4Tel Partner Sp. z o.o. Obowiązki przedsiębiorcy telekomunikacyjnego na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego. Ochrona informacji. Dominika Piniewicz Andrzej Fudala
Plan Prezentacji 1. Odpowiedzialność dyscyplinarna, finansowa, karna i cywilna za niedopełnienie obowiązków ustawowych. 2. Integralność sieci, usług i zbiorów. 3. Obowiązki na rzecz obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego. 4. Bezpieczeństwo informacji podlegającej ustawowej ochronie.
1. Odpowiedzialność dyscyplinarna, finansowa, karna i cywilna za niedopełnienie obowiązków ustawowych. 1.1. Prezes UKE: Kara pieniężna: do 3% - przedsiębiorstwo, do 300% - kierownik przedsiębiorstwa. Zakaz prowadzenie działalności gospodarczej w zakresie telekomunikacji. Art. 201 Pt
1. Odpowiedzialność dyscyplinarna, finansowa, karna i cywilna za niedopełnienie obowiązków ustawowych. 1.2. Generalny Inspektor Ochrony Danych Osobowych jako organ egzekucyjny może stosować środek egzekucyjny grzywnę - w celu przymuszenia do wykonania jego decyzji administracyjnej. Wysokość takiej grzywny wynosi maksymalnie w stosunku do: osoby fizycznej - 10 000 zł, (50 000 zł )*, osoby prawnej 50 000 zł, (200 000 zł)* * łączna wysokość grzywny w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym.
1. Odpowiedzialność dyscyplinarna, finansowa, karna i cywilna za niedopełnienie obowiązków ustawowych. 1.3. Odpowiedzialność karna. KODEKS KARNY Przestępstwa popełnione przeciwko informacji zagrożone są karą grzywny, ograniczenia wolności albo pozbawienia wolnościod3miesięcydolat5. USTAWA O OCHRONIE DANYCH OSOBOWYCH Przetwarzanie danych osobowych niezgodnie z przepisami prawa zagrożone jest kara grzywny, ograniczeniem lub pozbawieniem wolności do lat 2(3).
1. Odpowiedzialność dyscyplinarna, finansowa, karna i cywilna za niedopełnienie obowiązków ustawowych. 1.4. Odpowiedzialność cywilna. Przedsiębiorca telekomunikacyjny może w postępowaniu cywilnym ponieść konsekwencje niewłaściwego przetwarzania danych telekomunikacyjnych i danych osobowych.
2. Integralność sieci i usług. W celu zapewnienia bezpieczeństwa i integralności sieci i usług telekomunikacyjnych przedsiębiorca telekomunikacyjny jest obowiązany: zachować należytą staranność przy zabezpieczaniu urządzeń telekomunikacyjnych, sieci telekomunikacyjnych oraz zbiorów danych przed ujawnieniem tajemnicy telekomunikacyjnej. podjąć środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa i integralności sieci, usług oraz przekazu komunikatów. informować użytkowników o wystąpieniu szczególnego ryzyka naruszenia bezpieczeństwa sieci, o istniejących możliwościach zapewnienia bezpieczeństwa i związanych z tym kosztach. niezwłocznie informować Prezesa UKE o naruszeniu bezpieczeństwa lub integralności sieci lub usług, wzór formularza w rozporządzeniu i na stronie UKE.
2. Integralność sieci i usług. Przedsiębiorca telekomunikacyjny podejmuje środki mające na celu zapewnienie bezpieczeństwa i integralności sieci, usług oraz przekazu komunikatów, w tym: 1) eliminuje przekaz komunikatu, który zagraża bezpieczeństwu sieci lub usług; 2) przerywa lub ogranicza świadczenia usługi telekomunikacyjnej na zakończeniu sieci, z którego następuje wysyłanie komunikatów zagrażających bezpieczeństwu sieci lub usług. O podjętych środkach niezwłocznie (nie później niż w ciągu 24 godzin) informuje Prezesa UKE. Prezes UKE może, w drodze decyzji, zakazać stosowania ww. środków.
