Wszystko, co chcieliście wiedzieć o IT, ale baliście się zapytać... Warszawa, 13 czerwca 2017 r.

Podobne dokumenty
Banking Tech & Security

Przewodnik po nowelizacji przepisów:

Maciej Gawroński Maruta Wachta Sp.j. Odpowiedzialność za cyberbezpieczeństwo

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

wraz z wzorami wymaganej prawem dokumentacją

II Lubelski Konwent Informatyków i Administracji r.

Bezpieczeństwo danych osobowych listopada 2011 r.

Prawne instrumenty zapobiegania cyberatakom i wyciekom informacji

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

Prawnokarne konsekwencje naruszenia prawa do informacji oraz obowiązku zachowania tajemnicy

Spółki publiczne. Zarządzanie informacją poufną w procesie przejęcia spółki studium przypadku

Ochrona danych osobowych - zmiany po 1 stycznia 2015r.

Umowa nr... powierzenia przetwarzania danych osobowych.... zwanym dalej Administratorem danych,... zwanym dalej Przetwarzającym,

Raport o usługach cloud computing w działalności ubezpieczeniowej Regulacje prawne dotyczące ubezpieczeo związane z outsourcingiem usług IT

AGENDA. Prawne aspekty systemów pułapek. Obrona przez atak

Szkolenie. Ochrona danych osobowych

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

Damian Klimas Szostek Bar i Partnerzy Kancelaria Prawna

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Umowa nr TXU/TXXI/INNE/ /2018 powierzenia przetwarzania danych osobowych

2 UŻYTKOWNICY LABORATORIUM

O odpowiedzialności karnej administratorów bezpieczeństwa informacji

Umowy IT zabezpieczenie interesów stron

PARTNER.

UMOWA DYSTRYBUCYJNA. I. Panem(Panią).. zwanym(-ą) dalej Dystrybutorem zam.. ul.., nr tel.., , PESEL..., NIP,

Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Ochrona danych osobowych przy obrocie wierzytelnościami

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

4Tel Partner Sp. z o.o.

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Wybrane przestępstwa komputerowe w kodeksie karnym z dnia 2 sierpnia 1997r. (na podstawie komentarza dr Andrzeja Adamskiego)

NIP:, Regon: wpisaną do Krajowego Rejestru Sądowego nr..., reprezentowaną przez:

Compliance. Skuteczna kontrola ryzyka prawnego

Ochrona Biura przed przejęciem ważnego pracownika przez klienta. Warszawa dnia r.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH nr.. zawarta w dniu. zwana dalej Umową powierzenia

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

UMOWA NR /.../... POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Wybrane aspekty prawne utraty danych przez przedsiębiorcę i użycia jego infrastruktury informatycznej do popełnienia czynu zabronionego

Odpowiedzialność prawna pracowników sektora IT. T: (+48) Warszawa, 20 listopada 2014r. E:

Za jakie przestępstwa nie może być skazany członek zarządu spółki z o.o.

OCHRONA DANYCH OSOBOWYCH W BIBLIOTECE J U S T Y N A J A N K O W S K A

Załącznik nr 7 do SIWZ OP-IV PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych

wpisanym do rejestru przedsiębiorców / ewidencji działalności gospodarczej pod nr... "Administratorem" reprezentowanym przez:

Celowość jako przesłanka wymiany danych w zakresie przeciwdziałania przestępczości ubezpieczeniowej uwagi praktyczne w aspekcie standardów tej wymiany

Przegląd rodzajów ataków hackerskich

Wstęp... XIII. Wykaz skrótów...

Samodzielny Publiczny Zespół Opieki Zdrowotnej w Kędzierzynie-Koźlu OŚWIADCZENIE UŻYTKOWNIKA BI-114 A. DANE UŻYTKOWNIKA 1. Identyfikator użytkownika*

Załącznik 4. Umowa o zachowaniu poufności przetwarzania danych osobowych, zwana dalej Umową

2. Administratorem Danych Osobowych w SGSP w rozumieniu ustawy o ochronie danych osobowych jest Rektor-Komendant SGSP.

Tajemnice zawodowe w działalności zakładów ubezpieczeń i banków wobec uprawnień Policji i prokuratury

