PRZETWARZANIE W CHMURZE A OCHRONA DANYCH

advertisement
PRZETWARZANIE W CHMURZE A OCHRONA
DANYCH OSOBOWYCH
DARIA WORGUT-JAGNIEŻA
AUDYTEL S.A.
Wszelkie prawa zastrzeżone © Audytel S.A. 2013
Plan prezentacji
•
Jakie ograniczenia stawia „chmurze” Ustawa o ochronie danych osobowych?
•
Co zagraża naszym danym?
•
Minimalizowanie ryzyka w umowach z dostawcą usług
•
Cloud computing a transfer danych do państw spoza EOG
•
CASE STUDY: Firma farmaceutyczna przenosi bazę klientów do „chmury”
AUDYTEL SA – PRZETWARZANIE W CHMURZE
Wszelkie prawa zastrzeżone © Audytel S.A. 2013
2
Jakie ograniczenia stawia „chmurze” Ustawa o ochronie danych
osobowych?
§
Zasada celowości: dane przetwarzane w chmurze
nie mogą być przetwarzane w innym celu niż
zlecony przez Administratora Danych;
§
Wymagania dla aplikacji (SaaS): odnotowanie
identyfikatora użytkownika wprowadzającego
rekord, daty wprowadzenia rekordu, daty
modyfikacji;
§
Prawo do kontroli dostawcy chmury: administrator
danych powinien mieć prawo kontrolowania
processora danych,
§
Wykonywanie kopii zapasowych: brak
potwierdzenia faktu wykonywania kopii,
brak informacji o sposobie ich wykonywania,
brak nadzoru nad wykonywaniem kopii przez
administratora danych;
§
Dopuszczalność przekazania danych poza EOG:
wymóg posiadania certyfikatu Safe Harbour dla
instytucji w USA, wymóg wyrażenia zgody przez
GIODO na transfer danych np. do Indii.
AUDYTEL SA – PRZETWARZANIE W CHMURZE
Wszelkie prawa zastrzeżone © Audytel S.A. 2013
3
Co zagraża naszym danym w chmurze?
§
Problemy techniczne
§
Kwestie związane z współdzieleniem zasobów
§
Przejęcie kont / nieautoryzowany dostęp
§
Niezabezpieczone interfejsy/API
§
Regulacje prawne państwa, w którym przechowywane są
dane, zezwalające na dostęp do naszych danych
§
Brak dostępu do danych w chmurze
•
Brak możliwości (szybkiego) odzyskania danych
§
Zdarzenia losowe
§
Ataki hakerów i krakerów
•
Business continuity i gotowość DR dostawcy.
AUDYTEL SA – PRZETWARZANIE W CHMURZE
Wszelkie prawa zastrzeżone © Audytel S.A. 2013
DO jakich danych mają
władze niektórych krajów?
• USA: dostęp do
danych obywateli
USA wymaga nakazu
sądowego
• USA: dostęp do
danych obywateli
spoza USA jest
nieograniczony
• Australia
Południowa:
obowiązek
podpisywania
imieniem,
nazwiskiem oraz
adresem komentarzy
dotyczących
kandydatów w
wyborach (w 2010
roku)
4
Liczba incydentów
znacznie wzrosła
- z 33 do 71 w latach
2009-2011
Na 172 ujawnione
incydenty aż 25%
dostawców chmur nie
podało przyczyny.
Źródło: cloudsecurityalliance.org
AUDYTEL SA – PRZETWARZANIE W CHMURZE
Wszelkie prawa zastrzeżone © Audytel S.A. 2013
5
Minimalizowanie ryzyka w umowach z dostawcą usług
§
Dokładne określenie listy lokalizacyjnej;
§
Zobowiązanie dostawcy do nie wykorzystywania danych we własnym
celu i poza zakresem;
§
Klauzule dotyczące poufności;
§
Zobowiązanie dostawcy o informowaniu klienta o incydentach
(wyciekach danych, usterkach, włamaniach, itp.) oraz kontrolach
miejscowego organu ochrony danych osobowych;
Jak minimalizować
ryzyka?
• Wybierać
sprawdzonych
dostawców
§
Uregulowanie kwestii dalszego podpowierzenia przetwarzania danych,
• Wybierać dostawców
stosujących standardy,
ISO, BSI, ITIL
§
Zawiadamianie o każdym prawnie wiążącym wniosku o udostępnienie
• Podpisać umowę przed
przekazaniem danych
• Zweryfikować
stosowane przez
dostawcę
zabezpieczenia
AUDYTEL SA – PRZETWARZANIE W CHMURZE
Wszelkie prawa zastrzeżone © Audytel S.A. 2013
danych osobowych;
§
Zobowiązanie do stosowania środków zabezpieczających zgodnych z
polskim/UE prawem;
§
Określenie zasad zwrotu i usunięcia danych po zakończeniu
współpracy.
6
Cloud Computing a transfer danych do państw
spoza EOG
KIEDY MOŻLIWY JEST TRANSFER DANYCH ?
Ø Osoba, której dane dotyczą, wyraziła na to zgodę (np. transfer danych pracowników),
Ø Państwo docelowe daje gwarancję ochrony danych osobowych na swoim terytorium
przynajmniej taką, jaka obowiązuje na terytorium RP/UE (np. Argentyna, Safe Harbour),
Ø Generalny Inspektor Ochrony Danych Osobowych wyraził zgodę na przekazanie danych
do państwa trzeciego.
ODPOWIEDZIALNOŚĆ ZA PRZEKAZANIE DANYCH W SPOSÓB NIEZGODNY
Z PRAWEM
AUDYTEL SA – PRZETWARZANIE W CHMURZE
Wszelkie prawa zastrzeżone © Audytel S.A. 2013
ü
Kara ograniczenia lub pozbawienia wolności do lat 2,
ü
Grzywna:
os. fizyczna - 10 000 zł - 50 000 zł
firma - 50 000 zł - 200 000 zł
7
Case study – firma farmaceutyczna
przenosi dane klientów do „Chmury IaaS”
• Opis systemu
• Procedury
dostawcy
• Propozycja
wzoru umowy
Wniosek o zgodę
na przekazanie
danych
• Przygotowanie i
przekazanie
wniosku do
GIODO
Przygotowanie
wniosku do
GIODO
Zgoda GIODO
• Przygotowanie
wyjaśnień
• Uzupełnienie
dokumentów
• Podpisanie
umowy
• Bezpieczny
transfer danych
• Nadzór nad
danymi
• Kontrola
udostępnień
Wyjaśnienia do
wniosku
Po przekazaniu
danych
Najczęstsze błędy lub trudności:
• przekazanie danych przed otrzymaniem zgody na przekazanie (nieważne z mocy prawa),
• brak wystarczających zapisów w przygotowanej propozycji umowy powierzenia przetwarzania danych,
• przekazanie do GIODO dokumentacji w języku innym niż polski,
• transfer danych w sposób sprzeczny z polskimi przepisami (np. arkusz programu Excel przekazany za
pośrednictwem poczty elektronicznej).
AUDYTEL SA – PRZETWARZANIE W CHMURZE
Wszelkie prawa zastrzeżone © Audytel S.A. 2013
8
Dziękuję za uwagę!
Audytel S.A.
ul. ks. I. Skorupki 5
00-564 Warszawa
tel.: (22) 537 5050
fax: (22) 537 5051
e-mail: [email protected]
web : http://www.audytel.pl
AUDYTEL SA – PRZETWARZANIE W CHMURZE
Wszelkie prawa zastrzeżone © Audytel S.A. 2013
9
Download