i i i BEZPIECZEŃSTWO PRAWNE ELEKTRONICZNEGO OBIEGU DOKUMENTÓW i i i
Co to jest elektroniczny obieg dokumentów (EOD) Elektroniczny obieg dokumentów = system informatyczny do zarządzania obiegiem zadań, dokumentów i informacji, działający najogólniej w oparciu o system workflow oraz o bazy danych. twórca Baza danych - punkt newralgiczny informacja odbiorca nadawca
Dlaczego elektroniczny obieg dokumentów (EOD) musi być bezpieczny? x Nieobjęte tajemnicą x Objęte tajemnicą y z INFORMACJA v q Workflow = sposób przepływu informacji pomiędzy rozmaitymi obiektami biorącymi udział w jej gromadzeniu i przetwarzaniu Baza danych = kolekcja danych zapisanych w formie cyfrowej zgodnie z zasadami przyjętego dla programu komputerowego specjalizowanego do gromadzenia i przetwarzania tych danych.
Dlaczego elektroniczny obieg dokumentów (EOD) musi być bezpieczny? C.d. Podstawowe obszary zastosowania elektronicznego obiegu dokumentów Społeczeństwo informacyjne Rozwój usług finansowych w Internecie Sposób przepływu informacji w społeczeństwie informacja cennym towarem rozwój usług typu 3P: przetwarzanie przesyłanie przechowywanie System powinien być chroniony przed atakami z zewnątrz, mogącymi spowodować m. in. Utratę danych Przejęcie kontroli nad danymi Utratę poufności Zniszczenie systemu
Dlaczego elektroniczny obieg dokumentów (EOD) musi być bezpieczny? C.d. Podstawowe obszary zastosowania elektronicznego obiegu dokumentów FIRMY Sposób przepływu dokumentów pomiędzy: Pracownikami w jednej firmie lub instytucji System powinien być chroniony przed atakami: ze strony nielojalnych pracowników z zewnątrz Pomiędzy różnymi firmami lub/i instytucjami
Dlaczego elektroniczny obieg dokumentów (EOD) musi być bezpieczny? C.d. RODZAJE INFORMACJI (DANYCH) W BAZACH DANYCH I W DOKUMENTACH Informacje jawne Bazy danych teleadresowych: obiektów turystycznych i usługowych urzędów placówek służby zdrowia sklepów internetowych Linki komunikacyjne do: obiektów turystycznych i usługowych urzędów placówek służby zdrowia sklepów internetowych Korespondencja z powyższymi Informacje niejawne Prywatne dane teleadresowe: Właścicieli obiektów turystycznych Urzędników Lekarzy i pielęgniarzy Właścicieli sklepów internetowych Klientów powyższych Dane objęte tajemnicą handlową szczegóły kontraktów, obroty technologie, logistyka, organizacja treść firmowej korespondencji Prywatna korespondencja prywatne adresy komunikacyjne treść prywatnej korespondencji
Dlaczego elektroniczny obieg dokumentów (EOD) musi być bezpieczny? C.d. Zwykłe, chronione przepisami ustawy o ochronie danych osobowych Dane osobowe Informacje chronione tajemnicą Dane wrażliwe, chronione szczególnymi przepisami Poufne dane firm Chronione przez firmy regulaminami wewnętrznymi (tajemnica przedsiębiorstwa)
Dlaczego elektroniczny obieg dokumentów (EOD) musi być bezpieczny? C.d. DANE OSOBOWE: wszystkie dane pozwalające na identyfikację konkretnej osoby fizycznej CHRONIONE ERGA OMNES Brak zamkniętego katalogu konieczna każdorazowa analiza OBLIGATORYJNIE W ZALEŻNOŚCI OD SYTUACJI Nieprawidłowe przetwarzanie rodzi konsekwencje prawne włącznie z odpowiedzialnością karną
Dlaczego elektroniczny obieg dokumentów (EOD) musi być bezpieczny? C.d. Pochodzenie etniczne i rasowe Poglądy polityczne Przekonania religijne lub filozoficzne Przynależność wyznaniowa, partyjna lub związkowa Stan zdrowia, kod genetyczny, nałogi, życie seksualne Wyroki skazujące, orzeczenia sądowe o ukaraniu, mandaty
Dlaczego elektroniczny obieg dokumentów (EOD) musi być bezpieczny? C.d. Osoba, której dotyczą, wyraziła zgodę na piśmie Inna ustawa na to zezwala, przy zachowaniu szczególnych warunków bezpieczeństwa Przetwarza się je w celu ochrony zdrowia Służą pracy naukowej pod warunkiem zachowania anonimowości Przetwarzanie dotyczy danych podanych do publicznej wiadomości przez osobę, której dotycz