2. Integralność sieci i usług. Informacje o: o działaniach, jakie dostawca usług jest uprawniony podejmować w związku z przypadkami naruszenia bezpieczeństwa lub integralności sieci i usług powinna zawierać umowa o świadczenie dostępnych usług telekomunikacyjnych. publicznie W przypadku podjęcia środków bezpieczeństwa przedsiębiorca telekomunikacyjny nie odpowiada za niewykonanie lub nienależyte wykonanie usług telekomunikacyjnych w zakresie wynikającym z podjętych środków.
3. Obowiązki na rzecz obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego: w tym: sporządzaniu planów działań w sytuacjach szczególnych zagrożeń. udostępnianie danych telekomunikacyjnych art. 180d Pt, gromadzeniu, przechowywaniu i udostępnianiu danych telekomunikacyjnych RETENCJA DANYCH. zapewnieniu warunków dostępu do treści korespondencji oraz danych telekomunikacyjnych i ich utrwalania kontrola operacyjna, kontrola procesowa.
3.1 Plan działań. Obowiązkowi sporządzenia planu nie podlega przedsiębiorca, który wykonuje działalność telekomunikacyjną: 1) polegającą wyłącznie na dostarczaniu udogodnień towarzyszących; 2) wyłącznie na obszarze nieprzekraczającym granic administracyjnych jednej gminy, z wyłączeniem gmin będących miastami na prawach powiatu, 3) polegającą wyłącznie na dostarczaniu sieci lub łączy telekomunikacyjnych dzierżawionych od innego przedsiębiorcy; 4) polegającą wyłącznie na sprzedaży we własnym imieniu i na własny rachunek usługi telekomunikacyjnej świadczonej przez innego dostawcę usług; 5) polegającą wyłącznie na rozprowadzaniu lub rozpowszechnianiu programów radiofonicznych lub telewizyjnych; 6) polegającą wyłącznie na świadczeniu usług dostępu do sieci Internet za pośrednictwem sieci telekomunikacyjnej obsługującej do 500 zakończeń sieci posiadających własny adres IP; 7) wyłącznie za pośrednictwem sieci telekomunikacyjnej innego przedsiębiorcy telekomunikacyjnego.
3.2. Udostępnianie danych telekomunikacyjnych art. 180d Pt Przedsiębiorcy telekomunikacyjni są obowiązani do zapewnienia warunków dostępu i utrwalania oraz do udostępniania uprawnionym podmiotom, a także Służbie Celnej, sądowi i prokuratorowi, na własny koszt, przetwarzanych przez siebie danych związanych ze świadczoną usługą telekomunikacyjną, na zasadach i przy zachowaniu procedur określonych w przepisach odrębnych*. * W szczególności: Ustawy kompetencyjne, KPK,
3.3. Zatrzymywanie i przechowywanie przez okres 12 miesięcy niektórych danych telekomunikacyjne oraz udostępnianie ich uprawnionym podmiotom, Służbie Celnej, sądowi i prokuratorowi, RETENCJA DANYCH Operator publicznej sieci telekomunikacyjnej oraz dostawca publicznie dostępnych usług telekomunikacyjnych jest obowiązany: 1) zatrzymywać i przechowywać dane generowane w sieci telekomunikacyjnej lub przez nich przetwarzane niezbędne do: a) ustalenia zakończenia sieci, telekomunikacyjnego urządzenia końcowego, użytkownika końcowego inicjującego połączenie oraz do którego kierowane jest połączenie; b) określenia daty i godziny połączenia oraz czasu jego trwania, rodzaju połączenia, lokalizacji telekomunikacyjnego urządzenia końcowego.
