeciej, mianowicie administratora danych, do umów zawartych przez przetwarzającego i podprzetwarzających, lub też w drodze podpisania umów w imieniu administratora danych, który stanie się następnie stroną umowy. 3.4 Wymogi dotyczące ochrony danych w stosunku klient-dostawca Zgodność z podstawowymi zasadami Legalność przetwarzania danych osobowych w chmurze jest uwarunkowana przestrzeganiem podstawowych zasad prawa UE z zakresu ochrony danych. Chodzi o to, by zagwarantować przejrzystość w stosunku do osoby, której dane dotyczą, zgodność z zasadą określenia i ograniczenia celu, oraz by dane osobowe zostały usunięte z chwilą, kiedy ich zatrzymywanie nie jest już potrzebne. Ponadto należy wdrożyć odpowiednie środki techniczne i organizacyjne, by zapewnić odpowiedni poziom ochrony danych i ich bezpieczeństwa Przejrzystość Zachowanie przejrzystości jest szczególnie istotne w rzetelnym i zgodnym z prawem przetwarzaniu danych osobowych. Dyrektywa 95/46/WE zobowiązuje klienta usług w chmurze do dostarczenia informacji osobie, której dane dotyczą i od której zbierane są dane Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych, r. Zob. Często zadawane pytania (FAQ), II, 1 WP 176, przyjęto dnia 12 lipca 2010 r. 12

13 na jej temat, informacji na temat swojej tożsamości oraz celu przetwarzania. Klient usług w chmurze powinien również zapewnić wszelkie dalsze informacje, m.in. dotyczące odbiorców lub kategorii odbiorców danych, które mogą również obejmować przetwarzającego i podprzetwarzających, w zakresie w jakim te dalsze informacje są potrzebne, by zagwarantować rzetelne przetwarzanie danych w odniesieniu do osoby, której dane dotyczą (por. art. 10 dyrektywy) 17. Przejrzystość musi być również zapewniona w stosunkach między klientem usług w chmurze, dostawcą takich usług i podwykonawcami (o ile występują). Klient usług w chmurze jest w stanie ocenić zgodność z prawem przetwarzania danych osobowych w chmurze jedynie w sytuacji, gdy dostawca przekaże mu informacje na temat wszystkich istotnych kwestii. Administrator danych rozważający zatrudnienie dostawcy usług w chmurze powinien dokładnie sprawdzić warunki tego dostawcy i ocenić je z punktu widzenia ochrony danych. Przejrzystość przetwarzania w chmurze oznacza, że konieczne jest informowanie klienta usług w chmurze o wszystkich podwykonawcach mających wkład w realizację danej usługi w chmurze, jak również o lokalizacji wszystkich ośrodków danych, w których dane osobowe mogą być przetwarzane 18. W razie gdy świadczenie usługi wymaga zainstalowania oprogramowania (np. wtyczek przeglądarki) w systemach klienta usług w chmurze, jej dostawca powinien w ramach dobrych praktyk poinformować klienta o tej okoliczności, a w szczególności o implikacjach z punktu widzenia ochrony i bezpieczeństwa danych. Z drugiej strony klient usług w chmurze powinien podnieść tę kwestię ex ante, jeśli nie została ona omówiona w sposób wystarczający przez dostawcę usług w chmurze Określenie i ograniczenie celu Zasada określenia i ograniczenia celu wymaga, by dane osobowe były zbierane w określonych, jednoznacznych i zgodnych z prawem celach oraz by nie były dalej przetwarzane w sposób niezgody z tymi celami (por. art. 6 ust. 1 lit. b) dyrektywy 95/46/WE). Klient usług w chmurze musi określić cele przetwarzania przed rozpoczęciem zbierania danych osobowych od osoby, której dane dotyczą, i poinformować o nim tę osobę. Nie jest dopuszczalne, by klient usług w chmurze przetwarzał dane osobowy w innych celach, które nie są zgodne z celami pierwotnymi. Ponadto należy zagwarantować, by dane osobowe nie były (niezgodnie z prawem) przetwarzane w innych celach przez dostawcę usług w chmurze lub jednego z jego podwykonawców. Ponieważ w typowym schemacie przetwarzania danych w chmurze może występować wielu podwykonawców, ryzyko przetwarzania danych osobowych w innych, niezgodnych z pierwotnymi, celach należy ocenić jako dość wysokie. Aby je zminimalizować, umowa między dostawcą usług w chmurze a klientem powinna obejmować środki techniczne i organizacyjne ograniczające ryzyko i gwarantować rejestrowanie i audytowanie właściwych operacji przetwarzania danych osobowych, wykonywanych przez pracowników dostawcy usług w chmurze lub jego podwykonawców 19. Umowa powinna przewidywać kary dla dostawcy lub podwykonawcy, jeżeli naruszone zostały przepisy prawne dotyczące ochrony danych Istnieje odpowiadający temu obowiązek informowania osoby, której dane dotyczą, w przypadku gromadzenia lub ujawniania osobie trzeciej danych, pozyskanych z innych źródeł niż ta osoba, (por. art. 11). Jedynie wtedy będzie on w stanie ocenić, czy dane osobowe mogą być przekazane do tzw. państwa trzeciego poza EOG, które nie zapewnia odpowiedniego poziomu ochrony w rozumieniu dyrektywy 95/46/WE. Por. również pkt poniżej. Por. pkt poniżej. 13

14 Usuwanie danych Zgodnie z art. 6 ust. 1 lit. e) dyrektywy 95/46/WE dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez czas nie dłuższy niż jest to konieczne do celów, dla których dane zostały zgromadzone lub dla których są dalej przetwarzane. Dane osobowe, które nie są już potrzebne, muszą zostać usunięte lub faktycznie zanonimizowane. Jeżeli dane te nie mogą być usunięte ze względu na przepisy prawne dotyczące zatrzymywania (np. przepisy podatkowe), należy zablokować do nich dostęp. To klient usług w chmurze jest odpowiedzialny za dopilnowanie, by dane osobowe zostały usunięte z chwilą, kiedy nie będą już potrzebne w wyżej wymienionych celach 20. Zasada usuwania danych stosuje się do danych osobowych niezależnie od tego, czy są przechowywane na dyskach twardych czy innych nośnikach służących do przechowywania (np. taśmy zapasowe). Ponieważ dane osobowe mogą być nadmiarowo przechowywane na kilku serwerach w różnych lokalizacjach, należy zagwarantować, by w każdym przypadku zostały usunięte nieodwracalnie (tj. wcześniejsze wersje, pliki tymczasowe, a nawet części plików muszą być również usunięte). Klienci usług w chmurze muszą być świadomi, że dane w rejestrze 21 ułatwiające audytowanie, np. dotyczące przechowywania, modyfikowania, lub usuwania danych, mogą być również zaklasyfikowane jako dane osobowe dotyczące osoby, która wszczęła daną operację przetwarzania 22. Bezpieczne usuwanie danych osobowych wymaga, by nośniki służące do przechowywania zostały zniszczone lub rozmagnetyzowane, albo by przechowywane dane osobowe zostały skutecznie usunięte w drodze nadpisania (overwriting). W celu nadpisywania przestrzeni zajętej przez dane osobowe powinno się używać specjalnego oprogramowania, które nadpisuje wielokrotnie dane zgodnie z uznaną specyfikacją. Klient usług w chmurze powinien się upewnić, że dostawca usług w chmurze zapewnia bezpieczne usuwanie danych, tak jak przedstawiono to powyżej, oraz dopilnować, by umowa między dostawcą a klientem zawierała postanowienie dotyczące usuwania danych osobowych 23. Odnosi się to również do stosunków między dostawcami usług w chmurze a podwykonawcami Zabezpieczenia umowne stosunku administrator danych przetwarzający W sytuacji gdy administratorzy danych decydują się na zlecenie usług przetwarzania danych w chmurze, istnieje wymóg, by wybrali przetwarzającego dającego wystarczające gwarancje w odniesieniu do środków bezpieczeństwa technicznego i organizacyjnego regulujących przetwarzanie, które ma się odbyć, i zapewniającego przestrzeganie tych środków (art. 17 ust. 2 dyrektywy 95/46/WE). Ponadto są prawnie zobowiązani do podpisania formalnej umowy z dostawcą usług w chmurze, co zostało określone w art. 17 ust. 3 dyrektywy 95/46/WE. Artykuł ten ustanawia wymóg, aby podpisano umowę lub zawarto inny wiążący akt prawny regulujący stosunek między administratorem danych i przetwarzającym. Do celów dowodowych części umowy lub aktu prawnego dotyczące ochrony danych i wymogów Usuwanie danych jest istotną kwestią tak w czasie czasu trwania umowy w sprawie przetwarzania danych w chmurze obliczeniowej, jak również z chwilą jej rozwiązania. Ma ono również znaczenie w przypadku zastąpienia lub wycofania się podwykonawcy. Uwagi dotyczące wymogów rejestracji są opisane poniżej w pkt Oznacza to, że należy określić rozsądne okresy przechowywania plików rejestru i wdrożyć procedury gwarantujące usuwanie lub anonimizację tych danych w określonym terminie. Por. pkt poniżej. 14

