Przetwarzanie danych osobowych w chmurze



Podobne dokumenty
Dane osobowe w data center

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Przetwarzanie danych w chmurze Cloud Computing

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

POLITYKA BEZPIECZEŃSTWA

Regulamin w zakresie przetwarzania danych osobowych w Urzędzie Miejskim w Kocku

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Jak współpracować z agencją e mail marketingową w zakresie powierzenia przetwarzania danych. Michał Sztąberek isecure Sp. z o.o.

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

3. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w.,... pomiędzy:

POLITYKA BEZPIECZEŃSTWA

- WZÓR- Umowa powierzenia przetwarzania danych osobowych nr./2018

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POROZUMIENIE. w sprawie zasad powierzenia przetwarzania danych osobowych. w związku z realizacją Umowy Operacyjnej. nr..

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH NA UCZELNIACH WYŻSZYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOSBOWYCH Zwana dalej ( Umową ) Zawarta w dniu.2019r. pomiędzy:

PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

REJESTR ZBIORÓW. Administrator Danych Jan Drajewicz. Dnia r. w podmiocie o nazwie Zespół Szkół nr 2 w Dukli. z dnia 11 maja 2015 r.

ZASADY POWIERZANIA DANYCH OSOBOWYCH FIRMY ELEKTROMONTAŻ RZESZÓW S.A. z dnia 25 maja 2018r.

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Umowa nr..- /15. o powierzeniu przetwarzania danych osobowych zawarta w dniu r. w Poznaniu pomiędzy:

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół Usługowo Gospodarczych w Pleszewie

Załącznik nr10 do IWZ Załącznik nr 4 do Umowy

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Polityka bezpieczeństwa przetwarzania. danych osobowych. 4-Wheels Mateusz Ziomek, z siedzibą ul. Dobra 8/10/42, Warszawa

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Ochrona danych osobowych przy obrocie wierzytelnościami

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w W&H Sp. z. o.o. ul. Kościuszki 49, Turza Śląska, NIP:

Regulamin w zakresie przetwarzania danych osobowych w Gimnazjum nr 2 im. Aleksandra Kamińskiego w Żarach

Załącznik 4. Umowa o zachowaniu poufności przetwarzania danych osobowych, zwana dalej Umową

Załącznik nr 5 do Polityki bezpieczeństwa

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Polityka bezpieczeństwa przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Umowa powierzenia przetwarzania danych osobowych

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

UMOWA O UDOSTĘPNIANIE DANYCH OSOBOWYCH. reprezentowanym przez Dyrektora [ ], zwanym dalej jako Przedszkole Nr ; a

Instrukcja Zarządzania Systemem Informatycznym

dotycząca umowy nr. zawartej w Opolu, w dniu 2014 roku, pomiędzy:

UMOWA W SPRAWIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Polityka Bezpieczeństwa i Ochrony Danych Osobowych przetwarzanych przez Instytut Filozofii i Socjologii Polskiej Akademii Nauk. z siedzibą w Warszawie

UMOWA Nr UE powierzenia przetwarzania danych osobowych w związku z zawarciem w dniu... umowy nr UE

Umowa powierzenia przetwarzania danych osobowych. zawarta w... w dniu... roku pomiędzy:

Bezpieczeństwo teleinformatyczne danych osobowych

Załącznik nr 8 do SIWZ

Powierzenie przetwarzania danych osobowych teoria vs. praktyka

ZASADY DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH. 1. Definicje

POLITYKA BEZPIECZEŃSTWA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

DO UMOWY NR... O ŚWIADCZENIE USŁUG DYSTRYBUCJI PALIWA GAZOWEGO

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Umowa powierzenia przetwarzania danych osobowych (wzór umowy) zawarta dnia pomiędzy: (zwana dalej Umową )

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Cloud Computing - problematyka prawna udostępnienia aplikacji w chmurze obliczeniowej (SaaS)

Na co zwrócić uwagę przygotowując zgodną z prawem kampanię SMS

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH. W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE

Bezpieczeństwo danych osobowych listopada 2011 r.

Umowa nr..- /16. o powierzeniu przetwarzania danych osobowych zawarta w dniu r. w Poznaniu pomiędzy:... z siedzibą przy...

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

1 Zakres Regulaminu. integralności, rozliczalności przetwarzania danych osobowych. 2 Pojęcia używane w Regulaminie

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH Spółdzielni Mieszkaniowej PARKITKA w Częstochowie

Umowa nr ADO/.../2016 powierzenia przetwarzania danych osobowych

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Umowa powierzenia przetwarzania danych osobowych,

Zespół Kształcenia i Wychowania w Kamienicy Szlacheckiej REJESTR ZBIORÓW. Administrator Danych Bernadeta kucyk - dyrektor

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Umowa nr. Wzór umowy o ochronie danych osobowych do umowy nr... z dnia...

