Ochrona danych osobowych w chmurze Jan Raszewski Dyr. Ds. rozwoju projektów 1.
Agenda Co wolno, a czego nie wolno w chmurze? Dlaczego chronimy dane osobowe? Co wolno, co trzeba dlaczego? Odpowiedzialność Administratora Danych oraz ABI Skutki nie przestrzegania prawa Droga dojścia do właściwego rozwiązania 2
Kilka faktów na temat Ochrony Danych Osobowych W roku 2013 r. GIODO: Zarejestrował 28 264 zbiory danych osobowych. Rozpatrzył 2 472 skargi od obywateli i instytucji. Najwięcej skarg dotyczy działalności instytucji finansowych i administracji publicznej. Przeprowadził 173 zaplanowane kontrole. Podjął 1358 decyzji wykonawcze, w wyniku czego 103 sprawy trafiły do sądu. Skierował do prokuratury 16 zawiadomień o popełnieniu przestępstwa. GIODO stwierdza uchybienia u 74% kontrolowanych podmiotów. Audytel przeprowadził w latach 2006-20013 badania 197 systemów informatycznych. Tylko 11% badanych aplikacji spełniało w pełni wymogi Rozporządzenia. 3
Można? Nie można? Co jest prawdą? Rozmawiając z klientami spotykamy diametralnie różne opinie: Jedni mówią: Wszystko można Kogo obchodzi, gdzie ja przetwarzam moje własne zbiory danych? Jesteśmy firmą międzynarodową i mamy globalne systemy. Dostawca chmury gwarantuje mi bezpieczeństwo. Mamy wewnętrzne, korporacyjne procedury ochrony danych osobowych. 173 kontrole GIODO? To czysta iluzja, nie ma czego się bać. Inni mówią: Nic nie można Chcieliśmy uruchomić pocztę w chmurze, ale prawnicy nam odradzili. Potrzebna jest zgoda GIODO na przetwarzanie poza Polską. Brak kontroli nad dostawcą usług w chmurze. Jak GIODO wykryje dane w chmurze będą poważne konsekwencje. 4
Jak jest naprawdę? Można czy nie można? A więc można czy nie można? Jakie będą skutki? Jedni mówią: Wszystko można Kogo obchodzi FAŁSZ -> Źródła prawa Jesteśmy firmą międzynarodową FAŁSZ -> obowiązują regulacje UODO Dostawca chmury gwarantuje FAŁSZ -> odpowiedzialność spoczywa na nas korporacyjne procedury FAŁSZ -> to nie wystarczy Kontrola GIODO to czysta iluzja FAŁSZ -> JUŻ NIE! Inni mówią: Nic nie można Chcieliśmy uruchomić pocztę w chmurze FAŁSZ -> pod pewnymi warunkami Zgoda GIODO na przetwarzanie poza Polską FAŁSZ -> zależy od lokalizacji Brak kontroli nad dostawcą usług w chmurze FAŁSZ -> chociaż to nie automat Jak GIODO wykryje FAŁSZ -> o ile działa polityka bezpieczeństwa ODO 5
Zacznijmy od początku: Źródła prawa KONSTYTUCJA Art. 47. Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Art. 51. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczącej jego osoby. USTAWA o Ochronie Danych Osobowych z dn. 29.08.1997 r. Rozdział 3: Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba której dane dotyczą wyrazi na to zgodę. Rozdział 4: Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą ROZPORZĄDZENIE MSWiA z dnia 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 6
Transfer danych do państw trzecich Art. 47.1. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Art. 47.1a. Odpowiedni poziom ochrony danych osobowych, o którym mowa w ust. 1, jest oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych oraz przepisy prawa obowiązujące w danym państwie trzecim oraz stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe. Co to oznacza w praktyce? Wszystkie kraje EOG spełniają te warunki. Na stronie GIODO jest lista krajów spoza EOG, które również mają odpowiedni poziom ochrony. 7
Korzystanie z systemów globalnych USA? Certyfikat Safe Harbor jeżeli infrastruktura dostawcy znajduje się w Stanach Zjednoczonych Ameryki Północnej. BCR Wiążące reguły korporacyjne prawnie wiążące reguły lub polityki bezpieczeństwa zatwierdzone przez GIODO. Standardowe klauzule umowne - Zgoda GIODO nie jest wymagana, jeśli administrator danych zastosuje odpowiedni poziom zabezpieczeń przez klauzule zatwierdzone przez Komisję Europejską. Zgoda osoby, której dane dotyczą - zawsze, gdy jest wyrażona dobrowolnie. 8
(Nie)dopuszczalność stosowania systemów globalnych kiedy nie można ich stosować! Gdy aplikacja nie spełnia wymogów Rozporządzenia MSWiA z 29 kwietnia 2004 r. dotyczącego ochrony danych osobowych. Gdy informacje które posiadamy mają charakter informacji niejawnych, a aplikacja nie uzyskała akredytacji ABW lub SKW na podstawie art. 48 Ustawy o ochronie informacji niejawnych. Gdy w wyniku wpisania danych do systemu stracimy kontrolę nad danymi osobowymi. 9
