SlideShare uma empresa Scribd logo

infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ubezpieczeniowym - najważniejsze problemy prawne"

PROIDEA
PROIDEA

infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ubezpieczeniowym - najważniejsze problemy prawne"

Tecnologia
1 de 42
Baixar para ler offline
CLOUD COMPUTING W DZIAŁALNOŚCI FINANSOWEJ I UBEZPIECZENIOWEJ – PROBLEMY PRAWNE Warszawa, 20 kwietnia 2016 r.
CLOUD COMPUTING - DEFINICJA Grupa robocza C-SIG (Cloud Select Industry Group) w dokumencie Cloud SLA Standarisation z dnia 24 czerwca 2014 Model (paradygmat) umożliwiania sieciowego dostępu do skalowalnej i elastycznej puli współdzielonych (możliwych do udostępniania) fizycznych lub wirtualnych zasobów (np. serwer, systemy operacyjne, sieci, oprogramowanie, aplikacje, przechowywanie danych) z samoobsługową aprowizacją uprawnień oraz administracją na żądanie. Modele świadczenia usługi: Ø SaaS – aplikacje dostępne przez przeglądarkę internetową i niezainstalowane lokalnie; Ø PaaS – dostęp do platformy, która składa się na zintegrowany ze sobą interfejs i aplikacje; Ø IaaS – dostęp do infrastruktury (serwery, pamięci masowe, sprzęt sieciowy) dostarczanej jako usługa; Ø XaaS – inne.
ZALETY CC Ø  On-demand – możliwość uzyskania oczekiwanej mocy obliczeniowej na żądanie bez konieczności inwestowania we własną infrastrukturę sprzętową; Ø  Redukcja kosztów – przy jednoczesnym dostarczaniu wymaganych rozwiązań informatycznych nie trzeba inwestować w sprzęt informatyczny, unika się kosztów związanych z rozwojem własnej infrastruktury IT; Ø  Niezależność od położenia źródeł danych – usługi przetwarzania w chmurze umożliwiają współdzielenie zasobów informatycznych za pomocą różnych urządzeń, z wielu miejsc na świecie, np. z urządzeń mobilnych; Ø  Mierzalność – usługobiorca ma możliwość określenia minimalnych oraz maksymalnych technicznych wymagań co do przetwarzania w chmurze, Ø  Skalowalność – usługodawca może dostosowywać parametry techniczne usługi do bieżących potrzeb, tj. zwiększyć lub zmniejszyć moc obliczeniową bez potrzeby inwestowania w sprzęt; Ø  Łatwiejsze utrzymanie – to usługodawca jest odpowiedzialny za infrastrukturę sprzętową, przy użyciu której następuje świadczenie usług przetwarzania w chmurze i ponosi wszelkie koszty związane z jej utrzymaniem.
OBAWY PRZED CC Ø Prywatność danych Ø Dostępność usług i danych Ø Integralność danych Ø Poufność danych firmowych oraz obowiązek zachowania tajemnicy zawodowej Ø Możliwość wyparcia się wykonania czynności na danych Ø Utrata kontroli nad usługami / danymi Ø Brak odpowiedzialności dostawców usług Ø Niespójności w uregulowaniach transgranicznych Ø Niejasne uregulowania cenowe Ø Niekontrolowany koszt (zależny od użycia) Ø Koszty i trudności migracji do chmury
PRZECHOWYWANIE DANYCH OSOBOWYCH W CHMURZE – WĄTPLIWOŚCI ü Dyrektywa 95/46/WE zostanie zastąpiona rozporządzeniem w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (tzw. RODO) – zatwierdzone 14.04. przez PE (bezpośrednie stosowanie od 2018 roku); ü wskazówki i rekomendacje grupy roboczej art. 29 (5/2012); ü tzw. Memorandum Sopockie z 24.04.2012 roku (dokument roboczy w sprawie przetwarzania danych osobowych w chmurze obliczeniowej- kwestie ochrony danych i prywatności); Ø czy przechowywanie danych osobowych w chmurze spełnia wymogi bezpieczeństwa? Ø czy administrator, który umieszcza dane w chmurze ma nad nimi realną kontrolę? Ø czy hostingodawca również przetwarza dane osobowe, umieszczone w zbiorze przez usługobiorcę - administratora?
CLOUD COMPUTING Z perspektywy prawa: usługa świadczona drogą elektroniczną „Wszystkie usługi, których wykonanie następuje przez wysyłanie i odbieranie danych za pomocą systemów teleinformatycznych na indywidualne żądanie usługobiorcy (klienta), bez jednoczesnej obecności stron, przy czym dane te muszą zostać transmitowane za pośrednictwem sieci publicznych.” Problemy: ü  regulamin czy umowa (SLA/umowa o świadczenie usługi drogą elektroniczną); ü  umowy transgraniczne (wybór prawa i jurysdykcji (jaki sąd jest właściwy?); ü  farmy serwerów (wsparcie infrastrukturalne przez podwykonawców); ü  odpowiedzialność, ü  dane osobowe (powierzenie przetwarzania i zgoda na podpowierzenie); ü  prawa autorskie; ü  certyfikacje; ü  klauzule wyjścia (zwrot danych, usunięcie, okres przejściowy)
OBOWIĄZKI USŁUGODAWCY KC + UŚUDE + UODO ü  konieczność opracowania umowy lub regulaminu, który będzie regulował kompleksowo relacje z usługobiorcą oraz uwzględni interesy usługodawcy (art. 8 UŚUDE) ü  szczególne regulacje, kiedy druga strona jest konsumentem; ü  problem odpowiedzialności wobec usługobiorcy oraz osób trzecich (jakie roszczenia mogą mieć moi klienci oraz jakie skutki wynikają z prawa – analiza potrzeb); ü  umowa (service level agreement) – definicja usługi, podanie podstawowych informacji o usługodawcy oraz parametry usługi (dostępność, wydajność, poziom wsparcia dostawcy, bezpieczeństwo danych, ich ochrona, środki naprawcze na wypadek przestoju); ü  zapewnienie działania systemu teleinformatycznego, w tym zabezpieczenie technikami kryptograficznymi, identyfikacja stron usługi, potwierdzenie faktu złożenia oświadczenia woli; ü  CC polega na przetwarzaniu danych, a więc i przetwarzaniu danych osobowych;
CZY KONIECZNE JEST ZAWARCIE UMOWY? Ø co do zasady nie ma takiego obowiązku – decyduje wola stron i chęć zapewnienia większego poziomu bezpieczeństwa w stosunku do przechowywanych danych; Ø świadczenie usługi - umowa starannego działania, wzajemna, konsensualna i odpłatna (o ile strony nie postanowią inaczej); Ø efektem zawarcia takiej umowy jest nałożenie na osobę trzecią takich obowiązków, jakie ciążą na administratorze danych: ü konieczność zabezpieczenia danych osobowych ü przetwarzanie  tylko w zakresie i zgodnie z celem przetwarzania  wyznaczonym w umowie z administratorem (art. 31 UODO) ü obowiązek zabezpieczenia dotyczy danych osobowych a nie tylko zbioru danych ü obowiązek sprawowania kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są one przekazywane ü obowiązek spełnienia wymogów określonych w rozporządzeniu w sprawie dokumentacji i warunkach technicznych ü odpowiedzialność za przestrzeganie przepisów dotyczących zabezpieczenia danych ü podleganie kontroli GIODO
Z PRAKTYKI… Przykłady postanowień dot. CC „11.NIEAUTORYZOWANY DOSTĘP DO DANYCH UŻYTKOWNIKA I KORZYSTANIA Z USŁUG 11.1 Użytkownik odpowiada za dostęp do Usług i korzystanie z nich przez osoby, które Użytkownik upoważnił do dostępu lub korzystania z Usług lub którym udostępnił dane umożliwiające uwierzytelnienie w Chmurze i na Koncie Użytkownika, w tym za działania i zaniechania takich osób, a także za swoje działania lub zaniechania w zakresie zabezpieczenia dostępu do Usług, w tym do danych umożliwiających uwierzytelnienie.” https://www.oktawave.com/pl/regulamin.html
Z PRAKTYKI CD. Przykłady postanowień dot. CC c.d. „19. ODPOWIEDZIALNOŚĆ ZA UTRATĘ DANYCH UŻYTKOWNIKA 19.1 Zważywszy, że z wyjątkiem Usługi Backupu (Usługa Bezpieczeństwa Danych) Danych Użytkownika, przedmiotem żaden innej z Usług świadczonych Użytkownikowi nie jest tworzenie kopii zapasowych Danych Użytkownika, a także, że Użytkownik zobowiązany jest samodzielnie trzymać kopię zapasową Danych Użytkownika, odpowiedzialność za utratę Danych Użytkownika ponosi Użytkownik. 19.2 Usługodawca nie ponosi odpowiedzialności za utratę Danych Użytkownika, chyba że Użytkownik wykupił dostęp do Oktawave Cloud Storage lub Oktawave Volume Storage. W takiej sytuacji odpowiedzialność Usługodawcy w związku z utratą Danych Użytkownika reguluje Standardowa Umowa o Poziomie Usług.”  https://www.oktawave.com/pl/regulamin.html
KLAUZULE ABUZYWNE Przykłady niedozwolonych postanowień umownych: Ø „Open Finance S.A. nie odpowiada za działania osób trzecich obsługujących system informatyczny serwisu, jak również za szkody powstałe w wyniku uszkodzenia sprzętu komputerowego użytkownika, bądź jego zasobów danych, w trakcie lub w związku z korzystaniem z zasobów serwisu, w szczególności na skutek przedostania się do systemu informatycznego użytkownika wirusów komputerowych” Ø "Web-Net nie ponosi żadnej odpowiedzialności: (…) z tytułu strat, jakie może ponieść Abonent na skutek niewłaściwego działania Web-Net lub sieci Internet oraz urządzeń do niej przyłączonych a w szczególności - za utratę danych lub zniszczenie oprogramowania” Ø "Całkowita odpowiedzialność Dostawcy wobec użytkownika (dochodzona na podstawie jakiegokolwiek tytułu prawnego) ograniczona jest do wysokości opłat faktycznie uiszczonych przez użytkownika w związku ze skorzystaniem z Serwisu"
CC A UODO Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. dane osobowe: wszelkie informacje: imię, nazwisko i adres, zdjęcia, filmy, zarejestrowane głosy, tzw. dane biometryczne (cechy źrenicy, linie papilarne, cechy twarzy, geometria ręki) itp. – pod warunkiem, że mogą służyć do zidentyfikowania osoby. Informacja staje się daną osobową, jeżeli można tę informację powiązać z konkretną osobą bez ponoszenia nadmiernych kosztów; Ø  Adres IP? Ø  Adres e-mail? (kancelaria@ck-legal.pl vs agata.kowalska@ck-legal.pl) Ø  Cookies?  