15 odnoszących się do środków technicznych i organizacyjnych są sporządzane na piśmie lub w innej równorzędnej formie. Umowa w szczególności musi przynajmniej stanowić, że przetwarzający powinien przestrzegać poleceń administratora danych oraz że przetwarzający musi wdrożyć środki techniczne i organizacyjne, by odpowiednio chronić dane osobowe. Aby zapewnić pewność prawną, umowa powinna również obejmować następujące zagadnienia: 1. szczegółowe informacje na temat (zakresu i rodzajów) poleceń klienta, które zostaną przekazane dostawcy, ze szczególnym uwzględnieniem obowiązujących umów o gwarantowanym poziomie usług (co powinno być obiektywne i wymierne) oraz stosownych kar (finansowych lub w inny sposób umożliwiających wszczęcie postępowania przeciwko dostawcy za niewywiązanie się z warunków umowy); 2. specyfikację środków bezpieczeństwa, których dostawca usług w chmurze musi przestrzegać, w zależności od zagrożeń związanych z przetwarzaniem i charakterem danych, które mają być chronione. Jest szczególnie istotne, by określono konkretne środki techniczne i organizacyjne, takie jak te przedstawione w pkt poniżej. Pozostaje to bez uszczerbku dla stosowania bardziej surowych środków, jeżeli takie istnieją, które mogą być przewidziane prawem krajowym klienta; 3. przedmiot, czas trwania usługi w chmurze, którą będzie świadczył dostawca usług w chmurze, zakres, sposób i cel przetwarzania danych osobowych przez dostawcę usług w chmurze, jak również rodzaje przetwarzanych danych osobowych; 4. specyfikację warunków zwrotu danych (osobowych) lub zniszczenia danych po zakończeniu świadczenia usługi. Ponadto należy zapewnić, by dane osobowe były bezpiecznie zniszczone na wniosek klienta usług w chmurze; 5. klauzulę poufności wiążącej tak dostawcę usług w chmurze, jak i wszelkich jego pracowników, którzy mogą mieć dostęp do danych. Jedynie osoby upoważnione mogą mieć dostęp do danych; 6. zobowiązanie po stronie dostawcy, że będzie wspierał klienta w ułatwianiu wykonywania praw przez osoby, których dane są przetwarzane, dostępu do swoich danych, ich poprawienia lub usunięcia; 7. umowa powinna wyraźnie stanowić, że dostawca usług w chmurze nie może przekazywać danych osobom trzecim, nawet w celu ich zabezpieczenia, chyba że umowa przewiduje korzystanie z usług podwykonawców. Umowa powinna stanowić, że można skorzystać z usług podprzetwarzających jedynie na podstawie zgody, która co do zasady jest udzielana przez administratora danych, zgodnie z jednoznacznym obowiązkiem przetwarzającego, by informować administratora danych o wszelkich zamierzonych zmianach w tej kwestii; jednocześnie administrator danych w każdym czasie ma możliwość złożenia sprzeciwu co do tych zmian i rozwiązania umowy. Dostawca usług w chmurze powinien być jednoznacznie zobowiązany do wskazania podwykonawców, którym powierzył zlecenie (np. w publicznym rejestrze cyfrowym). Należy zagwarantować, że umowy między dostawcą usług w chmurze i podwykonawcą odzwierciedlają postanowienia umowy między klientem usług w chmurze i dostawcą usług w chmurze (mianowicie, że podprzetwarzający podlegają tym samym zobowiązaniom umownym, co dostawca usług w chmurze). W szczególności należy zagwarantować, że tak dostawca usług w chmurze, jak i wszyscy podwykonawcy, działają tylko na podstawie poleceń klienta usług w chmurze. Jak wyjaśniono w rozdziale dotyczącym podprzetwarzania, hierarchia odpowiedzialności 15

16 powinna zostać jasno określona w umowie. Powinna ona określać zobowiązanie po stronie przetwarzającego do regulowania transgranicznego przekazywania danych, na przykład w drodze podpisania umów z podprzetwarzającymi, na podstawie standardowych klauzul umownych objętych decyzją 2010/87/WE; 8. wyjaśnienie zobowiązań dostawcy usług w chmurze do powiadamiania klienta usług w chmurze o każdym naruszeniu ochrony danych, które dotyczy danych klienta usług w chmurze; 9. zobowiązanie dostawcy usług w chmurze do przedstawienia listy lokalizacji, w których dane mogą być przetwarzane; 10. prawo administratora danych do monitorowania oraz odpowiadające temu zobowiązanie dostawcy usług w chmurze do współpracy; 11. należy umownie określić, że dostawca usług w chmurze musi poinformować klienta o istotnych zmianach dotyczących danej usługi w chmurze, takich jak wdrożenie dodatkowych funkcji; 12. umowa powinna zawierać postanowienia dotyczące rejestrowania i audytowania stosownych operacji przetwarzania danych osobowych, które są wykonywane przez dostawcę usług w chmurze lub podwykonawców; 13. zawiadomienie klienta usług w chmurze o każdym prawnie wiążącym wniosku o ujawnienie danych osobowych ze strony organów ścigania, o ile nie jest to zakazane w inny sposób, na przykład na podstawie prawa karnego w celu zachowania tajemnicy postępowania prowadzonego przez organy ścigania; 14. ogólne zobowiązanie po stronie dostawcy do zapewnienia, że ustalenia dotyczące jego wewnętrznej struktury i przetwarzania danych (oraz jego podprzetwarzających, jeżeli występują) są zgodne z właściwymi krajowymi i międzynarodowymi wymogami oraz standardami. W razie naruszenia prawa przez administratora każda osoba, która poniosła szkodę w następstwie niezgodnego z prawem przetwarzania, ma prawo do uzyskania odszkodowania za poniesioną szkodę od administratora danych. W przypadku wykorzystania danych przez przetwarzających do jakiegokolwiek innego celu lub przekazania ich lub użycia w sposób naruszający umowę zostaną oni również uznani za administratorów danych i będą odpowiedzialni za naruszenia, w które byli osobiście zaangażowani. Należy zauważyć, że w wielu przypadkach, dostawcy usług w chmurze oferują administratorom danych standardowe usługi i standardowe umowy do podpisania, określające standardowy format przetwarzania danych osobowych. Ten brak równowagi w uprawnieniach umownych małego administratora danych w odniesieniu do dużych dostawców usług nie może być uznany za uzasadnienie przyjmowania przez administratorów danych klauzul i warunków umów niezgodnych z przepisami dotyczącymi ochrony danych Środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo danych Artykuł 17 ust. 2 dyrektywy 95/46/WE nakłada pełną odpowiedzialność na klientów usług przetwarzania w chmurze (działających jako administratorzy danych), by wybrali takich dostawców usług w chmurze, którzy wdrożą odpowiednie środki techniczne i organizacyjne, by chronić dane osobowe i być w stanie wykazać się realizacją zasady rozliczalności. Dodatkowo poza głównymi celami odnoszącymi się do bezpieczeństwa, które obejmują zapewnienie dostępności, poufności i integralności, należy zwrócić uwagę na uzupełniające 16

