Wpływ nowych regulacji prawnych na dopuszczalność outsourcingu procesów biznesowych.

Transkrypt

1 Wpływ nowych regulacji prawnych na dopuszczalność outsourcingu procesów biznesowych. r. pr. Paweł Gruszecki Partner, Szef Praktyki Nowych Technologii i Telekomunikacji. Kraków, r.

2 NIS Data opublikowania w Dzienniku Urzędowym Unii Europejskiej 19 lipiec 2016 r. Przyjęcie i publikacja przepisów w państwach członkowskich do 9 maja 2018 r. Stosowanie przepisów od 10 maja 2018 r. Przewidywany czas opracowania projektu przepisów polskich kwiecień 2017 r. KALENDARIUM RODO Data opublikowania w Dzienniku Urzędowym Unii Europejskiej 4 maj 2016 r. Stosowanie rozporządzenia od 25 maja 2018 r. Uchylenie Dyrektywy 95/46/WE ze skutkiem od dnia 25 maja 2018 r. Do 25 maja 2020 r. (następnie co 4 lata) Komisja przedkłada PE sprawozdania z oceny i przeglądu rozporządzenia.

3 Obowiązki dostawców usług cyfrowych na podstawie DYREKTYWY PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii

4 DOSTAWCA USŁUG CYFROWYCH każda osoba prawna, która świadczy usługę cyfrową, czyli taką, która łącznie jest: świadczona za wynagrodzeniem, na odległość, drogą elektroniczną na indywidualne żądanie odbiorcy usług, oraz która jednocześnie jest klasyfikowana jako: internetowa platforma handlowa, wyszukiwarka internetowa lub usługa przetwarzania w chmurze

5 OBOWIĄZKI DOSTAWCÓW USŁUG CYFROWYCH (I) Określanie i podejmowanie odpowiednich i proporcjonalnych środków w celu zarządzania ryzykami. Środki te muszą zapewniać poziom bezpieczeństwa odpowiedni do istniejącego ryzyka oraz uwzględniać następujące elementy: a) bezpieczeństwo systemów i obiektów; b) postępowanie w przypadku incydentu; c) zarządzanie ciągłością działania; d) monitorowanie, audyt i testowanie; e) zgodność z normami międzynarodowymi. Podejmowanie środków zapobiegających i minimalizujących wpływ incydentów z myślą o zapewnieniu ciągłości usług. Zgłaszanie bez zbędnej zwłoki właściwemu organowi lub CSIRT wszelkich incydentów mających istotny wpływ na świadczenie usługi, o której mowa w załączniku III. Zgłoszenia muszą zawierać informacje umożliwiające określenie istotności wpływu transgranicznego.

6 OBOWIĄZKI DOSTAWCÓW USŁUG CYFROWYCH (II) Istotność wpływu danego incydentu, zależy od: a) liczby użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych od usługi na potrzeby świadczenia ich własnych usług; b) czas trwania incydentu; c) zasięg geograficzny, którego dotyczy incydent; d) zasięg zakłócenia funkcjonowania usługi; e) zasięg wpływu na działalność gospodarczą i społeczną. Obowiązek zgłoszenia incydentu ma zastosowanie wyłącznie wówczas, gdy dostawca usług cyfrowych ma dostęp do informacji niezbędnych do oceny wpływu incydentu względem parametrów, o których mowa w akapicie pierwszym. Zgłoszenie operatorowi usług kluczowych, zależnemu od dostawcy usług cyfrowych w zakresie usługi, która ma istotne znaczenie dla utrzymania krytycznej działalności społecznej i gospodarczej, wszelkiego istotnego wpływu na ciągłość usług kluczowych związanego z incydentem, który dotyczy dostawcy usług cyfrowych.

7 OPERATORZY USŁUG KLUCZOWYCH Pod pojęciem operatorów usług kluczowych Dyrektywa NIS rozumie podmiot publiczny lub prywatny z sektora energetyki, transportu (lotniczego, kolejowego, wodnego, drogowego), bankowości, infrastruktury rynków finansowych, służby zdrowia, zaopatrzenia w wodę pitną i jej dystrybucji jak również infrastruktury cyfrowej (dostawcy usług DNS, rejestry nazw TLD oraz punkty wymiany ruchu internetowego IXP, które służą do międzysystemowego łączenia sieci). W zakresie bankowości oraz infrastruktury rynków finansowych za operatorów usług kluczowych uznano wprost instytucje kredytowe (w rozumieniu art. 4 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013), podmioty organizujące obrót papierami wartościowymi lub innymi instrumentami finansowymi na rynku regulowanym albo w alternatywnym systemie obrotu, a także kontrahentów centralnych CCP (w rozumieniu art. 2 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 648/2012 oraz art. 3 punkt 49) ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (Dz.U.2016 poz. 1636)). W terminie do dnia 9 listopada 2018 r. państwo powinno dokonać już szczegółowej identyfikacji (np. w treści odpowiedniego rozporządzenia lub innego ale już bardziej elastycznego instrumentu) operatorów usług kluczowych: (A) posiadających jednostkę organizacyjną na terytorium RP (niezależnie od tego czy jest to oddział czy też osoba prawna), a którzy (B) z wykorzystaniem sieci i systemów informatycznych (C) świadczą usługę o kluczowym znaczeniu dla utrzymania tzw. krytycznej działalności społecznej lub gospodarczej, w ramach której (D) potencjalny incydent miałby skutek zakłócający dla jej świadczenia.

