Bezpieczna Chmura warunki legalnego przetwarzania dokumentów w modelu Cloud Computing Wybrane Aspekty Prawne STEFAN CIEŚLA KANCELARIA RADCY PRAWNEGO
Tajemnica chronionej w Rzeczpospolitej Polskiej Tworząc zespoły dokumentów o zróżnicowanym charakterze oraz tematyce należy zadbać, aby publikując je w chmurze nie naruszyć tajemnicy prawnie chronionej. Rodzaje tajemnicy prawnie chronionej w prawodawstwie polskim: 1. 2. 3. Informacja niejawna tajemnica chroniona ze względu na interes Państwa, czego niniejsza prezentacja nie dotyczy Tajemnica zawodowa tajemnica chroniona ze względu na szczególny charakter informacji uzyskiwanej w toku wykonywania zawodu Tajemnica służbowa tajemnica chroniona ze względu na interes Pracodawcy 1
Informacja Niejawna Podstawy prawne Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U. z 2010 Nr.182, poz.1228) 2
Przetwarzanie w chmurze informacji niejawnych Kiedy można przetwarzać w chmurze informacje niejawne? 1. Po uzyskaniu akredytacji bezpieczeństwa teleinformatycznego 2. Po sporządzeniu Dokumentu szczególnych wymagań bezpieczeństwa systemu teleinformatycznego 3
Przetwarzanie w chmurze informacji niejawnych Podstawy Akredytacji - Potwierdzenia Bezpieczeństwa 1. 2. dokumentacja bezpieczeństwa systemu teleinformatycznego, zatwierdzona przez ABW lub SKW wynik audytu bezpieczeństwa systemu teleinformatycznego przeprowadzonego przez ABW lub SKW Ważne! Akredytacja bezpieczeństwa wydawana jest na okres 5 lat 4
Przetwarzanie w chmurze informacji niejawnych Dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w systemie teleinformatycznym Opis tych aspektów budowy systemu teleinformatycznego, które mają związek z bezpieczeństwem systemu WYMAGANA ZAWARTOŚĆ sposoby osiągania i utrzymywania odpowiedniego poziomu bezpieczeństwa systemu, przyjęte w ramach zarządzania ryzykiem Opis zasad działania i eksploatacji systemu, które mają związek z bezpieczeństwem systemu lub wpływają na jego bezpieczeństwo 5
Przetwarzanie w chmurze informacji niejawnych Dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego Dokonywanie zmian w systemie teleinformatycznym Przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w tym systemie 6
Tajemnica zawodowa Podstawy prawne Obowiązek zachowania tajemnicy związanej z wykonywaniem zawodu, określony w przepisach regulujących specyficzne zawody Obowiązek zachowania tajemnicy związanej z informacjami uzyskiwanymi w związku z wykonywanym zawodem konstytuuje około 20 ustaw Każda ustawa odrębnie reguluje zakres tajemnicy, krąg podmiotów uprawnionych do jej pozyskania oraz zasady jej ujawniania 7
Tajemnica radcowska Ustawa o radcach prawnych Art. 3. 3. Radca prawny jest obowiązany zachować w tajemnicy wszystko, o czym dowiedział się w związku z udzieleniem pomocy prawnej. 4. Obowiązek zachowania tajemnicy zawodowej nie może być ograniczony w czasie. 5. Radca prawny nie może być zwolniony z obowiązku zachowania tajemnicy zawodowej co do faktów, o których dowiedział się udzielając pomocy prawnej lub prowadząc sprawę. 6. Obowiązek zachowania tajemnicy zawodowej nie dotyczy informacji udostępnianych na podstawie przepisów ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2003 r. Nr 153, poz. 1505, z późn. zm.) - w zakresie określonym tymi przepisami. 8
Art. 15. ust 2. Tajemnica Dziennikarska Ustawa prawo prasowe Dziennikarz ma obowiązek zachowania w tajemnicy: 1) danych umożliwiających identyfikację autora materiału prasowego, listu do redakcji lub innego materiału o tym charakterze, jak również innych osób udzielających informacji opublikowanych albo przekazanych do opublikowania, jeżeli osoby te zastrzegły nieujawnianie powyższych danych, 2) wszelkich informacji, których ujawnienie mogłoby naruszać chronione prawem interesy osób trzecich. 9
