Add to collection(s) Add to saved
  1. Inżynieria
  2. Informatyka
  3. Zarządzanie danymi

Obrót dokumentami elektronicznymi w chmurze

advertisement 
Obrót dokumentami
elektronicznymi w chmurze
23 września 2015 r.
Maria Guzewska
Prawnik w zespole IP/DP
Agenda
• Czym jest cloud computing?
• Dokumenty i dane w chmurze (podstawowe pojęcia,
regulacje, zabezpieczenie dokumentów i danych,
odpowiedzialność cywilna, karna i administracyjna)
• Nowe standardy dla cloud computingu
• Zalety obrotu dokumentami w chmurze
Page 2
© Bird & Bird LLP 2015
Czym jest cloud computing?
Modele CC
●
Cloud computing – udostępnienie zasobów informatycznych (np. sprzętu, zasobów pamięci,
środowisk informatycznych, funkcjonalności oprogramowania użytkowego) przez Internet
●
Podstawowa typologia usług CC:
Software as a
Service (SaaS)
Platform as a
Service (PaaS)
Aplikacje
Aplikacje
Aplikacje
Platforma
Platforma
Platforma
Infrastruktura
●
Infrastruktura
Infrastructure as a Service
(IaaS)
Infrastruktura
Usługi pozostawione
po stronie usługobiorcy
Usługi
wydzielone na
zewnątrz
Z prawnego punktu widzenia w ramach CC można wyróżnić relacje:
Page 4
© Bird & Bird LLP 2015
B2B
B2C
B2G
np. Amazon Web
Services (IaaS)
np. Facebook
(SaaS)
np. The G-Cloud
Programme
Czym jest chmura dla prawnika?
Usługi transgraniczne
Zamówienia
publiczne
Powierzenie
danych
Umowa
Przetwarzanie
danych
Uśude
Page 5
© Bird & Bird LLP 2015
Eksport danych
osobowych
Dokumenty i dane w chmurze
Dokumenty elektroniczne w chmurze
Page 7
© Bird & Bird LLP 2015
Relacje podmiotów w chmurze
PRZETWARZAJĄCY 1
ADMINISTRATOR
DANYCH OSOBOWYCH
(USŁUGOBIORCA)
Powierzenie
przetwarzania danych
osobowych
(USŁUGODAWCY)
(spółka/ministerstwo/ organ)
ADMINISTRATOR
BEZPIECZEŃSTWA
INFORMACJI
PRZETWARZAJĄCY 2
PODMIOTY DANYCH
Page 8
© Bird & Bird LLP 2015
Przetwarzane informacje
● Informacje neutralne z prawnego punktu widzenia
● Informacje publiczne
(np. adresy urzędów, kursy walut NBP)
● Dane osobowe
(np. adres, numer PESEL pracownika)
● Informacje prawnie chronione
(np. informacje objęte tajemnicą lekarską, adwokacką, skarbową, bankową, ubezpieczeniową)
● Know-how & tajemnica przedsiębiorstwa
(np. cenniki, wewnętrzne regulaminy)
● Utwory w rozumieniu prawa autorskiego
(np. projekty architektoniczne, projekty towarów)
Page 9
© Bird & Bird LLP 2015
Obrót dokumentami elektronicznymi w chmurze| Warszawa, 23 września 2015
Dane osobowe
!
Wszelkie informacje dotyczące zidentyfikowanej
lub możliwej do zidentyfikowania osoby fizycznej.
Osobą możliwą do zidentyfikowania jest osoba,
której tożsamość można określić bezpośrednio lub pośrednio,
w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka
specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe,
ekonomiczne, kulturowe lub społeczne.
Co może być danymi osobowymi?
Adres IP
Adres e-mail
Page 10
© Bird & Bird LLP 2015
Adres
zamieszkania
Data
urodzin
Dane
biometryczne
PESEL
Nazwisko
Informacje o pracownikach i kontrahentach
● System przetwarzania dokumentów elektronicznych powinien spełniać wymagania określone w
Rozporządzeniu w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych. Osoby korzystające z takiego systemu powinny
dysponować upoważnieniem.
Page 11
© Bird & Bird LLP 2015
Tajemnica przedsiębiorstwa
Nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne
przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca
podjął niezbędne działania w celu zachowania ich poufności (art. 11 ust. 4 uznk).
Informacje te powinny być oznaczone jako tajemnica przedsiębiorstwa, a osoby korzystające z systemu
powinny zawrzeć umowę o zachowaniu poufności.
Komisja Europejska zaprezentowała projekt dyrektywy dotyczącej ujednolicenia prawa państw
członkowskich w zakresie tajemnicy przedsiębiorstwa.