17 cele ochrony danych, mianowicie zapewnienie przejrzystości (zob powyżej), odizolowania 24, możliwości interwencji, rozliczalności i możliwości przenoszenia danych. W niniejszym punkcie podkreślono te właśnie najważniejsze cele ochrony danych, bez uszczerbku dla innych uzupełniających analiz ryzyka w zakresie bezpieczeństwa Dostępność Zapewnienie dostępności oznacza zapewnienie w odpowiednim terminie niezawodnego dostępu do danych osobowych. Jednym z poważnych zagrożeń dla dostępności w chmurze jest przypadkowa utrata połączenia sieciowego między klientem a dostawcą lub przeciążenie serwera spowodowane działaniami popełnionymi w złym zamiarze, takimi jak (rozproszona) odmowa usługi (ataki DoS) 26. Inne zagrożenia dla dostępności obejmują przypadkowe awarie sprzętu tak w sieci, jak i systemach przetwarzania w chmurze i przechowywania danych, awarie zasilania i inne problemy infrastrukturalne. Administratorzy danych powinni sprawdzać, czy dostawca usług w chmurze przyjął odpowiednie środki, by poradzić sobie z ryzykiem zakłóceń ciągłości działania, takie jak zapewnienie zapasowych łączy internetowych, nadmiarowego przechowywania oraz skutecznych mechanizmów wykonywania kopii zapasowych danych Integralność Integralność można zdefiniować jako właściwość danych polegającą na tym, że są one prawdziwe i nie zostały w złym zamiarze lub przypadkowo zmienione w toku przetwarzania, przechowywania lub przekazywania. Pojęcie integralności można rozszerzyć na systemy informatyczne, i oznacza ono wówczas wymóg, by przetwarzanie danych osobowych w tych systemach pozostało niezmienione. Zmiany wprowadzone do danych osobowych mogą być wykryte przy użyciu mechanizmów uwierzytelniania kryptograficznego, mianowicie kodów lub podpisów uwierzytelniających wiadomość. Próbom ingerencji w integralność systemów informatycznych w chmurze można zapobiec lub je wykryć przy użyciu systemów wykrywania i zapobiegania włamaniom (IPS / IDS). Jest to szczególnie istotne w przypadku takich rodzajów otwartych środowisk sieciowych, w których zazwyczaj funkcjonują chmury obliczeniowe Poufność W środowisku chmury obliczeniowej szyfrowanie może znacząco przyczynić się do poufności danych osobowych, jeżeli jest właściwe realizowane, chociaż nie anonimizuje to danych nieodwracalnie 27. Szyfrowanie danych osobowych powinno być stosowane we W Niemczech wprowadzono szersze pojęcie, mianowicie niepołączalność, które jest promowane przez Konferencję Rzeczników Ochrony Danych. Por. np. stronę internetową Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA): Atak DoS oznacza zorganizowaną próbę służącą uniedostępnieniu komputera lub zasobów sieciowych jego upoważnionym użytkownikom, albo na określony czas, albo na trwałe (na przykład za pośrednictwem wielu atakujących systemów paraliżujących ich cel przez liczne zewnętrzne żądania połączenia). Dyrektywa 95/46/WE, motyw 26 (...) zasady ochrony danych nie mają zastosowania do danych, którym nadano anonimowy charakter w taki sposób, że podmiot danych nie będzie mógł być zidentyfikowany; (...). Uwzględniając to samo założenie, techniczne procesy fragmentacji danych, które mogą być 17

18 wszystkich przypadkach danych w czasie tranzytu oraz w miarę dostępności dla danych odłożonych 28. W niektórych sytuacjach (np. świadczenia usługi przechowywania IaaS) klient usług w chmurze, zamiast korzystać z szyfrowania oferowanego przez dostawcę usług w chmurze, może zdecydować się na zaszyfrowanie danych osobowych przed wysłaniem ich do chmury. Szyfrowanie danych odłożonych wymaga zwrócenia szczególnej uwagi na zarządzanie kluczem kryptograficznym, ponieważ bezpieczeństwo danych zależy w takim przypadku ostatecznie od poufności kluczy szyfrujących. Komunikaty przesyłane między dostawcą usług w chmurze i klientem, jak również między ośrodkami danych, powinny być szyfrowane. Zarządzanie na odległość platformą chmury powinno się odbywać jedynie za pośrednictwem bezpiecznego kanału komunikacyjnego. W razie gdy klient planuje nie tylko przechowywanie, ale również dalsze przetwarzanie danych osobowych w chmurze (na przykład wyszukiwanie wpisów w bazach danych), musi pamiętać, że w toku przetwarzania danych nie można utrzymać szyfrowania (z wyjątkiem bardzo szczególnych obliczeń). Pozostałe środki techniczne służące zapewnieniu poufności obejmują mechanizmy uwierzytelniania oraz solidnego uwierzytelniania (na przykład uwierzytelniania dwuelementowego). Klauzule umowne powinny również nakładać obowiązek zachowania poufności na pracowników klientów usług w chmurze, dostawców usług w chmurze i podwykonawców Przejrzystość Środki techniczne i organizacyjne muszą wspierać przejrzystość, by umożliwić kontrolę, por. pkt Odizolowanie (ograniczenie celu) W infrastrukturze chmury zasoby takie jak przestrzeń dyskowa, pamięć i sieci są współdzielone przez wiele podmiotów. Stwarza to nowe zagrożenia, mianowicie ujawnienia i przetwarzania danych w celach niezgodnych z prawem. Odizolowanie, mające na celu ochronę, służy rozwiązaniu tego problemu oraz ma się przyczynić do zagwarantowania, że dane nie są używane do celów wychodzących poza cel pierwotny (art. 6 ust. 1 lit. b) dyrektywy 95/46/WE) i do utrzymania poufności i integralności 29. Zapewnienie odizolowania wymaga, po pierwsze, odpowiedniego zarządzania prawami i rolami w zakresie dostępu do danych osobowych, które podlega regularnej kontroli. Powinno się unikać wprowadzania ról z nadmiernie wysokimi poziomami uprawnień (np. żaden użytkownik lub administrator danych nie powinien mieć dostępu do całej chmury obliczeniowej). Na bardziej ogólnym poziomie administratorzy danych i użytkownicy powinni mieć dostęp tylko do tych informacji, które są im niezbędne do uzasadnionych celów (zasada jak najmniejszych przywilejów). Po drugie, odizolowanie zależy również od środków technicznych, takich jak wzmocnienie hipernadzorców i właściwe zarządzanie współdzielonymi zasobami, jeżeli maszyny wirtualne są użytkowane w celu współdzielenia zasobów fizycznych między różnych klientów usług w chmurze stosowane w ramach świadczenia usług w chmurze obliczeniowej, nie doprowadzą do nieodwracalnej anonimizacji, a zatem nie oznaczają, że obowiązki dotyczące ochrony danych nie mają zastosowania. Stosuje się to w szczególności do administratorów danych, którzy planują przesłanie danych szczególnie chronionych w rozumieniu art. 8 dyrektywy 95/46/WE (np. danych dotyczących zdrowia) do chmury lub którzy podlegają obowiązkom prawnym dotyczącym zachowania tajemnicy służbowej. Por. pkt