3.3. Zatrzymywanie i przechowywanie przez okres 12 miesięcy niektórych danych telekomunikacyjne oraz udostępnianie ich uprawnionym podmiotom, Służbie Celnej, sądowi i prokuratorowi, RETENCJA DANYCH Operator publicznej sieci telekomunikacyjnej oraz dostawca publicznie dostępnych usług telekomunikacyjnych jest obowiązany: 2) chronić te dane przed przypadkowym lub bezprawnym zniszczeniem, utratą lub zmianą, nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem. 3) udostępniać ww. dane uprawnionym podmiotom, a także sądowi i prokuratorowi, na zasadach i w trybie określonym w ustawach kompetencyjnych oraz w KPK; Obowiązek retencji danych powinien być realizowany w sposób, który nie powoduje ujawniania przekazu telekomunikacyjnego (treści informacji przekazywanej w sieci telekomunikacyjnej np. treści rozmów, maili, SMS itp.).
Udostępnianie danych telekomunikacyjnych. Podmiotami ustawowo upoważnionymi do dostępu do danych identyfikujących abonenta są: Centralne Biuro Antykorupcyjne, Agencja Bezpieczeństwa Wewnętrznego, Policja, Straż Graniczna, Żandarmeria Wojskowa, Służba Kontrwywiadu Wojskowego, Wywiad Skarbowy (Główny Inspektor Kontroli Skarbowej), Służba Celna, sąd i prokurator.
3.3. Zatrzymywanie i przechowywanie przez okres 12 miesięcy niektórych danych telekomunikacyjne oraz udostępnianie ich uprawnionym podmiotom, Służbie Celnej, sądowi i prokuratorowi, RETENCJA DANYCH Szczegółowy wykaz danych podlegających retencji określono w rozporządzeniu Ministra Infrastruktury z dnia 28 grudnia 2009 r. w sprawie szczegółowego wykazu danych oraz rodzajów operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie dostępnych usług telekomunikacyjnych obowiązanych do ich zatrzymywania i przechowywania (Dz. U. Nr 226 poz. 1828).
3.3. Zatrzymywanie i przechowywanie przez okres 12 miesięcy niektórych danych telekomunikacyjne oraz udostępnianie ich uprawnionym podmiotom, Służbie Celnej, sądowi i prokuratorowi, RETENCJA DANYCH Przedsiębiorca telekomunikacyjny, w terminie do dnia 31 stycznia, składa Prezesowi UKE, za rok poprzedni informacje o: łącznej liczbie przypadków udostępnienia danych, czasie, jaki upłynął między datą zatrzymania danych a datą złożenia wniosku lub ustnego żądania o ich udostępnienie; łącznej liczbie przypadków, w których wniosek lub ustne żądanie nie mógł być zrealizowany. Art. 209. 1. Kto: 28) nie wypełnia obowiązków wynikających z art. 180g, - podlega karze pieniężnej.
3.4. Zapewnienie warunków dostępu do treści korespondencji oraz danych telekomunikacyjnych i ich utrwalania kontrola operacyjna, kontrola procesowa. Zapewnienie warunków technicznych i organizacyjnych wykonywania : 1) uprawnionym podmiotom - kontroli operacyjnej, 2) sądom i prokuratorom - kontroli procesowej.
3.4. Zapewnienie warunków dostępu do treści korespondencji oraz danych telekomunikacyjnych i ich utrwalania kontrola operacyjna, kontrola procesowa. 1) uprawnionym podmiotom technicznych i organizacyjnych warunków jednoczesnego i wzajemnie niezależnego dostępu do: - treści przekazów telekomunikacyjnych, - posiadanych danych telekomunikacyjnych, - danych związanych ze świadczoną usługą telekomunikacyjną, oraz ich utrwalania. 2) utrwalania ww. treści i danych, na rzecz sądu lub prokuratora.
1 2 Uprawniony podmiot Kontrola operacyjna Cel 2a 2a Prokurator 5 2a 00 00?????? 4 3 6 Przedsiębiorca telekomunikacyjny System LI Sąd 20
Cel 1 Kontrola procesowa Prokurator 5 4 Podmiot 2a ** 3 ** 2 Przedsiębiorca telekomunikacyjny System LI uprawniony* Sąd * podmiot uprawniony - podmiot wskazany w postanowieniu sądu lub prokuratora o zarządzeniu kontroli przekazów informacji, o którym mowa w art. 237 1 lub 2 Kpk ** postanowienie sądu, w którym wskazany jest podmiot uprawniony
System LI Organizacyjne Przygotowanie pracowników Opracowanie i wdrożenie procedur Zorganizowanie pracy pracownikom Zapewnienie ochrony informacji i sprzętu Techniczne Urządzenia Oprogramowanie Pomieszczenie Zorganizowanie obiegu dokumentów Uzgodnienia, porozumienia, informowanie
SPSÓB WYPEŁNIENIA OBOWIĄZKÓW POWIERZAJĄC SAMODZIELNIE W drodze umowy zawartej na piśmie Zapewnienie warunków technicznych lub organizacyjnych (art. 179 Pt) Plan działań.. Retencja danych Sprawozdawczość 180g
3.4. Zapewnienie warunków dostępu do treści korespondencji oraz danych telekomunikacyjnych i ich utrwalania kontrola operacyjna, kontrola procesowa. Przyjmujący zlecenie (art. 179 PT) Przedsiębiorca telekomunikacyjny Posiada ŚBP Przygotowany merytorycznie Daje gwarancje dobrego wykonania zlecenia np. opinia w środowisku Ubezpieczony od odpowiedzialności zawodowej
4. Bezpieczeństwo informacji podlegającej ustawowej ochronie: informacji stanowiących tajemnicę telekomunikacyjną i danych osobowych, informacji niejawnych, tajemnica przedsiębiorcy.
4.1 Bezpieczeństwo informacji stanowiących tajemnicę telekomunikacyjną i danych osobowych Przedsiębiorca telekomunikacyjny obowiązany jest zachować należytą staranność przy zabezpieczaniu urządzeń telekomunikacyjnych, sieci telekomunikacyjnych oraz zbiorów danych przed ujawnieniem tajemnicy telekomunikacyjnej. Tajemnica telekomunikacyjna obejmuje: 1) dane dotyczące użytkownika = dane osobowe; 2) treść indywidualnych komunikatów; 3) dane transmisyjne; 4) dane o lokalizacji; 5) dane o próbach uzyskania połączenia między zakończeniami sieci.
4.1 Bezpieczeństwo informacji stanowiących tajemnicę telekomunikacyjną i danych osobowych Analiza stanu prawnego i faktycznego Inwentaryzacja zbiorów danych osobowych Audyt Opracowanie dokumentacji i wdrożenie jej w życie Wyznaczenie ABI, ASI. Upoważnienie, szkolenie Zgłoszenie zbioru danych do GIODO
4.1 Bezpieczeństwo informacji stanowiących tajemnicę telekomunikacyjną i danych osobowych Szczególne obowiązki ADO przetwarzającego dane abonentów lub użytkowników końcowych. W przypadku naruszenia danych osobowych ADO: 1) w terminie 3 dni od stwierdzenia naruszenia, zawiadamia GIODO. 2) Jeśli naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta, ADO niezwłocznie, w terminie 3 dni od stwierdzenia naruszenia,zawiadamia o takim naruszeniu również tego abonenta.
4.1 Bezpieczeństwo informacji stanowiących tajemnicę telekomunikacyjną i danych osobowych Szczególne obowiązki ADO przetwarzającego dane abonentów lub użytkowników końcowych. ADO prowadzi rejestr naruszeń danych osobowych.
4.1 Bezpieczeństwo informacji stanowiących tajemnicę telekomunikacyjną i danych osobowych Dokumentacja ODO 1. Polityka bezpieczeństwa danych osobowych 2. Instrukcja zarządzania systemem informatycznym 3. Ewidencja osób upoważnionych do przetwarzania danych osobowych 4. Upoważnienia do przetwarzania danych osobowych. 5. Wykaz osób uczestniczących w szkoleniu nt. Zasady ochrony danych osobowych. 6. Wniosek o wpisanie zbioru danych osobowych do rejestru GIODO. 16..