Informacja niejawna i tajemnica a technologie Uzyskanie certyfikatu bezpieczeństwa technologicznego WERYFIKACJA TECHNOLOGII Sporządzenie audytu bezpieczeństwa technologicznego Wydawane przez firmy akredytowane w organizacjach bezpieczeństwa informatycznego Dokonywane przez podmioty zaufania publicznego np. Przez audytorów z Wielkiej Czwórki 10
Kodeks Pracy Tajemnica służbowa Podstawy prawne Regulaminy wewnętrzne Pracodawcy Zakresy czynności i indywidualnie określone zobowiązania 11
!!! Tajemnica służbowa - wymogi szczególne Pracownicy są obowiązani do zachowania tajemnicy służbowej na podstawie ustawy Zewnętrzne Podmioty przetwarzające muszą zabezpieczyć tajemnicę służbową odpowiednimi zapisami umownymi 12
!!! Tajemnica zawodowa wymogi szczególne Podmioty są obowiązane do zachowania tajemnicy zawodowej na podstawie ustawy Zewnętrzne Podmioty przetwarzające muszą zabezpieczyć tajemnicę zawodową odpowiednimi zapisami umownymi 13
Kiedy można przetwarzać w chmurze pozostałe tajemnice? Żaden przepis nie określa sposobu przetwarzania tajemnic służbowych lub zawodowych Czy to wyklucza przetwarzanie w chmurze obliczeniowej? Nie wyklucza tak jak nie wyklucza przetwarzania przedmiotowych tajemnic przez pracowników np. kancelarii czy też redakcji! 14
Rodzaj danych Dopuszczalność przetwarzania danych osobowych Usługodawca gromadzi zbiór danych osobowych Klientów Nawiązanie stosunku usługi, Ukształtowanie treści w zakresie jej dostępności dla Klienta Zmiana lub rozwiązanie stosunku prawnego Przetwarzanie danych osobowych Nazwisko i imiona Klienta Numer ewidencyjny PESEL lub numer paszportu, dowodu osobistego lub innego dokumentu Adres zameldowania na pobyt stały i adresy elektroniczne Klienta 15
Dopuszczalność przetwarzania danych osobowych Dane niezbędne do realizacji umów lub dokonania innej czynności prawnej z Klientem Możliwości przetwarzania innych danych osobowych Dane, które nie są niezbędne do świadczenia usługi drogą elektroniczną Ze względu na: właściwość świadczonej usługi Sposób rozliczenia usługi Wyłącznie za zgodą Klienta 16
Dopuszczalność przetwarzania danych osobowych Usługodawca może przetwarzać dane osobowe: 1. 2. 3. 4. Niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności za korzystanie z usługi Niezbędne do wyjaśnienia okoliczności niedozwolonego korzystania z usługi Dopuszczone do przetwarzania na podstawie odrębnych ustaw lub umowy Niezbędne do celów reklamy, badania rynku oraz zachowań i preferencji Klienta w celu polepszenia jakości usług wyłącznie za zgodą Klienta 17
Dopuszczalność przetwarzania danych osobowych 2 Usługodawca może przetwarzać dane osobowe w zakresie niezbędnym do ustalenia odpowiedzialności 1 Usługodawca powinien wyróżnić i określić dane Klienta niezbędne do świadczenia usługi drogą elektroniczną UWAGA 4 Usługodawca nie może przetwarzać danych osobowych Klienta po zakończeniu korzystania z usługi świadczonej drogą elektroniczną 3 Usługodawca może przetwarzać dane osobowe, jeśli wie o nieuprawnionym korzystaniu z usługi przez Klienta, a wiedza ta jest utrwalona dla celów dowodowych 18
Dopuszczalność przetwarzania danych osobowych Szczególne wymogi dotyczące bezpieczeństwa danych osobowych Przetwarzanie i przechowywanie danych osobowych jest dozwolone wyłącznie na serwerach umiejscowionych na poszerzonym obszarze UE. Przetwarzanie i przechowywanie danych osobowych musi być zgodne z zasadami określonymi w Ustawie o ochronie danych osobowych Administratorzy Podmioty przetwarzające 19
