Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne 18 listopada 2015 r. Maria Guzewska, LL.M. Prawnik w zespole IP/DP
Agenda Rodzaje danych w systemach IT Podstawowe pojęcia Zabezpieczanie danych Obowiązek szyfrowania danych w polskich i unijnych przepisach - dziś Obowiązek szyfrowania - jutro Obowiązek tworzenia kopii zapasowych Odpowiedzialność cywilna, karna i administracyjna Page 2
Rodzaje danych w systemach IT Page 3
Dane osobowe Page 4
Dane osobowe who is who? PRZETWARZAJĄCY 1 ADMINISTRATOR DANYCH OSOBOWYCH (spółka/ bank/ ministerstwo/ organ) Powierzenie przetwarzania danych osobowych ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI PRZETWARZAJĄCY 2 PODMIOTY DANYCH Page 5
Zabezpieczanie danych
Regulacje i wytyczne organów WYMOGI PRAWNE TECHNICZNE I ORGANIZACYJNE WYTYCZNE ustawa o ochronie danych osobowych z 1997 (na podstawie dyrektywy z 1995) Rozporządzenia wykonawcze do: ustawy o ochronie danych osobowych Opinie Grupy Roboczej art. 29 Decyzje, sprawozdania GIODO Page 7
Obowiązkowe dokumenty dotyczące zabezpieczenia danych 1 2 3 4 5 Polityka bezpieczeństwa Instrukcja zarządzania systemem informatycznym Upoważnienie dla (współ)pracowników do przetwarzania danych osobowych Ewidencja upoważnionych (współ)pracowników Umowa (pod)powierzenia danych osobowych Page 8
Szyfrowanie danych - dziś
Szyfrowanie danych dziś Obowiązek zabezpieczenia przez szyfrowanie Page 10
Szyfrowanie danych w polskim prawie Obowiązek szyfrowania w polskim prawie: komputer przenośny urządzenia i nośniki, na których przetwarzane są dane sensytywne danych wykorzystywanych do uwierzytelnienia w sieci publicznej Internet Page 11
Szyfrowanie danych cloud computing Powszechne zalecenie szyfrowania Dokument w sprawie przetwarzania danych w chmurze obliczeniowej w kwestii ochrony danych i prywatności Grupa Berlińska Opinia 5/2012 Grupy Roboczej w sprawie przetwarzania danych w chmurze obliczeniowej ISO/IEC 27018:2014 Zalecenie szyfrowania danych przy przekazaniu informacji do i z chmury przy wymianie danych między centrami chmurowymi przy przechowywaniu danych w centrach chmurowych szyfrowanie uwierzytelnienia klienta chmury zarządzanie chmurą powinno odbywać się za pośrednictwem bezpiecznego kanału komunikacyjnego Page 12
Szyfrowanie wnioski Szyfrowanie przy braku dostępu dostawcy chmury do danych Nie stosuje się regulacji dotyczących tajemnic zawodowych/ medycznych? Nie ma powierzenia przetwarzania danych osobowych? Możliwy eksport danych do państwa trzeciego? Page 13
Obowiązek szyfrowania danych w krajach UE Wielka Brytania Brak obowiązku, ale zalecane szyfrowania, np. dla poszczególnych dokumentów na laptopach lub innych urządzeniach przenośnych, które mogą być wyniesione poza biuro Francja Szyfrowanie wymagane w przypadku niektórych kategorii danych sensytywnych (jak dane o zdrowiu), informacji o płatnościach Hiszpania Szyfrowanie wymagane w pewnych wypadkach przy przesyłaniu danych przez sieć telekomunikacyjną Finlandia, Słowacja, Włochy, Czechy Brak podobnego wymogu Page 14
Szyfrowanie danych - jutro
Szyfrowanie danych jutro Projekt Rozporządzenia UE: 1 Brak przepisów o szyfrowaniu 2 Po ocenie ryzyka należy wdrożyć odpowiednie środki techniczne i organizacyjne, odpowiednie też może być szyfrowanie 3 KE może dookreślić te środki w aktach wykonawczych Page 16
Privacy by design Mając na uwadze dostępną technologię i koszt wdrażania oraz uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz prawdopodobieństwo i powagę zagrożenia dla praw i wolności osób fizycznych wynikającego z przetwarzania, administratorzy wdrażają ( ) środki techniczne i organizacyjne odpowiednie do wykonywanej czynności przetwarzania i do jej celów np. minimalizację i pseudonimizację danych w taki sposób, by przetwarzanie było zgodne z wymogami niniejszego rozporządzenia oraz chroniło prawa ( ) podmiotów danych. Obowiązek administratora (przetwarzający?) Wdrożenie środków technicznych i organizacyjnych odpowiednich do ryzyka Proces powinien rozpoczynać się już w fazie projektowania Page 17
Zapowiadane ostrzejsze sankcje! Nowe rozporządzenie PE i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych Organ nadzorczy uprawniony będzie do: Wydawanie ostrzeżeń, udzielanie upomnień, żądanie udzielenia informacji prowadzenia dochodzenia w formie audytu oraz! do nałożenia grzywny do wysokości 100 000 000 EUR lub 2 % rocznego globalnego przychodu grupy (w zależności który środek jest bardziej dotkliwy) Page 18
Obowiązek tworzenia kopii zapasowych
Rekomendacja D Jednym ze środków mających na celu zapewnienie ciągłości działania w przypadku awarii lub katastrofy są awaryjne kopie danych, instancji systemów informatycznych oraz konfiguracji kluczowych komponentów infrastruktury teleinformatycznej. Bank powinien posiadać sformalizowane zasady zarządzania nośnikami danych przechowującymi kopie awaryjne. Page 20
Kopie zapasowe zagrożenia i problemy w praktyce Problematyczny do zastosowania w praktyce wyrok WSA nakazujący usunięcie danych osobowych także z kopii zapasowych (wyrok z z 16.01.2008 sygn. akt II SA/Wa 1801/07) Usunięcie danych z kopii zapasowych jest sprzeczne z: celem tworzenia kopii zapasowych funkcją zabezpieczeniem danych ISO/IEC 27018:2014 zalecenie usunięcia danych osobowych również z kopii zapasowych (A.9.3) Page 21
Sankcje
Odpowiedzialność ADMINISTRACYJNA CYWILNA KARNA Decyzje GIODO: Przywrócenie stanu zgodnego z prawem W razie niewykonania decyzji grzywna (jednorazowo do 50 tys. zł, łącznie do 200 tys. zł) Page 23 Odpowiedzialność deliktowa (za naruszenie dóbr osobistych) brak możliwości ograniczenia odpowiedzialności za szkodę umyślną Przestępstwem jest m.in. niespełnienie obowiązku informacyjnego brak rejestracji zbioru danych utrudnianie kontroli uzyskanie informacji przeznaczonej dla kogoś innego, poprzez sieć telekomunikacyjną lub łamiąc zabezpieczenia elektroniczne ujawnienie/wykorzysta nie tajemnicy ubezpieczeniowej nieuprawniony dostęp do informacji dla niego nieprzeznaczonej
Dziękuję! Maria Guzewska Prawnik w zespole IP/DP maria.guzewska@twobirds.com Dziękuję! Maria Guzewska, LL.M. Prawnik w zespole IP/DP