Informujemy, że używamy informacji zapisywanych za pomocą plików cookies i podobnych technologii, a także uzyskujemy dostęp do tych informacji w celach statystycznych oraz zapewnienia prawidłowego działania strony www, a w szczególności utrzymania sesji po zalogowaniu. Korzystanie z naszej strony www bez zmiany standardowych ustawień przeglądarki internetowej oznacza, że wyrażasz zgodę na zapisanie plików cookies w pamięci urządzenia końcowego oraz uzyskanie dostępu do informacji zapisanych w tych plikach.

Więcej szczegółów, w tym na temat  zmiany ustawień przeglądarki internetowej znajdziesz w naszej Polityce Prywatności.

OCHRONA DANYCH OSOBOWYCH
PROWADZONY PRZEZ:

Certyfikat ISO/IEC 27018:2014 (zasady bezpieczeństwa danych w chmurze obliczeniowej)
Dodano: 12-04-2015 w kategorii: Prawa osób, których dane dotyczą, Obowiązki ADO i ABI. Dodane przez: Natalia Zawadzka.

Korzystanie z usług chmurowych może wiązać się z ryzykiem i obawą o bezpieczeństwo przechowywanych w chmurze danych. Najlepszych praktyk w zakresie przetwarzania danych w chmurze dostarczały dotychczas standardy takie jak Cloud Security Alliance Security Guidance (Wytyczne bezpieczeństwa dla krytycznych obszarów w Cloud Computing), Cloud Control Matrix (CCM) czy choćby tzw. „Dekalog Chmuroluba” (zob. więcej na ten temat: Narzędzia, które wspomagają wybór dostawcy rozwiązań chmurowych – cz. 3).

Historia ISO/IEC 27018:2014
Prace nad zbiorem standardów i zaleceń dotyczących bezpieczeństwa przetwarzania w chmurze obliczeniowej danych osobowych (Personally Identifiable Information – PII, dosł.: „informacje umożliwiające identyfikację osoby”) prowadziły również Międzynarodowa Organizacja Normalizacyjna (ISO) i Międzynarodowa Komisja Elektrotechniczna (IEC). Efektem tych działań jest opublikowana w lipcu 2014 roku norma ISO/IEC 27018:2014 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors).

Norma ta bazuje na dorobku prawnym różnych systemów, w tym państw członkowskich UE. Jej celem jest zapewnienie jakości i jednolitości standardów w zakresie ochrony danych stosowanych przez globalnych dostawców usług w chmurze działających transgranicznie. Standard rozszerza normę ISO 27001 dotyczącą zarządzania bezpieczeństwem informacji i jako pierwsza opisuje zasady bezpieczeństwa PII w chmurze publicznej.

Standardy przewidziane w ISO/IEC 27018:2014
Do podstawowych założeń przyjętych w normie należą transparentność usługi z punktu widzenia użytkownika, ustalenie jasnych standardów w zakresie praw i obowiązków dostawcy usług i użytkownika oraz wdrożenie podstawowych zasad umożliwiających przetwarzanie danych przy zapewnieniu zgodności z głównymi wymogami prawnymi wynikającymi z różnych jurysdykcji.
Dostawcy, którzy chcieliby wdrożyć normę ISO/IEC 27018:2014, powinni przede wszystkim zapewnić użytkownikom kontrolę nad przetwarzaniem ich danych, w tym:
•    zapewnić możliwość dostępu, poprawiania i usunięcia danych;
•    zapewnić, aby dane użytkowników przetwarzane były zgodnie z ich instrukcjami i wskazanym celem.
Do obowiązków dostawców należy również zapewnienie ograniczeń w ujawnianiu i dostępie do danych ze strony podmiotów trzecich np. podwykonawców (w tym obowiązek zapewniania poufności i obowiązek ujawnienia podwykonawców użytkownikom).

Ponadto dostawca musi powiadamiać o każdym przypadku uzyskania dostępu do informacji przez nieuprawniony do tego podmiot. Norma narzuca także ograniczenia co do przesyłania danych w  sieciach publicznych i przechowywania ich na nośnikach przenośnych. Wprowadza też obowiązek zapewnienia odpowiedniego szkolenia zespołowi mogącemu mieć kontakt z danymi klientów oraz podpisanie z pracownikami stosownych umów o zachowaniu poufności.

