PRZETWARZANIE W CHMURZE A OCHRONA DANYCH OSOBOWYCH DARIA WORGUT-JAGNIEŻA AUDYTEL S.A.



Podobne dokumenty
Ochrona danych osobowych w chmurze

Przetwarzanie danych w chmurze Cloud Computing

Przetwarzanie danych w chmurze a bezpieczeństwo informacji. T: (+48) Jachranka, 27 listopada 2015r. E:

NOWA ERA W OCHRONIE DANYCH OSOBOWYCH WDROŻENIE GDPR/RODO W BRANŻY FARMACEUTYCZNEJ warsztaty

Dane osobowe w data center

CSA STAR czy można ufać dostawcy

Cloud Computing - problematyka prawna udostępnienia aplikacji w chmurze obliczeniowej (SaaS)

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Obrót dokumentami elektronicznymi w chmurze

Ochrona danych osobowych w praktyce szkolnej. Suwałki, 7 marca 2013r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

:00 17:00. Organizator szkolenia: Związek Pracodawców Ziemi Jaworskiej

SPECYFIKA OCHRONY DANYCH OSOBOWYCH W PRAKTYCE FIRM FARMACEUTYCZNYCH warsztaty

Kolokacja, hosting, chmura O czym powinny pamiętać strony umowy? Maciej Potoczny

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

Zarządzanie relacjami z dostawcami

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

OCHRONA DANYCH OSOBOWYCH W PLACÓWKACH OŚWIATOWYCH. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z dnia 1 stycznia 2015 r.

Przetwarzanie danych osobowych w chmurze

Na co zwrócić uwagę przygotowując zgodną z prawem kampanię SMS

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

Ochrona danych osobowych - zmiany po 1 stycznia 2015r.

IT i RODO z perspektywy zarządzającego podmiotem leczniczym. Beata Jagielska Centrum Onkologii Instytut im. Marii Skłodowskiej Curii w Warszawie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

ADMINISTRACJA PUBLICZNA W CHMURZE OBLICZENIOWEJ

wraz z wzorami wymaganej prawem dokumentacją

Mateusz Kurleto NEOTERIC. Analiza projektu B2B Kielce, 18 października 2012

R O D O - N o w e z a s a d y p r z e t w a r z a n i a d a n y c h o s o b o w y c h

Wprowadzenie do RODO. Dr Jarosław Greser

Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne

Prezentacja wyników badania wykorzystania przetwarzania w chmurze w największych polskich przedsiębiorstwach

PolGuard Consulting Sp.z o.o. 1

Bezpieczeństwo danych osobowych w usługach w chmurze zagadnienia prawne. Warszawa, dnia 1 marca 2016 r. Maria Markiewicz radca prawny

Obsługa wniosków o udzielenie dostępu do danych osobowych za pośrednictwem portalu klienta OtwartyUrzad.pl

USŁUGI AUDYTOWE I DORADCZE W ZAKRESIE OCHRONY DANYCH OSOBOWYCH. 17 września 2012

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

Przetwarzanie danych osobowych w przedsiębiorstwie

Dropbox a RODO Zgodność Wdrażanie RODO

Claud computing zostało uznane przez Grupę Roboczą art.29 w dokumencie WP 170 Program prac na lata przyjętym dnia 15 lutego 2010 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

OCHRONA PRAWA DO PRYWATNOŚCI I INNYCH TAJEMNIC PRAWNIE CHRONIONYCH

Ochrona danych osobowych w praktyce

SKUTECZNE SZKOLENIA PERSONELU JAKO NOWY OBOWIĄZEK ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

Załącznik 5 Ankieta dla podmiotu przetwarzającego

Ochrona i przetwarzanie danych kadrowych aspekty praktyczne

Ochrona danych osobowych przy obrocie wierzytelnościami

Zapewnienie dostępu do Chmury

Praktyczny kurs dla Administratora Bezpieczeństwa Informacji

BEZPIECZEŃSTWO PRAWNE ELEKTRONICZNEGO OBIEGU DOKUMENTÓW

Prawne aspekty chmury publicznej! Maciej Gawroński Bird & Bird" Sebastian Szumczyk IBM"

Backup & Storage - organizacyjne i prawne aspekty korzystania z usługi

Załącznik nr 4 Warunki przetwarzania danych osobowych. a. stanowi integralną część Umowy dotyczącej świadczenia Usługi w chmurze oraz

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Hosting a dane osobowe

POLITYKA PRYWATNOŚCI LANDINGHERO.com

Kurs Inspektora Ochrony Danych z warsztatem wdrożenia Polityki Ochrony Danych Osobowych zgodnej z przepisami RODO

SPECYFIKA OCHRONY DANYCH OSOBOWYCH W PRAKTYCE FIRM FARMACEUTYCZNYCH warsztaty

Umowa powierzenia danych

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

Profesjonalny Administrator Bezpieczeństwa Informacji

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

Polityka prywatności

System bezpłatnego wsparcia dla NGO

Białystok, 11 stycznia 2012r.

CHMURA OBLICZENIOWA (CLOUD COMPUTING)

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

Prawne instrumenty zapobiegania cyberatakom i wyciekom informacji

Polityka prywatności

Krajowa Konferencja Ochrony Danych Osobowych

Ochrona danych osobowych, co zmienia RODO?

ZASADY PRZETWARZANIA DANYCH OSOBOWYCH INFORMACJE DLA PARTNERÓW BIZNESOWYCH, OSÓB KONTAKTOWYCH I GOŚCI

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

SZKOLENIE: Ochrona danych osobowych w praktyce z uwzględnieniem zmian od r.

Ochrona danych osobowych w praktyce

BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH. Departament Inspekcji

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Załącznik nr 4 Warunki przetwarzania danych osobowych. I. Niniejszy dokument ( Warunki przetwarzania danych osobowych ):

rodo. ochrona danych osobowych.

ZARZĄDZENIE Nr 140/2014 Rektora Uniwersytetu Wrocławskiego z dnia 28 grudnia 2014 r.

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

NIP:, Regon: wpisaną do Krajowego Rejestru Sądowego nr..., reprezentowaną przez:

Szkolenie. Ochrona danych osobowych

Umowa powierzenia przetwarzania danych osobowych do Umowy... zawarta w dniu... w..., pomiędzy:

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH /WZÓR/

Spis treści. Rozdział III. Outsourcing spółdzielczych kas oszczędnościowokredytowych

Polityka prywatności

TRENER SZKOLENIA: Tomasz Grześko

Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych?

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Załącznik nr 7 do ogłoszenia

SZCZEGÓŁOWY HARMONOGRAM KURSU

Transkrypt:

PRZETWARZANIE W CHMURZE A OCHRONA DANYCH OSOBOWYCH DARIA WORGUT-JAGNIEŻA AUDYTEL S.A.

Plan prezentacji Jakie ograniczenia stawia chmurze Ustawa o ochronie danych osobowych? Co zagraża naszym danym? Minimalizowanie ryzyka w umowach z dostawcą usług Cloud computing a transfer danych do państw spoza EOG CASE STUDY: Firma farmaceutyczna przenosi bazę klientów do chmury 2

Jakie ograniczenia stawia chmurze Ustawa o ochronie danych osobowych? Zasada celowości: dane przetwarzane w chmurze nie mogą być przetwarzane w innym celu niż zlecony przez Administratora Danych; Wymagania dla aplikacji (SaaS): odnotowanie identyfikatora użytkownika wprowadzającego rekord, daty wprowadzenia rekordu, daty modyfikacji; Prawo do kontroli dostawcy chmury: administrator danych powinien mieć prawo kontrolowania processora danych, Wykonywanie kopii zapasowych: brak potwierdzenia faktu wykonywania kopii, brak informacji o sposobie ich wykonywania, brak nadzoru nad wykonywaniem kopii przez administratora danych; Dopuszczalność przekazania danych poza EOG: wymóg posiadania certyfikatu Safe Harbour dla instytucji w USA, wymóg wyrażenia zgody przez GIODO na transfer danych np. do Indii. 3