Główne składowe elektronicznego obiegu dokumentów (EOD) Tworzenie dokumentów i baz danych Przechowywanie dokumentów i baz danych Przesyłanie dokumentów i baz danych
Normy prawa regulujące wszelkie etapy przetwarzania danych osobowych i danych wrażliwych Normy prawa regulujące przetwarzanie danych wrażliwych Normy prawa polskiego W Polsce w elektronicznym obiegu dokumentów mają zastosowanie: Normy prawa regulujące przetwarzanie danych osobowych Dyrektywy Parlamentu Europejskiego
Normy prawa regulujące wszelkie etapy przetwarzania danych osobowych i danych wrażliwych Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. NAJWAŻNIEJSZE NORMY PRAWA POLSKIEGO Ustawy regulujące ochronę danych wrażliwych, np. Ustawa o zawodach lekarza i dentysty z 5 grudnia 1996 r. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji i warunków technicznych systemów przetwarzania danych osobowych Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie wzoru zgłoszenia zbioru danych do GIODO
Normy prawa regulujące wszelkie etapy przetwarzania danych osobowych i danych wrażliwych w sprawie ochrony osób fizycznych w zakresie przetwarzania i swobodnego przepływu danych osobowych z 24 października 1995 r. NAJWAŻNIEJSZE DYREKTYWY UNIJNE w sprawie przetwarzania danych osobowych i ochrony prywatności w dziadzinie telekomunikacji z 15 grudnia 1997 r. w sprawie niektórych aspektów prawnych usług w społeczeństwie informacyjnym, a w szczególności handlu elektronicznego w strefie wolnego rynku z 8 czerwca 2000 w sprawie zatrzymywania przetwarzanych danych w związku ze świadczeniem usług elektronicznych oraz ochrony prywatności w zakresie komunikacji elektronicznej z 15 marca 2006 r.
Normy prawa regulujące wszelkie etapy przetwarzania danych osobowych i danych wrażliwych Zalecenia polskich i unijnych norm prawa Przetwarzanie danych osobowych wyłącznie na serwerach umiejscowionych na poszerzonym obszarze Unii Europejskiej Obowiązek zabezpieczenia przechowywanych danych przez Administratorów i Podmioty Przetwarzające zgodnie z wymogami polskiej ustawy i dyrektyw Parlamentu Europejskiego
Tajemnica przedsiębiorstwa Kontrakty Wielkość obrotów technologie TAJEMNICA PRZEDSIĘBIORSTWA Dane osobowe pracowników Dane osobowe członków zarządu Organizacja i logistyka obejmuje Dane osobowe klientów
Warsztat: które dane są chronione, a które nie
Tajemnica przedsiębiorstwa Chroniona wewnętrznymi przepisami firmy Tajemnica przedsiębiorstwa Chroniona przepisami prawa erga omnes
Tajemnica przedsiębiorstwa Zarząd Decyzja o wyborze zabezpieczeń (ochrony) EOD Przedsiębiorstwo Wyciek danych o kontraktach lub technologiach Nieprawidłowe przetwarzanie danych osobowych Wynik finansowy Strata wynikająca z niewłaściwego wyboru zabezpieczeń: Np. Utrata kontraktów lub Kary z mocy ustawy o ochronie danych Zarząd Odpowiedzialność cywilna i karna za brak właściwych środków zabezpieczenia danych przedsiębiorstwa
Elektroniczny obieg dokumentów a przestrzenie dyskowe Wewnętrzne oprogramowanie firmy LOKALIZACJA ELEKTRONICZNEGO OBIEGU DOKUMENTÓW Zewnętrzne przestrzenie dyskowe lub zewnętrzne oprogramowanie usługowe
Elektroniczny obieg dokumentów a chmura obliczeniowa Forma outsourcingu = oprogramowanie na żądanie = SaaS = Software as Service Chmura obliczeniowa Najbardziej efektywny ekonomicznie sposób wdrożenia i użytkowania rozwiązań teleinformatycznych
Elektroniczny obieg dokumentów a wybór modelu przetwarzania danych Koszty zakupu programu contra Koszty użytkowania licencji Jakość produktu Analiza ekonomiczna Analiza bezpieczeństwa danych Analiza danych Analiza oferowanych zabezpieczeń Analiza zgodności z ustawodawstwem Analiza bezpieczeństwa prawnego WYBÓR MODELU