PRAWNE PRAKTYCZNE ASPEKTY LEGALNEGO

REGULAMIN OCHRONY DANYCH OSOBOWYCH WYCIĄG Z POLITYKI BEZPIECZEŃSTWA

Udostępnianie przez zakłady ubezpieczeń danych chronionych tajemnicą ubezpieczeniową: propozycja wstępna standaryzacji

UMOWA O POWIERZENIE OBOWIĄZKÓW ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI ORAZ BIEŻĄCĄ OBSŁUGĘ W ZAKRESIE ZAGADNIEŃ DOTYCZĄCYCH OCHRONY DANYCH OSOBOWYCH

Damian Klimas Associate. Szostek Bar i Partnerzy Kancelaria Prawna

Jak przetwarzać dane sensytywne zgodnie z RODO w gabinecie lekarskim 1

UMOWA Nr UE powierzenia przetwarzania danych osobowych w związku z zawarciem w dniu... umowy nr UE

PolGuard Consulting Sp.z o.o. 1

C Y B E R P R Z E M O C. Rodzaje zagrożeń, sposoby

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

UMOWA O ZACHOWANIU POUFNOŚCI

Umowa nr ADO/.../2016 powierzenia przetwarzania danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH ( Umowa Powierzenia")

Wykr. 1. SPOŁECZNY ASPEKT JAKOŚCI ŻYCIA W STOLICACH KRAJÓW UE (X )

Odpowiedzialność zawodowa i cywilna lekarza

Administrator Bezpieczeństwa informacji

Umowa o świadczenie usług i przeniesienie autorskich praw majątkowych nr. ( Umowa )

Dokumentacja ochrony danych osobowych w firmie

3. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

UMOWA NR.. powierzenia przetwarzania danych osobowych

UMOWA O ZACHOWANIU POUFNOŚCI

OCHRONA PRAWA DO PRYWATNOŚCI I INNYCH TAJEMNIC PRAWNIE CHRONIONYCH

Pracownik a tajemnica wynagrodzenia?

Komenda Stołeczna Policji Warszawa ul.nowolipie2

SPIS TREŚCI. Przedmowa... Wykaz skrótów...

Zakaz konkurencji.

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

Cloud Computing - problematyka prawna udostępnienia aplikacji w chmurze obliczeniowej (SaaS)

UMOWA O POWIERZENIU PRZETWARZANIA DANYCH

KOMENDA WOJEWÓDZKA POLICJI W POZNANIU PCZOŚĆ KOMPUTEROWA

Dane osobowe w data center

REGULAMIN BEZPIECZEŃSTWA INFORMACJI

UMOWA WARUNKOWA. wpisaną do rejestru przedsiębiorców., NIP:.. REGON:, reprezentowaną przez:..., zwanym dalej Zamawiającym a

UMOWA Nr UE powierzenia przetwarzania danych osobowych w związku z zawarciem w dniu... umowy nr UE

Czym jest tajemnica zawodowa?

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

Umowa powierzenia przetwarzania danych osobowych

Załącznik nr10 do IWZ Załącznik nr 4 do Umowy

OPROGRAMOWANIE UŻYTKOWE

UMOWA o praktyczną naukę zawodu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Jak zadbać o bezpieczeństwo na Osiedlu

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół Usługowo Gospodarczych w Pleszewie

Załącznik nr 3 do SIWZ Umowa nr ADO/.../2018 powierzenia przetwarzania danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w.,... pomiędzy:

Ochrona Danych Osobowych

Transkrypt:

Wszystko, co chcieliście wiedzieć o IT, ale baliście się zapytać... Warszawa, 13 czerwca 2017 r.

Dlaczego branża IT potrzebuje (dobrych) prawników?

