PRZETWARZANIE W CHMURZE A OCHRONA DANYCH
advertisement
PRZETWARZANIE W CHMURZE A OCHRONA DANYCH OSOBOWYCH DARIA WORGUT-JAGNIEŻA AUDYTEL S.A. Wszelkie prawa zastrzeżone © Audytel S.A. 2013 Plan prezentacji • Jakie ograniczenia stawia „chmurze” Ustawa o ochronie danych osobowych? • Co zagraża naszym danym? • Minimalizowanie ryzyka w umowach z dostawcą usług • Cloud computing a transfer danych do państw spoza EOG • CASE STUDY: Firma farmaceutyczna przenosi bazę klientów do „chmury” AUDYTEL SA – PRZETWARZANIE W CHMURZE Wszelkie prawa zastrzeżone © Audytel S.A. 2013 2 Jakie ograniczenia stawia „chmurze” Ustawa o ochronie danych osobowych? § Zasada celowości: dane przetwarzane w chmurze nie mogą być przetwarzane w innym celu niż zlecony przez Administratora Danych; § Wymagania dla aplikacji (SaaS): odnotowanie identyfikatora użytkownika wprowadzającego rekord, daty wprowadzenia rekordu, daty modyfikacji; § Prawo do kontroli dostawcy chmury: administrator danych powinien mieć prawo kontrolowania processora danych, § Wykonywanie kopii zapasowych: brak potwierdzenia faktu wykonywania kopii, brak informacji o sposobie ich wykonywania, brak nadzoru nad wykonywaniem kopii przez administratora danych; § Dopuszczalność przekazania danych poza EOG: wymóg posiadania certyfikatu Safe Harbour dla instytucji w USA, wymóg wyrażenia zgody przez GIODO na transfer danych np. do Indii. AUDYTEL SA – PRZETWARZANIE W CHMURZE Wszelkie prawa zastrzeżone © Audytel S.A. 2013 3 Co zagraża naszym danym w chmurze? § Problemy techniczne § Kwestie związane z współdzieleniem zasobów § Przejęcie kont / nieautoryzowany dostęp § Niezabezpieczone interfejsy/API § Regulacje prawne państwa, w którym przechowywane są dane, zezwalające na dostęp do naszych danych § Brak dostępu do danych w chmurze • Brak możliwości (szybkiego) odzyskania danych § Zdarzenia losowe § Ataki hakerów i krakerów • Business continuity i gotowość DR dostawcy. AUDYTEL SA – PRZETWARZANIE W CHMURZE Wszelkie prawa zastrzeżone © Audytel S.A. 2013 DO jakich danych mają władze niektórych krajów? • USA: dostęp do danych obywateli USA wymaga nakazu sądowego • USA: dostęp do danych obywateli spoza USA jest nieograniczony • Australia Południowa: obowiązek podpisywania imieniem, nazwiskiem oraz adresem komentarzy dotyczących kandydatów w wyborach (w 2010 roku) 4 Liczba incydentów znacznie wzrosła - z 33 do 71 w latach 2009-2011 Na 172 ujawnione incydenty aż 25% dostawców chmur nie podało przyczyny. Źródło: cloudsecurityalliance.org AUDYTEL SA – PRZETWARZANIE W CHMURZE Wszelkie prawa zastrzeżone © Audytel S.A. 2013 5 Minimalizowanie ryzyka w umowach z dostawcą usług § Dokładne określenie listy lokalizacyjnej; § Zobowiązanie dostawcy do nie wykorzystywania danych we własnym celu i poza zakresem; § Klauzule dotyczące poufności; § Zobowiązanie dostawcy o informowaniu klienta o incydentach (wyciekach danych, usterkach, włamaniach, itp.) oraz kontrolach miejscowego organu ochrony danych osobowych; Jak minimalizować ryzyka? • Wybierać sprawdzonych dostawców § Uregulowanie kwestii dalszego podpowierzenia przetwarzania danych, • Wybierać dostawców stosujących standardy, ISO, BSI, ITIL § Zawiadamianie o każdym prawnie wiążącym wniosku o udostępnienie • Podpisać umowę przed przekazaniem danych • Zweryfikować stosowane przez dostawcę zabezpieczenia AUDYTEL SA – PRZETWARZANIE W CHMURZE Wszelkie prawa zastrzeżone © Audytel S.A. 2013 danych osobowych; § Zobowiązanie do stosowania środków zabezpieczających zgodnych z polskim/UE prawem; § Określenie zasad zwrotu i usunięcia danych po zakończeniu współpracy. 6 Cloud Computing a transfer danych do państw spoza EOG KIEDY MOŻLIWY JEST TRANSFER DANYCH ? Ø Osoba, której dane dotyczą, wyraziła na to zgodę (np. transfer danych pracowników), Ø Państwo docelowe daje gwarancję ochrony danych osobowych na swoim terytorium przynajmniej taką, jaka obowiązuje na terytorium RP/UE (np. Argentyna, Safe Harbour), Ø Generalny Inspektor Ochrony Danych Osobowych wyraził zgodę na przekazanie danych do państwa trzeciego. ODPOWIEDZIALNOŚĆ ZA PRZEKAZANIE DANYCH W SPOSÓB NIEZGODNY Z PRAWEM AUDYTEL SA – PRZETWARZANIE W CHMURZE Wszelkie prawa zastrzeżone © Audytel S.A. 2013 ü Kara ograniczenia lub pozbawienia wolności do lat 2, ü Grzywna: os. fizyczna - 10 000 zł - 50 000 zł firma - 50 000 zł - 200 000 zł 7 Case study – firma farmaceutyczna przenosi dane klientów do „Chmury IaaS” • Opis systemu • Procedury dostawcy • Propozycja wzoru umowy Wniosek o zgodę na przekazanie danych • Przygotowanie i przekazanie wniosku do GIODO Przygotowanie wniosku do GIODO Zgoda GIODO • Przygotowanie wyjaśnień • Uzupełnienie dokumentów • Podpisanie umowy • Bezpieczny transfer danych • Nadzór nad danymi • Kontrola udostępnień Wyjaśnienia do wniosku Po przekazaniu danych Najczęstsze błędy lub trudności: • przekazanie danych przed otrzymaniem zgody na przekazanie (nieważne z mocy prawa), • brak wystarczających zapisów w przygotowanej propozycji umowy powierzenia przetwarzania danych, • przekazanie do GIODO dokumentacji w języku innym niż polski, • transfer danych w sposób sprzeczny z polskimi przepisami (np. arkusz programu Excel przekazany za pośrednictwem poczty elektronicznej). AUDYTEL SA – PRZETWARZANIE W CHMURZE Wszelkie prawa zastrzeżone © Audytel S.A. 2013 8 Dziękuję za uwagę! Audytel S.A. ul. ks. I. Skorupki 5 00-564 Warszawa tel.: (22) 537 5050 fax: (22) 537 5051 e-mail: [email protected] web : http://www.audytel.pl AUDYTEL SA – PRZETWARZANIE W CHMURZE Wszelkie prawa zastrzeżone © Audytel S.A. 2013 9
