GoldenLine
Zaloguj się
Paweł Witek

Paweł Witek IT

Temat: Czy dane osobowe można przechowywać na dysku w chmurze?

Witam,
Czy dozwolone jest trzymanie danych osobowych na popularnych dyskach w chmurze typu dropbox, skydrive i zamieszczenie takiej informacji w polityce bezpieczeństwa? Po skasowaniu takich danych nie są one w sposób trwały usuwane, a przynajmniej nie mamy takiej pewności, więc wydaje mi się że nie można, ale może się mylę.Ten post został edytowany przez Autora dnia 20.05.15 o godzinie 21:16
Link do wypowiedziLink
Rafał Tochman

Rafał Tochman Specjalista ds.
ochrony danych
osobowych. Wspólnik
Safelo...

Temat: Czy dane osobowe można przechowywać na dysku w chmurze?

Różne opinie są na ten temat ;).
Poczytaj: http://www.goldenline.pl/grupy/Pozostale/abi/google-dr...
Link do wypowiedziLink

konto usunięte

Temat: Czy dane osobowe można przechowywać na dysku w chmurze?

niżej wklejam: Dekalog chmuroluba - może coś Cię zainteresuje
podstawa: B. Segalis - Ryzyko prawne i odpowiedzialność, InfoLawGroup 2011, (strony od 21 do 30)

Dziesięć zasad stosowania usług chmurowych przez administrację publiczną

1. Podmiot publiczny decydujący się na przekazanie choćby części swoich zasobów do chmury musi zobowiązać dostarczyciela usługi chmurowej do przekazania pełnej informacji o wszystkich fizycznych lokalizacjach serwerów na których przetwarzane są lub mogą być przetwarzane dane. Informacja o zmianie lokalizacji powinna być przekazywana podmiotowi publicznemu z rozsądnym wyprzedzeniem, tak by podmiot ten mógł rozważyć nie tylko wymagania wynikające z zasad ochrony danych osobowych ale również z zasad ochrony tajemnic prawnie chronionych oraz ewentualnych wymagań co do infrastruktury krytycznej Państwa. Wymaganie to dotyczy tym samym nie tylko przekazywania zasobów do tak zwanych państw trzecich w rozumieniu przepisów o ochronie danych osobowych, ale również do przekazywania zasobów do państw należących do EOG, a nawet do konkretnych centrów przetwarzania danych.
2. Dostarczyciel usługi chmurowej powinien umożliwić podmiotowi publicznemu pełny dostęp do dokumentacji dotyczącej zasad bezpieczeństwa oraz środków technicznych przyjmowanych w poszczególnych centrach przetwarzania danych. Informacja taka stanowi oczywiście tajemnice przedsiębiorcy dostarczającego usługi chmurowe, jest jednak niezbędna dla zapewnienia bezpieczeństwa usług publicznych.
3. Dostarczyciel usługi chmurowej jest zobowiązany przekazać pełną informację dotyczącą podwykonawców i współpracujących instytucji mających udział w realizacji usługi chmurowej. Przekazana informacja powinna umożliwić podmiotowi publicznemu ocenę wszystkich podwykonawców w „stosie chmur” oraz umożliwić mu ocenę roli każdego z tych podmiotów jako przetwarzającego dane osobowe.
4. Każdy z podwykonawców traktowany jako pod przetwarzający dane osobowe powinien być związany takimi samymi klauzulami umownymi jak dostarczyciel usług chmurowych. Dostarczyciel usług chmurowych powinien zaś zarządzać całym łańcuchem podwykonawców i ich uprawnieniami zgodnie z instrukcjami przekazanymi przez podmiot publiczny.
5. Podmiot publiczny powinien pozostawać wyłącznym administratorem danych osobowych przekazanych do chmury. Niedopuszczalna jest sytuacja, w której jakikolwiek dostarczyciel chmury – nawet jeśli sam jest podmiotem publicznym – decydowałby o celach i sposobach przetwarzania danych niezależnie od instrukcji ze strony administratora danych osobowych.
6. Dostarczyciel usługi chmurowej jest zobowiązany informować podmiot publiczny o wszelkich zobowiązaniach publicznych w stosunku do policji i organów ścigania oraz służ specjalnych w zakresie przekazywania im dostępu do danych zamieszczonych w chmurze przez podmiot publiczny będący jej użytkownikiem. Odmowa przekazania takich informacji powinna stanowić przeszkodę dla realizacji usługi chmurowej u danego dostarczyciela. Wymaganie to dotyczy oczywiście również wszystkich podwykonawców w „stosie chmur”. Jeśli podmiot publiczny podejmie decyzję, że może godzić się na taki dostęp do danych instytucji publicznych (krajowych lub zagranicznych), dostarczyciel usługi chmurowej powinien niezwłocznie informować użytkownika o wszystkich wnioskach o udostępnienie danych z jego zasobu.
7. Dostarczyciel usługi chmurowej powinien określić wspólnie z podmiotem publicznym zasady przeszukiwania, retencji i usuwania danych dostarczonych przez podmiot publiczny.
8. Dostarczyciel usługi chmurowej powinien być zobowiązany do raportowania wszystkich incydentów bezpieczeństwa danych, ze szczególnym uwzględnieniem tych, które dotyczyć mogą danych osobowych przetwarzanych przez podmiot publiczny w chmurze. Powinien również udzielić podmiotowi publicznemu wszelkiej możliwej pomocy przy zwalczaniu skutków takich incydentów bezpieczeństwa. 9. Podmiot publiczny powinien w procesie negocjacji umowy z dostarczycielem usługi chmurowej ustalić, jakie zasady wyłączenia lub ograniczenia odpowiedzialności dostarczyciela usługi mogą być zastosowane przy realizacji usługi. Powinno to w szczególności dotyczyć wyłączeń, o których mowa w dyrektywie o handlu elektronicznym, czyli mere conduit, cachingu i przede wszystkim hostingu.
10. Podmiot publiczny musi wszelkimi środkami unikać przywiązania do pojedynczego dostarczyciela usług chmurowych i jego rozwiązań technicznych. Interoperacyjność i przenaszalność danych jest podstawą dla uniknięcia „syndromu jednego dostawcy”, który musi niekorzystnie wpływać na całość realizacji zadania publicznego w chmurze1.

Wszystkie rozważania dotyczące chmur dedykowanych i prowadzenia negocjacji, mających na celu zawarcie umowy o usługę chmurową, zakładają, że przy umowach dotyczących usług innych niż przetwarzanie informacji publicznej nie można wykorzystywać umów adhezyjnych. Musi istnieć przynajmniej możliwość dedykowania usługi do potrzeb i wymagań prawnych administracji. Angażowanie się administracji publicznej w jakiekolwiek umowy adhezyjne, nie uwzględniające instrukcji ze strony organu administracji publicznej, który podejmuje się przetwarzania „swych” danych w chmurze, należy traktować jednoznacznie jako naruszenie podstawowych wymagań działania władzy publicznej na podstawie prawa i w jego granicach.

jeszcze
Wywiady z GIODO - 24.05.2011
http://www.giodo.gov.pl/393/id_art/4141/j/pl/
Link do wypowiedziLink
Paweł Witek

Paweł Witek IT

Temat: Czy dane osobowe można przechowywać na dysku w chmurze?

Dziękuję za informacje.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Czy dane osobowe można przechowywać na dysku w chmurze?

W skrócie odpowiedziałbym tak: jeżeli chodzi o Dropboxa, czy Skydrive - jest z tym duży problem, jeżeli w ogóle jest to możliwe.

Jeżeli chodzi o ochronę danych osobowych umieszczanych w chmurze to jako najważniejsze wskazałbym 2 zagadnienia - miejsce fizycznego przechowywania danych oraz zachowanie odpowiedniego nadzoru nad nimi.

1) Miejsce przechowywania danych:
Wiem, że w odniesieniu do chmury jest to problematyczne, ale przepisy dot. ochrony danych osobowych wymagają, żeby administrator danych wiedział gdzie dane będą przechowywane ponieważ musi to np. określić w swojej Polityce Bezpieczeństwa.

Miejsce przechowywanie nabiera szczególnej istotności jeżeli chodzi o lokalizację poza Europejskim Obszarem Gospodarczym. Wtedy temat robi się nieco mniej banalny.
Nie można umieścić danych osobowych poza EOG bez spełnienia odpowiednich dodatkowych wymogów prawnych. Jakich? Temu tematowi poświęcono cały 7 rozdział w ustawie o ochronie danych osobowych.
(Uwaga! Od 1.01.2015 obowiązują nowe przepisy w tym względzie)

2) Kwestia zachowania nadzoru nad danymi.
Jeżeli chociaż część infrastruktury chmury jest zarządzania przez inny podmiot to trzeba pomyśleć o odpowiednim zabezpieczeniu prawnym, zwykle jest to umowa o powierzenie danych. Ustawa o ochronie danych osobowych reguluje kwestie powierzenia w artykule 31.

