Z jakim ryzykiem wiąże się przesyłanie danych do serwerów w USA?
Agenda:
Niebezpieczna chmura zza oceanu
Przetwarzanie danych osobowych - definicje
Kto czuwa nad przetwarzaniem danych w Polsce?
Kiedy administrator może przekazać dane?
Przekazanie danych osobowych do Państw trzecich
Zagrożenia związane z przechowywaniem danych za granicą
Przechowywanie danych poza UE – przypadek USA
Kogo dotyczy Safe Harbour?
Beyond.pl - Bezpieczna chmura obliczeniowa
2. Spis treści
1. Niebezpieczna chmura zza oceanu
2. Przetwarzanie danych osobowych - definicje
3. Kto czuwa nad przetwarzaniem danych w Polsce?
4. Kiedy administrator może przekazać dane?
5. Przekazanie danych osobowych do Państw trzecich
6. Zagrożenia związane z przechowywaniem danych za granicą
7. Przechowywanie danych poza UE – przypadek USA
8. Kogo dotyczy Safe Harbour?
9. Beyond.pl - Bezpieczna chmura obliczeniowa
www.beyond.pl
3. Niebezpieczna chmura zza oceanu
www.beyond.pl
6 października 2015 Trybunał Sprawiedliwości UE unieważnił
decyzję pozwalającą na swobodny transfer danych osobowych
z UE do USA, uznając założenia programu Safe Harbour jako nie
wystarczające w kwestie zachowania odpowiedniego poziomu
bezpieczeństwa danych.
Tym samym zakwestionowano zgodność dostawców usług cloud
computing z USA z europejskimi wymogami dotyczącymi przetwarzania
i przechowywania danych osobowych, szczególnie z dyrektywą 95/46/WE1.
Oznacza to, że kto wybiera usługi cloud computing firm spoza krajów EOG
(Europejski Obszar Gospodarczy: kraje UE oraz Islandia, Liechtenstein,
Norwegia) i wykorzystuje je do przechowywania danych osobowych łamie
zasady ochrony osób fizycznych w zakresie przetwarzania danych
osobowych i swobodnego przepływu tych danych wg ustawy o ochronie
danych osobowych z dnia 29 sierpnia 1997 r.
Zgodnie z mającymi wejść w życie przepisami kara za podobne
postępowanie może wynieść do 1 mln euro lub 5% dochodu firmy.
4. www.beyond.pl
Dane osobowe – są to wszelkie informacje dotyczące konkretnej osoby,
za pomocą których bez większego wysiłku można tę osobę zidentyfikować,
chociaż nie jest ona wyraźnie wskazana (np. PESEL, adres e-mail w
niektórych przypadkach także IP).
Przetwarzanie danych – jakiekolwiek operacje wykonywane na
danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie,
opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te,
które wykonuje się w systemach informatycznych.
Kto uczestniczy w procesie przetwarzania danych?
1. OSOBA – której dane dotyczą
2. ADMINISTRATOR – kontroluje zarządzanie danymi
3. PRZETWARZAJĄCY dane – w kontekście chmury będzie to najczęściej
dostawca usługi cloud computing
Przetwarzanie danych osobowych - definicje
5. www.beyond.pl
W Polsce legalność przetwarzania danych jest uwarunkowana zapisami
w ustawie o ochronie danych osobowych z dnia 29 sierpnia 1997r. oraz
wydanymi na jej podstawie aktami wykonawczymi – rozporządzeniami
Ministra Spraw Wewnętrznych i Administracji.
Firmy mogą zainteresowane przetwarzaniem danych w chmurze mogą
skorzystać również ze wskazówek i rekomendacji grupy roboczej art. 29
oraz poradników wydawanych przez GIODO podkreślających istotność
administracji danymi zgodnie z wymogami UE.
Główny problem związany z przetwarzaniem danych osobowych
w chmurze dotyczy możliwości sprawowania kontroli przez
organizację będącą administratorem nad danymi przetwarzanymi
w chmurze przez cloud providera.
Kto czuwa nad przetwarzaniem danych w Polsce?
6. www.beyond.pl
Administrator danych może bez przeszkód przekazać dane osobowe do
państwa trzeciego, jeżeli:
1) osoba, której dane dotyczą, udzieliła na to zgody na piśmie,
2) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem
danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,
3) przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby,
której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,
4) przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania
zasadności roszczeń prawnych,
5) przekazanie jest niezbędne do ochrony żywotnych interesów osoby,
której dane dotyczą,
6) dane są ogólnie dostępne.
A w innym przypadku….
Kiedy administrator może przekazać dane?
7. www.beyond.pl
Przekazanie danych osobowych do Państw trzecich
Jeżeli firma np. cloud provider planuje przekazywać dane poza Europejski Obszar Gospodarczy (EOG) musi
zastosować się do wymogów UE.