Dla użytkowników szczególnie istotny może być także fakt, że norma ISO/IEC 27018:2014 zabrania wykorzystywania wizerunku użytkownika do celów reklamowych. Zgodnie z wytycznymi, przetwarzanie informacji w celach marketingowych jest dopuszczalne wyłącznie po wyrażeniu jednoznacznej zgody przez klienta, a korzystanie z usługi nie może być uzależnione od wyrażenia takiej zgody.

Norma wymaga także przejrzystości w sprawie wniosków organów państwowych o ujawnienie danych osobowych – dane użytkownika mogą być ujawnione takim organom wyłącznie wtedy, gdy dostawca zostanie do tego prawnie zobowiązany.

Kto (i po co) może wdrożyć normę?
Norma może zostać wdrożona przez różne podmioty – przedsiębiorców, podmioty publiczne, a także organizacje non-profit, które wykonują czynności z zakresu przetwarzania danych w chmurze. Stosowanie norm jest dobrowolne, może jednak ułatwić dostawcy wykazanie, że zastosował podstawowe zasady bezpieczeństwa danych i z założenia powinno podnosić wiarygodność dostawcy w oczach użytkowników. Wdrożenie normy potwierdza certyfikat wystawiany przez akredytowaną jednostkę certyfikującą.

Należy odnotować, że pierwszym podmiotem, który oficjalnie wdrożył normę ISO/IEC 27018:2014 jest Microsoft - w połowie lutego 2015 roku firma ogłosiła, że jest pierwszym dużym dostawcą usług chmurowych zgodnych z tą normą.

Natalia Zawadzka

adwokat, Lubasz i Wspólnicy - Kancelaria Radców Prawnych
tel.: +48 502 571 079
e-mail:

cloud computing , chmura obliczeniowa , bezpieczeństwo danych

Linkedin
comments powered by Disqus

Polecamy również…

Czy zasada terytorialności w ochronie danych osobowych ma jeszcze sens?

Europejski Trybunał Sprawiedliwości w sprawach dotyczących ochrony danych co raz częściej odchodzi od jurysdykcji opartej na zasadzie terytorialności....
Dodano: 19-04-2016

Monitoring osiedla a dane osobowe

Zamykanie osiedli i stosowanie na ich obszarze monitoringu jest coraz bardziej powszechne. Działaniom takim przyświecają przede wszystkim względy bezp...
Dodano: 12-04-2016

Apple vs FBI – walka o prywatność

Firma Apple wdała się w spór dotyczący ochrony prywatności swoich użytkowników. Tym razem przeciwnikiem producenta z siedzibą w kalifornijskim Cuperti...
Dodano: 25-03-2016

Alerty prawno-podatkowe

Kategorie

Dla kogo

Tagi

ABI, ADO, akta osobowe, aplikacje mobilne, atak hakerów, bezpieczeństwo danych, chmura obliczeniowa, cloud computing, compliance, dane biometryczne, dane osobowe, dane telekomunikacyjne, dane wrażliwe, decyzje GIODO, działalność prasowa, instrukcja zarządzania systemem informatycznym, inteligentne liczniki, klauzula prasowa, kontrola GIODO, monitoring, ochrona danych, polityka bezpieczeństwa, powierzenie, pozew zbiorowy, pracodawca, pracownik, procesor, prywatność, przesłanki przetwarzania, przetwarzanie danych, reforma ochrony danych, regulamin, rejestracja zbiorów, retencja danych, rozporządzenie unijne, smart metering, sprawdzenie, sprawozdanie, udostępnienie, upoważnienie, wizerunek, wyciek danych, zbiór danych, zgoda, zmarły

Polub nas

Newsletter

Zapisz się już teraz do naszego newslettera.

Informujemy, że podanie adresu e-mail jest dobrowolne, przy czym niezbędne do korzystania z Newslettera. Osobie wypełniającej formularz przysługuje prawo dostępu do treści jej danych osobowych oraz ich poprawiania. Administratorem danych osobowych jest Lubasz i Wspólnicy Kancelaria Radców Prawnych sp.k. z siedzibą w Łodzi, ul. Żwirki 17, 90-539 Łódź, zarejestrowana w rejestrze przedsiębiorców KRS pod numerem 465886, której akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, NIP 725-20-68-627, e-mail: Dane osobowe zawarte w powyższym formularzu będą przetwarzane w celu realizacji usługi Newsletter oraz w celach marketingowych. Szczegółowe informacje znajdują się w Polityce prywatności.

Wydawca

[email protected]
2024 © portalodo.com Wszelkie prawa są chronione

Made by Webstyler