Chmura – regulacje

Prawne aspekty chmury publicznej!
Maciej Gawroński | Bird & Bird"
Sebastian Szumczyk | IBM"
Agenda prawnika!
• 
• 
• 
• 
Czy Cloud jest uregulowany?"
Czym dla prawnika jest Cloud?"
Czy jest bezpiecznie?"
Co warto zmienić?"
TAK, Cloud jest uregulowany!
"
"
Cloud to:"
(1) powierzenie przetwarzania danych"
(2) powierzenie tajemnicy"
(3) outsourcing procesu"
"
Chmura – regulacje !
Regulacje kontraktowe Wszystkie dane Dane osobowe Regulacje ochronny danych osobowych Dane krytyczne Regulacje sektorowe (np. tajemnica bankowa, informacje niejawne) Tajemnica przedsiębiorstwa OCHRONA DANYCH"
Przepisy!
!
!
!
Dyrektywa UE o ochronie danych
Dyrektywa 95/46/WE PE i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego
przepływu tych danych!
Dokumenty Grupy Roboczej Art. 29!
!
Ustawa o ochronie danych osobowych "
z dnia 29 sierpnia 1997
Rozporządzenie o dokumentacji i zabezpieczeniu
Rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania
danych osobowych"
!
!
"
WHO IS WHO!
ADMINISTRATOR DANYCH [CONTROLER] -­‐ Klient chmury Powierzenie !
przetwarzania danych !
osobowych!
Dostawca chmury Dostawca chmury PRZETWARZAJĄCY [PROCESSOR] Podmioty danych"
Chmura krajowa!
Przepisy polskie Chmura krajowa Chmura EU"
Jakie przepisy stosuje się w przypadku gdy centrum przetwarzania danych znajduje się poza granicami Polski, np. w Amsterdamie? Swoboda przepływu danych w UE"
"
Prawo POWIERZAJĄCEGO "
"
dodatkowo "
"
Techniczne środki ochrony danych
PROCESORA"
TRANSFERY DANYCH"
Chmura międzynarodowa Przepisy polskie EKSPORT DANYCH
Chmura krajowa W ramach EOG
Poza EOG
Przepisy POWIERZAJĄCEGO + środki techniczne PROCESORA Adekwatna
ochrona
Nieadekwatna
ochrona
Jak w ramach EOG Zgoda GIODO, Przepisy POWIERZAJĄCEGO Decyzje KE
np. CH, CA, UY
Safe Harbor
USA
BCR
SCC
TAJEMNICA"
Tajemnicze przykłady"
•  tajemnica bankowa (104)"
•  tajemnica ubezpieczeniowa"
•  tajemnica lekarska"
•  tajemnica przedsiębiorstwa (uznk)"
•  tajemnica urzędnicza"
a w przyszłości"
•  informacja niejawna (tajemnica państwowa)"
•  tajemnica spowiedzi?"
OUTSOURCING!
Prawo bankowe 6a-6d"
PRZYKŁADY!
outsourcing bankowy"
• BCP "
• zakaz ograniczeń odpowiedzialności"
• podoutsourcing"
outsourcing danych medycznych"
• konieczny ale niezbyt konkretnie uregulowany"
"
CZY JEST BEZPIECZNIE?!
"
"
"
"
"
"
"
prawnicy i wewnętrzne działy IT KLIENT CHMURY Maratończyk (1976)"
"
Dostawca Chmury C.I.A.!
•  Bezpieczeństwo informacji "
"np. "ISO 27000"
"
•  Ciągłość działania "
"np. ISO 22301:2012"
"
Podstawy regulacji cloudu i outsourcingu!"
POSTULAT!
Znieść "
zakaz ograniczeń
odpowiedzialności "
w outsourcingu bankowym!"
Istotne czynniki przy wyborze dostawcy chmury"
•  Czy cloud computing jest podstawową działalnością usługodawcy?"
•  Jak długo firma oferuje swoje usługi?"
•  Czy dostawca chmury jest stabilny finansowo?"
•  Czy fizyczne bezpieczeństwo ośrodków obliczeniowych (DC) spełnia
potrzeby prawne, regulacyjne i biznesowe?"
•  Czy dostawca zapewnia możliwość zdefiniowania i zrealizowania
planów ciągłości działania i odtwarzania po awarii?"
•  Jaki jest poziom wiedzy technicznej w ramach zespołów wsparcia i
operacji?"
•  Czy dostawca zapewnia odszkodowanie w przypadku braku
działania infrastruktury?"
SLA - przykłady"
SofLayer [unmanaged | managed] Unmanaged HW Managed < 2h -­‐ HW 30min 5% 2.1–6h 20% Support 15min-­‐2h $250 per zgłoszenie 6.1–10h 40% Backup >2h $250 per zgłoszenie 10.1-­‐14h 60% Monitoring >2h $250 per zgłoszenie 14.1-­‐18h 80% itd. > 18h 100% Stoisko „Rozwiązania w chmurze” "
-  Spotkania z prelegentami panelu
„Rozwiązania w chmurze” oraz
innymi ekspertami IBM"
-  Dostęp do bezpłatnej, 30-dniowej
wersji próbnej chmury SoftLayer"
"
-  Książki „Cloud for Dummies”"
Godz. 13:10 - 16:00"
Miejsce: główna sala "
"
"
"
"
Zapraszamy !!!!!
& Cloud Computing!
Maciej Gawroński, partner zarządzający
warszawskim biurem międzynarodowej praktyki
prawniczej Bird & Bird
Ekspert Komisji Europejskiej ds Kontraktów Cloud
Computingowych
Cloud Computing w Sektorze Finansowym
Regulacje i Standardy – Raport dla Związku Banków
Polskich
Cloud Computing Law by Bird & Bird – iPad App
Prawo chmury wykład na studiach podyplomowych
SGH Zastosowanie technologii cloud computingu w
modelowaniu biznesowym 2013/14
maciej.gawronski
@twobirds.com Dziękujemy
hip://www.ibm.com/big-­‐data/pl/pl/big-­‐data-­‐and-­‐analylcs/