19 Możliwość interwencji Dyrektywa 95/46/WE przyznaje osobom, których dane dotyczą, prawo dostępu do danych, ich poprawienia, usunięcia, zablokowania i wyrażenia sprzeciwu (por. art. 12 i 14). Klient usług w chmurze musi zweryfikować, że dostawca usług w chmurze nie stwarza technicznych i organizacyjnych utrudnień dla realizacji tych wymogów, w tym w przypadkach gdy dane są dalej przetwarzane przez podwykonawców. Umowa między klientem i dostawcą powinna stanowić, że dostawca usług w chmurze jest zobowiązany do wspierania klienta w ułatwianiu wykonywania praw przez osoby, których dane dotyczą, oraz do dopilnowania, by to samo odnosiło się do jego stosunku z dowolnym podwykonawcą Możliwość przenoszenia danych Obecnie większość dostawców usług w chmurze nie wykorzystuje standardowych formatów danych i interfejsów usług ułatwiających interoperacyjność i możliwość przenoszenia danych między różnymi dostawcami usług w chmurze. W razie gdy klient usług w chmurze zdecyduje się na przeniesienie usługi w chmurze od jednego dostawcy do drugiego, ten brak interoperacyjności może skutkować niemożliwością lub przynajmniej trudnościami w przekazaniu danych (osobowych) klienta do nowego dostawcy usług w chmurze (tak zwane uzależnienie od określonego dostawcy). Odnosi się to również do usług, które klient świadczy na platformie zapewnionej przez pierwotnego dostawcę usług w chmurze (PaaS). Przed złożeniem zamówienia na usługę w chmurze klient usług w chmurze powinien sprawdzić, czy i jak dostawca zagwarantuje możliwość przenoszenia danych i usług Rozliczalność W sektorze IT rozliczalność można zdefiniować jako możliwość ustalenia działań danego podmiotu w danym momencie w przeszłości i sposobu ich wykonywania. W dziedzinie ochrony danych pojęcie to ma często szersze znaczenie i opisuje możliwość wykazania przez strony, że podjęły odpowiednie kroki w celu zapewnienia realizacji zasad ochrony danych. Rozliczalność w sektorze IT jest szczególnie ważna w kontekście prowadzenia dochodzeń w sprawie naruszenia ochrony danych osobowych, w sytuacji gdy każdy z podmiotów klienci usług w chmurze, dostawcy i podprzetwarzający może mieć udział w jakiejś części odpowiedzialności operacyjnej. Pod tym względem możliwość zapewniania przez platformę usług w chmurze wiarygodnego monitorowania i szeroko zakrojonych mechanizmów rejestrowania ma szczególne znaczenie. Ponadto dostawcy usług w chmurze powinni dostarczyć dokumentację poświadczającą zastosowanie właściwych i skutecznych środków zapewniających osiągnięcie rezultatów, jakie zakładają zasady ochrony danych opisane w poprzednich punktach. Przykładami takich środków są procedury zapewniające identyfikację wszystkich operacji przetwarzania danych, odpowiadanie na wnioski o dostęp, przydzielanie zasobów, w tym wyznaczanie inspektorów ochrony danych, którzy są odpowiedzialni za organizację przestrzegania zasad dotyczących ochrony danych, lub niezależne procedury certyfikacji. Dodatkowo administratorzy danych Por. pkt nr 6 powyżej. Dostawca może otrzymać nawet polecenie, by odpowiadać na wnioski w imieniu klienta. Najlepiej byłoby, aby dostawca korzystał ze standardowych lub otwartych formatów danych i interfejsów. W każdym przypadku powinno się uzgodnić klauzule umowne przewidujące zagwarantowanie formatów, zachowanie logicznych stosunków i odnoszące się do wszelkich kosztów wynikających z przeniesienia się do innego dostawcy usług w chmurze. 19

20 powinni zagwarantować, że są przygotowani do wykazania wdrożenia niezbędnych środków na wniosek właściwego organu nadzorczego Międzynarodowe przekazywanie danych Artykuły 25 i 26 dyrektywy 95/46/WE przewidują swobodny przepływ danych osobowych do państw poza EOG, jedynie jeżeli państwo lub odbiorca zapewni odpowiedni poziom ochrony danych. W przeciwnym razie administrator danych i jego współadministratorzy lub przetwarzający muszą wprowadzić szczególne zabezpieczenia. Przetwarzanie danych w chmurze obliczeniowej jest jednak najczęściej oparte na zupełnym braku stałej lokalizacji danych w ramach sieci dostawcy usług w chmurze. O godz. 14:00 dane mogą znajdować się w jednym ośrodku danych, a o 16:00 mogą być już na drugiej półkuli. Klient usług w chmurze rzadko znajduje się w sytuacji, że wie w czasie rzeczywistym, gdzie są zlokalizowane, przechowywane bądź przesyłane dane. W tym przypadku tradycyjne instrumenty prawne wprowadzające ramy regulujące przekazywanie danych do państw trzecich poza UE niezapewniających odpowiedniego poziomu ochrony mają ograniczenia Program Bezpieczna przystań ( Safe Harbor ) i państwa zapewniające odpowiedni poziom ochrony Ustalenia dotyczące odpowiedniego poziomu ochrony, w tym program Bezpieczna przystań, są ograniczone pod względem zakresu geograficznego, a zatem nie obejmują wszystkich operacji przekazywania w chmurze. Przekazywanie do organizacji w Stanach Zjednoczonych przestrzegających zasad może odbywać się zgodnie z prawem na podstawie przepisów UE, ponieważ organizacje będące odbiorcami uznaje się za zapewniające odpowiedni poziom ochrony przekazywanych danych. Jednak w opinii Grupy Roboczej Art. 29 sama auto-certyfikacja w ramach programu Bezpieczna przystań może nie wystarczyć, jeżeli zasady ochrony danych nie są sprawnie egzekwowane w środowisku chmury obliczeniowej. Ponadto art. 17 dyrektywy UE wymaga, by przetwarzający zawarł z administratorem danych wiążącą go umowę do celów przetwarzania, co zostało potwierdzone w pytaniu 10 (FAQ) w dokumentach ramowych programu Bezpieczna przystań Unia Europejska-Stany Zjednoczone. Umowa ta nie podlega wcześniejszej autoryzacji przez europejskie organy ochrony danych. Taka umowa określa rodzaj przetwarzania, które ma być wykonane, oraz wszelkie środki niezbędne do zapewnienia, że dane przechowywane są w bezpieczny sposób. Różne przepisy krajowe i organy ochrony danych mogą określać dodatkowe wymogi. Grupa Robocza Art. 29 uznaje, że spółki eksportujące dane nie powinny jedynie opierać się na oświadczeniu importera danych twierdzącego, że uzyskał certyfikację w ramach programu Bezpieczna przystań. Wręcz przeciwnie, spółka eksportująca dane powinna uzyskać dowody, że auto-certyfikacja w ramach programu Bezpieczna przystań istnieje i domagać się dowodów wykazujących, że przestrzegane są jej zasady. Jest to szczególnie istotne w odniesieniu do informacji przekazywanych osobom, których dane dotyczą, na które przetwarzanie danych miało wpływ 33, Grupa Robocza Art. 29 przedstawiła szczegółowe uwagi na temat rozliczalności w swojej opinii 3/2010 w sprawie zasady rozliczalności Zob. niemiecki organ ochrony danych: 20

Przetwarzanie danych w chmurze Cloud Computing

Przetwarzanie danych w chmurze Cloud Computing Przetwarzanie danych w chmurze Cloud Computing Rafał Surowiec Radca prawny, Associate Sylwia Kuca Aplikant adwokacki, Junior Associate 12 luty 2013, Warszawa Przetwarzanie danych w chmurze Cloud Computing

Bardziej szczegółowo

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne. Rodzaje danych (informacji) m.in.: Dane finansowe Dane handlowe Dane osobowe Dane technologiczne Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne. Przetwarzane dane mogą być zebrane

Bardziej szczegółowo

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów PARLAMENT EUROPEJSKI 2009-2014 Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych 2013/0027(COD) 2.9.2013 PROJEKT OPINII Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Bardziej szczegółowo

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki DESiWM/DEC-1008/37080/09 Dotyczy sprawy: DESiWM-41-39/09 Warszawa, dnia 12 października 2009 r. DECYZJA Na podstawie art. 104 1 ustawy z dnia

Bardziej szczegółowo

PARLAMENT EUROPEJSKI 2009-2014. Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

PARLAMENT EUROPEJSKI 2009-2014. Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych PARLAMENT EUROPEJSKI 2009-2014 Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych 21.11.2013 2013/0165(COD) PROJEKT OPINII Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Bardziej szczegółowo

Załącznik nr 7 do SIWZ OP-IV.272.172.2014.PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych

Załącznik nr 7 do SIWZ OP-IV.272.172.2014.PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych Załącznik nr 7 do SIWZ POROZUMIENIE w sprawie powierzenia przetwarzania danych osobowych zawarta w dniu. 2015 roku, w Lublinie pomiędzy: Województwem Lubelskim, przy ul. Spokojnej 4, 20-074 Lublin reprezentowanym

Bardziej szczegółowo

EUROPEJSKI INSPEKTOR OCHRONY DANYCH

EUROPEJSKI INSPEKTOR OCHRONY DANYCH 3.9.2013 Dziennik Urzędowy Unii Europejskiej C 253/3 EUROPEJSKI INSPEKTOR OCHRONY DANYCH Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie komunikatu Komisji Wykorzystanie potencjału

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE Załącznik nr 2 do Zarządzenia nr 34/08 Wójta Gminy Kikół z dnia 2 września 2008 r. w sprawie ochrony danych osobowych w Urzędzie Gminy w Kikole, wprowadzenia dokumentacji przetwarzania danych osobowych

Bardziej szczegółowo

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie. Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie. Podstawa prawna: 1. Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. 2002 nr

Bardziej szczegółowo

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych Podstawa prawna: - ustawa z dnia 29 sierpnia 1997 r. o ochronie danych

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Gminna Biblioteka Publiczna w Zakrzówku ul. Żeromskiego 24 B, 23 213 Zakrzówek tel/fax: (81) 821 50 36 biblioteka@zakrzowek.gmina.pl www.gbp.zakrzowek.gmina.pl INSTRUKCJA ZARZĄDZANIA Obowiązuje od: 01

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM Załącznik Nr 3 do zarządzenia Nr 5/2012 Dyrektora Ośrodka Kultury w Drawsku Pomorskim z dnia 1 marca 2012 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W

Bardziej szczegółowo

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) NR

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) NR L 134/32 ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) NR 463/2014 z dnia 5 maja 2014 r. ustanawiające, na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 223/2014 w sprawie Europejskiego Funduszu

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE Chruślina 19-03-2015r. 1 POLITYKA BEZPIECZEŃSTWA Administrator Danych Dyrektor Szkoły Podstawowej w Chruślinie Dnia 10-03-2015r.

Bardziej szczegółowo

Dane osobowe w data center

Dane osobowe w data center Dane osobowe w data center obowiązki klienta i obowiązki dostawcy Jarosław Żabówka 2 Dlaczego chronimy dane osobowe? A dlaczego ja mam dbać o te dane, tylko dlatego, że tak sobie ustawodawca wymyślił Prezes

Bardziej szczegółowo

Bezpieczeństwo teleinformatyczne danych osobowych

Bezpieczeństwo teleinformatyczne danych osobowych Bezpieczna Firma Bezpieczeństwo teleinformatyczne danych osobowych Andrzej Guzik stopień trudności System informatyczny, w którym przetwarza się dane osobowe, powinien oprócz wymagań wynikających z przepisów

Bardziej szczegółowo

POROZUMIENIE W SPRAWIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

POROZUMIENIE W SPRAWIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH Załącznik nr 4 do wzoru umowy POROZUMIENIE W SPRAWIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH Pomiędzy: Wyższą Szkołą Nauk Humanistycznych i Dziennikarstwa działającą na podstawie wpisu do rejestru uczelni

Bardziej szczegółowo

Umowa powierzenia przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych Umowa powierzenia przetwarzania danych osobowych Umowa zawarta w dniu.roku w Szczecinie pomiędzy: Unizeto Technologies Spółkę Akcyjną z siedzibą w Szczecinie, przy ul. Królowej Korony Polskiej 21, wpisaną

Bardziej szczegółowo

Dziennik Urzędowy Unii Europejskiej. (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

Dziennik Urzędowy Unii Europejskiej. (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA 9.9.2015 L 235/1 II (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2015/1501 z dnia 8 września 2015 r. w sprawie ram interoperacyjności na podstawie art. 12

Bardziej szczegółowo

Przyjęta w dniu 5 marca 2009 r.

Przyjęta w dniu 5 marca 2009 r. GRUPA ROBOCZA ART. 29 00566/09/PL WP 161 Opinia 3/2009 na temat projektu decyzji Komisji w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

Przetwarzanie danych osobowych w przedsiębiorstwie

Przetwarzanie danych osobowych w przedsiębiorstwie Przetwarzanie danych osobowych w przedsiębiorstwie Kwestię przetwarzania danych osobowych reguluje ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Danymi osobowymi w rozumieniu niniejszej

Bardziej szczegółowo

ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH NA UCZELNIACH WYŻSZYCH

ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH NA UCZELNIACH WYŻSZYCH ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH NA UCZELNIACH WYŻSZYCH EDU IT TRENDS Warszawa, 22 października 2015 roku 1 Michał Wołoszański radca prawny 2 Przetwarzanie danych osobowych przez uczelnie

Bardziej szczegółowo

Umowa o powierzanie przetwarzania danych osobowych

Umowa o powierzanie przetwarzania danych osobowych Załącznik numer 6 do Umowy Umowa o powierzanie przetwarzania danych osobowych zawarta w dniu., w Warszawie pomiędzy Centrum Nauki Kopernik, z siedzibą w Warszawie (00-390), przy ul. Wybrzeże Kościuszkowskie

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ Załącznik nr 3 do Zarządzenia nr 1/2013 Rektora Collegium Mazovia Innowacyjnej Szkoły Wyższej z dnia 31 stycznia 2013 r. INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ

Bardziej szczegółowo

Przetwarzanie danych osobowych w chmurze

Przetwarzanie danych osobowych w chmurze Przetwarzanie danych osobowych w chmurze Obalamy mity Jarosław Żabówka 2 Dlaczego chronimy dane osobowe? Czy organizacja ma obowiązek dbać o swoje bezpieczeństwo? A dlaczego ja mam dbać o te dane, tylko

Bardziej szczegółowo

POLITYKA PRYWATNOŚCI programu Karta Klienta Mercedes-Benz

POLITYKA PRYWATNOŚCI programu Karta Klienta Mercedes-Benz POLITYKA PRYWATNOŚCI programu Karta Klienta Mercedes-Benz A. Definicje Dla potrzeb niniejszej polityki prywatności znajdują zastosowanie definicje zawarte w pkt. I Regulaminu, programu Karta Klienta Mercedes-Benz

Bardziej szczegółowo

Bezpieczna Chmura warunki legalnego przetwarzania dokumentów w modelu Cloud Computing. Wybrane Aspekty Prawne STEFAN CIEŚLA KANCELARIA RADCY PRAWNEGO

Bezpieczna Chmura warunki legalnego przetwarzania dokumentów w modelu Cloud Computing. Wybrane Aspekty Prawne STEFAN CIEŚLA KANCELARIA RADCY PRAWNEGO Bezpieczna Chmura warunki legalnego przetwarzania dokumentów w modelu Cloud Computing Wybrane Aspekty Prawne STEFAN CIEŚLA KANCELARIA RADCY PRAWNEGO Tajemnica chronionej w Rzeczpospolitej Polskiej Tworząc

Bardziej szczegółowo

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien.. Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych Co ASI widzieć powinien.. Czy dane osobowe są informacją szczególną dla Administratora Systemów IT? Administrator

Bardziej szczegółowo

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych PARLAMENT EUROPEJSKI 2009-2014 Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych 15.3.2013 2012/0192(COD) PROJEKT OPINII Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Bardziej szczegółowo

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych. Zestawienie zmian w ustawie o ochronie danych osobowych, które weszły w życie z dniem 1 stycznia 2015 r. na mocy ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej. Wszystkie

Bardziej szczegółowo

Związek pomiędzy dyrektywą 98/34/WE a rozporządzeniem w sprawie wzajemnego uznawania

Związek pomiędzy dyrektywą 98/34/WE a rozporządzeniem w sprawie wzajemnego uznawania KOMISJA EUROPEJSKA DYREKCJA GENERALNA DS. PRZEDSIĘBIORSTW I PRZEMYSŁU Wytyczne 1 Bruksela, dnia 1.2.2010 r. - Związek pomiędzy dyrektywą 98/34/WE a rozporządzeniem w sprawie wzajemnego uznawania 1. WPROWADZENIE

Bardziej szczegółowo

Polityka Prywatności portalu www.platinuminvestors.eu. 1. Postanowienia ogólne

Polityka Prywatności portalu www.platinuminvestors.eu. 1. Postanowienia ogólne Polityka Prywatności portalu www.platinuminvestors.eu 1. Postanowienia ogólne 1. Niniejsza Polityka Prywatności określa zasady przetwarzania i ochrony danych osobowych Użytkowników Portalu w związku z

Bardziej szczegółowo

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku w sprawie wprowadzenia Karty Audytu Wewnętrznego w Urzędzie Miasta w Tomaszowie Mazowieckim. Na podstawie art.

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA POLITYKA BEZPIECZEŃSTWA Administrator Danych... Imię i nazwisko właściciela firmy Dnia... data wdrożenia w przedsiębiorstwie o nazwie... Nazwa przedsiębiorstwa Zgodnie z ROZPORZĄDZENIEM MINISTRA SPRAW

Bardziej szczegółowo

KOMUNIKAT DLA POSŁÓW

KOMUNIKAT DLA POSŁÓW PARLAMENT EUROPEJSKI 2009-2014 Komisja Petycji 27.05.2014 KOMUNIKAT DLA POSŁÓW Przedmiot: Petycja 0436/2012, którą złożył Mark Walker (Wielka Brytania) w sprawie transgranicznego doradztwa prawnego 1.

Bardziej szczegółowo

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji Wyrok Trybunału Konstytucyjnego 2 Warszawa, dnia 9 kwietnia 2015 r. WYROK

Bardziej szczegółowo

CENTRUM CYFROWEJ ADMINISTRACJI

CENTRUM CYFROWEJ ADMINISTRACJI ISTOTNE POSTANOWIENIA UMOWY O POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH zawarta w dniu.. r. w Warszawie, pomiędzy:. zwanym dalej: Zamawiającym a.., zwaną/ym dalej: Wykonawcą łącznie zwanymi dalej: Stronami

Bardziej szczegółowo

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych

Bardziej szczegółowo

WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI

WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI I. Informacje ogólne 1. Pobierana jest opłata skarbowa uiszczana, gotówką lub bezgotówkowo, za: - wydanie na wniosek administratora

Bardziej szczegółowo

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Polityka Bezpieczeństwa Danych Osobowych w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Spis treści 1. Ogólne zasady przetwarzania danych osobowych... 3 2. Analiza

Bardziej szczegółowo

Raport o usługach cloud computing w działalności ubezpieczeniowej Regulacje prawne dotyczące ubezpieczeo związane z outsourcingiem usług IT

Raport o usługach cloud computing w działalności ubezpieczeniowej Regulacje prawne dotyczące ubezpieczeo związane z outsourcingiem usług IT Raport o usługach cloud computing w działalności ubezpieczeniowej Regulacje prawne dotyczące ubezpieczeo związane z outsourcingiem usług IT Julita Zimoch-Tuchołka, radca prawny, Partner Monika Malinowska-Hyla,

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa

Bardziej szczegółowo

Bezpieczeństwo danych osobowych w usługach w chmurze zagadnienia prawne. Warszawa, dnia 1 marca 2016 r. Maria Markiewicz radca prawny

Bezpieczeństwo danych osobowych w usługach w chmurze zagadnienia prawne. Warszawa, dnia 1 marca 2016 r. Maria Markiewicz radca prawny Bezpieczeństwo danych osobowych w usługach w chmurze zagadnienia prawne Warszawa, dnia 1 marca 2016 r. Maria Markiewicz radca prawny Podstawowe akty prawne Ustawa z dnia 29 sierpnia 1997 r. o ochronie

Bardziej szczegółowo

Ochrona danych osobowych w chmurze

Ochrona danych osobowych w chmurze Ochrona danych osobowych w chmurze Jan Raszewski Dyr. Ds. rozwoju projektów 1. Agenda Co wolno, a czego nie wolno w chmurze? Dlaczego chronimy dane osobowe? Co wolno, co trzeba dlaczego? Odpowiedzialność

Bardziej szczegółowo

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki DESiWM/DEC-133/6101/09 Dotyczy sprawy: DESiWM-41-10/08 Warszawa, dnia 23 lutego 2009 r. DECYZJA Na podstawie art. 104 1 ustawy z dnia 14 czerwca

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

Bezpieczeństwo danych osobowych. www.oferta.novo-szkola.pl. 23 listopada 2011 r.