Wymogi regulacyjne
Wykaz aktów prawnych
Umowy w zakresie CC (B2B, B2C, B2G)
● Ustawa Kodeks cywilny
● Ustawa o świadczeniu usług drogą elektroniczną ("Uśude")
● Ustawa o świadczeniu usług na terytorium RP
● Rozporządzenie Rady (WE) ustanawiające wspólnotowy system kontroli wywozu, transferu,
pośrednictwa i tranzytu w odniesieniu do produktów podwójnego zastosowania
● Ustawa o zwalczaniu nieuczciwej konkurencji ("Uznk")
B2B
Prawo konsumenckie (B2C)
● Ustawa Prawo bankowe
● Ustawa o prawach konsumenta
● Ustawa o działalności
ubezpieczeniowej
● Ustawa o ochronie konkurencji i
konsumentów
● Ustawa Prawo telekomunikacyjne
● Ustawa o przeciwdziałaniu
nieuczciwym praktykom
rynkowym
● Ustawa o organizacji i
funkcjonowaniu funduszy
emerytalnych
● Ustawa o funduszach
inwestycyjnych
Page 14
© Bird & Bird LLP 2015
B2G
● Ustawa o ochronie informacji
niejawnych
● Prawo zamówień publicznych
● Ustawa o partnerstwie
publiczno-prywatnym
● Ustawa o finansach
publicznych
Regulacje i wytyczne organów
WYMOGI
PRAWNE
ustawa o ochronie danych
osobowych
z 1997 (na podstawie dyrektywy z
1995)
TECHNICZNE
I ORGANIZACYJNE
Rozporządzenia
wykonawcze do:
● ustawy o ochronie
danych osobowych
WYTYCZNE
Opinie Grupy Roboczej
art. 29
Dekalog chmuroluba
Page 15
© Bird & Bird LLP 2015
Wymagana dokumentacja
1
Polityka bezpieczeństwa
2
Instrukcja zarządzania systemem informatycznym
3
Upoważnienie dla (współ)pracowników do przetwarzania danych osobowych
4
Ewidencja upoważnionych (współ)pracowników
5
Umowa (pod)powierzenia danych osobowych
Page 16
© Bird & Bird LLP 2015
Przesyłanie dokumentów za granicę
Chmura
międzynarodo
wa
Eksport danych
Przepisy polskie
Chmura
krajowa
Prawo administratora
+ środki techniczne
przetwarzającego
W ramach EOG
Poza EOG
Adekwatna
ochrona
Nieadekwatna
ochrona
Jak w ramach EOG
Prawo administratora
Zgoda GIODO
Decyzje Komisji
uznana adekwatność
Page 17
© Bird & Bird LLP 2015
Safe Harbor
USA
BCR
SCC
Zgoda GIODO
Do 1 stycznia 2015
Obowiązek każdorazowego uzyskania zgody GIODO na przekazanie danych osobowych do państwa
trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych
osobowych.
Po 1 stycznia 2015
Brak obowiązku uzyskania zgody GIODO, jeśli przekazujący dane zastosuje modelowe klauzule
umowne bez zmiany ich treści.
Page 18
© Bird & Bird LLP 2015
Zabezpieczanie dokumentów - szyfrowanie danych
w polskim prawie
Obowiązek szyfrowania w polskim prawie:
● komputer przenośny
● urządzenia i nośniki, na których przetwarzane są dane sensytywne
● danych wykorzystywanych do uwierzytelnienia w sieci publicznej Internet
Page 19
© Bird & Bird LLP 2015
Sankcje
Odpowiedzialność
ADMINISTRACYJNA
Decyzje GIODO:
● Przywrócenie stanu
zgodnego z prawem
● W razie niewykonania
decyzji – grzywna
(jednorazowo do 50 tys.
zł, łącznie do 200 tys. zł)
Page 21
© Bird & Bird LLP 2015
CYWILNA
KARNA
Odpowiedzialność deliktowa (za
naruszenie dóbr osobistych)
Przestępstwem jest m.in.
● niespełnienie obowiązku
informacyjnego
● Przetwarzanie danych przez
nieuprawnionego
● naruszenie obowiązku
zabezpieczenia danych
● brak rejestracji zbioru danych
● utrudnianie kontroli
● uzyskanie informacji
przeznaczonej dla kogoś
innego, poprzez sieć
telekomunikacyjną lub łamiąc
zabezpieczenia elektroniczne
● nieuprawniony dostęp do
informacji dla niego
nieprzeznaczonej
● brak możliwości ograniczenia
odpowiedzialności za szkodę
umyślną
Nowe standardy dla CC
Nowe standardy dla cloud computingu
• Code of conduct for Cloud Service Providers przygotowany przez Cloud
Select Industry Group
• Cloud Service Level Agreement Standardisation Guidelines
• ISO/IEC 27018:2014 Information technology – Security techniques –
Code of practice for protection of personally identifiable information
(PII) in public clouds acting as PII processors
Page 23
© Bird & Bird LLP 2015
Zalety obrotu dokumentami w
chmurze
Page 24
© Bird & Bird LLP 2015
Zalety obrotu dokumentami w chmurze
● Samoobsługowość
● Swobodna dostępność
● Wspólne zasoby
● Dynamiczne skalowanie
● Proporcjonalność kosztów do wykorzystanych zasobów
Page 25
© Bird & Bird LLP 2015
Dziękuję!
Maria Guzewska
Related documents
Pobierz - Klucz do sukcesu 2
Pobierz - Klucz do sukcesu 2
Szkoła w chmurze wyzwanie technologiczne dla szkoły
Szkoła w chmurze wyzwanie technologiczne dla szkoły
„Leki RTU- gotowe do użycia w świetle obowiązujących rezolucji
„Leki RTU- gotowe do użycia w świetle obowiązujących rezolucji
Presentation title in Arial bold 28pt “DB_wh_templ_2000_ec.pot”
Presentation title in Arial bold 28pt “DB_wh_templ_2000_ec.pot”
ASPEKTY OCHRONY ŚRODOWISKA NATURALNEGO W
ASPEKTY OCHRONY ŚRODOWISKA NATURALNEGO W
09-5-31 C:\praca\Polski Koncern Warzywny.odp
09-5-31 C:\praca\Polski Koncern Warzywny.odp
Przeciwdziałanie dyskryminacji w Polsce. Jak
Przeciwdziałanie dyskryminacji w Polsce. Jak
SPECYFIKA OBSZARÓW WIEJSKICH
SPECYFIKA OBSZARÓW WIEJSKICH
O prawidłowym systemie ochrony danych osobowych w
O prawidłowym systemie ochrony danych osobowych w
program i pomorskiej konferencji ochrony danych osobowych
program i pomorskiej konferencji ochrony danych osobowych
Download
advertisement