Obowiązki Usługodawca przetwarzającego dane osobowe Możliwości korzystania przez Klienta z usługi świadczonej drogą elektroniczną anonimowo lub udostępnianych przez Usługodawcę z wykorzystaniem pseudonimu Udostępnianych przez Usługodawcę środkach technicznych zapobiegających pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione danych osobowych Klienta, pozyskiwanych drogą elektroniczną Podmiocie, któremu Usługodawca powierza przetwarzanie danych osobowych Klienta, ich zakresie i zamierzonym terminie przekazania, jeżeli Usługodawca zawarł z tym podmiotem umowę o powierzenie danych osobowych 20
Ryzyko przetwarzania Własne ryzyko przetwarzanie w prywatnej chmurze obliczeniowej Delegowane ryzyko outsourcing przetwarzania przez podmioty zewnętrzne 21
Rodzaje ryzyka 1 2 3 Ryzyko dopuszczalności przetwarzania Ryzyko poziomu zabezpieczenia umownego Ryzyko wyboru kontrahenta 22
Odpowiedzialność za ryzyko Reguła generalna odpowiada osoba zobowiązana do zachowania tajemnicy Odpowiedzialność za ryzyko Reguła szczególna współodpowiadają osoby przetwarzające 23
Aktualnie obowiązujące podstawowe akty prawne dotyczące danych osobowych w Unii Europejskiej Podstawowe akty prawne Unii Europejskiej regulujące procesy gromadzenia, przetwarzania i archiwizacji danych osobowych: 1 Dyrektywa nr. 95/46/WE Parlamentu Europejskiego i Rady z dn. 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych 2 Traktat o Funkcjonowaniu Unii Europejskiej (TFUE) (Traktat lizboński) z 13 grudnia 2007 r., art. 16 w sprawie ochrony danych osobowych i swobodnego przepływu danych osobowych, umożliwiającego również współpracę policji i wymiaru sprawiedliwości w sprawach karnych. 24
Aktualnie obowiązujące podstawowe akty prawne dotyczące danych osobowych w Unii Europejskiej Traktat o Funkcjonowaniu Unii Europejskiej, art. 16: 1. Stworzył nową podstawę prawną bardziej nowoczesnego i kompleksowego podejścia do ochrony danych osobowych 2. Umożliwił współpracę policyjną i współpracę wymiaru sprawiedliwości w sprawach karnych dotyczących danych osobowych 25
Aktualnie obowiązujące podstawowe akty prawne dotyczące danych osobowych w Unii Europejskiej Traktat o Funkcjonowaniu Unii Europejskiej, art. 16 Ust. 1: Ustanawia zasadę, zgodnie z którą każda osoba ma prawo do ochrony danych osobowych jej dotyczących Ust. 2: Cel: Art. 8: wprowadził ochronę danych osobowych jako jedno z praw podstawowych jest to szczególna podstawa prawna dla ochrony w/w danych zapewnienie równorzędnego poziomu ochrony danych w UE 26
Dlaczego zmiany? Procesy po 1995 r., jakie wpłynęły na potrzebę nowych regulacji prawnych w dziedzinie ochrony danych osobowych: Szybki rozwój gospodarczy Wzrost skali wymiany i zbierania danych osobowych Szybki rozwój technologiczny Technologia umożliwia zarówno przedsiębiorcom prywatnym, jak i organom publicznym wykorzystywanie danych osobowych do wykonywania powierzonych im zadań na niespotykaną dotąd skalę. Osoby fizycznie coraz częściej udostępniają informacje osobowe publicznie i globalnie, nie zdając sobie w pełni sprawy, jakie z tym wiążą się ryzyka. 27
Efekty dotychczasowej dyrektywy W przepisach obowiązujących w państwach członkowskich nadal istnieją istotne rozbieżności Dotychczasowe dyrektywy a prawo wewnątrzpaństwowe Rozdrobnione otoczenie prawne, w którym występuje brak pewności prawnej i nierówna ochrona osób fizycznych 28