8 Przetwarzanie danych osobowych Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Dz.U Nr 133, poz. 883, t.j. Dz.U. z 2016 r. poz UODO Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - RODO

9 DOPUSZCZALNOŚĆ POWIERZENIA PRZETWARZANIA DANYCH art. 31 ust. 1 stanowi, że: UODO Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. oraz ust. 3 wskazuje: Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art , oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. Artykuły 36-39a stanowią o zabezpieczeniu danych środkach technicznych i organizacyjnych zapewniających ochronę przetwarzania. art. 28 ust. 1 stanowi, że: RODO Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Oba akty prawne wskazują, że powierzenie przetwarzania danych może nastąpić gdy podmiot przetwarzający dane będzie gwarantował odpowiednie zabezpieczenie danych osobowych.

10 ROZSZERZONE STOSOWANIE RODO jest stosowane do przetwarzania danych osobowych w związku z działalnością administratora lub podmiotu przetwarzającego prowadzoną w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii (art. 3). RODO ma zastosowanie wobec: - administratora lub podmiotu przetwarzającego niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania dotyczą danych osobowych osób, przebywających w Unii, oraz wiążą się z: a) oferowaniem towarów lub usług w Unii takim osobom, których dane dotyczą niezależnie od tego, czy wymaga się od tych osób zapłaty; lub b) monitorowaniem zachowania osób, których dane dotyczą, o ile do zachowania tego dochodzi w Unii.

11 PRZEDSTAWICIEL PODMIOTU PRZETWARZAJĄCEGO UODO Administrator ma obowiązek wyznaczyć przedstawiciela w RP gdy podmioty, które mają siedzibę albo miejsce zamieszkania na terenie państwa trzeciego, będą przetwarzać dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium RP. (art. 31 a w związku z art. 3 ust. 2) Obowiązek ten nie powstanie w stosunku do podmiotów mających siedzibę albo miejsce zamieszkania na terenie państwa trzeciego, wykorzystujących środki techniczne znajdujące się na terytorium RP wyłącznie do przekazywania danych (art. 3a ust. 1 pkt 2). UODO nie wskazuje obowiązków przedstawiciela, ani też jego uprawnień Przepis nie precyzuje również jakie podmioty objęte są obowiązkiem wyznaczenia przedstawiciela, bowiem posługuje się sformułowaniem podmioty. RODO Administrator lub podmiot przetwarzający ma obowiązek wyznaczenia przedstawiciela w UE jeśli administrator lub podmiot przetwarzający niemający jednostek organizacyjnych w Unii, przetwarza dane osobowe osób, przebywających w Unii, w związku z oferowaniem towarów lub usług w Unii lub monitorowaniem zachowania (art. 3 ust. 2) Nie wyznacza się przedstawiciela gdy: - przetwarzanie ma charakter sporadyczny; - dane osobowe przetwarza organ lub podmiot publiczny. Wyznaczenie przedstawiciela następuje na piśmie; Przedstawiciel musi mieć siedzibę w państwie członkowskim, w którym przebywają osoby, których dane są przetwarzane w związku z oferowaniem towarów lub usług lub monitorowaniem zachowania.

12 UMOWA POWIERZENIA PRZETWARZANIA DANYCH UODO art powierzenie przetwarzania na podstawie pisemnej umowy; - przetwarzanie możliwe tylko w zakresie i celu przewidzianym w umowie; - obowiązek podjęcia środków zabezpieczających przez rozpoczęciem przetwarzania; - w zakresie przepisów dot. środków zabezpieczających podmiot przetwarzający ponosi odpowiedzialność jak administrator danych. - odpowiedzialność za przestrzeganie przepisów dot. przetwarzania ponosi administrator. Jednak nie wyłącza to odpowiedzialności podmiotu przetwarzającego za przetwarzanie niezgodne z umową; - Możliwe jest podpowierzenie przetwarzania, na tych samych zasadach co powierzenie pierwotne; RODO art powierzenie przetwarzania na podstawie umowy lub innego instrumentu prawnego obowiązujących w danym państwie członkowskim; dla umowy RODO przewiduje formę pisemną, w tym elektroniczną; - umowa ma określać: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób których dane dotyczą, prawa i obowiązki administratora. - ponadto umowa ma stanowić, że podmiot przetwarzający: przetwarza dane wyłącznie na udokumentowane polecenie administratora, zapewnia zachowanie tajemnicy, pomaga w spełnieniu obowiązku realizacji praw osób, których dane są przetwarzane,