CO TO SĄ DANE WRAŻLIWE? Dane wrażliwe to dane ujawniające: ü  pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, ü  przynależność wyznaniową, partyjną lub związkową, jak również o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym ü  dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym Dane wrażliwe są chronione w sposób szczególny i wiążą się z nimi obowiązki: ü  uzyskania pisemnej zgody na ich przetwarzanie; ü  dokonywania zgłoszenia zmiany tych danych przed ujawnieniem zmiany danych w zbiorze; ü  wydania przez GIODO zaświadczenia o zarejestrowaniu zbioru tych danych (w przypadku pozostałych danych zaświadczenie jest fakultatywne); ü  rejestracji zbioru nawet pomimo prowadzenia go wyłącznie w formie papierowej; ü  rozpoczęcia przetwarzania danych dopiero po ich zarejestrowaniu (a nie od razu po zgłoszeniu jak w przypadku pozostałych danych).
ZASADY GROMADZENIA I PRZETWARZANIA DANYCH OSOBOWYCH Zakres przetwarzania danych Przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zasady przetwarzania danych osobowych: ü  Legalność: przetwarzane zgodnie z prawem ü  Celowość: dane zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami ü  Adekwatność: dane merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane ü  Jakiego zakresu danych możemy żądać?
POWIERZENIE A UDOSTĘPNIENIE DANYCH OSBOWYCH Prawo do powierzenia przetwarzania podmiotowi trzeciemu: Ø  Powierzenie a przekazanie (udostepnienie/sprzedaż) danych; ü  udostępnienie – osoba trzecia ma możliwość przetwarzania na własny użytek; staje się ADO (decyduje o celach i środkach ich przetwarzania) - wyraźna zgoda klienta ü  powierzenie – procesor ma dostęp do danych zebranych przez ADO, aby zrealizować usługę (przetwarzanie na rzecz ADO) – nie jest potrzebna dodatkowa zgoda klienta Ø  Obowiązek zawarcia pisemnej umowy o powierzenie przetwarzania danych (brak zastosowania formy pisemnej powoduje jedynie skutki w zakresie postępowania dowodowego) Ø  Odpowiedzialność administratora danych za sposób ich przetwarzania; Ø  Odpowiedzialność umowna podmiotu przetwarzającego dane; Ø  Ograniczenia możliwości powierzenia przetwarzania danych podmiotowi zagranicznemu: ü  obowiązek zachowania standardów ochrony danych osobowych (art. 47 UODO) ü  zgoda GIODO zezwalająca na powierzenie przetwarzania danych osobowych do państw trzecich
UMOWA POWIERZENIA PRZETWARZANIA Pyt.: Czy dostawca usług chmurowych jest tylko przetwarzającym czy ADO? Odp.: Jeżeli tworzymy tylko kopie zapasowe materiałów z DO, jesteśmy jedynie przetwarzającym. W przypadku SaaS, dostawca decyduje o sposobach i celach przetwarzania danych, a wiec jest ADO. Postanowienia umowne: Ø  zakres przekazania i zarządzania danymi osobowymi; Ø  określenie miejsca przetwarzania tych danych (art. 48 UODO - tylko po uzyskaniu zgody GIODO); Ø  wynagrodzenie z tytułu świadczonej usługi (domniemanie odpłatności) lub postanowienie o braku dodatkowych opłat; Ø  wskazanie: Ø  podmiotów, które będą miały dostęp do danych przetwarzanych w chmurze; Ø  jakie zabezpieczenia techniczne i fizyczne będą stosowane; Ø  procedury usuwania danych w przypadku rozwiązania umowy.
PRZECHOWYWANIE DANYCH OSBOWYCH W CHMURZE - WĄTPLIWOŚCI Czy przechowywanie danych w osobowych w chmurze może być uznane za transfer danych do państwa trzeciego? Ø kwestia zależna od oceny, czy usługodawca przetwarza dane osobowe; Ø państwo trzecie = państwo spoza EOG (swoboda przepływu danych w granicach UE i całego obszaru EOG); Ø istotny jest kraj siedziby usługodawcy, który przechowuje dane osobowe na serwerze; Ø państwo trzecie musi dać gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium RP (UE) Ø ADO muszą swoje działania opierać na jednej z przesłanek z rozdziału 7 UODO
PRZEKAZYWANIE DANYCH DO PAŃSTW TRZECICH – ZMIANY PO 01.01.2015 R. Ø  Przed nowelizacją – obowiązek uzyskania każdorazowej zgody GIODO na przekazywanie danych do państwa trzeciego, nawet przy zastosowaniu zatwierdzonych przez KE standardowych klauzul umownych Ø  Po nowelizacji –zastosowanie niezmodyfikowanych standardowych klauzul umownych (dostępnych w internetowej bazie aktów prawnych UE) zwalnia od wymogu uzyskania zgody GIODO •  Obecnie trzy modele klauzul: dwa dla stosunków administrator-administrator oraz jeden dla stosunków administrator-przetwarzający Ø  Także po nowelizacji - wiążące reguły korporacyjne (BCR) zatwierdzane przez GIODO •  GIODO przed zatwierdzeniem BCR może przeprowadzić konsultacje z właściwymi organami ochrony danych osobowych państw, na których terytorium mają siedziby przedsiębiorcy należący do grupy Ø  W braku spełnienia ww. warunków – zgoda GIODO
PRZEKAZYWANIE DANYCH DO PAŃSTW TRZECICH Ø  Państwa trzecie = państwo nienależące do EOG Ø  Uwaga – koniec Safe Harbor Komisja Europejską w drodze decyzji stwierdziła, które kraje taki poziom zapewniają, m.in. Argentyna, Australia, Izrael, Kanada, Szwajcaria, USA (safe harbor) ale UWAGA: wyrok TSUE z 6.10.2015 roku ws. Schrems – nieważność decyzji KE! (C-362/14) w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach bezpiecznej przystani przez USA Ø  Inne kraje – konieczność uzyskania zgody GIODO, który wyda ją po ocenie, jaki poziom bezpieczeństwa jest zapewniony, z wyjątkami od 1.01.2015 r.
WYROK WELTIMMO I JEGO SKUTKI Ø  Wyrok Trybunału Sprawiedliwości z 1 października 2015 r. w sprawie C-230/14 Weltimmo s.r.o. przeciwko Nemzeti Adatvédelmi és Információszabadság Hatóság Ø  Skutkiem tego wyroku jest potwierdzenie przez Trybunał, że: ü  Zarejestrowanie siedziby przedsiębiorstwa w danym państwie nie przesądza o braku zastosowania prawa innego państwa, jeżeli tam jest faktycznie prowadzona działalność gospodarcza ü  Badane jest to, czy działalność jest prawdziwa i rzeczywista, w tym czy stosowane są stabilne rozwiązania organizacyjne ü  Możliwe jest interweniowanie u „swojego” GIODO – niezależnie, czy ostatecznie naruszający przedsiębiorca będzie podlegał prawu danego państwa
DANE OSOBOWE – KŁOPOTY FACEBOOKA Ø  ujawnienie akt tzw. afery podsłuchowej – przechowywanie danych na serwerach Facebooka Ø  skarga do GIODO Ø  powołanie się na wyrok ws. Google Ø  podejście aktualnej GIODO
BEZPIECZEŃSTWO PRZECHOWYWANIA DANYCH OSOBOWYCH W DATA CENTER „Dekalog Chmuroluba” ü przygotowany przez GIODO dla administracji publicznej, lecz jest na tyle uniwersalny, że mogą stosować go inne podmioty ü mówi m.in. o: ü obowiązkach informacyjnych w zakresie fizycznej lokalizacji serwerów, na których będą przetwarzane dane; ü obowiązku raportowania o wszystkich incydentach bezpieczeństwa danych, ü stosowaniu jednolitych klauzul umownych i kontroli łańcucha podwykonawców, ü pełnym dostępie do dokumentacji dotyczącej zasad bezpieczeństwa i stosowanych zabezpieczeniach (środkach technicznych) ü norma ISO/IEC 27018:2014 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors ü opracowana przez Międzynarodową Organizację Normalizacyjną (ISO) i Międzynarodową Komisję Elektrotechniczną (IEC) ü celem jest zapewnienie jakości i jednolitości standardów w zakresie ochrony danych stosowanych przez globalnych dostawców usług w chmurze działających transgranicznie
BEZPIECZEŃSTWO DANYCH OSBOWYCH W DATA CENTER ü norma ISO/IEC 27018:2014 – podstawowe założenia ü zapewnienie użytkownikom kontroli nad przetwarzanymi danymi - możliwość dostępu, poprawiania i usunięcia danych, a także przetwarzania ich zgodnie z instrukcjami i wskazanym celem ü zapewnienie ograniczeń w ujawnianiu i dostępie do danych ze strony podmiotów trzecich np. podwykonawców ü zapewnienie odpowiedniego szkolenia zespołowi który ma dostęp do danych ü przetwarzanie informacji w celach marketingowych jest dopuszczalne wyłącznie po wyrażeniu jednoznacznej zgody przez klienta, a korzystanie z usługi nie może być uzależnione od wyrażenia takiej zgody ü obowiązek powiadomienia o każdym przypadku uzyskania dostępu do informacji przez nieuprawniony do tego podmiot ü wdrożenie norm jest dobrowolne - niemniej ułatwia wykazanie zachowania standardów bezpieczeństwa; potwierdzane jest certyfikatem
PRZECHOWYWANIE DANYCH OSBOWYCH W CHMURZE - WĄTPLIWOŚCI co na to GIODO? Ø przechowywanie danych w chmurze jest dopuszczalne, ale: Ø konieczność zapewnienia usługobiorcy realnej kontroli nad danymi przez usługodawcę oraz gwarancji ich ochrony, zgodnie z przedstawionymi wcześniej uwagami Ø GIODO postuluje zmiany perspektywy: uznanie, że to nie dany kraj spełnia standardy bezpieczeństwa, a konkretny (np. certyfikowany) usługodawca – modelowe klauzule UE (SCC), BCR (wiążące reguły korporacyjne) – wymagania KE (transfer danych wewnątrz grupy); Ø stanowisko GIODO – ABC Bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych http://www.giodo.gov.pl/1520074/id_art/3910/j/pl/
TAJEMNICA BANKOWA Ø  Osoby obowiązane – banki, osoby w nich zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe Ø  Zakres - wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje (w tym dane osobowe) Ø  Katalog zwolnień, w tym: •  gdy ze względu na istotę i charakter czynności bankowej bez ujawnienia tajemnicy nie jest możliwe wykonanie umowy lub czynności związanych z umową •  gdy chodzi o windykację, informację BIK, procedury AML itd.
TAJEMNICA BANKOWA – C.D. Ø  Początek tajemnicy – rozpoczęcie negocjacji z bankiem; Ø  Obowiązuje także po wygaśnięciu umowy z bankiem oraz po przeniesieniu rachunku do innego banku (wtedy dotyczy obu banków – do którego i z którego rachunek jest przenoszony) Ø  Zakończenie działalności banku lub zakończenie stosunku pracy z bankiem nie wpływa na trwanie tajemnicy bankowej Ø  Osoba, której informacje dotyczą, może upoważnić na piśmie do przekazania określonych informacji wskazanemu przez siebie podmiotowi Ø  Kontrowersje – orzeczenia SN dot. odpowiedzialności odszkodowawczej banku wobec wierzyciela, gdy nie zajmie rachunku dłużnika ze względu na niepełne dane; Porozumienie OECD z 29.10.2014 r. o automatycznej wymianie danych zagranicznych klientów banków