Dyrektywa Unii Europejskiej (95/46/WE1) pozwala na transfer danych osobowych do krajów spoza EOG, jeżeli państwo
docelowe stwarza odpowiednie gwarancje ochrony danych osobowych na swoim terytorium.
Decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych przez państwo trzecie wydaje Komisja Europejska.
Wg polskich norm, jeżeli państwo docelowe nie zapewnia odpowiednich standardów ochrony, przekazanie danych może
mieć miejsce tylko po uzyskaniu zgody GIODO, pod warunkiem, że administrator danych zapewni odpowiednie
zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą (art. 48 ustawy).
8. www.beyond.pl
Przekazanie danych do Państw trzecich (poza EOG), niespełniającym
wymogów UE, może wiązać się z szeregiem zagrożeń, takich jak:
• utrata kontroli nad danymi osobowymi,
• niewystarczające informacje na temat tego, w jaki sposób, gdzie i przez
kogo dane są przetwarzane,
• dzieleniem się zasobami z innymi stronami przez przetwarzającego,
• brakiem przejrzystości łańcucha outsourcingu obejmującego licznych
przetwarzających i podprzetwarzających,
• brakiem przejrzystości informacji, jakie administrator jest w stanie
zapewnić osobie, której dane dotyczą na temat tego, jak przetwarzane
są jej dane osobowe.
Zagrożenia związane z przechowywaniem danych za granicą
9. Przechowywanie danych poza UE – przypadek USA
Amerykańskie prawo nie gwarantuje standardów przechowywania
danych spełniających wymogi Unii Europejskiej.
W odpowiedzi na te obostrzenia, ponad 16 lat temu wprowadzono
program Safe Harbour, który umożliwił amerykańskim firmom
przesyłanie danych obywateli Unii.
Safe Harbour miało być swoistym kompromisem – program miał
z jednej strony zapewnić swobodę prowadzenia działalności
gospodarczej, a z drugiej zagwarantować Europejczykom ochronę ich
prawa do prywatności.
"Bezpieczna przystań" była krytykowana nie raz, a m.in. afera Snowdena
sygnalizowała, że nie jest to wystarczające zabezpieczenie.
www.beyond.pl
10. Kogo dotyczy Safe Harbour?
www.beyond.pl
Na wytycznych Safe Harbour opierała się dotąd polityka także największych amerykańskich gigantów
z branży cloud computing.
“Amazon.com, Inc. and its controlled U.S. subsidiaries, including Amazon Web Services, Inc., are participants in the Safe
Harbor program developed by the U.S. Department of Commerce and (1) the European Union and (2) Switzerland,
respectively. Amazon has certified that we adhere to the Safe Harbor Privacy Principles agreed upon by the U.S. and (1) the
European Union and (2) Switzerland, respectively. For more information about the Safe Harbor and to view our certification”
Źródło: https://aws.amazon.com/privacy/
“We then back those protections with strong contractual commitments to safeguard customer data by abiding by the EU
Model Clauses, Safe Harbor programs, and ISO/IEC 27018 (which governs the processing of personal information).”
Źródło:https://azure.microsoft.com/en-us/support/trust-center/privacy/
Wraz z wyrokiem Trybunału Sprawiedliwości UE i zawieszeniem Safe Harbour powyższe
wskazania tracą aktualność.
12. Bezpieczna chmura obliczeniowa
www.beyond.pl
Chmura dla Biznesu Beyond.pl
Chmura obliczeniowa dla firm, dostępna w 4 pakietach dostosowanych do zapotrzebowania.
Zapewnia wszystkie korzyści oferowane przez chmurę obliczeniową przy zachowaniu pełnej
kontroli i bezpieczeństwa aplikacji dla biznesu.
Chmura dla ekspertów e24cloud
e24cloud to infrastruktura na żądanie (IaaS), która umożliwia szybkie stworzenie, elastyczne
skalowanie i łatwe zarządzanie mocą i przestrzenią obliczeniową dla dowolnych projektów
IT. Wystarczy założyć konto i już można korzystać.
13. www.beyond.pl
Bezpieczna chmura obliczeniowa
Wszystkie elementy infrastruktury chmury obliczeniowej e24cloud / Beyond.pl
znajdują się na terenie Polski.
Wszystkie dane naszych klientów są przechowywane zgodnie z polskim
czy europejskim prawem.
Beyond.pl i e24cloud korzystają w 100% z polskiego kapitału i nie podlegają
rozporządzeniom obowiązującym podmioty zza Oceanu
PAMIĘTAJ! Wszyscy amerykańscy dostawcy usług cloud computing
Podlegają regulacją PATRIOT ACT, które zobowiązują je do inwigilacji
danych przez amerykański wywiad. Bez względu na miejsce przechowywania
danych.
Przenosząc swoje dane do e24cloud i beyond.pl , nie musisz się martwić
o ich bezpieczeństwo a Twoja firma postępuje zgodne z regulacjami
prawnymi.