4.1 Bezpieczeństwo informacji stanowiących tajemnicę telekomunikacyjną i danych osobowych Najczęściej popełniane błędy: Brak świadomości obowiązku ochrony danych osobowych Brak zgłoszeń zbioru do rejestru GIODO Brak aktualnej dokumentacji Nieuprawnione zbieranie danych osobowych = Przekazywanie danych osobowych bez umowy powierzenia Brak zabezpieczeń zbiorów danych Przesyłanie danych osobowych zwykłym mailem!!!
4.1 Bezpieczeństwo informacji stanowiących tajemnicę telekomunikacyjną i danych osobowych UWAGA JESTEŚ W UKRYTEJ KAMERZE!!! WIZERUNEK TEŻ MOŻE BYĆ DANĄ OSOBOWĄ!!!
4.2. Bezpieczeństwo informacji stanowiących tajemnicę przedsiębiorcy Co daje klauzula: tajemnica przedsiębiorcy? Nieujawnienie know-how firmy przez urzędy w trybie udip Ochrona firmy przed konkurencją
4.2. Bezpieczeństwo informacji stanowiących tajemnicę przedsiębiorcy Tajemnica przedsiębiorstwa Art. 11 ust. 4 ustawy o zwalczaniu nieuczciwej konkurencji: Informacje o charakterze technicznym, technologicznym, organizacyjnym lub inne mające wartość gospodarczą Nieujawnione do wiadomości publicznej Co do których przedsiębiorca powziął niezbędne kroki w celu zachowania w poufności
4.2. Bezpieczeństwo informacji stanowiących tajemnicę przedsiębiorcy Pełnomocnik ds. ochrony TP Zazwyczaj jedocześnie pełnomocnik ds. ochrony informacji niejawnych i ABI Szkolenia Ma wpływ na politykę wizerunkową firmy Ma wpływ na PR i dział Marketingu)
4.2. Bezpieczeństwo informacji stanowiących tajemnicę przedsiębiorcy Ochrona informacji stanowiących tajemnicę przedsiębiorcy: - regulamin ochrony tajemnicy przedsiębiorstwa - katalog informacji chronionych, - szkolenie pracowników, - wydanie NDA).
4.3. OCHRONA INFORMACJI NIEJAWNYCH Art. 242 Kpk ŚBP II st ŚBP I stopnia ŚBP II stopnia ŚBP III stopnia Upoważnienie do 500* 500 do 5.000* 5.000 do 50.000* 5.000 do 100.000 IP 3. Rozporządzenia Rady Ministrów z dnia 13 września 2005 r powyżej 50.000* 100.000 IP * - ilość zakończeń sieci eksploatowanej przez przedsiębiorcę telekomunikacyjnego.
4.3. OCHRONA INFORMACJI NIEJAWNYCH Obowiązki z zakresu ochrony informacji niejawnych: uzyskania ŚBP do klauzuli ściśle tajne koszty postępowań i szkoleń prowadzonych przez ABW - ok. 30 tys. zł co 5 lat, budowy sytemu zabezpieczeń do przetwarzania i przechowywania informacji niejawnych oraz utworzenia kancelarii tajnej ok. 80 tys. zł, utworzenia pionu ochrony i zatrudnienia pełnomocnika ds. ochrony informacji niejawnych oraz kierownika kancelarii tajnej ok. 6 tys. zł miesięcznie,
4.3. OCHRONA INFORMACJI NIEJAWNYCH wynajem pomieszczenia ok.?????. zł miesięcznie, podpisania umowy z Pocztą Specjalną Policji ok. 0,2 tys. zł miesięcznie, konserwacji urządzeń alarmowych i zatrudnienia patrolu interwencyjnego dedykowanego dla systemów zabezpieczeń informacji niejawnych ok. 0,5 tys. zł miesięcznie. doradztwo podmiotu zewnętrznego -????.. Czas trwania procesu uzyskania ŚBP ok. 1,5 roku.
Dziękuję za uwagę 4Tel Partner Sp. z o.o. ul. Skarbka z Gór 69a/11 03-287 Warszawa telefon: +48 601 161 144 +48 669 714 970 fax: +48 22 291 6689 biuro@4telpartner.pl www.4telpartner.pl