Przetwarzanie danych osobowych w chmurze Obalamy mity Jarosław Żabówka
2 Dlaczego chronimy dane osobowe? Czy organizacja ma obowiązek dbać o swoje bezpieczeństwo? A dlaczego ja mam dbać o te dane, tylko dlatego, że tak sobie ustawodawca wymyślił Prezes Bardzo Ważnej Spółki
Ochrona danych osobowych 3 Bezpieczeństwo a ochrona danych osobowych Wymagania formalne (podstawa przetwarzania, obowiązki informacyjne, itd.) - biznes Obowiązek zabezpieczenia danych - szbi
4 Co to jest przetwarzanie danych? Art. 7. Ilekroć w ustawie jest mowa o: ( ) 2) przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
5 Mit 1 My tych danych nie przetwarzamy, jedynie je przechowujemy
6 Co to jest umowa powierzenia? Art. 31 ust. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
7 Umowa powierzenia Art. 31 ust. 2. Podmiot, o którym mowa w ust.1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
8 Umowa powierzenia - odpowiedzialność Art. 31 ust. 4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
9 Obowiązek procesora zabezpieczenie danych Art. 31 ust. 3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
10 Przetwarzający musi Opracować oraz wdrożyć politykę bezpieczeństwa oraz instrukcję zarządzania systemem Zastosować zabezpieczenia techniczne i organizacyjne Do przetwarzania dopuścić jedynie osoby upoważnione Wydać upoważnienia i prowadzić ewidencję
11 Mit 2 Jeżeli zaszyfrujemy dane, nie musimy podpisywać umowy. Szyfrujemy dane na dysku, komunikację, ale co z danymi przetwarzanymi w systemie? A co z kopiami danych? A co z innymi atrybutami bezpieczeństwa?
12 Mit 3 Danych osobowych nie można przetwarzać w chmurze Przetwarzanie danych osobowych w chmurze, to jest zwykły outsourcing. Nadal odpowiadamy za bezpieczeństwo danych. Nadal spoczywają na nas obowiązki wynikające z ustawy i rozporządzenia. Musimy zawrzeć umowę powierzenia przetwarzania danych i musi być ona zawarta na piśmie. Ale nie istnieje ogólny zakaz przetwarzania danych w chmurze!
13 Czy musimy wiedzieć, gdzie są przetwarzane nasze dane? Zawarcie umowy powierzenia, nie zdejmuje z nas odpowiedzialności za dane. Umowa powierzenia, zawarta z podmiotem działającym na innej podstawie niż ustawa o ochronie danych osobowych, powinna zawierać informacje o konkretnych zabezpieczeniach. Zwróćmy uwagę na przekazywanie danych do państw trzecich.
14 Mit 4 Dane osobowe mogą być przetwarzane jedynie w Polsce Odpowiadamy za bezpieczeństwo danych, ale jeżeli nie przekazujemy ich do państw trzecich, nie ma bezpośredniego obowiązku posiadania wiedzy gdzie nasze dane się znajdują.
15 Rozporządzenie 7. 1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie: 1) daty pierwszego wprowadzenia danych do systemu; 2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; 3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; 4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; 5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. 2. Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. 3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.
16 Mit 5 Wymogów rozporządzenia nie da się zrealizować w chmurze. Wymogi rozporządzenia są nieżyciowe i trudne do zrealizowania. Autor narzucił rozwiązania techniczne, zapewniające rozliczalność i umożliwiające dopełnienie obowiązków informacyjnych, nie dał nam jednak możliwości realizacji ich w inny sposób. Wymogi te nie dotyczą wprost dostawców usług IaaS i PaaS Jednak te same wymogi dotyczą wszystkich systemów, nie tylko tych w chmurze.
17 Mit 6 Ochrona danych nie dotyczy chmury, bo UE wspiera CC Europejska Agenda Cyfrowa: Należy rozwijać unijną strategię dotyczącą wykorzystywania chmur obliczeniowych, szczególnie do celów administracji i nauki. Strategie Komisji Europejskiej nie są obowiązującym prawem!
18 Mit 7 Dane w chmurze są bezpieczne.
19 Mit 8 Ochrona danych osobowych to jest dziedzina niszowa Ilość podmiotów gospodarczych w Polsce w 2012: 3 975 334 Stowarzyszenia, organizacje społeczne i fundacje w 2010: 76 800 Urzędy państwowe, samorządowe, szkoły, przedszkola, :??? Liczba ludności w 2012: 38 544 513
20 Podsumujmy Ustawa o ochronie danych osobowych i rozporządzenie wykonawcze, nakładają obowiązki na przetwarzających dane w chmurze. Są one analogiczne, jak przy przetwarzaniu tradycyjnym. Chmura może być świetnym miejscem na łatwe, tanie i bezpieczne przetwarzanie danych, ale wymogi prawne i tak musimy spełnić.
21 Jarosław Żabówka proinfosec@odoradca.pl