Za tydzień zamykamy kram, czyli zaniedbane zabezpieczenia ciągłości działania kluczowego systemu IT dr Agnieszka Besiekierska, adwokat, Counsel w praktyce Tech & Comms

Umowa Zasadnicza a Umowa o świadczenie usług IT WTS i SOFTI strony Umowy Zasadniczej i Umowy o świadczenie usług IT Umowa Zasadnicza dotyczy oprogramowania kluczowego dla wszystkich obszarów działalności WTS; licencja na na pierwszy rzut oka bezpieczna: długi okres obowiązywania, długi okres wypowiedzenia Umowa o świadczenie usług IT 6-miesięczny okres wypowiedzenia; SOFTI wypowiada Umowę o świadczenie usług informatycznych ze względów ekonomicznych ("wykonanie umowy generuje straty") WTS nie może funkcjonować bez usług informatycznych, które w dużej mierze podlegają na zmianach w oprogramowaniu, dodawaniu nowych funkcjonalności Co za 6 miesięcy?! Strona 4

Możliwość modyfikacji Oprogramowania I Podstawa umowna do modyfikacji niedookreślone licencja deweloperska ("WTS ma prawo do tworzenia własnego oprogramowania w celu zmiany lub rozszerzenia funkcjonalności Oprogramowania, na zasadach określonych w Dokumentacji ") zakaz ujawniania osobom trzecim informacji handlowych i TECHNICZNYCH dotyczących Umowy Zasadniczej, jego naruszenie podstawą do wypowiedzenia Umowy Zasadniczej (wraz z licencją) Strona 5

Możliwość modyfikacji Oprogramowania II Podstawa ustawowa do modyfikacji Art. 75 prawa autorskiego 1. Jeżeli umowa nie stanowi inaczej, czynności wymienione w art. 74 ust. 4 pkt 1 i 2 nie wymagają zgody uprawnionego, jeżeli są niezbędne do korzystania z programu komputerowego zgodnie z jego przeznaczeniem, w tym do poprawiania błędów przez osobę, która legalnie weszła w jego posiadanie. Art. 74 ust. 4 pkt 1 i 2 1) (zwielokrotnienie programu) 2) tłumaczenia, przystosowywania, zmiany układu lub jakichkolwiek innych zmian w programie komputerowym, z zachowaniem praw osoby, która tych zmian dokonała; Strona 6

Kod źródłowy Umowa o przechowywanie kodu źródłowego nie została zawarta; Przesłanki do skorzystania z kodu: likwidacja, wrogie przejęcie SOFTI, utracenie możliwości świadczenie usług przez SOFTI też brak możliwości ekonomicznej? wypowiedzenie umowy przez SOFTI której umowy? Strona 7

Kontrakty wykute w kamieniu, czyli jak zapewnić elastyczność umów IT Kuba Ruiz LL.M., adwokat, szef praktyki Tech & Comms

Elastyczność umowy IT uwagi ogólne Elastyczność Umowy IT cienka linia pomiędzy ryzykiem projektowym wdrożenia czegoś: czego już / w ogóle nie potrzebujemy; czego nie zamawialiśmy / oferowaliśmy; albo niewdrożeniem niczego. Elastyczność sformalizowana i "projektowa" Strona 9

Elastyczność sformalizowana (1) Właściwa struktura projektowa właściwe kompetencje Project Menagera (upoważnienie w umowie); właściwy nadzór właścicielski / biznesowy Procedura wprowadzania zmian (Change Request / CR): jasne ścieżki i forma komunikacji; terminy na podejmowanie decyzji; wymóg określenia wpływu (architektura, finanse, czas, inne skutki, np. dodatkowe licencje, testy, dane, konieczna współpraca innych dostawców, itp.) rozliczalność dokumentacja, archiwizowana komunikacja, wyniki testów. Strona 10

Elastyczność sformalizowana (2) Sztywne / drakońskie kary umowne vs. sensowne biznesowe stymulowanie kontrahenta; Struktura cenowa (fixed fee vs. T&M vs. mieszanka) Krótka procedura eskalacyjna naruszenie = sąd (a gdzie rozmowa? mediacja? Wyniesienie sporu ponad zespoły wdrażające). Strona 11

Elastyczność sformalizowana (3) Prawo Zamówień Publicznych art. 144 (dopuszczalne zmiany istotne) Katalog okoliczności uzasadniających zmianę istotną w umowie (!kluczowe, bo wymóg prawny!) Praktyka "negocjowania" wzoru umowy załączonego do SIWZ dialog techniczny, pytania, zastrzeżenia. Strona 12

