Dane osobowe w data center

Dane osobowe w data center obowiązki klienta i obowiązki dostawcy Jarosław Żabówka

2 Dlaczego chronimy dane osobowe? A dlaczego ja mam dbać o te dane, tylko dlatego, że tak sobie ustawodawca wymyślił Prezes Bardzo Ważnej Spółki

3 Mity już obalone My tych danych nie przetwarzamy, jedynie je przechowujemy Jeżeli zaszyfrujemy dane, nie musimy podpisywać umowy. Art. 7. Ilekroć w ustawie jest mowa o: 2) przetwarzaniu danych - rozumie się Danych osobowych nie można przetwarzać w chmurze Zdaniem Grupy przez roboczej to jakiekolwiek art. 29 operacje Dane osobowe wyrażonym w mogą Opinii wykonywane być 1/2010 przetwarzane z na dnia danych 16 osobowych, jedynie takie w Polsce Wymogów lutego 2010 rozporządzenia r. w jak sprawie zbieranie, pojęć nie utrwalanie, da się zrealizować w administrator danych chmurze. przechowywanie, i przetwarzający, opracowywanie, hosting co do zasady zmienianie, stanowić udostępnianie będzie i usuwanie, a Ochrona powierzenie danych przetwarzania nie zwłaszcza dotyczy te, które chmury, wykonuje bo się UE w wspiera CC Dane w danych chmurze osobowych są systemach bezpieczne. do przetwarzającego informatycznych, dane. Ochrona danych osobowych to jest dziedzina niszowa

4 Co to jest umowa powierzenia? Art. 31 ust. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.

5 Umowa powierzenia Art. 31 ust. 2. Podmiot, o którym mowa w ust.1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

6 Umowa powierzenia - odpowiedzialność Art. 31 ust. 4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

7 Obowiązek procesora zabezpieczenie danych Art. 31 ust. 3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.

8 Przetwarzający (dostawca) Zawiera umowę na piśmie Przetwarza dane w zakresie i celu przewidzianym w umowie Podejmuje środki zabezpieczające zbiór danych Administrator danych (klient) Zawiera umowę na piśmie Ponosi odpowiedzialność (weryfikuje zabezpieczenia stosowane przez dostawcę) Podejmuje środki zabezpieczające zbiór danych w zakresie swojego systemu Zgłasza zbiór danych do opracowuje i wdraża politykę bezpieczeństwa oraz instrukcję zarządzania systemem stosuje zabezpieczenia techniczne i organizacyjne (dobiera je adekwatnie do zagrożeń GIODO i kategorii danych) do przetwarzania dopuszcza jedynie osoby upoważnione wydaje upoważnienia i prowadzi ewidencje wyznacza administratora bezpieczeństwa informacji

9 Zabezpieczenie systemu informatycznego przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. Przetwarzający (dostawca) UPS Generator Administrator danych (klient) Nadzór Inne zabezpieczenia Zapewnijmy sobie w umowie, że dane będą zabezpieczone, albo zabezpieczmy je sami!

10 Zabezpieczenie systemu informatycznego przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego. Przetwarzający (dostawca) System antywirusowy Firewall Administrator danych (klient) System antywirusowy Firewall Nadzór Zapewnijmy sobie w umowie, że dane będą zabezpieczone, albo zabezpieczmy je sami!

11 Zabezpieczenie danych przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. Przetwarzający (dostawca) Administrator danych (klient) Określmy w umowie, kto będzie odpowiadał za wykonanie kopii zapasowej Co się stanie z kopiami po zakończeniu umowy? Czy będziemy w stanie usunąć z kopii pojedyncze dane?

12 Zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. (Art. 36.) Przetwarzający (dostawca) Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39 Administrator danych (klient) odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową

13 Zapewnienie mechanizmów, o których mowa w 7 Rozporządzenia. (Rozliczalność kto i kiedy wprowadził dane) Przetwarzający (dostawca) W wypadku hostingu dostawca zwykle nie będzie w stanie zapewnić realizacji tych obowiązków. Administrator danych (klient) Jedynie czasami, w modelu SaaS, administrator będzie mógł powierzyć realizację tych zadań.

14 Wątpliwości procesorów i administratorów Czy mogę podpowierzyć przetwarzanie? Kto ma prowadzić rejestr pomieszczeń? Czyje zabezpieczenia opisać w zgłoszeniu zbioru

15 Inne niż zabezpieczenie danych obowiązki administratora danych Posiadanie przesłanki pozwalającej na przetwarzanie danych (np. zbieranie zgód). Dopełnianie obowiązków informacyjnych. Zapewnienie przetwarzania zgodnego z zasadami: adekwatności, celowości, merytorycznej poprawności, ograniczenia czasowego. W szczególnych przypadkach, również mogą zostać powierzone

16 Ustawa o świadczeniu usług drogą elektroniczną Wyłączenie z odpowiedzialności Art. 14. ust. 1. Nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, ( ) Art. 15. Podmiot, który świadczy usługi określone w art. 12-14, nie jest obowiązany do sprawdzania przekazywanych, przechowywanych lub udostępnianych przez niego danych, o których mowa w art. 12-14.

17 Sprawozdanie GIODO za 2012r. [nieprawidłowości dotyczyły] powierzenia przez jeden z ośrodków dawców szpiku, w związku z realizacją zadania o którym mowa w art. 16a ust. 2 pkt 3 ustawy transplantacyjnej, przetwarzania danych osobowych potencjalnych dawców podmiotowi prywatnemu świadczącemu tzw. usługi outsourcingowe, na podstawie zawartej na piśmie umowy. W związku z tym ustaleniem Generalny Inspektor zwrócił się do ośrodka dawców szpiku o złożenie wyjaśnień poprzez wskazanie, czy w skontrolowanym ośrodku oraz w ww. podmiocie, któremu powierzono przetwarzanie danych osobowych potencjalnych dawców szpiku lub komórek macierzystych, dostęp do przedmiotowych danych posiadają wyłącznie osoby o kwalifikacjach wskazanych w art. 16a ust. 4 ustawy transplantacyjnej.

18 Podsumujmy Przetwarzanie danych osobowych u zewnętrznego dostawcy wymaga zawarcia umowy powierzenia. Dostawca ma obowiązek zabezpieczyć dane, ale nie zdejmuje to z klienta odpowiedzialności za te zabezpieczenia. Dostawca nie ponosi odpowiedzialności, jeżeli nie wie, o ich nielegalnym charakterze. Możemy powierzyć realizację innych obowiązków.

19 Jarosław Żabówka proinfosec@odoradca.pl