Kto odpowiada za bezpieczeństwo danych? Założenie wielu klientów: Dostawca usług odpowiada za bezpieczeństwo i zapewni mi odpowiedni poziom ochrony. Prawda: Użytkownik zawsze sam odpowiada za bezpieczeństwo i musi rozważyć kwestie ochrony. Wszelkie prawa zastrzeżone Audytel S.A. 2013 10
Czy rzeczywiście kontrola GIODO to iluzja? Tak było do 31.12.2014 KONTROLA PROCESU PRZETWARZANIA DANYCH prowadzona jedynie przez GIODO na podstawie skargi lub zaplanowanego działania. Art. 36a.2. Tak jest obecnie Do zadań administratora bezpieczeństwa informacji należy: [ ] sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych. GIODO może zlecić ABI przeprowadzenie kontroli ABI ma obowiązek przeprowadzenia kontroli oraz: Sporządzenia sprawozdania z przeprowadzonej kontroli. Przekazania do GIODO protokołu zawierającego WSZYSTKIE uchybienia GIODO na tej podstawie może przeprowadzić własną kontrolę i zweryfikować ustalenia ABI. 11
Najczęstsze błędy w polityce bezpieczeństwa DO Niewłaściwe umocowanie ABI-ego w strukturze organizacyjnej. Brak listy systemów, których dotyczy oraz ich lokalizacji w Instrukcji. Ewidencja i upoważnienia dotyczą zbiorów przetwarzanych tylko w systemach informatycznych. Brak precyzyjnego określenia zakresu danych w umowach powierzenia zawieranych z dostawcami usług. Brak procedur awaryjnego dostępu do haseł administracyjnych. Brak identyfikatorów użytkownika w ewidencji osób upoważnionych. Brak procedury testowego odtworzenia danych z backupu. Wykaz miejsc przetwarzania nie zawiera miejsc związanych z powierzeniem danych podwykonawcom. Nieprecyzyjne procedury nadawania uprawnień i uwierzytelniania użytkownika. Brak zasad dotyczących jakości haseł lub zmiany hasła. Upoważnienia dla pracowników nie określają zakresu dostępu do danych. 12
Jak dowiedzieć się o niezgodności systemu? od GIODO po przeprowadzonej kontroli? mediów, po stwierdzonym wycieku danych? od osoby, wnoszącej skargę?... od dostawcy, informującego nas o niespełnianiu przez system wymogów rozporządzenia? Wszelkie prawa zastrzeżone Audytel S.A. 2013 13
ale lepiej uzyskać tę wiedzę przez: Przeprowadzenie audytu wewnętrznego Należy to do obowiązków ABIego Przeprowadzenie audytu zewnętrznego Czasem prościej zapytać specjalistę Wszelkie prawa zastrzeżone Audytel S.A. 2013 14
Przebieg kontroli GIODO Wizyta Inspektorów Wywiady z pracownikami Ocena zabezpieczeń Przedstawienie zakresu kontroli Zebranie dokumentów do oceny Zebranie wyjaśnień od zarządu/przedstawiciela oraz ABI Analiza upoważnień do przetwarzania danych Zebranie wyjaśnień od pracowników Ocena używanych systemów informatycznych Stosowane zabezpieczenia fizyczne Stosowanie się pracowników do procedur Zabezpieczenia techniczne Obowiązki Administratora Danych: ozapewnienie dostępu do pomieszczeń, w których przetwarzane są dane, oumożliwienie rozmowy i odebrania wyjaśnień od każdego pracownika, oprzygotowanie żądanych przez Inspektorów GIODO dokumentów, związanych z przetwarzaniem danych, oczynny udział w procesie kontroli przez zarząd firmy lub osobę do tego wyznaczoną (udzielenie potrzebnych wyjaśnień). PROTOKÓŁ POKONTROLNY Pamiętaj: GIODO może wydać decyzję o zakazie dalszego przetwarzania danych osobowych, gdy stwierdzi że dane są przetwarzane z rażącym naruszeniem prawa Wszelkie prawa zastrzeżone Audytel S.A. 2013 15
Co dalej? Otrzymujemy decyzję GIODO Postanowienia zawarte w decyzji GIODO Stwierdzenie nieprawidłowości i żądanie usunięcia uchybień: Brak stwierdzenia uchybień koniec kontroli Wstrzymania przekazywania danych osobowych do państwa trzeciego Uzupełnienia, uaktualnienia, sprostowania, udostępnienia lub nieudostępniania danych osobowych Zastosowania dodatkowych środków zabezpieczających dane osobowe Zabezpieczenia danych lub przekazania ich innym podmiotom Usunięcia danych osobowych 16
Co robić gdy system jest niezgodny? System niezgodny z wymaganiami ODO Dostosowanie systemu do wymogów Rozporządzenia Wdrożenie nowej aplikacji Zaprzestanie przetwarzania danych w systemie 17
Jak nie wpaść w błędne koło? Stwierdzenie niezgodności Kontrola lub Audyt Wdrożenie Decyzja o zmianach Staranność na każdym kroku Na każdym kroku możliwy jest błąd Profesjonalizm podejścia Audyt przed zmianami Zgodność z prawem Zaangażowanie Wybór specjalistów rozwiązania 18
Dziękuję za uwagę Jan Raszewski PS. Warto wyznaczyć ABI! Audytel S.A. ul. ks. I. Skorupki 5 (Stratos Office Center) 00-546 Warszawa tel.: (22) 537 5050 fax: (22) 537 5051 e-mail: info@audytel.pl web : http://www.audytel.pl 19