Elastyczność projektowa Wspólne zrozumienie celu i zakresu wdrożenia (warto zapisać w umowie albo jakimś dokumencie projektowym); Wymiana informacji o zmianach w dostępnej technologii i jej wpływie na dane wdrożenie; Właściwa komunikacja weryfikowalna i do właściwego kręgu odbiorców / zainteresowanych; Dokumentowanie ustaleń "na gębę" / właściwe podsumowywanie żargonowych ustaleń mailowych; Przejmowanie ról / zadań projektowych (kto co dostarcza / robi) właściwe udokumentowanie zmiany Strona 13

Prokurator u bram, czyli o prawnokarnej odpowiedzialności za wyciek danych Aspekty karne wycieku danych Arkadiusz Matusiak, adwokat, szef praktyki przestępczości gospodarczej

Kto odpowiada? ORGANIZACJA CEO POSZKODOWANY CIO CSO ABI Departament bezpieczeństwa informatycznego Strona 15

Odpowiedzialność Karna Cywilna kontraktowa deliktowa Administracyjna/regulacyjna (UKE, GIODO) Pracownicza/dyscyplinarna Strona 16

Jakie zarzuty można postawić osobie odpowiedzialnej za cyberbezpieczeństwo? Art. 51 ustawy o ochronie danych osobowych udostępnienie danych osobom nieuprawnionym Art. 52 ustawy o ochronie danych osobowych naruszenie obowiązku zabezpieczenia danych Art. 23 ustawy o zwalczaniu nieuczciwej konkurencji ujawnienie tajemnicy przedsiębiorstwa Art. 439 ust. 1 i art. 440 ust. 1 ustawa o działalności ubezpieczeniowej i reasekuracyjnej - ujawnienie tajemnicy ubezpieczeniowej Art. 289 ustawa o funduszach inwestycyjnych ujawnienie tajemnicy zawodowej Art. 265 Kodeksu karnego ujawnienie informacji niejawnych (tajnych i ściśle tajnych) Art. 266 Kodeksu karnego ujawnienie tajemnicy służbowej Strona 17

Jakie zarzuty można postawić osobie odpowiedzialnej za cyberbezpieczeństwo? Art. 51 ustawy o ochronie danych osobowych udostępnienie danych osobowych osobom nieuprawnionym 1. Kto, administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 52 ustawy o ochronie danych osobowych naruszenie obowiązku zabezpieczenia danych osobowych Kto, administrując danymi, narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Strona 18

Odpowiedzialność karna za przestępstwa komputerowe hacking - nieuprawnione uzyskanie informacji (art. 267 1 kk) sniffing - podsłuch komputerowy (art. 267 3 kk) usuwanie, niszczenie danych informatycznych (art. 268a kk) sabotaż komputerowy (art. 269 1 i 2 kk) rozpowszechnianie złośliwych programów oraz cracking (art. 269a kk) Pracownik zarządzający systemem informatycznym może także ponosić odpowiedzialność karną za pomocnictwo, jeżeli w zamiarze dokonania czynu przez kogoś innego swoim zachowaniem ułatwia popełnienie tego czynu albo przez zaniechanie, pod warunkiem, że ciąży na nim szczególny prawny obowiązek zapobiegnięcia skutkowi Strona 19

Strona podmiotowa odpowiedzialności Umyślnie w zamiarze bezpośrednim w zamiarze ewentualnym Nieumyślnie lekkomyślność niedbalstwo Strona 20

Odpowiedzialność karna kto może ponosić odpowiedzialność karną? Przestępstwo niezabezpieczenie danych osobowych ujawnienie danych osobowych ujawnienie tajemnicy przedsiębiorstwa ujawnienie tajemnicy bankowej Hacking -nieuprawnione uzyskanie informacji (art. 267 1 kk) Zarząd Um/nieum. Pracownik Um/nieum. Osoba odpow. za cyberbezp. Um/nieum. X/X X/X X/X - X/X X/X X/X - X/- X/- X/- X X/- X/- X/- X X/- X/- X/- X Podmiot zbiorowy sniffing - podsłuch komputerowy (art. 267 3 kk) usuwanie, niszczenie danych informatycznych (art. 268a kk) X/- X/- X/- X X/- X/- X/- X Strona 21

