PRZETWARZANIE W CHMURZE A OCHRONA DANYCH OSOBOWYCH DARIA WORGUT-JAGNIEŻA AUDYTEL S.A.

Transkrypt

1 PRZETWARZANIE W CHMURZE A OCHRONA DANYCH OSOBOWYCH DARIA WORGUT-JAGNIEŻA AUDYTEL S.A.

2 Plan prezentacji Jakie ograniczenia stawia chmurze Ustawa o ochronie danych osobowych? Co zagraża naszym danym? Minimalizowanie ryzyka w umowach z dostawcą usług Cloud computing a transfer danych do państw spoza EOG CASE STUDY: Firma farmaceutyczna przenosi bazę klientów do chmury 2

3 Jakie ograniczenia stawia chmurze Ustawa o ochronie danych osobowych? Zasada celowości: dane przetwarzane w chmurze nie mogą być przetwarzane w innym celu niż zlecony przez Administratora Danych; Wymagania dla aplikacji (SaaS): odnotowanie identyfikatora użytkownika wprowadzającego rekord, daty wprowadzenia rekordu, daty modyfikacji; Prawo do kontroli dostawcy chmury: administrator danych powinien mieć prawo kontrolowania processora danych, Wykonywanie kopii zapasowych: brak potwierdzenia faktu wykonywania kopii, brak informacji o sposobie ich wykonywania, brak nadzoru nad wykonywaniem kopii przez administratora danych; Dopuszczalność przekazania danych poza EOG: wymóg posiadania certyfikatu Safe Harbour dla instytucji w USA, wymóg wyrażenia zgody przez GIODO na transfer danych np. do Indii. 3

4 Co zagraża naszym danym w chmurze? Problemy techniczne Kwestie związane z współdzieleniem zasobów Przejęcie kont / nieautoryzowany dostęp Niezabezpieczone interfejsy/api Regulacje prawne państwa, w którym przechowywane są dane, zezwalające na dostęp do naszych danych Brak dostępu do danych w chmurze Brak możliwości (szybkiego) odzyskania danych Zdarzenia losowe Ataki hakerów i krakerów Business continuity i gotowość DR dostawcy. DO jakich danych mają władze niektórych krajów? USA: dostęp do danych obywateli USA wymaga nakazu sądowego USA: dostęp do danych obywateli spoza USA jest nieograniczony Australia Południowa: obowiązek podpisywania imieniem, nazwiskiem oraz adresem komentarzy dotyczących kandydatów w wyborach (w 2010 roku) 4

5 Liczba incydentów znacznie wzrosła - z 33 do 71 w latach Na 172 ujawnione incydenty aż 25% dostawców chmur nie podało przyczyny. Źródło: cloudsecurityalliance.org 5

6 Minimalizowanie ryzyka w umowach z dostawcą usług Dokładne określenie listy lokalizacyjnej; Zobowiązanie dostawcy do nie wykorzystywania danych we własnym celu i poza zakresem; Klauzule dotyczące poufności; Jak minimalizować ryzyka? Wybierać sprawdzonych dostawców Wybierać dostawców stosujących standardy, ISO, BSI, ITIL Podpisać umowę przed przekazaniem danych Zweryfikować stosowane przez dostawcę zabezpieczenia Zobowiązanie dostawcy o informowaniu klienta o incydentach (wyciekach danych, usterkach, włamaniach, itp.) oraz kontrolach miejscowego organu ochrony danych osobowych; Uregulowanie kwestii dalszego podpowierzenia przetwarzania danych, Zawiadamianie o każdym prawnie wiążącym wniosku o udostępnienie danych osobowych; Zobowiązanie do stosowania środków zabezpieczających zgodnych z polskim/ue prawem; Określenie zasad zwrotu i usunięcia danych po zakończeniu współpracy. 6

7 Cloud Computing a transfer danych do państw spoza EOG KIEDY MOŻLIWY JEST TRANSFER DANYCH? Osoba, której dane dotyczą, wyraziła na to zgodę (np. transfer danych pracowników), Państwo docelowe daje gwarancję ochrony danych osobowych na swoim terytorium przynajmniej taką, jaka obowiązuje na terytorium RP/UE (np. Argentyna, Safe Harbour), Generalny Inspektor Ochrony Danych Osobowych wyraził zgodę na przekazanie danych do państwa trzeciego. ODPOWIEDZIALNOŚĆ ZA PRZEKAZANIE DANYCH W SPOSÓB NIEZGODNY Z PRAWEM ü Kara ograniczenia lub pozbawienia wolności do lat 2, ü Grzywna: os. fizyczna zł zł firma zł zł 7

8 Case study firma farmaceutyczna przenosi dane klientów do Chmury IaaS Opis systemu Procedury dostawcy Propozycja wzoru umowy Przygotowanie wniosku do GIODO Wniosek o zgodę na przekazanie danych Przygotowanie i przekazanie wniosku do GIODO Przygotowanie wyjaśnień Uzupełnienie dokumentów Wyjaśnienia do wniosku Zgoda GIODO Podpisanie umowy Bezpieczny transfer danych Nadzór nad danymi Kontrola udostępnień Po przekazaniu danych Najczęstsze błędy lub trudności: przekazanie danych przed otrzymaniem zgody na przekazanie (nieważne z mocy prawa), brak wystarczających zapisów w przygotowanej propozycji umowy powierzenia przetwarzania danych, przekazanie do GIODO dokumentacji w języku innym niż polski, transfer danych w sposób sprzeczny z polskimi przepisami (np. arkusz programu Excel przekazany za pośrednictwem poczty elektronicznej). 8

9 Dziękuję za uwagę! Audytel S.A. ul. ks. I. Skorupki Warszawa tel.: (22) fax: (22) info@audytel.pl web : 9