Transkrypt:

Przetwarzanie danych osobowych w chmurze Obalamy mity Jarosław Żabówka

2 Dlaczego chronimy dane osobowe? Czy organizacja ma obowiązek dbać o swoje bezpieczeństwo? A dlaczego ja mam dbać o te dane, tylko dlatego, że tak sobie ustawodawca wymyślił Prezes Bardzo Ważnej Spółki

Ochrona danych osobowych 3 Bezpieczeństwo a ochrona danych osobowych Wymagania formalne (podstawa przetwarzania, obowiązki informacyjne, itd.) - biznes Obowiązek zabezpieczenia danych - szbi

4 Co to jest przetwarzanie danych? Art. 7. Ilekroć w ustawie jest mowa o: ( ) 2) przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,

5 Mit 1 My tych danych nie przetwarzamy, jedynie je przechowujemy

6 Co to jest umowa powierzenia? Art. 31 ust. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.

7 Umowa powierzenia Art. 31 ust. 2. Podmiot, o którym mowa w ust.1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

8 Umowa powierzenia - odpowiedzialność Art. 31 ust. 4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

9 Obowiązek procesora zabezpieczenie danych Art. 31 ust. 3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.

10 Przetwarzający musi Opracować oraz wdrożyć politykę bezpieczeństwa oraz instrukcję zarządzania systemem Zastosować zabezpieczenia techniczne i organizacyjne Do przetwarzania dopuścić jedynie osoby upoważnione Wydać upoważnienia i prowadzić ewidencję

11 Mit 2 Jeżeli zaszyfrujemy dane, nie musimy podpisywać umowy. Szyfrujemy dane na dysku, komunikację, ale co z danymi przetwarzanymi w systemie? A co z kopiami danych? A co z innymi atrybutami bezpieczeństwa?

12 Mit 3 Danych osobowych nie można przetwarzać w chmurze Przetwarzanie danych osobowych w chmurze, to jest zwykły outsourcing. Nadal odpowiadamy za bezpieczeństwo danych. Nadal spoczywają na nas obowiązki wynikające z ustawy i rozporządzenia. Musimy zawrzeć umowę powierzenia przetwarzania danych i musi być ona zawarta na piśmie. Ale nie istnieje ogólny zakaz przetwarzania danych w chmurze!

13 Czy musimy wiedzieć, gdzie są przetwarzane nasze dane? Zawarcie umowy powierzenia, nie zdejmuje z nas odpowiedzialności za dane. Umowa powierzenia, zawarta z podmiotem działającym na innej podstawie niż ustawa o ochronie danych osobowych, powinna zawierać informacje o konkretnych zabezpieczeniach. Zwróćmy uwagę na przekazywanie danych do państw trzecich.

14 Mit 4 Dane osobowe mogą być przetwarzane jedynie w Polsce Odpowiadamy za bezpieczeństwo danych, ale jeżeli nie przekazujemy ich do państw trzecich, nie ma bezpośredniego obowiązku posiadania wiedzy gdzie nasze dane się znajdują.

15 Rozporządzenie 7. 1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie: 1) daty pierwszego wprowadzenia danych do systemu; 2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; 3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; 4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; 5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. 2. Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. 3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.

16 Mit 5 Wymogów rozporządzenia nie da się zrealizować w chmurze. Wymogi rozporządzenia są nieżyciowe i trudne do zrealizowania. Autor narzucił rozwiązania techniczne, zapewniające rozliczalność i umożliwiające dopełnienie obowiązków informacyjnych, nie dał nam jednak możliwości realizacji ich w inny sposób. Wymogi te nie dotyczą wprost dostawców usług IaaS i PaaS Jednak te same wymogi dotyczą wszystkich systemów, nie tylko tych w chmurze.

17 Mit 6 Ochrona danych nie dotyczy chmury, bo UE wspiera CC Europejska Agenda Cyfrowa: Należy rozwijać unijną strategię dotyczącą wykorzystywania chmur obliczeniowych, szczególnie do celów administracji i nauki. Strategie Komisji Europejskiej nie są obowiązującym prawem!

18 Mit 7 Dane w chmurze są bezpieczne.

19 Mit 8 Ochrona danych osobowych to jest dziedzina niszowa Ilość podmiotów gospodarczych w Polsce w 2012: 3 975 334 Stowarzyszenia, organizacje społeczne i fundacje w 2010: 76 800 Urzędy państwowe, samorządowe, szkoły, przedszkola, :??? Liczba ludności w 2012: 38 544 513

20 Podsumujmy Ustawa o ochronie danych osobowych i rozporządzenie wykonawcze, nakładają obowiązki na przetwarzających dane w chmurze. Są one analogiczne, jak przy przetwarzaniu tradycyjnym. Chmura może być świetnym miejscem na łatwe, tanie i bezpieczne przetwarzanie danych, ale wymogi prawne i tak musimy spełnić.

21 Jarosław Żabówka proinfosec@odoradca.pl