13 UODO art. 31 UMOWA POWIERZENIA PRZETWARZANIA DANYCH RODO art. 31 po zakończeniu usług przetwarzania usuwa lub zwraca dane i/lub ich kopie, wdraża odpowiednie środki techniczne i organizacyjne, przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, pomaga administratorowi wywiązywać się z obowiązków zapewnienia bezpieczeństwa danych. - podmiot przetwarzający ma gwarantować wdrożenie odpowiednich środków technicznych i organizacyjnych; - możliwe jest podpowierzenie przetwarzana danych, wtedy na wskazany podmiot nałożone zostają te same obowiązki jakie obowiązują procesora pierwotnego. Odpowiedzialność za podpowierzenie spoczywa na podmiocie który ustanowił to podpowierzenie; - gwarancje wdrożenia odpowiednych środków technicznych i organizacyjnych można wykazać poprzez stosowanie zatwierdzonego kodeksu postępowania (art. 40) lub zatwierdzonego mechanizmu certyfikacji (art. 42); - umowa lub inny akt prawny powierzenia przetwarzania danych może się opierać (w całości lub części) na standardowych klauzulach umownych (BCR, art. 28 ust. 7, 8);

14 PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH UODO - Przekazanie możliwe jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. - Przekazanie wynika z obowiązku nałożonego przepisami prawa na administratora. - Przesłanki ustawowe niewymagające odpowiedniego poziomu ochrony danych osobowych. Na przykład: zgoda osoby, której dane dotyczą, przekazanie jest niezbędne dla wykonania umowy, (art. 47 ust.3). Gdy państwo nie zapewnia odpowiedniego poziomu ochrony: - Uzyskanie zgody GIODO (decyzja administracyjna); - Posiadanie i stosowanie standardowych klauzul umownych ochrony danych osobowych zatwierdzonych przez Komisję; - Wiążące reguły korporacyjne, zatwierdzone przez GIODO. RODO Na podstawie decyzji stwierdzającej odpowiedni stopień ochrony. - Konieczne jest zapewnienie odpowiedniego stopnia ochrony; - takie przekazanie nie wymaga specjalnego zezwolenia; - Komisja publikuje wykaz państw trzecich, co do których przyjęła decyzję stwierdzającą odpowiedni stopień ochrony lub jego brak. Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń: - Wiążące reguły korporacyjne, - Standardowe klauzule ochrony, przyjęte przez Komisję lub organ nadzorczy i zatwierdzone przez Komisję; - Zatwierdzony kodeks postepowania; - Zatwierdzony mechanizm certyfikacji; - Zezwolenie właściwego organu nadzorczego (za pomocą klauzul umownych, postanowień uzgodnień administracyjnych). Wyjątki wskazane w art. 49 Na przykład: zgoda osoby, której dane dotyczą, w celu wykonania umowy (art. 49 ust. 1)

15 PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH Komisja Europejska w dniu 12 lipca 2016 r. przyjęła decyzję w sprawie odpowiedniej ochrony danych osobowych (Program Tarcza Prywatności UE-USA, Privacy Shield), która umożliwia przekazywanie danych osobowych podmiotom, które przystąpią do tego programu. Podmioty, które przystąpią do programu posiadają odpowiedni poziom ochrony danych osobowych co prowadzi do tego, że przekazanie danych osobowych do USA jest możliwe na podstawie art. 47 ODO, oraz nie jest wymagane spełnianie dodatkowych przesłanek przekazania.,

16 UODO - Brak obowiązku prowadzenia rejestru czynności przetwarzania danych osobowych; REJESTROWANIE CZYNNOŚCI PRZETWARZANIA PRZEZ PODMIOT PRZETWARZAJĄCY RODO Każdy podmiot przetwarzający danych oraz przedstawiciel podmiotu przetwarzającego prowadzą rejestr czynności przetwarzania danych osobowych. W rejestrze zamieszcza się: - Imię i nazwisko/nazwę oraz dane kontaktowe podmiotu/ów przetwarzającego/ych, administratora w imieniu którego działa, przedstawiciela oraz inspektora ochrony danych (jeśli ma to zastosowanie); - Kategorie przetwarzań dokonywanych w imieniu administratora; - Przekazania danych do państwa trzeciego, jego nazwę (lub nazwę organizacji międzynarodowej), jeśli dotyczy; - Ogólny opis technicznych i organizacyjnych środków technicznych.

17 BEZPIECZEŃSTWO DANYCH OSOBOWYCH UODO - stosowanie środków technicznych i organizacyjnych zapewniających ochronę; - Powołanie administratora bezpieczeństwa informacji (ABI); - Dostęp do przetwarzania danych tylko przez osoby posiadające upoważnienie od administratora danych; - Prowadzenie ewidencji osób upoważnionych do przetwarzania; - Posiadanie Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemami Informatycznymi. RODO - stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo odpowiadające ryzyku; - Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu w ciągu 72 h po stwierdzeniu naruszenia; - Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych; - W przypadku przetwarzania z użyciem nowych technologii przeprowadzanie oceny skutków dla ochrony danych (art. 35); - Wyznaczenie Inspektora Ochrony Danych (nie zawsze konieczny, art. 37)

18 Kontakt tel.: fax.: Metropolitan Plac Piłsudskiego Warszawa