Co zagraża naszym danym w chmurze? Problemy techniczne Kwestie związane z współdzieleniem zasobów Przejęcie kont / nieautoryzowany dostęp Niezabezpieczone interfejsy/api Regulacje prawne państwa, w którym przechowywane są dane, zezwalające na dostęp do naszych danych Brak dostępu do danych w chmurze Brak możliwości (szybkiego) odzyskania danych Zdarzenia losowe Ataki hakerów i krakerów Business continuity i gotowość DR dostawcy. DO jakich danych mają władze niektórych krajów? USA: dostęp do danych obywateli USA wymaga nakazu sądowego USA: dostęp do danych obywateli spoza USA jest nieograniczony Australia Południowa: obowiązek podpisywania imieniem, nazwiskiem oraz adresem komentarzy dotyczących kandydatów w wyborach (w 2010 roku) 4

Liczba incydentów znacznie wzrosła - z 33 do 71 w latach 2009-2011 Na 172 ujawnione incydenty aż 25% dostawców chmur nie podało przyczyny. Źródło: cloudsecurityalliance.org 5

Minimalizowanie ryzyka w umowach z dostawcą usług Dokładne określenie listy lokalizacyjnej; Zobowiązanie dostawcy do nie wykorzystywania danych we własnym celu i poza zakresem; Klauzule dotyczące poufności; Jak minimalizować ryzyka? Wybierać sprawdzonych dostawców Wybierać dostawców stosujących standardy, ISO, BSI, ITIL Podpisać umowę przed przekazaniem danych Zweryfikować stosowane przez dostawcę zabezpieczenia Zobowiązanie dostawcy o informowaniu klienta o incydentach (wyciekach danych, usterkach, włamaniach, itp.) oraz kontrolach miejscowego organu ochrony danych osobowych; Uregulowanie kwestii dalszego podpowierzenia przetwarzania danych, Zawiadamianie o każdym prawnie wiążącym wniosku o udostępnienie danych osobowych; Zobowiązanie do stosowania środków zabezpieczających zgodnych z polskim/ue prawem; Określenie zasad zwrotu i usunięcia danych po zakończeniu współpracy. 6

Cloud Computing a transfer danych do państw spoza EOG KIEDY MOŻLIWY JEST TRANSFER DANYCH? Osoba, której dane dotyczą, wyraziła na to zgodę (np. transfer danych pracowników), Państwo docelowe daje gwarancję ochrony danych osobowych na swoim terytorium przynajmniej taką, jaka obowiązuje na terytorium RP/UE (np. Argentyna, Safe Harbour), Generalny Inspektor Ochrony Danych Osobowych wyraził zgodę na przekazanie danych do państwa trzeciego. ODPOWIEDZIALNOŚĆ ZA PRZEKAZANIE DANYCH W SPOSÓB NIEZGODNY Z PRAWEM ü Kara ograniczenia lub pozbawienia wolności do lat 2, ü Grzywna: os. fizyczna - 10 000 zł - 50 000 zł firma - 50 000 zł - 200 000 zł 7

Case study firma farmaceutyczna przenosi dane klientów do Chmury IaaS Opis systemu Procedury dostawcy Propozycja wzoru umowy Przygotowanie wniosku do GIODO Wniosek o zgodę na przekazanie danych Przygotowanie i przekazanie wniosku do GIODO Przygotowanie wyjaśnień Uzupełnienie dokumentów Wyjaśnienia do wniosku Zgoda GIODO Podpisanie umowy Bezpieczny transfer danych Nadzór nad danymi Kontrola udostępnień Po przekazaniu danych Najczęstsze błędy lub trudności: przekazanie danych przed otrzymaniem zgody na przekazanie (nieważne z mocy prawa), brak wystarczających zapisów w przygotowanej propozycji umowy powierzenia przetwarzania danych, przekazanie do GIODO dokumentacji w języku innym niż polski, transfer danych w sposób sprzeczny z polskimi przepisami (np. arkusz programu Excel przekazany za pośrednictwem poczty elektronicznej). 8

Dziękuję za uwagę! Audytel S.A. ul. ks. I. Skorupki 5 00-564 Warszawa tel.: (22) 537 5050 fax: (22) 537 5051 e-mail: info@audytel.pl web : http://www.audytel.pl 9

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres