Elektroniczny Obieg Dokumentów
Transkrypt
Elektroniczny Obieg Dokumentów
www.radcaprawny-ciesla.pl i i i i BEZPIECZEŃSTWO PRAWNE ELEKTRONICZNEGO OBIEGU DOKUMENTÓW i i www.radcaprawny-ciesla.pl Co to jest „elektroniczny obieg dokumentów” (EOD) Elektroniczny obieg dokumentów = system informatyczny do zarządzania obiegiem zadań, dokumentów i informacji, działający najogólniej w oparciu o system workflow oraz o bazy danych. Baza danych - punkt newralgiczny twórca informacja odbiorca nadawca www.radcaprawny-ciesla.pl Dlaczego „elektroniczny obieg dokumentów” (EOD) musi być bezpieczny? x x Objęte tajemnicą Nieobjęte tajemnicą y z Workflow = sposób przepływu informacji pomiędzy rozmaitymi obiektami biorącymi udział w jej gromadzeniu i przetwarzaniu INFORMACJA v q Baza danych = kolekcja danych zapisanych w formie cyfrowej zgodnie z zasadami przyjętego dla programu komputerowego specjalizowanego do gromadzenia i przetwarzania tych danych. www.radcaprawny-ciesla.pl Dlaczego „elektroniczny obieg dokumentów” (EOD) musi być bezpieczny? C.d. Podstawowe obszary zastosowania elektronicznego obiegu dokumentów Społeczeństwo informacyjne Sposób przepływu informacji w społeczeństwie informacja cennym towarem Rozwój usług finansowych w Internecie rozwój usług typu 3P: przetwarzanie przesyłanie przechowywanie System powinien być chroniony przed atakami z zewnątrz, mogącymi spowodować m. in. Utratę danych Przejęcie kontroli nad danymi Utratę poufności Zniszczenie systemu www.radcaprawny-ciesla.pl Dlaczego „elektroniczny obieg dokumentów” (EOD) musi być bezpieczny? C.d. Podstawowe obszary zastosowania elektronicznego obiegu dokumentów FIRMY Sposób przepływu dokumentów pomiędzy: Pracownikami w jednej firmie lub instytucji Pomiędzy różnymi firmami lub/i instytucjami System powinien być chroniony przed atakami: ze strony nielojalnych pracowników z zewnątrz www.radcaprawny-ciesla.pl Dlaczego „elektroniczny obieg dokumentów” (EOD) musi być bezpieczny? C.d. RODZAJE INFORMACJI (DANYCH) W BAZACH DANYCH I W DOKUMENTACH Informacje jawne Bazy danych teleadresowych: obiektów turystycznych i usługowych urzędów placówek służby zdrowia sklepów internetowych Linki komunikacyjne do: obiektów turystycznych i usługowych urzędów placówek służby zdrowia sklepów internetowych Informacje niejawne Prywatne dane teleadresowe: Właścicieli obiektów turystycznych Urzędników Lekarzy i pielęgniarzy Właścicieli sklepów internetowych Klientów powyższych Dane objęte tajemnicą handlową szczegóły kontraktów, obroty technologie, logistyka, organizacja treść firmowej korespondencji Prywatna korespondencja Korespondencja z powyższymi prywatne adresy komunikacyjne treść prywatnej korespondencji www.radcaprawny-ciesla.pl Dlaczego elektroniczny obieg dokumentów (EOD) musi być bezpieczny? C.d. Zwykłe, chronione przepisami ustawy o ochronie danych osobowych Dane osobowe Dane wrażliwe, chronione szczególnymi przepisami Informacje chronione tajemnicą Poufne dane firm Chronione przez firmy regulaminami wewnętrznymi (tajemnica przedsiębiorstwa) www.radcaprawny-ciesla.pl Dlaczego „elektroniczny obieg dokumentów” (EOD) musi być bezpieczny? C.d. DANE OSOBOWE: wszystkie dane pozwalające na identyfikację konkretnej osoby fizycznej CHRONIONE „ERGA OMNES” OBLIGATORYJNIE Brak zamkniętego katalogu – konieczna każdorazowa analiza W ZALEŻNOŚCI OD SYTUACJI Nieprawidłowe przetwarzanie rodzi konsekwencje prawne włącznie z odpowiedzialnością karną www.radcaprawny-ciesla.pl Dlaczego „elektroniczny obieg dokumentów” (EOD) musi być bezpieczny? C.d. Pochodzenie etniczne i rasowe Poglądy polityczne Przekonania religijne lub filozoficzne Przynależność wyznaniowa, partyjna lub związkowa Stan zdrowia, kod genetyczny, nałogi, życie seksualne Wyroki skazujące, orzeczenia sądowe o ukaraniu, mandaty www.radcaprawny-ciesla.pl Dlaczego „elektroniczny obieg dokumentów” (EOD) musi być bezpieczny? C.d. Osoba, której dotyczą, wyraziła zgodę na piśmie Inna ustawa na to zezwala, przy zachowaniu szczególnych warunków bezpieczeństwa Przetwarza się je w celu ochrony zdrowia Służą pracy naukowej pod warunkiem zachowania anonimowości Przetwarzanie dotyczy danych podanych do publicznej wiadomości przez osobę, której dotycz www.radcaprawny-ciesla.pl Główne składowe „elektronicznego obiegu dokumentów” (EOD) Tworzenie dokumentów i baz danych Przechowywanie dokumentów i baz danych Przesyłanie dokumentów i baz danych www.radcaprawny-ciesla.pl Normy prawa regulujące wszelkie etapy przetwarzania danych osobowych i danych wrażliwych Normy prawa regulujące przetwarzanie danych wrażliwych Normy prawa polskiego W Polsce w elektronicznym obiegu dokumentów mają zastosowanie: Normy prawa regulujące przetwarzanie danych osobowych Dyrektywy Parlamentu Europejskiego www.radcaprawny-ciesla.pl Normy prawa regulujące wszelkie etapy przetwarzania danych osobowych i danych wrażliwych Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. NAJWAŻNIEJSZE NORMY PRAWA POLSKIEGO Ustawy regulujące ochronę danych wrażliwych, np. Ustawa o zawodach lekarza i dentysty z 5 grudnia 1996 r. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji i warunków technicznych systemów przetwarzania danych osobowych Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie wzoru zgłoszenia zbioru danych do GIODO www.radcaprawny-ciesla.pl Normy prawa regulujące wszelkie etapy przetwarzania danych osobowych i danych wrażliwych w sprawie ochrony osób fizycznych w zakresie przetwarzania i swobodnego przepływu danych osobowych z 24 października 1995 r. NAJWAŻNIEJSZE DYREKTYWY UNIJNE w sprawie przetwarzania danych osobowych i ochrony prywatności w dziadzinie telekomunikacji z 15 grudnia 1997 r. w sprawie niektórych aspektów prawnych usług w społeczeństwie informacyjnym, a w szczególności handlu elektronicznego w strefie wolnego rynku z 8 czerwca 2000 w sprawie zatrzymywania przetwarzanych danych w związku ze świadczeniem usług elektronicznych oraz ochrony prywatności w zakresie komunikacji elektronicznej z 15 marca 2006 r. www.radcaprawny-ciesla.pl Normy prawa regulujące wszelkie etapy przetwarzania danych osobowych i danych wrażliwych Zalecenia polskich i unijnych norm prawa Przetwarzanie danych osobowych wyłącznie na serwerach umiejscowionych na poszerzonym obszarze Unii Europejskiej Obowiązek zabezpieczenia przechowywanych danych przez Administratorów i Podmioty Przetwarzające zgodnie z wymogami polskiej ustawy i dyrektyw Parlamentu Europejskiego www.radcaprawny-ciesla.pl Tajemnica przedsiębiorstwa Kontrakty TAJEMNICA PRZEDSIĘBIORSTWA Dane osobowe pracowników Wielkość obrotów Dane osobowe członków zarządu technologie obejmuje Organizacja i logistyka Dane osobowe klientów Warsztat: które dane są chronione, a które nie www.radcaprawny-ciesla.pl Tajemnica przedsiębiorstwa Chroniona wewnętrznymi przepisami firmy Tajemnica przedsiębiorstwa Chroniona przepisami prawa erga omnes www.radcaprawny-ciesla.pl Tajemnica przedsiębiorstwa Zarząd Decyzja o wyborze zabezpieczeń (ochrony) EOD Przedsiębiorstwo Wynik finansowy Wyciek danych o Zarząd kontraktach lub Strata wynikająca z technologiach Nieprawidłowe przetwarzanie danych osobowych niewłaściwego wyboru zabezpieczeń: Odpowiedzialność cywilna i karna za brak właściwych środków zabezpieczenia Kary z mocy ustawy o danych ochronie danych przedsiębiorstwa Np. Utrata kontraktów lub www.radcaprawny-ciesla.pl Elektroniczny obieg dokumentów a przestrzenie dyskowe Wewnętrzne oprogramowanie firmy LOKALIZACJA ELEKTRONICZNEGO OBIEGU DOKUMENTÓW Zewnętrzne przestrzenie dyskowe lub zewnętrzne oprogramowanie usługowe www.radcaprawny-ciesla.pl Elektroniczny obieg dokumentów a chmura obliczeniowa Forma outsourcingu = oprogramowanie na żądanie = SaaS = Software as Service Chmura obliczeniowa Najbardziej efektywny ekonomicznie sposób wdrożenia i użytkowania rozwiązań teleinformatycznych www.radcaprawny-ciesla.pl Elektroniczny obieg dokumentów a wybór modelu przetwarzania danych • Koszty zakupu programu contra • Koszty użytkowania licencji • Jakość produktu Analiza ekonomiczna Analiza bezpieczeństwa danych • Analiza danych • Analiza oferowanych zabezpieczeń • Analiza zgodności z ustawodawstwem Analiza bezpieczeństwa prawnego WYBÓR MODELU www.radcaprawny-ciesla.pl Wybór modelu przetwarzania danych Nawet przygotowywanie oferty dla konkretnego klienta może stanowić przetwarzanie danych osobowych, a zatem narazić na odpowiedzialność karną za niewłaściwe ich przetwarzanie Twórca oferty EOD muszą pamiętać, że: Użytkownik oferty EOD Podczas przetwarzania w przestrzeni wirtualnej baz zawierających takie dane osobowe, jak dane o pracownikach i/ lub klientach wiążą przepisy ustawy o ochronie danych osobowych i przepisy właściwych norm UE www.radcaprawny-ciesla.pl Wybór modelu przetwarzania danych www.radcaprawny-ciesla.pl Modele przetwarzania danych w EOD w chmurze obliczeniowej - kluczowy element bezpieczeństwa CHMURA OBLICZENIOWA KLUCZOWYM JEST ELEMENT BEZPIECZEŃSTWA PRAWNEGO www.radcaprawny-ciesla.pl Wybór dostawcy oprogramowania EOD w chmurze obliczeniowej PYTANIE DECYZJA: wybór dostawcy licencji w chmurze lub innej ODPOWIEDŹ www.radcaprawny-ciesla.pl Wybór dostawcy oprogramowania EOD w chmurze obliczeniowej www.radcaprawny-ciesla.pl Analiza Ryzyka Bezpieczeństwa elektronicznego obiegu dokumentów zasad i mechanizmów funkcjonowania Osobista analiza usługi przez świadczeniobiorcę Doskonała znajomość: zasad i mechanizmów funkcjonowania www.radcaprawny-ciesla.pl Analiza Ryzyka Bezpieczeństwa elektronicznego obiegu dokumentów Określa wymagania związane z: Międzynarodowa Norma ISO 27001 ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji Obejmuje obszary bezpieczeństwa: fizycznego osobowego teleinformatycznego prawnego www.radcaprawny-ciesla.pl Analiza Ryzyka Bezpieczeństwa elektronicznego obiegu dokumentów Szczegółowa analiza wszystkich faz i elementów usługi sieciowej Audyt bezpieczeństwa Badania przeprowadza kompetentny i wiarygodny podmiot Ocena bezpieczeństwa usługi z punktu widzenia ryzyka prawnego www.radcaprawny-ciesla.pl Analiza Ryzyka Bezpieczeństwa elektronicznego obiegu dokumentów W Polsce nie ma systemu certyfikacji Publiczne Certyfikaty Bezpieczeństwa Poświadczenie wydane przez odpowiednie władze publiczne potwierdzające, iż certyfikowana usługa jest bezpieczna w określonym w certyfikacie zakresie. Polskę obowiązuje te same normy, które obowiązują w całej Unii Europejskiej, można więc korzystać z certyfikatów wdrożonych przez inne Państwa Unii www.radcaprawny-ciesla.pl UWAGA W Polsce nie ma systemu certyfikacji, ale Polskę obowiązuje te same normy, które obowiązują w całej Unii Europejskiej, więc można korzystać z certyfikatów wdrożonych przez inne Państwa Unii. 43 www.radcaprawny-ciesla.pl Modelowy Certyfikat Publiczny Certyfikat wydawany przez Komisję Regulatorów Rynku Finansowego w Luksemburgu (odpowiednik Komisji Nadzoru Finansowego w Polsce). Certyfikat ten gwarantuje najwyższy poziom zabezpieczenia przetwarzania i przechowywania danych nie osobowych, ale właśnie firmowych. 44 www.radcaprawny-ciesla.pl Certyfikat ten jest udzielany firmom w szczególności dostarczającym rozwiązania (także SaaS) dla sektora finansowego i potwierdza najwyższy poziom zabezpieczeń danych firmowych. 45 1. Definicja danych osobowych/ danych wrażliwych 2. Znaczna część dokumentów zawiera dane osobowe? Lub istotne informacje firmowe. Dotyczy to zarówno firm produkcyjnych, firm opracowujących technologie (tajemnica technologii), jak medycznych, usług internetowych, finansowych 3. Wykaz sytuacji, w jakich przetwarzanie danych jest dozwolone 4. Wykaz aktów prawnych, które regulują bezpieczeństwo danych w sieci``; międzynarodowych, wspólnotowych, polskich 5. Jak bazy danych osobowych mają się do sklepów internetowych, bibliotek, portali komunikacyjnych etc 6. Zawsze można przetwarzać dane osobowe osoby, która udzieliła na to zgody oraz osoby, która sama podała określone dane do publicznej wiadomości 7. Lista państw, które mają certyfikaty bezpieczeństwa danych 8. Jakie kary grożą za bezprawne przetwarzanie/ ujawnienie/ wyciek danych osobowych 9. Jakiej odpowiedzialności podlega osoba, która ujawniła dane firmy, która te dane uznała za tajemnicę handlową www.radcaprawny-ciesla.pl DZIĘKUJĘ ZA WYSŁUCHANIE PRELEKCJI Stefan Cieśla Kancelaria Radcy Prawnego Stefan Cieśla Ul Foksal 18, 00-372 Warszawa www.radcaprawnyciesla.pl [email protected] 22 389 61 27