OUTSOURCING BANKOWY Ø  Bank może, w drodze umowy zawartej na piśmie, powierzyć przedsiębiorcy (także zagranicznemu) wykonywanie określonych czynności faktycznych związanych z działalnością bankową – w tym usług informatycznych. ü  ustawowy reżim dotyczy czynności związanych z dostępem do danych objętych tajemnicą bankową, w tym np. systemy obsługi bankowości internetowej, systemy służące do rejestracji operacji bankowych – tzw. czynności krytyczne ü  ustawowy reżim nie obejmuje czynności dotyczących systemów informatycznych niewykorzystywanych bezpośrednio do czynności działalności bankowej, nabywania sprzętu, nabywania i instalacji oprogramowania, tworzenia, rozwoju i modyfikacji licencjonowanego oprogramowania, serwisu sprzętu komputerowego czy standardowego oprogramowania operacyjnego/systemowego – tzw. czynności niekrytyczne
WYMOGI FORMALNE POWIERZENIA DANYCH OBJĘTYCH TAJEMNICĄ BANKOWĄ DO CHMURY Ø  bank i dostawca chmury muszą posiadać plany ciągłości działania (BCDR = business continuity + disaster recovery) obejmujące przekazany proces/czynności Ø  bank musi przeprowadzić analizę wpływu przekazania na działalność banku pod kątem wpływu na: ü  zgodność z prawem; ü  ostrożne i stabilne zarządzanie bankiem; ü  skuteczność kontroli wewnętrznej; ü  możliwość audytu banku; ü  bezpieczeństwo informacji (ochronę tajemnicy) – przekazanie jest możliwe, jeśli analiza wpływu nie wykaże negatywnych konsekwencji przekazania czynności na zewnątrz
WYMOGI FORMALNE POWIERZENIA DANYCH OBJĘTYCH TAJEMNICĄ BANKOWĄ DO CHMURY – C.D. Ø  bank ujmuje ryzyko przekazania czynności w systemie zarządzania ryzykiem Ø  bank prowadzi ewidencję umów o powierzeniu czynności na zewnątrz; nadto jeśli dostawca usług lub poddostawca ma siedzibę poza terytorium Europejskiego Obszaru Gospodarczego lub powierzone czynności mają być wykonywane poza EOG Ø  bank musi uzyskać zezwolenie KNF na zawarcie umowy. Powierzenie przez bank wykonywania czynności może nastąpić na podstawie umowy zawartej na piśmie.
UMOWA BANKU Z DOSTAWCĄ USŁUG PRZETWARZANIA DANYCH W CHMURZE Ø  Ważne elementy umowy: •  konieczność posiadania przez dostawcę planu ciągłości działania; •  zobowiązanie dostawcy do przedstawienia opisu rozwiązań technicznych stosowanych przy świadczeniu usług, zapewniających bezpieczeństwo informacji i sprawną realizację usług; •  zobowiązanie do realizacji usług na terenie EOG lub uzależnienie wejścia w życie umowy od zgody KNF na realizację usług lub dostawcę spoza EOG; •  warunki podzlecania przez dostawcę czynności (podoutsourcingu/podpowierzenia), w tym ü  obowiązek uzyskania zgody banku na stałe podpowierzenie, ü  obowiązek uzależnienia podpowierzenia poza EOG lub podmiotowi spoza EOG od zgody KNF, ü  obowiązek dalszego „przeniesienia” na poddostawcę istotnych obowiązków dostawcy (w tym w szczególności tych, które są konsekwencją przepisów);
UMOWA BANKU Z DOSTAWCĄ USŁUG PRZETWARZANIA DANYCH W CHMURZE – C.D. Ø  brak ograniczeń odpowiedzialności; Ø  zasady monitorowania sposobu wykonywania umowy i ryzyka związanego z jej przedmiotem; Ø  sposób współpracy z kontrolą wewnętrzną i audytorem banku; Ø  zobowiązanie dostawcy do poddania się kontroli KNF oraz uprawnienia dostępu KNF do informacji o umowie i jej wykonywaniu; Ø  prawo banku do zmiany umowy wskutek decyzji lub zaleceń KNF; Ø  zobowiązanie dostawcy do przedstawiania dokumentów założycielskich i rejestracyjnych dostawcy.
ZAKAZ WYŁĄCZANIA LUB OGRANICZANIA ODPOWIEDZIALNOŚCI Ø  Nie można wyłączyć ani ograniczyć: ü  odpowiedzialności przedsiębiorcy (także zagranicznego) wobec banku za szkody wyrządzone klientom wskutek niewykonania lub nienależytego wykonania umowy outsourcingowej ü  odpowiedzialności banku za szkody wyrządzone klientom wskutek niewykonania lub nienależytego wykonania umowy outsourcingowej Ø  Pełna odpowiedzialność dostawcy usług outsourcingowych
PODOUTSOURCING Ø  dozwolony, pod warunkiem, że: ü  nie obejmuje całości świadczeń objętych umową outsourcingową ü  jest przewidziany w umowie outsourcingowej ü  bank udzieli zgody na piśmie na konkretny podoutsourcing ü  zostaną spełnione wymogi dla outsourcingu bezpośredniego (np. zakaz ograniczeń odpowiedzialności, plany ciągłości działania itd.) Ø  incydentalnie - dla odwrócenia skutków katastrofy lub innego przypadku siły wyższej
NADZÓR NAD POWIERZONYMI CZYNNOŚCIAMI Ø  Celem zapewnienia nadzoru sobie i KNF nad powierzonymi czynnościami, bank powinien zapewnić w umowie z dostawcą usług prawo do kontrolowania m.in.: •  pomieszczeń, gdzie wykonywane są usługi, •  dokumentacji usługodawcy, w tym dokumentów finansowych (także przez biegłego rewidenta banku) •  innych dokumentów związanych ze świadczonymi usługami w zakresie, w jakim jest to niezbędne do oceny jakości usług, sytuacji prawnej i finansowej usługodawcy i jego zdolności do świadczenia usług w sposób należyty i nieprzerwany Ø  Przy przetwarzaniu danych w chmurze może to być utrudnione
SANKCJE Ø  KNF może nakazać w drodze decyzji podjęcie działań, które mają na celu zmianę lub nawet rozwiązanie umowy outsourcingowej (podoutsourcingowej), gdy: ü  wykonanie umowy zagraża ostrożnemu i stabilnemu systemowi zarządzania bankiem; lub ü  przedsiębiorca lub przedsiębiorca zagraniczny będący stroną umowy stracił wymagane uprawnienia niezbędne do wykonania tej umowy. Ø  wniesienie przez bank skargi na decyzję KNF nie wstrzymuje wykonania takiej decyzji Ø  Upływ wyznaczonego przez KNF terminu i nie zrealizowanie nałożonych obowiązków może spowodować, że KNF wystąpi z wnioskiem o odwołanie prezesa banku lub nałoży karę finansową do 1.000.000 zł.
TAJEMNICA UBEZPIECZENIOWA Ø  „Zakład ubezpieczeń i osoby w nim zatrudnione, a także osoby i podmioty, za pomocą których zakład ubezpieczeń wykonuje czynności ubezpieczeniowe, są obowiązane do zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia.” (art. 35 ust. 1 ustawy o działalności ubezpieczeniowej i reasekuracyjnej) •  źródło – konstytucyjne prawo do prywatności •  przedmiot ochrony – zestaw danych, który pozwala zidentyfikować „poszczególną umowę ubezpieczenia”, w tym co najmniej dane zakładu ubezpieczeń, dane ubezpieczającego oraz przedmiot ubezpieczenia •  Wyłączenie spod tajemnicy – ogólna informacja, że X jest ubezpieczony u ubezpieczającego Y
TAJEMNICA UBEZPIECZENIOWA – C.D. Ø  Nie dotyczy złożenia zawiadomienia o podejrzeniu popełnienia przestępstwa Ø  Początek tajemnicy – zawarcie umowy ubezpieczenia; wcześniej ochrona na innych podstawach prawnych (ochrona danych osobowych, ochrona dóbr osobistych itd.) Ø  Odstąpienie konsumenta nie zwalnia od tajemnicy Ø  Tajemnica jest nieograniczona w czasie, nawet po wygaśnięciu umowy Ø  Kto jest objęty tajemnicą? ü  Oprócz zakładu ubezpieczeniowego i jego pracowników – także pośrednicy ubezpieczeniowi ü  Osoby powiązane z ZU stosunkiem cywilnoprawnym ü  Doradcy podatkowi, zewnętrzni aktuariusze
TAJEMNICA UBEZPIECZENIOWA A DANE OSOBOWE Ø  Przepisy danej ustawy dot. przetwarzania danych stosuje się wtedy, gdy przewidują dalej idącą ochronę, niż w ustawie o ochronie danych osobowych Ø  Budowanie baz danych klientów ubezpieczającego – dozwolone (bo dotyczy nieobjętej tajemnicą informacji o ubezpieczonym i ubezpieczającym), pod warunkiem uzyskania stosownych zgód Ø  Udostępnianie danych podmiotom innym, niż wymienionym w ustawie(m.in. sądy, prokuratury, ABW, NIK, GIODO) – sporne, ale raczej dozwolone na podstawie wyraźnej zgody ubezpieczonego
STANOWISKO KNF Ø  Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji z dnia 16 grudnia 2014 r. Ø  Analogiczne (a w zakresie CC – identycznie) - Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach (styczeń 2013) •  Procedury doboru usługodawców zewnętrznych powinny uwzględniać ryzyko związane z danymi usługami i ocenę sytuacji ekonomiczno-finansowej usługodawcy, zapewnianego poziomu bezpieczeństwa oraz jakości świadczonych usług •  Ubezpieczający/bank powinien analizować ryzyko upadłości usługodawcy lub jego nagłego wycofania się ze współpracy i posiadać plany awaryjne na wypadek takiej sytuacji •  Ubezpieczający/bank powinien monitorować jakość usług usługodawcy i okresowo prezentować spostrzeżenia zarządowi ubezpieczającego/banku
STANOWISKO KNF – C.D. Ø  W przypadku, gdy usługodawca cloud computingu świadczy usługi obejmujące dane objęte tajemnicą, ubezpieczający/bank powinien w szczególności: •  wprowadzić adekwatne mechanizmy kontrolne zapewniające poufność danych (np. poprzez ich szyfrowanie), •  zapewnić, aby informacje o wszelkich incydentach zagrażających bezpieczeństwu danych były raportowane przez dostawcę, •  posiadać informacje o tym, w jakich lokalizacjach geograficznych dane te są przetwarzane oraz jakie przepisy prawa obowiązują tam w przedmiotowym zakresie, oraz zapewnić zgodność świadczonych usług w zakresie przetwarzania danych, z przepisami prawa obowiązującymi w Polsce, •  zapewnić skuteczne mechanizmy pozwalające na bezpieczne zakończenie współpracy (w szczególności w zakresie zwrotu danych oraz ich usunięcia), •  przeanalizować zasadność i ewentualnie wprowadzić obowiązek przedstawiania przez dostawcę certyfikatów w zakresie zgodności z uznanymi międzynarodowymi normami dotyczącymi bezpieczeństwa informacji (szczególnie w przypadku przetwarzania danych poza granicami EOG).
infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ubezpieczeniowym - najważniejsze problemy prawne"

Recomendados

Praktyczne problemy cloud computingu
Praktyczne problemy cloud computinguPraktyczne problemy cloud computingu
Praktyczne problemy cloud computingu
Agata Kowalska
 
Chmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracyChmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracy
Konwent2015
 
Chmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawoChmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawo
Konwent2015
 
Hosting i chmura a dane osobowe
Hosting i chmura a dane osoboweHosting i chmura a dane osobowe
Hosting i chmura a dane osobowe
Wyższa Szkoła Biznesu w Dąbrowie Górniczej
 
Jak wdrożyć bezpiecznie chmurę? Aspekty prawne
Jak wdrożyć bezpiecznie chmurę? Aspekty prawneJak wdrożyć bezpiecznie chmurę? Aspekty prawne
Jak wdrożyć bezpiecznie chmurę? Aspekty prawne
Cyberlaw Beata Marek
 
Outsourcing usług, umowa powierzenia przetwarzania danych osobowych
Outsourcing usług, umowa powierzenia przetwarzania danych osobowychOutsourcing usług, umowa powierzenia przetwarzania danych osobowych
Outsourcing usług, umowa powierzenia przetwarzania danych osobowych
Cyberlaw Beata Marek
 
Cloud computing w administracji publicznej
Cloud computing w administracji publicznejCloud computing w administracji publicznej
Cloud computing w administracji publicznej
COGNITY Szkolenia
 
Aspekty prawne przetwarzania danych w chmurze
Aspekty prawne przetwarzania danych w chmurzeAspekty prawne przetwarzania danych w chmurze
Aspekty prawne przetwarzania danych w chmurze
Cyberlaw Beata Marek
 

Recomendados

Praktyczne problemy cloud computingu
Praktyczne problemy cloud computinguPraktyczne problemy cloud computingu
Praktyczne problemy cloud computingu
Agata Kowalska
 
Chmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracyChmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracy
Konwent2015
 
Chmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawoChmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawo
Konwent2015
 
Hosting i chmura a dane osobowe
Hosting i chmura a dane osoboweHosting i chmura a dane osobowe
Hosting i chmura a dane osobowe
Wyższa Szkoła Biznesu w Dąbrowie Górniczej
 
Jak wdrożyć bezpiecznie chmurę? Aspekty prawne
Jak wdrożyć bezpiecznie chmurę? Aspekty prawneJak wdrożyć bezpiecznie chmurę? Aspekty prawne
Jak wdrożyć bezpiecznie chmurę? Aspekty prawne
Cyberlaw Beata Marek
 
Outsourcing usług, umowa powierzenia przetwarzania danych osobowych
Outsourcing usług, umowa powierzenia przetwarzania danych osobowychOutsourcing usług, umowa powierzenia przetwarzania danych osobowych
Outsourcing usług, umowa powierzenia przetwarzania danych osobowych
Cyberlaw Beata Marek
 
Cloud computing w administracji publicznej
Cloud computing w administracji publicznejCloud computing w administracji publicznej
Cloud computing w administracji publicznej
COGNITY Szkolenia
 
Aspekty prawne przetwarzania danych w chmurze
Aspekty prawne przetwarzania danych w chmurzeAspekty prawne przetwarzania danych w chmurze
Aspekty prawne przetwarzania danych w chmurze
Cyberlaw Beata Marek
 
InfraXstructure: Mirosław Dąbrowski "Zmiany w organizacji a gotowość na meto...
InfraXstructure: Mirosław Dąbrowski "Zmiany w organizacji a gotowość na meto...InfraXstructure: Mirosław Dąbrowski "Zmiany w organizacji a gotowość na meto...
InfraXstructure: Mirosław Dąbrowski "Zmiany w organizacji a gotowość na meto...
PROIDEA
 
PLNOG16: It's time to start 5G - RAPID, Michał Szczęsny
PLNOG16: It's time to start 5G - RAPID, Michał SzczęsnyPLNOG16: It's time to start 5G - RAPID, Michał Szczęsny
PLNOG16: It's time to start 5G - RAPID, Michał Szczęsny
PROIDEA
 
4Developers: Adam Sznajder- Taking advantage of microservice architecture and...
4Developers: Adam Sznajder- Taking advantage of microservice architecture and...4Developers: Adam Sznajder- Taking advantage of microservice architecture and...
4Developers: Adam Sznajder- Taking advantage of microservice architecture and...
PROIDEA
 
4Developers: Maciej Aniserowicz- O mikroserwisach mikro-fakty i mikro-mity
4Developers: Maciej Aniserowicz- O mikroserwisach mikro-fakty i mikro-mity4Developers: Maciej Aniserowicz- O mikroserwisach mikro-fakty i mikro-mity
4Developers: Maciej Aniserowicz- O mikroserwisach mikro-fakty i mikro-mity
PROIDEA
 
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego [CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
PROIDEA
 
CONFidence2015: The (Io)Things you don't even need to hack. Should we worry? ...
CONFidence2015: The (Io)Things you don't even need to hack. Should we worry? ...CONFidence2015: The (Io)Things you don't even need to hack. Should we worry? ...
CONFidence2015: The (Io)Things you don't even need to hack. Should we worry? ...
PROIDEA
 
CE^3 - Liam Spradlin, Francisco Franco - The Living Interface: Mutative Design
CE^3 - Liam Spradlin, Francisco Franco - The Living Interface: Mutative DesignCE^3 - Liam Spradlin, Francisco Franco - The Living Interface: Mutative Design
CE^3 - Liam Spradlin, Francisco Franco - The Living Interface: Mutative Design
PROIDEA
 
[CONFidence 2016] Mateusz Kocielski - Torturing the PHP interpreter
[CONFidence 2016] Mateusz Kocielski - Torturing the PHP interpreter [CONFidence 2016] Mateusz Kocielski - Torturing the PHP interpreter
[CONFidence 2016] Mateusz Kocielski - Torturing the PHP interpreter
PROIDEA
 
[CONFidence 2016] Alexander Bolshev, Ivan Yushkevich - When the medicine is m...
[CONFidence 2016] Alexander Bolshev, Ivan Yushkevich - When the medicine is m...[CONFidence 2016] Alexander Bolshev, Ivan Yushkevich - When the medicine is m...
[CONFidence 2016] Alexander Bolshev, Ivan Yushkevich - When the medicine is m...
PROIDEA
 
MCE^3 - Marin Todorov - Building Swift Libraries for iOS
MCE^3 - Marin Todorov - Building Swift Libraries for iOSMCE^3 - Marin Todorov - Building Swift Libraries for iOS
MCE^3 - Marin Todorov - Building Swift Libraries for iOS
PROIDEA
 
Atmosphere 2016 - Adam Walach - Continuous IoT - with Docker, Go and Jenkins
Atmosphere 2016 - Adam Walach - Continuous IoT - with Docker, Go and JenkinsAtmosphere 2016 - Adam Walach - Continuous IoT - with Docker, Go and Jenkins
Atmosphere 2016 - Adam Walach - Continuous IoT - with Docker, Go and Jenkins
PROIDEA
 
Atmosphere 2016 - Albert Lacki, Jaroslaw Bloch - Real user monitoring at scal...
Atmosphere 2016 - Albert Lacki, Jaroslaw Bloch - Real user monitoring at scal...Atmosphere 2016 - Albert Lacki, Jaroslaw Bloch - Real user monitoring at scal...
Atmosphere 2016 - Albert Lacki, Jaroslaw Bloch - Real user monitoring at scal...
PROIDEA
 
4developers2016- Strumieniowanie danych w Sparku- Bartosz Kowalik
4developers2016- Strumieniowanie danych w Sparku- Bartosz Kowalik4developers2016- Strumieniowanie danych w Sparku- Bartosz Kowalik
4developers2016- Strumieniowanie danych w Sparku- Bartosz Kowalik
PROIDEA
 
infraxstructure: Rafał Stańczak "Postępujący rozwój infrastruktury na potrze...
infraxstructure: Rafał Stańczak "Postępujący rozwój infrastruktury na potrze...infraxstructure: Rafał Stańczak "Postępujący rozwój infrastruktury na potrze...
infraxstructure: Rafał Stańczak "Postępujący rozwój infrastruktury na potrze...
PROIDEA
 
infraxstructure: Krzysztof Szczygieł "Infrastruktura i wyposażenie Data Cent...
infraxstructure: Krzysztof Szczygieł "Infrastruktura i wyposażenie Data Cent...infraxstructure: Krzysztof Szczygieł "Infrastruktura i wyposażenie Data Cent...
infraxstructure: Krzysztof Szczygieł "Infrastruktura i wyposażenie Data Cent...
PROIDEA
 
infraxstructure: Krzysztof Waszkiewicz "Usługi chmurowe dla biznesu wolne od...
infraxstructure: Krzysztof Waszkiewicz "Usługi chmurowe dla biznesu wolne od...infraxstructure: Krzysztof Waszkiewicz "Usługi chmurowe dla biznesu wolne od...
infraxstructure: Krzysztof Waszkiewicz "Usługi chmurowe dla biznesu wolne od...
PROIDEA
 
infraxstructure: Robert Mroczkowski "Maszyny się uczą - admińskie rozmówki p...
infraxstructure: Robert Mroczkowski "Maszyny się uczą - admińskie rozmówki p...infraxstructure: Robert Mroczkowski "Maszyny się uczą - admińskie rozmówki p...
infraxstructure: Robert Mroczkowski "Maszyny się uczą - admińskie rozmówki p...
PROIDEA
 
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
PROIDEA
 
Jak wybrać dostawcę chmurowego?
Jak wybrać dostawcę chmurowego?Jak wybrać dostawcę chmurowego?
Jak wybrać dostawcę chmurowego?
Cyberlaw Beata Marek
 
Vendor lock-in w chmurze – perspektywa prawna i biznesowa
Vendor lock-in w chmurze – perspektywa prawna i biznesowaVendor lock-in w chmurze – perspektywa prawna i biznesowa
Vendor lock-in w chmurze – perspektywa prawna i biznesowa
wegrzynlukasz
 
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
PROIDEA
 
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...
Beyond.pl
 

Mais conteúdo relacionado

Destaque

4Developers: Maciej Aniserowicz- O mikroserwisach mikro-fakty i mikro-mity
4Developers: Maciej Aniserowicz- O mikroserwisach mikro-fakty i mikro-mity4Developers: Maciej Aniserowicz- O mikroserwisach mikro-fakty i mikro-mity
4Developers: Maciej Aniserowicz- O mikroserwisach mikro-fakty i mikro-mity
PROIDEA
 
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego [CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
PROIDEA
 
CONFidence2015: The (Io)Things you don't even need to hack. Should we worry? ...
CONFidence2015: The (Io)Things you don't even need to hack. Should we worry? ...CONFidence2015: The (Io)Things you don't even need to hack. Should we worry? ...
CONFidence2015: The (Io)Things you don't even need to hack. Should we worry? ...
PROIDEA
 
CE^3 - Liam Spradlin, Francisco Franco - The Living Interface: Mutative Design
CE^3 - Liam Spradlin, Francisco Franco - The Living Interface: Mutative DesignCE^3 - Liam Spradlin, Francisco Franco - The Living Interface: Mutative Design
CE^3 - Liam Spradlin, Francisco Franco - The Living Interface: Mutative Design
PROIDEA
 
[CONFidence 2016] Alexander Bolshev, Ivan Yushkevich - When the medicine is m...
[CONFidence 2016] Alexander Bolshev, Ivan Yushkevich - When the medicine is m...[CONFidence 2016] Alexander Bolshev, Ivan Yushkevich - When the medicine is m...
[CONFidence 2016] Alexander Bolshev, Ivan Yushkevich - When the medicine is m...
PROIDEA
 
Atmosphere 2016 - Adam Walach - Continuous IoT - with Docker, Go and Jenkins
Atmosphere 2016 - Adam Walach - Continuous IoT - with Docker, Go and JenkinsAtmosphere 2016 - Adam Walach - Continuous IoT - with Docker, Go and Jenkins
Atmosphere 2016 - Adam Walach - Continuous IoT - with Docker, Go and Jenkins
PROIDEA
 

Destaque (18)

InfraXstructure: Mirosław Dąbrowski "Zmiany w organizacji a gotowość na meto...
InfraXstructure: Mirosław Dąbrowski "Zmiany w organizacji a gotowość na meto...InfraXstructure: Mirosław Dąbrowski "Zmiany w organizacji a gotowość na meto...
InfraXstructure: Mirosław Dąbrowski "Zmiany w organizacji a gotowość na meto...
 
PLNOG16: It's time to start 5G - RAPID, Michał Szczęsny
PLNOG16: It's time to start 5G - RAPID, Michał SzczęsnyPLNOG16: It's time to start 5G - RAPID, Michał Szczęsny
PLNOG16: It's time to start 5G - RAPID, Michał Szczęsny
 
4Developers: Adam Sznajder- Taking advantage of microservice architecture and...
4Developers: Adam Sznajder- Taking advantage of microservice architecture and...4Developers: Adam Sznajder- Taking advantage of microservice architecture and...
4Developers: Adam Sznajder- Taking advantage of microservice architecture and...
 
4Developers: Maciej Aniserowicz- O mikroserwisach mikro-fakty i mikro-mity
4Developers: Maciej Aniserowicz- O mikroserwisach mikro-fakty i mikro-mity4Developers: Maciej Aniserowicz- O mikroserwisach mikro-fakty i mikro-mity
4Developers: Maciej Aniserowicz- O mikroserwisach mikro-fakty i mikro-mity
 
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego [CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
 
CONFidence2015: The (Io)Things you don't even need to hack. Should we worry? ...
CONFidence2015: The (Io)Things you don't even need to hack. Should we worry? ...CONFidence2015: The (Io)Things you don't even need to hack. Should we worry? ...
CONFidence2015: The (Io)Things you don't even need to hack. Should we worry? ...
 
CE^3 - Liam Spradlin, Francisco Franco - The Living Interface: Mutative Design
CE^3 - Liam Spradlin, Francisco Franco - The Living Interface: Mutative DesignCE^3 - Liam Spradlin, Francisco Franco - The Living Interface: Mutative Design
CE^3 - Liam Spradlin, Francisco Franco - The Living Interface: Mutative Design
 
[CONFidence 2016] Mateusz Kocielski - Torturing the PHP interpreter
[CONFidence 2016] Mateusz Kocielski - Torturing the PHP interpreter [CONFidence 2016] Mateusz Kocielski - Torturing the PHP interpreter
[CONFidence 2016] Mateusz Kocielski - Torturing the PHP interpreter
 
[CONFidence 2016] Alexander Bolshev, Ivan Yushkevich - When the medicine is m...
[CONFidence 2016] Alexander Bolshev, Ivan Yushkevich - When the medicine is m...[CONFidence 2016] Alexander Bolshev, Ivan Yushkevich - When the medicine is m...
[CONFidence 2016] Alexander Bolshev, Ivan Yushkevich - When the medicine is m...
 
MCE^3 - Marin Todorov - Building Swift Libraries for iOS
MCE^3 - Marin Todorov - Building Swift Libraries for iOSMCE^3 - Marin Todorov - Building Swift Libraries for iOS
MCE^3 - Marin Todorov - Building Swift Libraries for iOS
 
Atmosphere 2016 - Adam Walach - Continuous IoT - with Docker, Go and Jenkins
Atmosphere 2016 - Adam Walach - Continuous IoT - with Docker, Go and JenkinsAtmosphere 2016 - Adam Walach - Continuous IoT - with Docker, Go and Jenkins
Atmosphere 2016 - Adam Walach - Continuous IoT - with Docker, Go and Jenkins
 
Atmosphere 2016 - Albert Lacki, Jaroslaw Bloch - Real user monitoring at scal...
Atmosphere 2016 - Albert Lacki, Jaroslaw Bloch - Real user monitoring at scal...Atmosphere 2016 - Albert Lacki, Jaroslaw Bloch - Real user monitoring at scal...
Atmosphere 2016 - Albert Lacki, Jaroslaw Bloch - Real user monitoring at scal...
 
4developers2016- Strumieniowanie danych w Sparku- Bartosz Kowalik
4developers2016- Strumieniowanie danych w Sparku- Bartosz Kowalik4developers2016- Strumieniowanie danych w Sparku- Bartosz Kowalik
4developers2016- Strumieniowanie danych w Sparku- Bartosz Kowalik
 
infraxstructure: Rafał Stańczak "Postępujący rozwój infrastruktury na potrze...
infraxstructure: Rafał Stańczak "Postępujący rozwój infrastruktury na potrze...infraxstructure: Rafał Stańczak "Postępujący rozwój infrastruktury na potrze...
infraxstructure: Rafał Stańczak "Postępujący rozwój infrastruktury na potrze...
 
infraxstructure: Krzysztof Szczygieł "Infrastruktura i wyposażenie Data Cent...
infraxstructure: Krzysztof Szczygieł "Infrastruktura i wyposażenie Data Cent...infraxstructure: Krzysztof Szczygieł "Infrastruktura i wyposażenie Data Cent...
infraxstructure: Krzysztof Szczygieł "Infrastruktura i wyposażenie Data Cent...
 
infraxstructure: Krzysztof Waszkiewicz "Usługi chmurowe dla biznesu wolne od...
infraxstructure: Krzysztof Waszkiewicz "Usługi chmurowe dla biznesu wolne od...infraxstructure: Krzysztof Waszkiewicz "Usługi chmurowe dla biznesu wolne od...
infraxstructure: Krzysztof Waszkiewicz "Usługi chmurowe dla biznesu wolne od...
 
infraxstructure: Robert Mroczkowski "Maszyny się uczą - admińskie rozmówki p...
infraxstructure: Robert Mroczkowski "Maszyny się uczą - admińskie rozmówki p...infraxstructure: Robert Mroczkowski "Maszyny się uczą - admińskie rozmówki p...
infraxstructure: Robert Mroczkowski "Maszyny się uczą - admińskie rozmówki p...
 
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
 

Semelhante a infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ubezpieczeniowym - najważniejsze problemy prawne"

Bezpieczna chmura
Bezpieczna chmura Bezpieczna chmura
Bezpieczna chmura
Sektor 3.0
 
infoShare 2011 - Artur Ogłoza - Cloud computing jako usługa Fujitsu iaas
infoShare 2011 - Artur Ogłoza - Cloud computing jako usługa Fujitsu iaasinfoShare 2011 - Artur Ogłoza - Cloud computing jako usługa Fujitsu iaas
infoShare 2011 - Artur Ogłoza - Cloud computing jako usługa Fujitsu iaas
Infoshare
 
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
Stowarzyszenie Jakości Systemów Informatycznych (SJSI)
 
Człowiek, ósma warstwa modelu ISO/OSI, jako element ekosystemu teleinformaty...
Człowiek, ósma warstwa modelu ISO/OSI, jako element ekosystemu teleinformaty...Człowiek, ósma warstwa modelu ISO/OSI, jako element ekosystemu teleinformaty...
Człowiek, ósma warstwa modelu ISO/OSI, jako element ekosystemu teleinformaty...
Mikolaj Leszczuk
 
Prawo cookies i dane osobowe ochrona a.wenskowska
Prawo cookies i dane osobowe ochrona a.wenskowskaPrawo cookies i dane osobowe ochrona a.wenskowska
Prawo cookies i dane osobowe ochrona a.wenskowska
Jakub Dabkowski
 

Semelhante a infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ubezpieczeniowym - najważniejsze problemy prawne" (20)

Jak wybrać dostawcę chmurowego?
Jak wybrać dostawcę chmurowego?Jak wybrać dostawcę chmurowego?
Jak wybrać dostawcę chmurowego?
 
Vendor lock-in w chmurze – perspektywa prawna i biznesowa
Vendor lock-in w chmurze – perspektywa prawna i biznesowaVendor lock-in w chmurze – perspektywa prawna i biznesowa
Vendor lock-in w chmurze – perspektywa prawna i biznesowa
 
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
 
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...
 
Ochrona danych osobowych
Ochrona danych osobowychOchrona danych osobowych
Ochrona danych osobowych
 
Vendor lock-in w chmurze: jak się przed nim prawnie zabezpieczyć.
Vendor lock-in w chmurze: jak się przed nim prawnie zabezpieczyć.Vendor lock-in w chmurze: jak się przed nim prawnie zabezpieczyć.
Vendor lock-in w chmurze: jak się przed nim prawnie zabezpieczyć.
 
Bezpieczna chmura
Bezpieczna chmura Bezpieczna chmura
Bezpieczna chmura
 
infoShare 2011 - Artur Ogłoza - Cloud computing jako usługa Fujitsu iaas
infoShare 2011 - Artur Ogłoza - Cloud computing jako usługa Fujitsu iaasinfoShare 2011 - Artur Ogłoza - Cloud computing jako usługa Fujitsu iaas
infoShare 2011 - Artur Ogłoza - Cloud computing jako usługa Fujitsu iaas
 
Canon - bezpieczeństwo danych
Canon - bezpieczeństwo danychCanon - bezpieczeństwo danych
Canon - bezpieczeństwo danych
 
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
 
Afc module 4 pl
Afc module 4 plAfc module 4 pl
Afc module 4 pl
 
Paweł Gruszecki - Wybór modelu biznesowego, zarządzanie ryzykiem prawnym
Paweł Gruszecki - Wybór modelu biznesowego, zarządzanie ryzykiem prawnymPaweł Gruszecki - Wybór modelu biznesowego, zarządzanie ryzykiem prawnym
Paweł Gruszecki - Wybór modelu biznesowego, zarządzanie ryzykiem prawnym
 
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
 
Czy chmura moze sie udac by Design the Future Tadeusz Kifner
Czy chmura moze sie udac by Design the Future Tadeusz KifnerCzy chmura moze sie udac by Design the Future Tadeusz Kifner
Czy chmura moze sie udac by Design the Future Tadeusz Kifner
 
Człowiek, ósma warstwa modelu ISO/OSI, jako element ekosystemu teleinformaty...
Człowiek, ósma warstwa modelu ISO/OSI, jako element ekosystemu teleinformaty...Człowiek, ósma warstwa modelu ISO/OSI, jako element ekosystemu teleinformaty...
Człowiek, ósma warstwa modelu ISO/OSI, jako element ekosystemu teleinformaty...
 
Cyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowejCyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowej
 
Zmiany w przepisach o ochronie danych osobowych
Zmiany w przepisach o ochronie danych osobowychZmiany w przepisach o ochronie danych osobowych
Zmiany w przepisach o ochronie danych osobowych
 
Prawo i biznes 2017 - Zmiany. Trendy. Wyzwania. Wierzbowski Eversheds Sutherland
Prawo i biznes 2017 - Zmiany. Trendy. Wyzwania. Wierzbowski Eversheds SutherlandPrawo i biznes 2017 - Zmiany. Trendy. Wyzwania. Wierzbowski Eversheds Sutherland
Prawo i biznes 2017 - Zmiany. Trendy. Wyzwania. Wierzbowski Eversheds Sutherland
 
Prawo cookies i dane osobowe ochrona a.wenskowska
Prawo cookies i dane osobowe ochrona a.wenskowskaPrawo cookies i dane osobowe ochrona a.wenskowska
Prawo cookies i dane osobowe ochrona a.wenskowska
 
4
44
4
 

infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ubezpieczeniowym - najważniejsze problemy prawne"

  • 1.
  • 2. CLOUD COMPUTING W DZIAŁALNOŚCI FINANSOWEJ I UBEZPIECZENIOWEJ – PROBLEMY PRAWNE Warszawa, 20 kwietnia 2016 r.
  • 3. CLOUD COMPUTING - DEFINICJA Grupa robocza C-SIG (Cloud Select Industry Group) w dokumencie Cloud SLA Standarisation z dnia 24 czerwca 2014 Model (paradygmat) umożliwiania sieciowego dostępu do skalowalnej i elastycznej puli współdzielonych (możliwych do udostępniania) fizycznych lub wirtualnych zasobów (np. serwer, systemy operacyjne, sieci, oprogramowanie, aplikacje, przechowywanie danych) z samoobsługową aprowizacją uprawnień oraz administracją na żądanie. Modele świadczenia usługi: Ø SaaS – aplikacje dostępne przez przeglądarkę internetową i niezainstalowane lokalnie; Ø PaaS – dostęp do platformy, która składa się na zintegrowany ze sobą interfejs i aplikacje; Ø IaaS – dostęp do infrastruktury (serwery, pamięci masowe, sprzęt sieciowy) dostarczanej jako usługa; Ø XaaS – inne.
  • 4. ZALETY CC Ø  On-demand – możliwość uzyskania oczekiwanej mocy obliczeniowej na żądanie bez konieczności inwestowania we własną infrastrukturę sprzętową; Ø  Redukcja kosztów – przy jednoczesnym dostarczaniu wymaganych rozwiązań informatycznych nie trzeba inwestować w sprzęt informatyczny, unika się kosztów związanych z rozwojem własnej infrastruktury IT; Ø  Niezależność od położenia źródeł danych – usługi przetwarzania w chmurze umożliwiają współdzielenie zasobów informatycznych za pomocą różnych urządzeń, z wielu miejsc na świecie, np. z urządzeń mobilnych; Ø  Mierzalność – usługobiorca ma możliwość określenia minimalnych oraz maksymalnych technicznych wymagań co do przetwarzania w chmurze, Ø  Skalowalność – usługodawca może dostosowywać parametry techniczne usługi do bieżących potrzeb, tj. zwiększyć lub zmniejszyć moc obliczeniową bez potrzeby inwestowania w sprzęt; Ø  Łatwiejsze utrzymanie – to usługodawca jest odpowiedzialny za infrastrukturę sprzętową, przy użyciu której następuje świadczenie usług przetwarzania w chmurze i ponosi wszelkie koszty związane z jej utrzymaniem.
  • 5. OBAWY PRZED CC Ø Prywatność danych Ø Dostępność usług i danych Ø Integralność danych Ø Poufność danych firmowych oraz obowiązek zachowania tajemnicy zawodowej Ø Możliwość wyparcia się wykonania czynności na danych Ø Utrata kontroli nad usługami / danymi Ø Brak odpowiedzialności dostawców usług Ø Niespójności w uregulowaniach transgranicznych Ø Niejasne uregulowania cenowe Ø Niekontrolowany koszt (zależny od użycia) Ø Koszty i trudności migracji do chmury
  • 6. PRZECHOWYWANIE DANYCH OSOBOWYCH W CHMURZE – WĄTPLIWOŚCI ü Dyrektywa 95/46/WE zostanie zastąpiona rozporządzeniem w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (tzw. RODO) – zatwierdzone 14.04. przez PE (bezpośrednie stosowanie od 2018 roku); ü wskazówki i rekomendacje grupy roboczej art. 29 (5/2012); ü tzw. Memorandum Sopockie z 24.04.2012 roku (dokument roboczy w sprawie przetwarzania danych osobowych w chmurze obliczeniowej- kwestie ochrony danych i prywatności); Ø czy przechowywanie danych osobowych w chmurze spełnia wymogi bezpieczeństwa? Ø czy administrator, który umieszcza dane w chmurze ma nad nimi realną kontrolę? Ø czy hostingodawca również przetwarza dane osobowe, umieszczone w zbiorze przez usługobiorcę - administratora?
  • 7. CLOUD COMPUTING Z perspektywy prawa: usługa świadczona drogą elektroniczną „Wszystkie usługi, których wykonanie następuje przez wysyłanie i odbieranie danych za pomocą systemów teleinformatycznych na indywidualne żądanie usługobiorcy (klienta), bez jednoczesnej obecności stron, przy czym dane te muszą zostać transmitowane za pośrednictwem sieci publicznych.” Problemy: ü  regulamin czy umowa (SLA/umowa o świadczenie usługi drogą elektroniczną); ü  umowy transgraniczne (wybór prawa i jurysdykcji (jaki sąd jest właściwy?); ü  farmy serwerów (wsparcie infrastrukturalne przez podwykonawców); ü  odpowiedzialność, ü  dane osobowe (powierzenie przetwarzania i zgoda na podpowierzenie); ü  prawa autorskie; ü  certyfikacje; ü  klauzule wyjścia (zwrot danych, usunięcie, okres przejściowy)
  • 8. OBOWIĄZKI USŁUGODAWCY KC + UŚUDE + UODO ü  konieczność opracowania umowy lub regulaminu, który będzie regulował kompleksowo relacje z usługobiorcą oraz uwzględni interesy usługodawcy (art. 8 UŚUDE) ü  szczególne regulacje, kiedy druga strona jest konsumentem; ü  problem odpowiedzialności wobec usługobiorcy oraz osób trzecich (jakie roszczenia mogą mieć moi klienci oraz jakie skutki wynikają z prawa – analiza potrzeb); ü  umowa (service level agreement) – definicja usługi, podanie podstawowych informacji o usługodawcy oraz parametry usługi (dostępność, wydajność, poziom wsparcia dostawcy, bezpieczeństwo danych, ich ochrona, środki naprawcze na wypadek przestoju); ü  zapewnienie działania systemu teleinformatycznego, w tym zabezpieczenie technikami kryptograficznymi, identyfikacja stron usługi, potwierdzenie faktu złożenia oświadczenia woli; ü  CC polega na przetwarzaniu danych, a więc i przetwarzaniu danych osobowych;
  • 9. CZY KONIECZNE JEST ZAWARCIE UMOWY? Ø co do zasady nie ma takiego obowiązku – decyduje wola stron i chęć zapewnienia większego poziomu bezpieczeństwa w stosunku do przechowywanych danych; Ø świadczenie usługi - umowa starannego działania, wzajemna, konsensualna i odpłatna (o ile strony nie postanowią inaczej); Ø efektem zawarcia takiej umowy jest nałożenie na osobę trzecią takich obowiązków, jakie ciążą na administratorze danych: ü konieczność zabezpieczenia danych osobowych ü przetwarzanie  tylko w zakresie i zgodnie z celem przetwarzania  wyznaczonym w umowie z administratorem (art. 31 UODO) ü obowiązek zabezpieczenia dotyczy danych osobowych a nie tylko zbioru danych ü obowiązek sprawowania kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są one przekazywane ü obowiązek spełnienia wymogów określonych w rozporządzeniu w sprawie dokumentacji i warunkach technicznych ü odpowiedzialność za przestrzeganie przepisów dotyczących zabezpieczenia danych ü podleganie kontroli GIODO
  • 10. Z PRAKTYKI… Przykłady postanowień dot. CC „11.NIEAUTORYZOWANY DOSTĘP DO DANYCH UŻYTKOWNIKA I KORZYSTANIA Z USŁUG 11.1 Użytkownik odpowiada za dostęp do Usług i korzystanie z nich przez osoby, które Użytkownik upoważnił do dostępu lub korzystania z Usług lub którym udostępnił dane umożliwiające uwierzytelnienie w Chmurze i na Koncie Użytkownika, w tym za działania i zaniechania takich osób, a także za swoje działania lub zaniechania w zakresie zabezpieczenia dostępu do Usług, w tym do danych umożliwiających uwierzytelnienie.” https://www.oktawave.com/pl/regulamin.html
  • 11. Z PRAKTYKI CD. Przykłady postanowień dot. CC c.d. „19. ODPOWIEDZIALNOŚĆ ZA UTRATĘ DANYCH UŻYTKOWNIKA 19.1 Zważywszy, że z wyjątkiem Usługi Backupu (Usługa Bezpieczeństwa Danych) Danych Użytkownika, przedmiotem żaden innej z Usług świadczonych Użytkownikowi nie jest tworzenie kopii zapasowych Danych Użytkownika, a także, że Użytkownik zobowiązany jest samodzielnie trzymać kopię zapasową Danych Użytkownika, odpowiedzialność za utratę Danych Użytkownika ponosi Użytkownik. 19.2 Usługodawca nie ponosi odpowiedzialności za utratę Danych Użytkownika, chyba że Użytkownik wykupił dostęp do Oktawave Cloud Storage lub Oktawave Volume Storage. W takiej sytuacji odpowiedzialność Usługodawcy w związku z utratą Danych Użytkownika reguluje Standardowa Umowa o Poziomie Usług.”  https://www.oktawave.com/pl/regulamin.html
  • 12. KLAUZULE ABUZYWNE Przykłady niedozwolonych postanowień umownych: Ø „Open Finance S.A. nie odpowiada za działania osób trzecich obsługujących system informatyczny serwisu, jak również za szkody powstałe w wyniku uszkodzenia sprzętu komputerowego użytkownika, bądź jego zasobów danych, w trakcie lub w związku z korzystaniem z zasobów serwisu, w szczególności na skutek przedostania się do systemu informatycznego użytkownika wirusów komputerowych” Ø "Web-Net nie ponosi żadnej odpowiedzialności: (…) z tytułu strat, jakie może ponieść Abonent na skutek niewłaściwego działania Web-Net lub sieci Internet oraz urządzeń do niej przyłączonych a w szczególności - za utratę danych lub zniszczenie oprogramowania” Ø "Całkowita odpowiedzialność Dostawcy wobec użytkownika (dochodzona na podstawie jakiegokolwiek tytułu prawnego) ograniczona jest do wysokości opłat faktycznie uiszczonych przez użytkownika w związku ze skorzystaniem z Serwisu"
  • 13. CC A UODO Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. dane osobowe: wszelkie informacje: imię, nazwisko i adres, zdjęcia, filmy, zarejestrowane głosy, tzw. dane biometryczne (cechy źrenicy, linie papilarne, cechy twarzy, geometria ręki) itp. – pod warunkiem, że mogą służyć do zidentyfikowania osoby. Informacja staje się daną osobową, jeżeli można tę informację powiązać z konkretną osobą bez ponoszenia nadmiernych kosztów; Ø  Adres IP? Ø  Adres e-mail? (kancelaria@ck-legal.pl vs agata.kowalska@ck-legal.pl) Ø  Cookies?  
  • 14. CO TO SĄ DANE WRAŻLIWE? Dane wrażliwe to dane ujawniające: ü  pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, ü  przynależność wyznaniową, partyjną lub związkową, jak również o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym ü  dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym Dane wrażliwe są chronione w sposób szczególny i wiążą się z nimi obowiązki: ü  uzyskania pisemnej zgody na ich przetwarzanie; ü  dokonywania zgłoszenia zmiany tych danych przed ujawnieniem zmiany danych w zbiorze; ü  wydania przez GIODO zaświadczenia o zarejestrowaniu zbioru tych danych (w przypadku pozostałych danych zaświadczenie jest fakultatywne); ü  rejestracji zbioru nawet pomimo prowadzenia go wyłącznie w formie papierowej; ü  rozpoczęcia przetwarzania danych dopiero po ich zarejestrowaniu (a nie od razu po zgłoszeniu jak w przypadku pozostałych danych).
  • 15. ZASADY GROMADZENIA I PRZETWARZANIA DANYCH OSOBOWYCH Zakres przetwarzania danych Przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zasady przetwarzania danych osobowych: ü  Legalność: przetwarzane zgodnie z prawem ü  Celowość: dane zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami ü  Adekwatność: dane merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane ü  Jakiego zakresu danych możemy żądać?
  • 16. POWIERZENIE A UDOSTĘPNIENIE DANYCH OSBOWYCH Prawo do powierzenia przetwarzania podmiotowi trzeciemu: Ø  Powierzenie a przekazanie (udostepnienie/sprzedaż) danych; ü  udostępnienie – osoba trzecia ma możliwość przetwarzania na własny użytek; staje się ADO (decyduje o celach i środkach ich przetwarzania) - wyraźna zgoda klienta ü  powierzenie – procesor ma dostęp do danych zebranych przez ADO, aby zrealizować usługę (przetwarzanie na rzecz ADO) – nie jest potrzebna dodatkowa zgoda klienta Ø  Obowiązek zawarcia pisemnej umowy o powierzenie przetwarzania danych (brak zastosowania formy pisemnej powoduje jedynie skutki w zakresie postępowania dowodowego) Ø  Odpowiedzialność administratora danych za sposób ich przetwarzania; Ø  Odpowiedzialność umowna podmiotu przetwarzającego dane; Ø  Ograniczenia możliwości powierzenia przetwarzania danych podmiotowi zagranicznemu: ü  obowiązek zachowania standardów ochrony danych osobowych (art. 47 UODO) ü  zgoda GIODO zezwalająca na powierzenie przetwarzania danych osobowych do państw trzecich
  • 17. UMOWA POWIERZENIA PRZETWARZANIA Pyt.: Czy dostawca usług chmurowych jest tylko przetwarzającym czy ADO? Odp.: Jeżeli tworzymy tylko kopie zapasowe materiałów z DO, jesteśmy jedynie przetwarzającym. W przypadku SaaS, dostawca decyduje o sposobach i celach przetwarzania danych, a wiec jest ADO. Postanowienia umowne: Ø  zakres przekazania i zarządzania danymi osobowymi; Ø  określenie miejsca przetwarzania tych danych (art. 48 UODO - tylko po uzyskaniu zgody GIODO); Ø  wynagrodzenie z tytułu świadczonej usługi (domniemanie odpłatności) lub postanowienie o braku dodatkowych opłat; Ø  wskazanie: Ø  podmiotów, które będą miały dostęp do danych przetwarzanych w chmurze; Ø  jakie zabezpieczenia techniczne i fizyczne będą stosowane; Ø  procedury usuwania danych w przypadku rozwiązania umowy.
  • 18. PRZECHOWYWANIE DANYCH OSBOWYCH W CHMURZE - WĄTPLIWOŚCI Czy przechowywanie danych w osobowych w chmurze może być uznane za transfer danych do państwa trzeciego? Ø kwestia zależna od oceny, czy usługodawca przetwarza dane osobowe; Ø państwo trzecie = państwo spoza EOG (swoboda przepływu danych w granicach UE i całego obszaru EOG); Ø istotny jest kraj siedziby usługodawcy, który przechowuje dane osobowe na serwerze; Ø państwo trzecie musi dać gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium RP (UE) Ø ADO muszą swoje działania opierać na jednej z przesłanek z rozdziału 7 UODO
  • 19. PRZEKAZYWANIE DANYCH DO PAŃSTW TRZECICH – ZMIANY PO 01.01.2015 R. Ø  Przed nowelizacją – obowiązek uzyskania każdorazowej zgody GIODO na przekazywanie danych do państwa trzeciego, nawet przy zastosowaniu zatwierdzonych przez KE standardowych klauzul umownych Ø  Po nowelizacji –zastosowanie niezmodyfikowanych standardowych klauzul umownych (dostępnych w internetowej bazie aktów prawnych UE) zwalnia od wymogu uzyskania zgody GIODO •  Obecnie trzy modele klauzul: dwa dla stosunków administrator-administrator oraz jeden dla stosunków administrator-przetwarzający Ø  Także po nowelizacji - wiążące reguły korporacyjne (BCR) zatwierdzane przez GIODO •  GIODO przed zatwierdzeniem BCR może przeprowadzić konsultacje z właściwymi organami ochrony danych osobowych państw, na których terytorium mają siedziby przedsiębiorcy należący do grupy Ø  W braku spełnienia ww. warunków – zgoda GIODO
  • 20. PRZEKAZYWANIE DANYCH DO PAŃSTW TRZECICH Ø  Państwa trzecie = państwo nienależące do EOG Ø  Uwaga – koniec Safe Harbor Komisja Europejską w drodze decyzji stwierdziła, które kraje taki poziom zapewniają, m.in. Argentyna, Australia, Izrael, Kanada, Szwajcaria, USA (safe harbor) ale UWAGA: wyrok TSUE z 6.10.2015 roku ws. Schrems – nieważność decyzji KE! (C-362/14) w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach bezpiecznej przystani przez USA Ø  Inne kraje – konieczność uzyskania zgody GIODO, który wyda ją po ocenie, jaki poziom bezpieczeństwa jest zapewniony, z wyjątkami od 1.01.2015 r.
  • 21. WYROK WELTIMMO I JEGO SKUTKI Ø  Wyrok Trybunału Sprawiedliwości z 1 października 2015 r. w sprawie C-230/14 Weltimmo s.r.o. przeciwko Nemzeti Adatvédelmi és Információszabadság Hatóság Ø  Skutkiem tego wyroku jest potwierdzenie przez Trybunał, że: ü  Zarejestrowanie siedziby przedsiębiorstwa w danym państwie nie przesądza o braku zastosowania prawa innego państwa, jeżeli tam jest faktycznie prowadzona działalność gospodarcza ü  Badane jest to, czy działalność jest prawdziwa i rzeczywista, w tym czy stosowane są stabilne rozwiązania organizacyjne ü  Możliwe jest interweniowanie u „swojego” GIODO – niezależnie, czy ostatecznie naruszający przedsiębiorca będzie podlegał prawu danego państwa
  • 22. DANE OSOBOWE – KŁOPOTY FACEBOOKA Ø  ujawnienie akt tzw. afery podsłuchowej – przechowywanie danych na serwerach Facebooka Ø  skarga do GIODO Ø  powołanie się na wyrok ws. Google Ø  podejście aktualnej GIODO
  • 23. BEZPIECZEŃSTWO PRZECHOWYWANIA DANYCH OSOBOWYCH W DATA CENTER „Dekalog Chmuroluba” ü przygotowany przez GIODO dla administracji publicznej, lecz jest na tyle uniwersalny, że mogą stosować go inne podmioty ü mówi m.in. o: ü obowiązkach informacyjnych w zakresie fizycznej lokalizacji serwerów, na których będą przetwarzane dane; ü obowiązku raportowania o wszystkich incydentach bezpieczeństwa danych, ü stosowaniu jednolitych klauzul umownych i kontroli łańcucha podwykonawców, ü pełnym dostępie do dokumentacji dotyczącej zasad bezpieczeństwa i stosowanych zabezpieczeniach (środkach technicznych) ü norma ISO/IEC 27018:2014 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors ü opracowana przez Międzynarodową Organizację Normalizacyjną (ISO) i Międzynarodową Komisję Elektrotechniczną (IEC) ü celem jest zapewnienie jakości i jednolitości standardów w zakresie ochrony danych stosowanych przez globalnych dostawców usług w chmurze działających transgranicznie
  • 24. BEZPIECZEŃSTWO DANYCH OSBOWYCH W DATA CENTER ü norma ISO/IEC 27018:2014 – podstawowe założenia ü zapewnienie użytkownikom kontroli nad przetwarzanymi danymi - możliwość dostępu, poprawiania i usunięcia danych, a także przetwarzania ich zgodnie z instrukcjami i wskazanym celem ü zapewnienie ograniczeń w ujawnianiu i dostępie do danych ze strony podmiotów trzecich np. podwykonawców ü zapewnienie odpowiedniego szkolenia zespołowi który ma dostęp do danych ü przetwarzanie informacji w celach marketingowych jest dopuszczalne wyłącznie po wyrażeniu jednoznacznej zgody przez klienta, a korzystanie z usługi nie może być uzależnione od wyrażenia takiej zgody ü obowiązek powiadomienia o każdym przypadku uzyskania dostępu do informacji przez nieuprawniony do tego podmiot ü wdrożenie norm jest dobrowolne - niemniej ułatwia wykazanie zachowania standardów bezpieczeństwa; potwierdzane jest certyfikatem
  • 25. PRZECHOWYWANIE DANYCH OSBOWYCH W CHMURZE - WĄTPLIWOŚCI co na to GIODO? Ø przechowywanie danych w chmurze jest dopuszczalne, ale: Ø konieczność zapewnienia usługobiorcy realnej kontroli nad danymi przez usługodawcę oraz gwarancji ich ochrony, zgodnie z przedstawionymi wcześniej uwagami Ø GIODO postuluje zmiany perspektywy: uznanie, że to nie dany kraj spełnia standardy bezpieczeństwa, a konkretny (np. certyfikowany) usługodawca – modelowe klauzule UE (SCC), BCR (wiążące reguły korporacyjne) – wymagania KE (transfer danych wewnątrz grupy); Ø stanowisko GIODO – ABC Bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych http://www.giodo.gov.pl/1520074/id_art/3910/j/pl/
  • 26. TAJEMNICA BANKOWA Ø  Osoby obowiązane – banki, osoby w nich zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe Ø  Zakres - wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje (w tym dane osobowe) Ø  Katalog zwolnień, w tym: •  gdy ze względu na istotę i charakter czynności bankowej bez ujawnienia tajemnicy nie jest możliwe wykonanie umowy lub czynności związanych z umową •  gdy chodzi o windykację, informację BIK, procedury AML itd.
  • 27. TAJEMNICA BANKOWA – C.D. Ø  Początek tajemnicy – rozpoczęcie negocjacji z bankiem; Ø  Obowiązuje także po wygaśnięciu umowy z bankiem oraz po przeniesieniu rachunku do innego banku (wtedy dotyczy obu banków – do którego i z którego rachunek jest przenoszony) Ø  Zakończenie działalności banku lub zakończenie stosunku pracy z bankiem nie wpływa na trwanie tajemnicy bankowej Ø  Osoba, której informacje dotyczą, może upoważnić na piśmie do przekazania określonych informacji wskazanemu przez siebie podmiotowi Ø  Kontrowersje – orzeczenia SN dot. odpowiedzialności odszkodowawczej banku wobec wierzyciela, gdy nie zajmie rachunku dłużnika ze względu na niepełne dane; Porozumienie OECD z 29.10.2014 r. o automatycznej wymianie danych zagranicznych klientów banków
  • 28. OUTSOURCING BANKOWY Ø  Bank może, w drodze umowy zawartej na piśmie, powierzyć przedsiębiorcy (także zagranicznemu) wykonywanie określonych czynności faktycznych związanych z działalnością bankową – w tym usług informatycznych. ü  ustawowy reżim dotyczy czynności związanych z dostępem do danych objętych tajemnicą bankową, w tym np. systemy obsługi bankowości internetowej, systemy służące do rejestracji operacji bankowych – tzw. czynności krytyczne ü  ustawowy reżim nie obejmuje czynności dotyczących systemów informatycznych niewykorzystywanych bezpośrednio do czynności działalności bankowej, nabywania sprzętu, nabywania i instalacji oprogramowania, tworzenia, rozwoju i modyfikacji licencjonowanego oprogramowania, serwisu sprzętu komputerowego czy standardowego oprogramowania operacyjnego/systemowego – tzw. czynności niekrytyczne
  • 29. WYMOGI FORMALNE POWIERZENIA DANYCH OBJĘTYCH TAJEMNICĄ BANKOWĄ DO CHMURY Ø  bank i dostawca chmury muszą posiadać plany ciągłości działania (BCDR = business continuity + disaster recovery) obejmujące przekazany proces/czynności Ø  bank musi przeprowadzić analizę wpływu przekazania na działalność banku pod kątem wpływu na: ü  zgodność z prawem; ü  ostrożne i stabilne zarządzanie bankiem; ü  skuteczność kontroli wewnętrznej; ü  możliwość audytu banku; ü  bezpieczeństwo informacji (ochronę tajemnicy) – przekazanie jest możliwe, jeśli analiza wpływu nie wykaże negatywnych konsekwencji przekazania czynności na zewnątrz
  • 30. WYMOGI FORMALNE POWIERZENIA DANYCH OBJĘTYCH TAJEMNICĄ BANKOWĄ DO CHMURY – C.D. Ø  bank ujmuje ryzyko przekazania czynności w systemie zarządzania ryzykiem Ø  bank prowadzi ewidencję umów o powierzeniu czynności na zewnątrz; nadto jeśli dostawca usług lub poddostawca ma siedzibę poza terytorium Europejskiego Obszaru Gospodarczego lub powierzone czynności mają być wykonywane poza EOG Ø  bank musi uzyskać zezwolenie KNF na zawarcie umowy. Powierzenie przez bank wykonywania czynności może nastąpić na podstawie umowy zawartej na piśmie.
  • 31. UMOWA BANKU Z DOSTAWCĄ USŁUG PRZETWARZANIA DANYCH W CHMURZE Ø  Ważne elementy umowy: •  konieczność posiadania przez dostawcę planu ciągłości działania; •  zobowiązanie dostawcy do przedstawienia opisu rozwiązań technicznych stosowanych przy świadczeniu usług, zapewniających bezpieczeństwo informacji i sprawną realizację usług; •  zobowiązanie do realizacji usług na terenie EOG lub uzależnienie wejścia w życie umowy od zgody KNF na realizację usług lub dostawcę spoza EOG; •  warunki podzlecania przez dostawcę czynności (podoutsourcingu/podpowierzenia), w tym ü  obowiązek uzyskania zgody banku na stałe podpowierzenie, ü  obowiązek uzależnienia podpowierzenia poza EOG lub podmiotowi spoza EOG od zgody KNF, ü  obowiązek dalszego „przeniesienia” na poddostawcę istotnych obowiązków dostawcy (w tym w szczególności tych, które są konsekwencją przepisów);
  • 32. UMOWA BANKU Z DOSTAWCĄ USŁUG PRZETWARZANIA DANYCH W CHMURZE – C.D. Ø  brak ograniczeń odpowiedzialności; Ø  zasady monitorowania sposobu wykonywania umowy i ryzyka związanego z jej przedmiotem; Ø  sposób współpracy z kontrolą wewnętrzną i audytorem banku; Ø  zobowiązanie dostawcy do poddania się kontroli KNF oraz uprawnienia dostępu KNF do informacji o umowie i jej wykonywaniu; Ø  prawo banku do zmiany umowy wskutek decyzji lub zaleceń KNF; Ø  zobowiązanie dostawcy do przedstawiania dokumentów założycielskich i rejestracyjnych dostawcy.
  • 33. ZAKAZ WYŁĄCZANIA LUB OGRANICZANIA ODPOWIEDZIALNOŚCI Ø  Nie można wyłączyć ani ograniczyć: ü  odpowiedzialności przedsiębiorcy (także zagranicznego) wobec banku za szkody wyrządzone klientom wskutek niewykonania lub nienależytego wykonania umowy outsourcingowej ü  odpowiedzialności banku za szkody wyrządzone klientom wskutek niewykonania lub nienależytego wykonania umowy outsourcingowej Ø  Pełna odpowiedzialność dostawcy usług outsourcingowych
  • 34. PODOUTSOURCING Ø  dozwolony, pod warunkiem, że: ü  nie obejmuje całości świadczeń objętych umową outsourcingową ü  jest przewidziany w umowie outsourcingowej ü  bank udzieli zgody na piśmie na konkretny podoutsourcing ü  zostaną spełnione wymogi dla outsourcingu bezpośredniego (np. zakaz ograniczeń odpowiedzialności, plany ciągłości działania itd.) Ø  incydentalnie - dla odwrócenia skutków katastrofy lub innego przypadku siły wyższej
  • 35. NADZÓR NAD POWIERZONYMI CZYNNOŚCIAMI Ø  Celem zapewnienia nadzoru sobie i KNF nad powierzonymi czynnościami, bank powinien zapewnić w umowie z dostawcą usług prawo do kontrolowania m.in.: •  pomieszczeń, gdzie wykonywane są usługi, •  dokumentacji usługodawcy, w tym dokumentów finansowych (także przez biegłego rewidenta banku) •  innych dokumentów związanych ze świadczonymi usługami w zakresie, w jakim jest to niezbędne do oceny jakości usług, sytuacji prawnej i finansowej usługodawcy i jego zdolności do świadczenia usług w sposób należyty i nieprzerwany Ø  Przy przetwarzaniu danych w chmurze może to być utrudnione
  • 36. SANKCJE Ø  KNF może nakazać w drodze decyzji podjęcie działań, które mają na celu zmianę lub nawet rozwiązanie umowy outsourcingowej (podoutsourcingowej), gdy: ü  wykonanie umowy zagraża ostrożnemu i stabilnemu systemowi zarządzania bankiem; lub ü  przedsiębiorca lub przedsiębiorca zagraniczny będący stroną umowy stracił wymagane uprawnienia niezbędne do wykonania tej umowy. Ø  wniesienie przez bank skargi na decyzję KNF nie wstrzymuje wykonania takiej decyzji Ø  Upływ wyznaczonego przez KNF terminu i nie zrealizowanie nałożonych obowiązków może spowodować, że KNF wystąpi z wnioskiem o odwołanie prezesa banku lub nałoży karę finansową do 1.000.000 zł.
  • 37. TAJEMNICA UBEZPIECZENIOWA Ø  „Zakład ubezpieczeń i osoby w nim zatrudnione, a także osoby i podmioty, za pomocą których zakład ubezpieczeń wykonuje czynności ubezpieczeniowe, są obowiązane do zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia.” (art. 35 ust. 1 ustawy o działalności ubezpieczeniowej i reasekuracyjnej) •  źródło – konstytucyjne prawo do prywatności •  przedmiot ochrony – zestaw danych, który pozwala zidentyfikować „poszczególną umowę ubezpieczenia”, w tym co najmniej dane zakładu ubezpieczeń, dane ubezpieczającego oraz przedmiot ubezpieczenia •  Wyłączenie spod tajemnicy – ogólna informacja, że X jest ubezpieczony u ubezpieczającego Y
  • 38. TAJEMNICA UBEZPIECZENIOWA – C.D. Ø  Nie dotyczy złożenia zawiadomienia o podejrzeniu popełnienia przestępstwa Ø  Początek tajemnicy – zawarcie umowy ubezpieczenia; wcześniej ochrona na innych podstawach prawnych (ochrona danych osobowych, ochrona dóbr osobistych itd.) Ø  Odstąpienie konsumenta nie zwalnia od tajemnicy Ø  Tajemnica jest nieograniczona w czasie, nawet po wygaśnięciu umowy Ø  Kto jest objęty tajemnicą? ü  Oprócz zakładu ubezpieczeniowego i jego pracowników – także pośrednicy ubezpieczeniowi ü  Osoby powiązane z ZU stosunkiem cywilnoprawnym ü  Doradcy podatkowi, zewnętrzni aktuariusze
  • 39. TAJEMNICA UBEZPIECZENIOWA A DANE OSOBOWE Ø  Przepisy danej ustawy dot. przetwarzania danych stosuje się wtedy, gdy przewidują dalej idącą ochronę, niż w ustawie o ochronie danych osobowych Ø  Budowanie baz danych klientów ubezpieczającego – dozwolone (bo dotyczy nieobjętej tajemnicą informacji o ubezpieczonym i ubezpieczającym), pod warunkiem uzyskania stosownych zgód Ø  Udostępnianie danych podmiotom innym, niż wymienionym w ustawie(m.in. sądy, prokuratury, ABW, NIK, GIODO) – sporne, ale raczej dozwolone na podstawie wyraźnej zgody ubezpieczonego
  • 40. STANOWISKO KNF Ø  Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji z dnia 16 grudnia 2014 r. Ø  Analogiczne (a w zakresie CC – identycznie) - Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach (styczeń 2013) •  Procedury doboru usługodawców zewnętrznych powinny uwzględniać ryzyko związane z danymi usługami i ocenę sytuacji ekonomiczno-finansowej usługodawcy, zapewnianego poziomu bezpieczeństwa oraz jakości świadczonych usług •  Ubezpieczający/bank powinien analizować ryzyko upadłości usługodawcy lub jego nagłego wycofania się ze współpracy i posiadać plany awaryjne na wypadek takiej sytuacji •  Ubezpieczający/bank powinien monitorować jakość usług usługodawcy i okresowo prezentować spostrzeżenia zarządowi ubezpieczającego/banku
  • 41. STANOWISKO KNF – C.D. Ø  W przypadku, gdy usługodawca cloud computingu świadczy usługi obejmujące dane objęte tajemnicą, ubezpieczający/bank powinien w szczególności: •  wprowadzić adekwatne mechanizmy kontrolne zapewniające poufność danych (np. poprzez ich szyfrowanie), •  zapewnić, aby informacje o wszelkich incydentach zagrażających bezpieczeństwu danych były raportowane przez dostawcę, •  posiadać informacje o tym, w jakich lokalizacjach geograficznych dane te są przetwarzane oraz jakie przepisy prawa obowiązują tam w przedmiotowym zakresie, oraz zapewnić zgodność świadczonych usług w zakresie przetwarzania danych, z przepisami prawa obowiązującymi w Polsce, •  zapewnić skuteczne mechanizmy pozwalające na bezpieczne zakończenie współpracy (w szczególności w zakresie zwrotu danych oraz ich usunięcia), •  przeanalizować zasadność i ewentualnie wprowadzić obowiązek przedstawiania przez dostawcę certyfikatów w zakresie zgodności z uznanymi międzynarodowymi normami dotyczącymi bezpieczeństwa informacji (szczególnie w przypadku przetwarzania danych poza granicami EOG).