Bezpieczeństwo danych osobowych. www.oferta.novo-szkola.pl. 23 listopada 2011 r. Bezpieczeństwo danych osobowych www.oferta.novo-szkola.pl 23 listopada 2011 r. Dwa podstawowe akty prawne dotyczą przetwarzania danych osobowych w szkołach AKTY PRAWNE DOT. DANYCH OSOBOWYCH Podstawowe

Bardziej szczegółowo

CZĘŚĆ A. NAZWA ZBIORU DANYCH.

CZĘŚĆ A. NAZWA ZBIORU DANYCH. CZĘŚĆ A. NAZWA ZBIORU DANYCH. Administrator danych dowolnie określa nazwę zbioru. Zaleca się, aby nazwa zbioru była zwięzła i adekwatna do rodzaju danych przetwarzanych w zbiorze. CZĘŚĆ B. CHARAKTERYSTYKA

Bardziej szczegółowo

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa*... oznaczenie administratora bezpieczeństwa informacji oraz jego adresu do korespondencji Wystąpienie o dokonanie sprawdzenia

Bardziej szczegółowo

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH nr.. zawarta w dniu. zwana dalej Umową powierzenia

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH nr.. zawarta w dniu. zwana dalej Umową powierzenia Załącznik nr 5A do SIWZ UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH nr.. zawarta w dniu. zwana dalej Umową powierzenia pomiędzy: Szpitalem Uniwersyteckim Nr 2 im. Dr Jana Biziela w Bydgoszczy ul.

Bardziej szczegółowo

KARTA AUDYTU WEWNĘTRZNEGO

KARTA AUDYTU WEWNĘTRZNEGO Załącznik Nr 1 do Zarządzenia Starosty Suskiego Nr 35/2010 z dnia 30 lipca 2010 r. KARTA AUDYTU WEWNĘTRZNEGO Rozdział 1 Postanowienia ogólne 1 Karta audytu wewnętrznego reguluje funkcjonowanie audytu wewnętrznego

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w Spółdzielni Mieszkaniowej Cukrownik 1 1. Ochrona danych osobowych w SM Cukrownik ma na celu zapewnienie ochrony prywatności każdemu członkowi

Bardziej szczegółowo

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Poznań, 24.01.2011 Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Realizując postanowienia ustawy z dnia 29.08.1997r. o ochronie danych osobowych (Dz.

Bardziej szczegółowo

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych? Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych? Przypomnijmy. Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych i prawa osób

Bardziej szczegółowo

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI ZAKRES DZIAŁAŃ SZCZEGÓŁOWE DZIAŁANIA Nowe regulacje dot. Administratora Bezpieczeństwa Informacji (ABI): o kompetencje; o status w hierarchii Administratora danych;

Bardziej szczegółowo

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ. Stowarzyszenie Zdrowa Praca. Dane Usługodawcy: Dane osoby odpowiedzialnej: Data:

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ. Stowarzyszenie Zdrowa Praca. Dane Usługodawcy: Dane osoby odpowiedzialnej: Data: REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ Stowarzyszenie Zdrowa Praca Dane Usługodawcy: Dane osoby odpowiedzialnej: Data: 9 marca 2015 WSTĘP Realizując postanowienia Ustawy z dnia 18 lipca 2002r.

Bardziej szczegółowo

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE Warsztat Międzynarodowe doświadczenia w zakresie wykorzystania i ochrony administracyjnych danych

Bardziej szczegółowo

Na co zwrócić uwagę przygotowując zgodną z prawem kampanię SMS

Na co zwrócić uwagę przygotowując zgodną z prawem kampanię SMS Na co zwrócić uwagę przygotowując zgodną z prawem kampanię SMS Michał Sztąberek isecuresp. z o.o. Dwa słowa o osobowych Administrator (ADO) Procesor organ, jednostka organizacyjna, podmiot lub osoba decydująca

Bardziej szczegółowo

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) NR

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) NR 28.5.2014 L 159/41 ROZPORZĄDZENIA ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) NR 574/2014 z dnia 21 lutego 2014 r. zmieniające załącznik III do rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 305/2011

Bardziej szczegółowo

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie. REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie. I Podstawa prawna: 1. Ustawa z dnia 29.08.1997 roku o ochronie danych osobowych

Bardziej szczegółowo

PRZETWARZANIE W CHMURZE A OCHRONA DANYCH OSOBOWYCH DARIA WORGUT-JAGNIEŻA AUDYTEL S.A.

PRZETWARZANIE W CHMURZE A OCHRONA DANYCH OSOBOWYCH DARIA WORGUT-JAGNIEŻA AUDYTEL S.A. PRZETWARZANIE W CHMURZE A OCHRONA DANYCH OSOBOWYCH DARIA WORGUT-JAGNIEŻA AUDYTEL S.A. Plan prezentacji Jakie ograniczenia stawia chmurze Ustawa o ochronie danych osobowych? Co zagraża naszym danym? Minimalizowanie

Bardziej szczegółowo

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09 GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki Warszawa, dnia 31 sierpnia 2009 r. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09 D E C Y Z J A Na podstawie art. 104 1 ustawy z dnia 14 czerwca

Bardziej szczegółowo

Krajowa Konferencja Ochrony Danych Osobowych

Krajowa Konferencja Ochrony Danych Osobowych g Krajowa Konferencja Ochrony Danych Osobowych II. Human Resources 6. Wykorzystywanie technologii informatycznych w aspekcie globalizacji procesów zatrudniania prelegent Konrad Czaplicki 1 Globalne systemy

Bardziej szczegółowo

Umowa nr..- /15. o powierzeniu przetwarzania danych osobowych zawarta w dniu... 2015 r. w Poznaniu pomiędzy:

Umowa nr..- /15. o powierzeniu przetwarzania danych osobowych zawarta w dniu... 2015 r. w Poznaniu pomiędzy: Umowa nr..- /15 o powierzeniu przetwarzania danych osobowych zawarta w dniu... 2015 r. w Poznaniu pomiędzy:., wpisanym do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy.. w Poznaniu, VIII Wydział

Bardziej szczegółowo

1. Postanowienia ogólne

1. Postanowienia ogólne Załącznik nr 1 Polityka prywatności 1. Postanowienia ogólne POLITYKA PRYWATNOŚCI 1.1. Administratorem danych osobowych zbieranych za pośrednictwem Sklepu internetowego jest FRANCISZEK OGRODOWICZ prowadzący

Bardziej szczegółowo

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych Zastosowanie norm w ochronie danych osobowych Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych 11. 05. 2009 r. Warszawa 1 Generalny Inspektor Ochrony Danych Osobowych ul. Stawki

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach 1. Podstawa prawna Niniejszy dokument reguluje sprawy ochrony danych osobowych przetwarzane w Urzędzie Miejskim w Zdzieszowicach i

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24 POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24 FIRMY ELF24 SP. Z O.O. SP. K. Z SIEDZIBĄ W POZNANIU Poznań, czerwiec 2015 SPIS TREŚCI SPIS TREŚCI...