Jeżeli korzystając z Dropboxa, czy Skydrive'a jesteś w stanie spełnić wymagania dotyczące obu wymienionych wyżej zagadnień to możesz tam umieścić dane osobowe, ale nie wiem czy jest to możliwe...
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Czy dane osobowe można przechowywać na dysku w chmurze?

Zwracam uwagę na jedno: Microsoft ze swoim OneDrive i Dropbox są podmiotami certyfikowanymi w programie Safe Harbor. Amazon także. Mam wrażenie, że większość z piszących o tym zapomina...
Link do wypowiedziLink
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: Czy dane osobowe można przechowywać na dysku w chmurze?

A co tak de facto nam w obecnych czasach gwarantuje Safe Harbor ?;)
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Czy dane osobowe można przechowywać na dysku w chmurze?

To samo co poprzednio. Udostępnienie do podmiotu w Safe Harbor traktuje się tak samo, jak udostępnienie w ramach UE. Nie trzeba zgody GIODO, nie trzeba podpisywać umowy zawierającej standardowe klauzule umowne. Wystarczy zwykła umowa powierzenia. Tak, wiem, powinna pisemna... Ale nawet polskie hostingi zawierające pisemną umowę na palcach jednej ręki można wyliczyć.

Chyba, że pytasz o faktyczne gwarancje zabezpieczające przed przeglądaniem danych przez trzyliterowe instytucje w Stanach :) No to tylko stary Truecrypt pozostaje...
Link do wypowiedziLink
Bronisław Kowalski

Bronisław Kowalski Niezależny
konsultant biznesu

Temat: Czy dane osobowe można przechowywać na dysku w chmurze?

W OneDrive są też standardowe klauzule umowne.
Link do wypowiedziLink
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: Czy dane osobowe można przechowywać na dysku w chmurze?

Daniel W.:
To samo co poprzednio. Udostępnienie do podmiotu w Safe Harbor traktuje się tak samo, jak udostępnienie w ramach UE. Nie trzeba zgody GIODO, nie trzeba podpisywać umowy zawierającej standardowe klauzule umowne. Wystarczy zwykła umowa powierzenia. Tak, wiem, powinna pisemna... Ale nawet polskie hostingi zawierające pisemną umowę na palcach jednej ręki można wyliczyć.

Chyba, że pytasz o faktyczne gwarancje zabezpieczające przed przeglądaniem danych przez trzyliterowe instytucje w Stanach :) No to tylko stary Truecrypt pozostaje...

Pytałem właśnie o te faktyczne gwarancje, ale nawet nie w kontekście inwigilacji przez wiadome służby, ale raczej tego, że w dużej mierze, Safe Harbor to mit - każdy z certyfikujących się podmiotów, w ramach SH deklaruje sam, że spełnia wymogi programu...jak jest w rzeczywistości - pewnie Bóg i konrtoler z Departamentu Handlu USA raczą wiedzieć :)
Link do wypowiedziLink
Mateusz Rolka

Mateusz Rolka www.kryptos.co

Temat: Czy dane osobowe można przechowywać na dysku w chmurze?

Microsoft Azure lubi się z GIODO :)
Link do wypowiedziLink
Igor Dąbrowski

Igor Dąbrowski właściciel, ID
SERVICE

Temat: Czy dane osobowe można przechowywać na dysku w chmurze?

Ja rozumiem że chmura zgodna z RODO, w której można przechowywać dane osobowe bez dodatkowych zgłoszeń, to taka, której centra danych znajdują się na terenie UE i są szyfrowane.
Np. polskie xoperocloud.pl, innych nie kojarze. O... mam cytat z itwiz.pl: s. "TSUE stwierdził nieważność decyzji Komisji Europejskiej w sprawie Tarczy Prywatności, skutkiem czego USA uznane zostało za państwo niegwarantujące standardu równoważnego dla unijnego rozporządzenia o ochronie danych osobowych (RODO). Wyrok ten ma istotne znaczenie dla ochrony danych osobowych w UE, ponieważ rozstrzyga o zgodności z przepisami RODO transgranicznego przekazywania danych osobowych do Stanów Zjednoczonych przez administratorów posiadających siedzibę w Unii Europejskiej. "
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Informacje o sieci bezprzew...




Wyślij zaproszenie do
Anuluj