Wybór modelu przetwarzania danych Twórca oferty EOD Użytkownik oferty EOD muszą pamiętać, że: Nawet przygotowywanie oferty dla konkretnego klienta może stanowić przetwarzanie danych osobowych, a zatem narazić na odpowiedzialność karną za niewłaściwe ich przetwarzanie Podczas przetwarzania w przestrzeni wirtualnej baz zawierających takie dane osobowe, jak dane o pracownikach i/ lub klientach wiążą przepisy ustawy o ochronie danych osobowych i przepisy właściwych norm UE
Wybór modelu przetwarzania danych www.radcaprawny-ciesla.pl
Modele przetwarzania danych w EOD w chmurze obliczeniowej - kluczowy element bezpieczeństwa CHMURA OBLICZENIOWA KLUCZOWYM JEST ELEMENT BEZPIECZEŃSTWA PRAWNEGO
Wybór dostawcy oprogramowania EOD w chmurze obliczeniowej PYTANIE DECYZJA: wybór dostawcy licencji w chmurze lub innej ODPOWIEDŹ
Wybór dostawcy oprogramowania EOD w chmurze obliczeniowej
Analiza Ryzyka Bezpieczeństwa elektronicznego obiegu dokumentów zasad i mechanizmów funkcjonowania Osobista analiza usługi przez świadczeniobiorcę Doskonała znajomość: zasad i mechanizmów funkcjonowania
Analiza Ryzyka Bezpieczeństwa elektronicznego obiegu dokumentów Międzynarodowa Norma ISO 27001 Określa wymagania związane z: ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji Obejmuje obszary bezpieczeństwa: fizycznego osobowego teleinformatycznego prawnego
Analiza Ryzyka Bezpieczeństwa elektronicznego obiegu dokumentów Audyt bezpieczeństwa Badania przeprowadza kompetentny i wiarygodny podmiot Szczegółowa analiza wszystkich faz i elementów usługi sieciowej Ocena bezpieczeństwa usługi z punktu widzenia ryzyka prawnego
Analiza Ryzyka Bezpieczeństwa elektronicznego obiegu dokumentów W Polsce nie ma systemu certyfikacji Publiczne Certyfikaty Bezpieczeństwa Poświadczenie wydane przez odpowiednie władze publiczne potwierdzające, iż certyfikowana usługa jest bezpieczna w określonym w certyfikacie zakresie. Polskę obowiązuje te same normy, które obowiązują w całej Unii Europejskiej, można więc korzystać z certyfikatów wdrożonych przez inne Państwa Unii
UWAGA W Polsce nie ma systemu certyfikacji, ale Polskę obowiązuje te same normy, które obowiązują w całej Unii Europejskiej, więc można korzystać z certyfikatów wdrożonych przez inne Państwa Unii. 43
Modelowy Certyfikat Publiczny Certyfikat wydawany przez Komisję Regulatorów Rynku Finansowego w Luksemburgu (odpowiednik Komisji Nadzoru Finansowego w Polsce). Certyfikat ten gwarantuje najwyższy poziom zabezpieczenia przetwarzania i przechowywania danych nie osobowych, ale właśnie firmowych. 44
Certyfikat ten jest udzielany firmom w szczególności dostarczającym rozwiązania (także SaaS) dla sektora finansowego i potwierdza najwyższy poziom zabezpieczeń danych firmowych. 45
1. Definicja danych osobowych/ danych wrażliwych 2. Znaczna część dokumentów zawiera dane osobowe? Lub istotne informacje firmowe. Dotyczy to zarówno firm produkcyjnych, firm opracowujących technologie (tajemnica technologii), jak medycznych, usług internetowych, finansowych 3. Wykaz sytuacji, w jakich przetwarzanie danych jest dozwolone 4. Wykaz aktów prawnych, które regulują bezpieczeństwo danych w sieci``; międzynarodowych, wspólnotowych, polskich 5. Jak bazy danych osobowych mają się do sklepów internetowych, bibliotek, portali komunikacyjnych etc 6. Zawsze można przetwarzać dane osobowe osoby, która udzieliła na to zgody oraz osoby, która sama podała określone dane do publicznej wiadomości 7. Lista państw, które mają certyfikaty bezpieczeństwa danych 8. Jakie kary grożą za bezprawne przetwarzanie/ ujawnienie/ wyciek danych osobowych 9. Jakiej odpowiedzialności podlega osoba, która ujawniła dane firmy, która te dane uznała za tajemnicę handlową
DZIĘKUJĘ ZA WYSŁUCHANIE PRELEKCJI Stefan Cieśla Kancelaria Radcy Prawnego Stefan Cieśla Ul Foksal 18, 00-372 Warszawa www.radcaprawnyciesla.pl sfciesla@radcaprawnyciesla.pl 22 389 61 27