Efekty dotychczasowej dyrektywy Utrata kontroli nad własnymi danymi osobowymi Dotychczasowe dyrektywy a osoby fizyczne 72% użytkowników Internetu w Unii Europejskiej: Codziennie gromadzeniu i przetwarzaniu podlega bardzo duża ilość danych osobowych Osoby fizyczne bardzo często nie są świadome, iż ich dane są gromadzone i przetwarzane Nadal uważa, że w środowisku online musi podawać zbyt wiele danych osobowych Nie wie, jak egzekwować swoje prawa w środowisku internetowym 29
Przyczyny nowej regulacji Dokonywania zakupów towarów w Internecie Brak zaufania konsumenta do Internetu Niepewność w kwestii: Dokonywania zakupów usług w Internecie, w tym usług bankowych Korzystania z nowych usług, w tym usług administracji państwowej (e-government) 30
Główne cele nowej regulacji Cel: Lepsze i szersze wykorzystanie nowych możliwości technologicznych związanych z Internetem, w tym z cloud computingiem Środek do celu: Budowa zaufania do Internetu jako kluczowego elementu rozwoju tej technologii 31
Główne cele nowej regulacji Zwiększenie wymiaru ochrony danych osobowych, związanych z rynkiem wewnętrznym poprzez zmniejszenie rozdrobnienia, poprawę spójności i uproszczenie środowiska regulacyjnego Podwyższenie skuteczności podstawowego prawa do ochrony danych osobowych Zwiększenie spójności unijnych ram ochrony danych osobowych, w tym w obszarze współpracy policyjnej i współpracy wymiarów sprawiedliwości 32
Do dotychczasowych zasad przetwarzania danych osobowych dodano w szczególności zasady: Szczegółowe zmiany w nowej regulacji 1. Przejrzystości zbioru danych 2. Minimalizacji danych 3. Ponoszenia całkowitej odpowiedzialności przez administratora 33
Szczegółowe zmiany w nowej regulacji Uzupełniono obowiązek informowania podmiotu danych o jego prawach w zakresie danych osobowych o obowiązek: Informowania podmiotów danych o okresie przechowywania ich danych Prawach do poprawiania lub usuwania danych oraz zgłaszania skarg 34
Szczegółowe zmiany w nowej regulacji 1. Podkreślono prawo podmiotu danych do bycia zapomnianym i do usunięcia danych 2. Wprowadzono obowiązek administratora, który podał dane osobowe podmiotu do wiadomości publicznej do: poinformowania osób trzecich o wniosku podmiotu danych dotyczącym usunięcia wszelkich linków do danych poinformowania osób trzecich o wniosku podmiotu danych dotyczącym usunięcia wszelkich kopii lub replikacji tych danych 35
Szczegółowe zmiany w nowej regulacji 1. Wprowadzono prawo podmiotu danych do przenoszenia danych, tj. do przenoszenia ich z jednego elektronicznego systemu przetwarzania do innego 2. Administrator nie ma prawa do zapobiegania takiemu przenoszeniu danych podmiotu 3. Podmiot danych ma prawo do uzyskania od administratora swoich danych w zorganizowanym i powszechnie stosowanym formacie elektronicznym 36
Szczegółowe zmiany w nowej regulacji: wzmocnienie organów krajowych Wzmocnienie niezależności i uprawnień krajowych organów do spraw ochrony danych Obowiązek przekazywania unijnym organom przez państwa członkowskie wystarczających zasobów Znaczące wzmocnienie pozycji krajowych organów nadzoru w strukturze zarządzania państwem 37
Skład Europejskiej Rady Ochrony danych Szczegółowe zmiany w nowej regulacji: Europejska Rada Ochrony Danych Szefowie organów nadzorczych wszystkich państw członkowskich Europejski Inspektor Ochrony Danych Prawo do reprezentacji w Radzie oraz do uczestniczenia w jej działaniach ma Komisja Europejska 38
DZIĘKUJĘ ZA WYSŁUCHANIE PRELEKCJI Stefan Cieśla Kancelaria Radcy Prawnego Stefan Cieśla Ul. Foksal 18 00-372 Warszawa www.radcaprawny-ciesla.pl sfciesla@radcaprawny-ciesla.pl Tel. 22 389 61 27 opracowanie koncepcyjne i graficzne: Elżbieta Cieśla 39