Obrót dokumentami elektronicznymi w chmurze

Obrót dokumentami elektronicznymi w chmurze 23 września 2015 r. Maria Guzewska Prawnik w zespole IP/DP

Agenda Czym jest cloud computing? Dokumenty i dane w chmurze (podstawowe pojęcia, regulacje, zabezpieczenie dokumentów i danych, odpowiedzialność cywilna, karna i administracyjna) Nowe standardy dla cloud computingu Zalety obrotu dokumentami w chmurze Page 2

Czym jest cloud computing?

Modele CC Cloud computing udostępnienie zasobów informatycznych (np. sprzętu, zasobów pamięci, środowisk informatycznych, funkcjonalności oprogramowania użytkowego) przez Internet Podstawowa typologia usług CC: Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS) Aplikacje Aplikacje Aplikacje Platforma Platforma Platforma Infrastruktura Infrastruktura Infrastruktura Usługi pozostawione po stronie usługobiorcy Usługi wydzielone na zewnątrz Z prawnego punktu widzenia w ramach CC można wyróżnić relacje: B2B np. Amazon Web Services (IaaS) B2C np. Facebook (SaaS) B2G np. The G-Cloud Programme Page 4

Czym jest chmura dla prawnika? Usługi transgraniczne Powierzenie danych Zamówienia publiczne Umowa Przetwarzanie danych Page 5 Uśude Eksport danych osobowych

Dokumenty i dane w chmurze

Dokumenty elektroniczne w chmurze Page 7

Relacje podmiotów w chmurze ADMINISTRATOR DANYCH OSOBOWYCH (USŁUGOBIORCA) (spółka/ministerstwo/ organ) Powierzenie przetwarzania danych osobowych PRZETWARZAJĄCY 1 (USŁUGODAWCY) ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI PRZETWARZAJĄCY 2 Page 8 PODMIOTY DANYCH

Przetwarzane informacje Informacje neutralne z prawnego punktu widzenia Informacje publiczne (np. adresy urzędów, kursy walut NBP) Dane osobowe (np. adres, numer PESEL pracownika) Informacje prawnie chronione (np. informacje objęte tajemnicą lekarską, adwokacką, skarbową, bankową, ubezpieczeniową) Know-how & tajemnica przedsiębiorstwa (np. cenniki, wewnętrzne regulaminy) Utwory w rozumieniu prawa autorskiego (np. projekty architektoniczne, projekty towarów) Page 9 Obrót dokumentami elektronicznymi w chmurze Warszawa, 23 września 2015

Dane osobowe! Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Co może być danymi osobowymi? Adres IP Adres e-mail Adres zamieszkania Data urodzin Dane biometryczne PESEL Nazwisko Page 10

Informacje o pracownikach i kontrahentach System przetwarzania dokumentów elektronicznych powinien spełniać wymagania określone w Rozporządzeniu w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Osoby korzystające z takiego systemu powinny dysponować upoważnieniem. Page 11

Tajemnica przedsiębiorstwa Nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności (art. 11 ust. 4 uznk). Informacje te powinny być oznaczone jako tajemnica przedsiębiorstwa, a osoby korzystające z systemu powinny zawrzeć umowę o zachowaniu poufności. Komisja Europejska zaprezentowała projekt dyrektywy dotyczącej ujednolicenia prawa państw członkowskich w zakresie tajemnicy przedsiębiorstwa.

Wymogi regulacyjne

Wykaz aktów prawnych Umowy w zakresie CC (B2B, B2C, B2G) Ustawa Kodeks cywilny Ustawa o świadczeniu usług drogą elektroniczną ("Uśude") Ustawa o świadczeniu usług na terytorium RP Rozporządzenie Rady (WE) ustanawiające wspólnotowy system kontroli wywozu, transferu, pośrednictwa i tranzytu w odniesieniu do produktów podwójnego zastosowania Ustawa o zwalczaniu nieuczciwej konkurencji ("Uznk") B2B Ustawa Prawo bankowe Ustawa o działalności ubezpieczeniowej Ustawa Prawo telekomunikacyjne Ustawa o organizacji i funkcjonowaniu funduszy emerytalnych Ustawa o funduszach inwestycyjnych Prawo konsumenckie (B2C) Ustawa o prawach konsumenta Ustawa o ochronie konkurencji i konsumentów Ustawa o przeciwdziałaniu nieuczciwym praktykom rynkowym B2G Ustawa o ochronie informacji niejawnych Prawo zamówień publicznych Ustawa o partnerstwie publiczno-prywatnym Ustawa o finansach publicznych Page 14

Regulacje i wytyczne organów WYMOGI PRAWNE TECHNICZNE I ORGANIZACYJNE WYTYCZNE ustawa o ochronie danych osobowych z 1997 (na podstawie dyrektywy z 1995) Rozporządzenia wykonawcze do: ustawy o ochronie danych osobowych Opinie Grupy Roboczej art. 29 Dekalog chmuroluba Page 15

Wymagana dokumentacja 1 2 3 4 5 Polityka bezpieczeństwa Instrukcja zarządzania systemem informatycznym Upoważnienie dla (współ)pracowników do przetwarzania danych osobowych Ewidencja upoważnionych (współ)pracowników Umowa (pod)powierzenia danych osobowych Page 16

Przesyłanie dokumentów za granicę Chmura międzynarodo wa Eksport danych Przepisy polskie Chmura krajowa Prawo administratora + środki techniczne przetwarzającego W ramach EOG Poza EOG Adekwatna ochrona Jak w ramach EOG Nieadekwatna ochrona Prawo administratora Zgoda GIODO Decyzje Komisji uznana adekwatność Safe Harbor USA BCR SCC Page 17

Zgoda GIODO Do 1 stycznia 2015 Obowiązek każdorazowego uzyskania zgody GIODO na przekazanie danych osobowych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych. Po 1 stycznia 2015 Brak obowiązku uzyskania zgody GIODO, jeśli przekazujący dane zastosuje modelowe klauzule umowne bez zmiany ich treści. Page 18

Zabezpieczanie dokumentów - szyfrowanie danych w polskim prawie Obowiązek szyfrowania w polskim prawie: komputer przenośny urządzenia i nośniki, na których przetwarzane są dane sensytywne danych wykorzystywanych do uwierzytelnienia w sieci publicznej Internet Page 19

Sankcje

Odpowiedzialność ADMINISTRACYJNA CYWILNA KARNA Decyzje GIODO: Przywrócenie stanu zgodnego z prawem W razie niewykonania decyzji grzywna (jednorazowo do 50 tys. zł, łącznie do 200 tys. zł) Odpowiedzialność deliktowa (za naruszenie dóbr osobistych) brak możliwości ograniczenia odpowiedzialności za szkodę umyślną Przestępstwem jest m.in. niespełnienie obowiązku informacyjnego Przetwarzanie danych przez nieuprawnionego naruszenie obowiązku zabezpieczenia danych brak rejestracji zbioru danych utrudnianie kontroli uzyskanie informacji przeznaczonej dla kogoś innego, poprzez sieć telekomunikacyjną lub łamiąc zabezpieczenia elektroniczne nieuprawniony dostęp do informacji dla niego nieprzeznaczonej Page 21

Nowe standardy dla CC

Nowe standardy dla cloud computingu Code of conduct for Cloud Service Providers przygotowany przez Cloud Select Industry Group Cloud Service Level Agreement Standardisation Guidelines ISO/IEC 27018:2014 Information technology Security techniques Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors Page 23

Zalety obrotu dokumentami w chmurze Page 24

Zalety obrotu dokumentami w chmurze Samoobsługowość Swobodna dostępność Wspólne zasoby Dynamiczne skalowanie Proporcjonalność kosztów do wykorzystanych zasobów Page 25

Dziękuję! Maria Guzewska