Bezpieczeństwo danych osobowych w usługach w chmurze zagadnienia prawne Warszawa, dnia 1 marca 2016 r. Maria Markiewicz radca prawny
Podstawowe akty prawne Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dyrektywa) Decyzje Komisji Europejskiej Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną Regulacje sektorowe
Podstawowe pojęcia dane osobowe informacje dot. zidentyfikowanej lub możliwej do zidentyfikowania osoby pozwalające na określenie tożsamości tej osoby (bezpośrednie lub pośrednie) pozostałe dane mogą być chronione np. tajemnica przedsiębiorstwa administrator danych osobowych użytkownik (możliwe inne konfiguracje) osoba fizyczna lub prawna, władza publiczna, agencja, lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania (Dyrektywa) organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych (UODO)
Podstawowe pojęcia c.d. przetwarzający dostawca usługi osoba fizyczna lub prawna, władza publiczna, agencja, lub inny organ, który samodzielnie lub wspólnie z innymi osobami przetwarza dane osobowe w imieniu administratora (Dyrektywa) podmiot, któremu powierzono przetwarzanie danych w drodze umowy zawartej na piśmie (UODO) podpowierzenie danych możliwe po spełnieniu określonych warunków
Stosowanie prawa polskiego administrator danych ma siedzibę na terytorium Polski lub prowadzi stałą i wyodrębnioną działalność na terenie Polski administrator danych ma siedzibę poza EOG, ale wykorzystuje do przetwarzania danych osobowych środki techniczne znajdujące się na terytorium Polski (o ile środki te nie służą wyłącznie do przekazywania danych osobowych)
Zagrożenia dla ochrony danych osobowych w chmurze brak kontroli brak przejrzystości przekazywanie danych do państw trzecich poza EOG brak systemowej regulacji prawnej dot. transferu danych do USA
Przekazywanie danych do Stanów Zjednoczonych 6 października 2015 TSUE stwierdził nieważność decyzji Komisji Europejskiej 2000/520/WE z 26 lipca 2000, na mocy której podmioty amerykańskie, które przystąpiły do programu Safe Harbor, były traktowane jako zapewniające adekwatny poziom ochrony danych osobowych w rozumieniu przepisów europejskich okres karencji egzekwowania wyroku TSUE minął 31 stycznia 2016 podmioty muszą na nowo zapewnić odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw wolności osoby, której dane dotyczą
GIODO zyskał kompetencje do weryfikacji przekazywania danych do państw trzecich zakazywanie przekazywania danych sankcja finansowa po wejściu w życie Rozporządzenia o ochronie danych osobowych
Ogólne rozporządzenie o ochronie danych 17 grudnia 2015 r. Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych zajęła stanowisko względem tekstu uzgodnionego trójstronnie między Radą, Parlamentem Europejskim i Komisją 18 grudnia 2015 r. tekst ten został zaaprobowany przez Komitet Stałych Przedstawicieli uzgodniony akt zostanie teraz przedłożony Radzie i następnie trafi do Parlamentu do zatwierdzenia Rozporządzenie wejdzie w życie najprawdopodobniej wiosną 2016 r. i zacznie obowiązywać wiosną 2018 r.
Zakres zastosowania administratorzy zarejestrowani w UE niezależnie od tego, czy dane przetwarzane są w granicach czy poza granicami UE administratorzy zarejestrowani poza UE, o ile: przetwarzane są dane osobowe podmiotów mających siedzibę w UE przetwarzanie danych wiąże się z oferowaniem towarów lub usług podmiotom w UE lub też z monitorowaniem ich zachowań
Prawa podmiotu danych podmiot danych może w uzasadnionych przypadkach domagać się wymazania jego danych osobowych i wnosić o wstrzymanie dalszego rozpowszechniania jego danych obowiązek administratora, który podał dane osobowe podmiotu do wiadomości publicznej do poinformowania osób trzecich o wniosku: dot. usunięcia wszelkich linków dot. usunięcia wszelkich kopii lub replikacji tych danych
Prawo do przenoszenia danych prawo do uzyskania od administratora kopii swoich danych w powszechnie używanym formacie elektronicznym administrator nie może zapobiegać przenoszeniu danych
Zasada mechanizmu kompleksowej obsługi organ nadzoru, w państwie, w którym znajduje się główna siedziba administratora/podmiotu przetwarzającego dane zyskuje kompetencje również w pozostałych państwach, w których działa ten administrator/przetwarzający dane (oddziały w innych państwach członkowskich)
Sankcje sankcje administracyjne kary skuteczna, proporcjonalna i odstraszająca grzywna (umyślność lub lekkomyślność) do 20 000 000 EUR lub 4% całkowitego rocznego obrotu państwa członkowskie ustanawiają kary oraz przyjmują wszystkie niezbędne środki do zapewnienia ich wykonania Nowość kary administracyjne nakłada krajowy organ ochrony danych
Dziękuję Maria Markiewicz m.markiewicz@radcowie-prawni.waw.pl Kancelaria Radców Prawnych Kalinowski Wojciński Korzybski Sp. j. ul. Elektoralna 11 lok. 8 00-137 Warszawa tel. (22) 652 31 15 fax (22) 620 12 42