Bardziej szczegółowo

Cloud Computing - problematyka prawna udostępnienia aplikacji w chmurze obliczeniowej (SaaS)

Cloud Computing - problematyka prawna udostępnienia aplikacji w chmurze obliczeniowej (SaaS) Cloud Computing - problematyka prawna udostępnienia aplikacji w chmurze obliczeniowej (SaaS) Zakres prezentacji Określenie charakteru prawnego usług świadczonych w ramach modelu SaaS, Wyodrębnienie istotnych

Bardziej szczegółowo

Marcin Soczko. Agenda

Marcin Soczko. Agenda System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie

Bardziej szczegółowo

Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej. Michał Kluska

Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej. Michał Kluska Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej Michał Kluska Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej Łopuszna, 6-7 lutego 2012 r. Agenda:

Bardziej szczegółowo

Claud computing zostało uznane przez Grupę Roboczą art.29 w dokumencie WP 170 Program prac na lata 2010 2011 przyjętym dnia 15 lutego 2010 r.

Claud computing zostało uznane przez Grupę Roboczą art.29 w dokumencie WP 170 Program prac na lata 2010 2011 przyjętym dnia 15 lutego 2010 r. dr Bogdan Fischer Claud computing zostało uznane przez Grupę Roboczą art.29 w dokumencie WP 170 Program prac na lata 2010 2011 przyjętym dnia 15 lutego 2010 r. za jedno z najistotniejszych obecnie wyzwań.

Bardziej szczegółowo

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE O prawidłowym systemie ochrony danych osobowych w przedsiębiorstwie można mówić wtedy, gdy dopełniane są wszystkie obowiązki administratora

Bardziej szczegółowo

Warszawa, 17 marca 2014 r.

Warszawa, 17 marca 2014 r. Warszawa, 17 marca 2014 r. Stanowisko Zespołu Ekspertów powołanego przez GIODO, dotyczące potrzeby zmiany art. 39a ustawy o ochronie danych osobowych (zawierającego delegację do wydania rozporządzenia)

Bardziej szczegółowo

12.2.2010 Dziennik Urzędowy Unii Europejskiej L 39/5

12.2.2010 Dziennik Urzędowy Unii Europejskiej L 39/5 12.2.2010 Dziennik Urzędowy Unii Europejskiej L 39/5 DECYZJA KOMISJI z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym

Bardziej szczegółowo

REKTORA UNIWERSYTETU RZESZOWSKIEGO z dnia 17.02.2012r.

REKTORA UNIWERSYTETU RZESZOWSKIEGO z dnia 17.02.2012r. Rektor Uniwersytetu Rzeszowskiego al. Rejtana 16 C; 35 959 Rzeszów tel.: + 48 17 872 10 00 (centrala) + 48 17 872 10 10 fax: + 48 17 872 12 65 e-mail: rektorur@univ.rzeszow.pl ZARZĄDZENIE Nr 13/2012 REKTORA

Bardziej szczegółowo

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE Zarządzenie nr 1/2015 z dnia 2 stycznia 2015 r. o zmianie zarządzenia w sprawie: wyznaczenia administratora bezpieczeństwa informacji oraz administratora systemów informatycznych w Urzędzie Gminy i Miasta

Bardziej szczegółowo

SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY. Europejski program bezpieczeństwa lotniczego

SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY. Europejski program bezpieczeństwa lotniczego KOMISJA EUROPEJSKA Bruksela, dnia 7.12.2015 r. COM(2015) 599 final SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY Europejski program bezpieczeństwa lotniczego PL PL 1. KOMUNIKAT KOMISJI Z 2011

Bardziej szczegółowo

Regulamin dostępu testowego do Aplikacji erecruiter

Regulamin dostępu testowego do Aplikacji erecruiter Regulamin dostępu testowego do Aplikacji erecruiter 1 DEFINICJE Użyte w niniejszym Regulaminie określenia posiadają następujące znaczenie: 1. Usługodawca lub erecruitment Solutions erecruitment Solutions

Bardziej szczegółowo

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r. ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA w sprawie wyznaczenia administratora bezpieczeństwa informacji oraz zastępców administratora bezpieczeństwa informacji w Urzędzie Gminy w Stegnie. Na podstawie

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH Załącznik Nr 1 Do ZARZĄDZANIA NR 9/2011 POLITYKA BEZPIECZEŃSTWA ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH Podstawa prawna: - rozporządzenie Ministra Spraw Wewnętrznych i Administracji

Bardziej szczegółowo

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH * - zgłoszenie zbioru na podstawie art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.

Bardziej szczegółowo

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni) ZRBS/45/2015 Warszawa, dnia 05.06. Szanowni Państwo, Zarząd Banku Spółdzielczego Związek Rewizyjny Banków Spółdzielczych im. F. Stefczyka realizując swoją statutową działalność przesyła ofertę na szkolenie

Bardziej szczegółowo

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik Program 1. Strategia bezpieczeństwa w szkole/placówce. 2. Realizacja polityki bezpieczeństwa infrastruktury IT.

Bardziej szczegółowo

REWITALIZACJA SPOŁECZNA

REWITALIZACJA SPOŁECZNA Człowiek najlepsza inwestycja REWITALIZACJA SPOŁECZNA załącznik nr. do umowy nr z dnia - w z ó r - UMOWA o POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH zawarta w dniu. pomiędzy: Miejskim Ośrodkiem Pomocy

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice Załącznik Nr 2 do Zarządzenia Nr 20/2008 Wójta Gminy Miłkowice z Dnia 2 kwietnia 2008r. w sprawie wprowadzenia do użytku służbowego Instrukcji zarządzania systemami informatycznymi, służącymi do przetwarzania

Bardziej szczegółowo

Ochrona Informacji i innych aktywów Zamawiającego

Ochrona Informacji i innych aktywów Zamawiającego Ochrona Informacji i innych aktywów Zamawiającego 1 Postanowienia wstępne 1. W trakcie realizacji Umowy Wykonawca może mieć dostęp do informacji, systemów informatycznych oraz innych aktywów Zamawiającego

Bardziej szczegółowo

Załącznik nr 8 do SIWZ

Załącznik nr 8 do SIWZ Załącznik nr 8 do SIWZ UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH UCZESTNIKÓW PROJEKTÓW W RAMACH UMOWY nr. z dnia. na koordynację i przeprowadzenie kontroli projektów konkursowych realizowanych w

Bardziej szczegółowo

PARLAMENT EUROPEJSKI

PARLAMENT EUROPEJSKI PARLAMENT EUROPEJSKI 2004 Komisja Petycji 2009 20.03.2009 KOMUNIKAT DLA POSŁÓW Dotyczy: Petycji 0858/2007, którą złożył Paul Stierum (Holandia), w sprawie problemów związanych z przywozem pojazdów z Niemiec

Bardziej szczegółowo

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ W KONSALNET HOLDING S.A.

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ W KONSALNET HOLDING S.A. REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ W KONSALNET HOLDING S.A. WSTĘP Realizując postanowienia Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2002 r. Nr 144 poz.

Bardziej szczegółowo

Polityka prywatności dla klientów indywidualnych. 1. Administrator zbioru danych osobowych

Polityka prywatności dla klientów indywidualnych. 1. Administrator zbioru danych osobowych Polityka prywatności dla klientów indywidualnych 1. Administrator zbioru danych osobowych Tikkurila Polska S.A. (zwana dalej Tikkurila) Ul. Ignacego Mościckiego 23 39-200 Dębica Tel: 14 680 56 00 Faks:

Bardziej szczegółowo