Sankcje za niezabezpieczenie danych grzywna ograniczenie wolności pozbawienie wolności (nawet do lat 8 vide art. 269 k.k.) obowiązek zadośćuczynienia lub naprawienia szkody Strona 22

Odpowiedzialność za ujawnienie danych osobowych statystyka (art. 49-54 ustawy o ochronie danych osobowych ROK Liczba postępowań wszczętych Liczba przestępstw stwierdzonych Wskaźnik wykrycia w % Liczba podejrzanych 2012 325 97 32,2 42 2011 317 106 43,0 40 2010 330 279 80,1 65 2009 387 332 78,6 56 2008 360 154 66,2 60 2007 327 506 87,8 55 2006 375 151 59,1 67 2005 355 173 63,8 89 2004 382 706 91,1 83 2003 337 761 93,2 613 2002 381 1306 95,8 77 2001 347 592 94,1 114 2000 290 470 92,6 82 1999 152 58 74,1 27 Strona 23 *ostatnie publicznie dostępne statystyki Komendy Głównej Policji

Sabotaż komputerowy art. 269 1 i 2 k.k. statystyka ROK liczba postępowań wszczętych liczba przestępstw stwierdzonych 2016 11 6 2015 4 4 2014 10 6 2013 14 9 2012 9 5 2011 3 5 2010 7 0 2009 6 2 2008 6 2 2007 6 0 2006 3 4 2005 2 3 2004 12 0 2003 2 2 2002 6 12 2001 9 5 2000 7 5 1999 10 3 Strona 24 *ostatnie publicznie dostępne statystyki Komendy Głównej Policji

Zakłócanie pracy w sieci art. 269a k.k. statystyka ROK liczba postępowań wszczętych liczba przestępstw stwierdzonych 2016 44 38 2015 52 38 2014 27 48 2013 37 34 2012 35 30 2011 38 30 2010 22 18 2009 34 243 2008 13 13 2007 11 11 2006 19 19 2005 1 1 Strona 25 *ostatnie publicznie dostępne statystyki Komendy Głównej Policji

Nielegalne uzyskanie informacji (art. 267 1, 2 i 3 k.k.) statystyka ROK liczba postępowań wszczętych liczba przestępstw stwierdzonych 2016 3401 2718 2015 3515 2452 2014 2868 1901 2013 2203 1655 2012 1657 1513 2011 1583 948 2010 1194 1102 2009 982 645 2008 694 505 2007 616 384 2006 538 370 2005 430 260 2004 378 248 2003 362 232 2002 294 215 2001 259 175 2000 249 240 1999 182 113 Strona 26 *ostatnie publicznie dostępne statystyki Komendy Głównej Policji

Odpowiedzialność cywilna Kto odpowiada: tylko jednostka organizacyjna ponosi odpowiedzialność (brak bezpośredniej odpowiedzialności pracownika i osoby odpowiedzialnej za cyberbezpieczeństwo w organizacji wobec poszkodowanego) Odpowiedzialność: deliktowa (art. 415 KC) szkoda kontraktowa (art. 471 KC) Strona 27

Odpowiedzialność administracyjna Ustawa o ochronie danych osobowych Kto odpowiada: Administrator Danych Osobowych lub przetwarzający dane osobowe brak odpowiedzialności pracownika lub Administratora Bezpieczeństwa Informacji, ale GIODO może wykreślić ABI z rejestru Strona 28

Dziękujemy Agnieszka Besiekierska Counsel Kuba Ruiz Counsel Arkadiusz Matusiak Senior Associate agnieszka.besiekierska@twobirds.com + 48 22 583 79 59 kuba.ruiz@twobirds.com + 48 22 583 79 16 arkadiusz.matusiak@twobirds.com + 48 22 583 79 12 twobirds.com Aarhus & Abu Dhabi & Bratysława & Bruksela & Budapeszt & Dubaj & Düsseldorf & Frankfurt & Haga & Hamburg & Helsinki & Hong Kong & Kopenhaga & Londyn & Luksemburg & Lyon & Madryt & Mediolan & Monachium & Paryż & Pekin & Praga & Rzym & Singapur & Sydney & Szanghaj & Sztokholm & Warszawa

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres