Elektroniczny Obieg Dokumentów

Transkrypt

www.radcaprawny-ciesla.pl
i
i
i
i
BEZPIECZEŃSTWO
PRAWNE
ELEKTRONICZNEGO
OBIEGU DOKUMENTÓW
i
i
Co to jest „elektroniczny obieg dokumentów” (EOD)
Elektroniczny obieg dokumentów =
system informatyczny do zarządzania obiegiem zadań,
dokumentów i informacji, działający najogólniej w oparciu o
system workflow oraz o bazy danych.
Baza danych - punkt
newralgiczny
twórca
informacja
odbiorca
nadawca
Dlaczego „elektroniczny obieg dokumentów” (EOD)
musi być bezpieczny?
x
x
Objęte tajemnicą
Nieobjęte tajemnicą
y
z
Workflow = sposób
przepływu informacji
pomiędzy rozmaitymi
obiektami biorącymi
udział w jej
gromadzeniu i
przetwarzaniu
INFORMACJA
v
q
Baza danych = kolekcja
danych zapisanych w
formie cyfrowej zgodnie z
zasadami przyjętego dla
programu komputerowego
specjalizowanego do
gromadzenia i
przetwarzania tych danych.
Dlaczego „elektroniczny obieg dokumentów” (EOD) musi być bezpieczny? C.d.
Podstawowe obszary zastosowania
elektronicznego obiegu dokumentów
Społeczeństwo
informacyjne
Sposób przepływu
informacji w
społeczeństwie
informacja cennym
towarem
Rozwój usług
finansowych w
Internecie
rozwój usług typu 3P:
przetwarzanie
przesyłanie
przechowywanie
System powinien być
chroniony przed
atakami z zewnątrz,
mogącymi
spowodować m. in.
 Utratę danych
 Przejęcie kontroli
nad danymi
 Utratę poufności
 Zniszczenie
systemu
Podstawowe obszary zastosowania elektronicznego
obiegu dokumentów
FIRMY
Sposób przepływu
dokumentów pomiędzy:
Pracownikami w jednej
firmie lub instytucji
Pomiędzy różnymi firmami
lub/i instytucjami
System powinien być
chroniony przed
atakami:
 ze strony
nielojalnych
pracowników
 z zewnątrz
RODZAJE INFORMACJI (DANYCH) W BAZACH DANYCH I W DOKUMENTACH
Informacje jawne
Bazy danych teleadresowych:
obiektów turystycznych i usługowych
urzędów
placówek służby zdrowia
sklepów internetowych
Linki komunikacyjne do:
obiektów turystycznych i usługowych
urzędów
placówek służby zdrowia
sklepów internetowych
Informacje niejawne
Prywatne dane teleadresowe:
Właścicieli obiektów turystycznych
Urzędników
Lekarzy i pielęgniarzy
Właścicieli sklepów internetowych
Klientów powyższych
Dane objęte tajemnicą handlową
szczegóły kontraktów, obroty
technologie, logistyka, organizacja
treść firmowej korespondencji
Prywatna korespondencja
Korespondencja z powyższymi
prywatne adresy komunikacyjne
treść prywatnej korespondencji
Dlaczego elektroniczny obieg dokumentów (EOD) musi być bezpieczny? C.d.
Zwykłe, chronione przepisami
ustawy o ochronie danych
osobowych
Dane osobowe
Dane wrażliwe, chronione
szczególnymi przepisami
Informacje
chronione
tajemnicą
Poufne dane
firm
Chronione przez firmy
regulaminami wewnętrznymi
(tajemnica przedsiębiorstwa)
DANE OSOBOWE:
wszystkie dane pozwalające na identyfikację konkretnej osoby fizycznej
CHRONIONE „ERGA OMNES”
OBLIGATORYJNIE
Brak
zamkniętego
katalogu –
konieczna
każdorazowa
analiza
W ZALEŻNOŚCI OD
SYTUACJI
Nieprawidłowe
przetwarzanie
rodzi
konsekwencje
prawne
włącznie z
odpowiedzialnością karną
Pochodzenie etniczne i rasowe
Poglądy polityczne
Przekonania religijne lub filozoficzne
Przynależność wyznaniowa, partyjna lub
związkowa
Stan zdrowia, kod genetyczny, nałogi, życie
seksualne
Wyroki skazujące, orzeczenia sądowe o ukaraniu,
mandaty
Osoba, której dotyczą, wyraziła zgodę na piśmie
Inna ustawa na to zezwala, przy zachowaniu
szczególnych warunków bezpieczeństwa
Przetwarza się je w celu ochrony zdrowia
Służą pracy naukowej pod warunkiem
zachowania anonimowości
Przetwarzanie dotyczy danych podanych do
publicznej wiadomości przez osobę, której dotycz
Główne składowe „elektronicznego obiegu dokumentów” (EOD)
Tworzenie
dokumentów
i
baz danych
Przechowywanie
dokumentów i
baz danych
Przesyłanie
dokumentów i
baz danych
Normy prawa regulujące wszelkie etapy przetwarzania danych osobowych i
danych wrażliwych
Normy prawa
regulujące
przetwarzanie
danych
wrażliwych
Normy prawa
polskiego
W Polsce w
elektronicznym
obiegu dokumentów
mają zastosowanie:
Normy prawa
regulujące
przetwarzanie
danych
osobowych
Dyrektywy
Parlamentu
Europejskiego
danych wrażliwych
Ustawa o ochronie danych osobowych z dnia 29 sierpnia
1997 r.
NAJWAŻNIEJSZE
NORMY PRAWA
POLSKIEGO
Ustawy regulujące ochronę danych wrażliwych, np.
Ustawa o zawodach lekarza i dentysty z 5 grudnia 1996 r.
Rozporządzenie Ministra Spraw Wewnętrznych i
Administracji w sprawie dokumentacji i warunków
technicznych systemów przetwarzania danych osobowych
Rozporządzenia Ministra Spraw Wewnętrznych i
Administracji w sprawie wzoru zgłoszenia zbioru danych
do GIODO
danych wrażliwych
w sprawie ochrony osób fizycznych w zakresie
przetwarzania i swobodnego przepływu danych
osobowych z 24 października 1995 r.
NAJWAŻNIEJSZE
DYREKTYWY
UNIJNE
w sprawie przetwarzania danych osobowych i ochrony
prywatności w dziadzinie telekomunikacji z 15 grudnia
1997 r.
w sprawie niektórych aspektów prawnych usług w
społeczeństwie informacyjnym, a w szczególności handlu
elektronicznego w strefie wolnego rynku z 8 czerwca 2000
w sprawie zatrzymywania przetwarzanych danych w
związku ze świadczeniem usług elektronicznych oraz
ochrony prywatności w zakresie komunikacji
elektronicznej z 15 marca 2006 r.
danych wrażliwych
Zalecenia
polskich
i unijnych
norm prawa
Przetwarzanie danych osobowych
wyłącznie na serwerach
umiejscowionych na poszerzonym
obszarze Unii Europejskiej
Obowiązek zabezpieczenia
przechowywanych danych przez
Administratorów i Podmioty
Przetwarzające zgodnie z wymogami
polskiej ustawy i dyrektyw Parlamentu
Europejskiego
Tajemnica przedsiębiorstwa
Kontrakty
TAJEMNICA
PRZEDSIĘBIORSTWA
Dane osobowe
pracowników
Wielkość
obrotów
Dane osobowe
członków
zarządu
technologie
obejmuje
Organizacja
i logistyka
Dane osobowe
klientów
Warsztat: które dane są chronione, a które nie
Chroniona
wewnętrznymi
przepisami firmy
Tajemnica
przedsiębiorstwa
Chroniona przepisami
prawa erga omnes
Zarząd
Decyzja o
wyborze
zabezpieczeń
(ochrony) EOD
Przedsiębiorstwo
Wynik finansowy
Wyciek danych o
Zarząd
kontraktach lub
Strata wynikająca z
technologiach
Nieprawidłowe
przetwarzanie
danych
osobowych
niewłaściwego
wyboru
zabezpieczeń:
Odpowiedzialność
cywilna i karna
za brak właściwych
środków
zabezpieczenia
Kary z mocy ustawy o danych
ochronie danych
przedsiębiorstwa
Np. Utrata
kontraktów lub
Elektroniczny obieg dokumentów a przestrzenie dyskowe
Wewnętrzne
oprogramowanie
firmy
LOKALIZACJA
ELEKTRONICZNEGO
OBIEGU
DOKUMENTÓW
Zewnętrzne
przestrzenie
dyskowe lub
zewnętrzne
oprogramowanie
usługowe
Elektroniczny obieg dokumentów a chmura obliczeniowa
Forma outsourcingu =
oprogramowanie na żądanie =
SaaS = Software as Service
Chmura
obliczeniowa
Najbardziej efektywny
ekonomicznie sposób
wdrożenia i użytkowania
rozwiązań teleinformatycznych
Elektroniczny obieg dokumentów a wybór modelu przetwarzania danych
• Koszty zakupu
programu contra
• Koszty
użytkowania
licencji
• Jakość produktu
 Analiza
ekonomiczna
 Analiza
bezpieczeństwa
danych
• Analiza danych
• Analiza
oferowanych
zabezpieczeń
• Analiza zgodności z
ustawodawstwem
 Analiza
bezpieczeństwa
prawnego
WYBÓR MODELU
Wybór modelu przetwarzania danych
Nawet przygotowywanie oferty
dla konkretnego klienta może
stanowić przetwarzanie danych
osobowych, a zatem narazić na
odpowiedzialność karną za
niewłaściwe ich przetwarzanie
Twórca
oferty EOD
muszą pamiętać, że:
Użytkownik
oferty EOD
Podczas przetwarzania w
przestrzeni wirtualnej baz
zawierających takie dane
osobowe, jak dane o
pracownikach i/ lub klientach
wiążą przepisy ustawy o
ochronie danych osobowych i
przepisy właściwych norm UE
Wybór modelu przetwarzania danych
Modele przetwarzania danych w EOD w chmurze obliczeniowej - kluczowy element
bezpieczeństwa
CHMURA
OBLICZENIOWA
KLUCZOWYM JEST
ELEMENT
BEZPIECZEŃSTWA
PRAWNEGO
Wybór dostawcy oprogramowania EOD w chmurze obliczeniowej
PYTANIE
DECYZJA: wybór
dostawcy licencji w
chmurze lub innej
ODPOWIEDŹ
Wybór dostawcy oprogramowania EOD w chmurze obliczeniowej
Analiza Ryzyka Bezpieczeństwa elektronicznego obiegu dokumentów
zasad i
mechanizmów
funkcjonowania
Osobista analiza
usługi przez
świadczeniobiorcę
Doskonała
znajomość:
zasad i
mechanizmów
funkcjonowania
Określa wymagania
związane z:
Międzynarodowa
Norma ISO 27001
 ustanowieniem,
 wdrożeniem,
 eksploatacją,
 monitorowaniem,
 przeglądem,
 utrzymaniem i
 doskonaleniem
Systemu Zarządzania
Bezpieczeństwem
Informacji
Obejmuje obszary
bezpieczeństwa:
 fizycznego
 osobowego
 teleinformatycznego
 prawnego
Szczegółowa
analiza
wszystkich faz i
elementów
usługi sieciowej
Audyt
bezpieczeństwa
Badania przeprowadza
kompetentny i
wiarygodny podmiot
Ocena
bezpieczeństwa
usługi z punktu
widzenia ryzyka
prawnego
W Polsce nie ma systemu certyfikacji
Publiczne
Certyfikaty
Bezpieczeństwa
Poświadczenie wydane przez
odpowiednie władze publiczne
potwierdzające, iż certyfikowana
usługa jest bezpieczna w określonym
w certyfikacie zakresie.
Polskę obowiązuje te same normy, które
obowiązują w całej Unii Europejskiej,
można więc korzystać z certyfikatów
wdrożonych przez inne Państwa Unii
UWAGA
W Polsce nie ma systemu certyfikacji, ale Polskę obowiązuje te same
normy, które obowiązują w całej Unii Europejskiej, więc można
korzystać z certyfikatów wdrożonych przez inne Państwa Unii.
43
Modelowy Certyfikat Publiczny
Certyfikat wydawany przez Komisję Regulatorów Rynku
Finansowego w Luksemburgu (odpowiednik Komisji
Nadzoru Finansowego w Polsce).
Certyfikat ten gwarantuje najwyższy poziom
zabezpieczenia przetwarzania i przechowywania danych
nie osobowych, ale właśnie firmowych.
44
Certyfikat ten jest udzielany firmom w szczególności
dostarczającym rozwiązania (także SaaS) dla sektora
finansowego i potwierdza najwyższy poziom
zabezpieczeń danych firmowych.
45
1. Definicja danych osobowych/ danych wrażliwych
2. Znaczna część dokumentów zawiera dane osobowe? Lub istotne
informacje firmowe. Dotyczy to zarówno firm produkcyjnych, firm
opracowujących technologie (tajemnica technologii), jak
medycznych, usług internetowych, finansowych
3. Wykaz sytuacji, w jakich przetwarzanie danych jest dozwolone
4. Wykaz aktów prawnych, które regulują bezpieczeństwo danych w
sieci``; międzynarodowych, wspólnotowych, polskich
5. Jak bazy danych osobowych mają się do sklepów internetowych,
bibliotek, portali komunikacyjnych etc
6. Zawsze można przetwarzać dane osobowe osoby, która udzieliła na
to zgody oraz osoby, która sama podała określone dane do
publicznej wiadomości
7. Lista państw, które mają certyfikaty bezpieczeństwa danych
8. Jakie kary grożą za bezprawne przetwarzanie/ ujawnienie/ wyciek
danych osobowych
9. Jakiej odpowiedzialności podlega osoba, która ujawniła dane firmy,
która te dane uznała za tajemnicę handlową
DZIĘKUJĘ ZA WYSŁUCHANIE PRELEKCJI
Stefan Cieśla
Kancelaria Radcy
Prawnego Stefan
Cieśla
Ul Foksal 18,
00-372 Warszawa
www.radcaprawnyciesla.pl
[email protected]
22 389 61 27

Elektroniczny Obieg Dokumentów

Transkrypt

Podobne dokumenty

Automatyzacja procesów - wdrożenie elektronicznego systemu

INSTYTUCJA: Politechnika Gdańska, Dział Obiegu i

6/13 z 28.01.2013 - Urząd Gminy w Pszczółkach

Elektroniczny obieg dokumentów

Elektroniczny obieg dokumentów

Outsourcing zarządzania dokumentami i back−office

e-papier Zobacz w grafice Google Rejestracja hasła

Logowanie z upoważnienia w systemie EOD 1. Po zalogowaniu na