REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Zasady bezpieczeństwa danych w chmurze obliczeniowej

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
Lubasz i Wspólnicy
Kancelaria Radców Prawnych
Zasady bezpieczeństwa danych w chmurze obliczeniowej
Zasady bezpieczeństwa danych w chmurze obliczeniowej

REKLAMA

REKLAMA

Korzystanie z usług chmurowych może wiązać się z ryzykiem i obawą o bezpieczeństwo przechowywanych w chmurze danych. Najlepszych praktyk w zakresie przetwarzania danych w chmurze dostarczały dotychczas standardy takie jak Cloud Security Alliance Security Guidance (Wytyczne bezpieczeństwa dla krytycznych obszarów w Cloud Computing), Cloud Control Matrix (CCM) czy choćby tzw. „Dekalog Chmuroluba”.

Historia ISO/IEC 27018:2014

REKLAMA

REKLAMA

Prace nad zbiorem standardów i zaleceń dotyczących bezpieczeństwa przetwarzania w chmurze obliczeniowej danych osobowych (Personally Identifiable Information – PII, dosł.: „informacje umożliwiające identyfikację osoby”) prowadziły również Międzynarodowa Organizacja Normalizacyjna (ISO) i Międzynarodowa Komisja Elektrotechniczna (IEC). Efektem tych działań jest opublikowana w lipcu 2014 roku norma ISO/IEC 27018:2014 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors).

Norma ta bazuje na dorobku prawnym różnych systemów, w tym państw członkowskich UE. Jej celem jest zapewnienie jakości i jednolitości standardów w zakresie ochrony danych stosowanych przez globalnych dostawców usług w chmurze działających transgranicznie. Standard rozszerza normę ISO 27001 dotyczącą zarządzania bezpieczeństwem informacji i jako pierwsza opisuje zasady bezpieczeństwa PII w chmurze publicznej.

50 Ściąg Księgowego z aktualizacją online

Standardy przewidziane w ISO/IEC 27018:2014

Dalszy ciąg materiału pod wideo


Do podstawowych założeń przyjętych w normie należą transparentność usługi z punktu widzenia użytkownika, ustalenie jasnych standardów w zakresie praw i obowiązków dostawcy usług i użytkownika oraz wdrożenie podstawowych zasad umożliwiających przetwarzanie danych przy zapewnieniu zgodności z głównymi wymogami prawnymi wynikającymi z różnych jurysdykcji.

REKLAMA


Dostawcy, którzy chcieliby wdrożyć normę ISO/IEC 27018:2014, powinni przede wszystkim zapewnić użytkownikom kontrolę nad przetwarzaniem ich danych, w tym:
•    zapewnić możliwość dostępu, poprawiania i usunięcia danych;
•    zapewnić, aby dane użytkowników przetwarzane były zgodnie z ich instrukcjami i wskazanym celem.

Do obowiązków dostawców należy również zapewnienie ograniczeń w ujawnianiu i dostępie do danych ze strony podmiotów trzecich np. podwykonawców (w tym obowiązek zapewniania poufności i obowiązek ujawnienia podwykonawców użytkownikom).

Ponadto dostawca musi powiadamiać o każdym przypadku uzyskania dostępu do informacji przez nieuprawniony do tego podmiot. Norma narzuca także ograniczenia co do przesyłania danych w  sieciach publicznych i przechowywania ich na nośnikach przenośnych. Wprowadza też obowiązek zapewnienia odpowiedniego szkolenia zespołowi mogącemu mieć kontakt z danymi klientów oraz podpisanie z pracownikami stosownych umów o zachowaniu poufności.

Dla użytkowników szczególnie istotny może być także fakt, że norma ISO/IEC 27018:2014 zabrania wykorzystywania wizerunku użytkownika do celów reklamowych. Zgodnie z wytycznymi, przetwarzanie informacji w celach marketingowych jest dopuszczalne wyłącznie po wyrażeniu jednoznacznej zgody przez klienta, a korzystanie z usługi nie może być uzależnione od wyrażenia takiej zgody.

Norma wymaga także przejrzystości w sprawie wniosków organów państwowych o ujawnienie danych osobowych – dane użytkownika mogą być ujawnione takim organom wyłącznie wtedy, gdy dostawca zostanie do tego prawnie zobowiązany.

Koszty pracy po zmianach - multipakiet: książka, program, CD, teleporadnia

Kto (i po co) może wdrożyć normę?

Norma może zostać wdrożona przez różne podmioty – przedsiębiorców, podmioty publiczne, a także organizacje non-profit, które wykonują czynności z zakresu przetwarzania danych w chmurze. Stosowanie norm jest dobrowolne, może jednak ułatwić dostawcy wykazanie, że zastosował podstawowe zasady bezpieczeństwa danych i z założenia powinno podnosić wiarygodność dostawcy w oczach użytkowników. Wdrożenie normy potwierdza certyfikat wystawiany przez akredytowaną jednostkę certyfikującą.

Należy odnotować, że pierwszym podmiotem, który oficjalnie wdrożył normę ISO/IEC 27018:2014 jest Microsoft - w połowie lutego 2015 roku firma ogłosiła, że jest pierwszym dużym dostawcą usług chmurowych zgodnych z tą normą.

Artykuł pochodzi z serwisu www.PortalODO.com prowadzonego przez Kancelarię Lubasz i Wspólnicy.

Natalia Zawadzka

Zapisz się na newsletter
Chcesz uniknąć błędów? Być na czasie z najnowszymi zmianami w podatkach? Zapisz się na nasz newsletter i otrzymuj rzetelne informacje prosto na swoją skrzynkę.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
KSeF 2.0: firmy będą miały tylko 4 miesiące na testy. Co trzeba zrobić już teraz?

W czerwcu 2025 r. – zgodnie z harmonogramem – Ministerstwo Finansów udostępniło dokumentację interfejsu API KSeF 2.0. Jest to jednak materiał dla integratorów systemów i dostawców oprogramowania. Firmy wciąż czekają na udostępnienie środowiska testowego, które zaplanowano na koniec września. Konkretne testy będą więc mogły zacząć się dopiero w październiku. Tymczasem obowiązek korzystania z Krajowego Systemu e-Faktur dla części firm wchodzi już w lutym – oznacza to niewiele czasu na przygotowanie.

Projekt ustawy wdrażającej obowiązkowy KSeF po pierwszym czytaniu w Sejmie. Co się zmienia a co pozostaje bez zmian [komentarz eksperta]

W dniu 9 lipca 2025 r., Sejm przeprowadził pierwsze czytanie i skierował do prac w komisji finansów projekt ustawy zakładającej wdrożenie obowiązkowego Krajowego Systemu e-Faktur (KSeF). Wszystkie kluby i koła poselskie zapowiedziały dalsze prace nad projektem. Prace legislacyjne wchodzą w końcową fazę. Z coraz większą pewnością możemy więc stwierdzić, że obowiązkowy KSeF będzie wdrażany w dwóch etapach - od 1 lutego 2026 i od 1 kwietnia 2026 r.

Podatek u źródła 2025: Objaśnienia podatkowe ministra finansów dot. statusu rzeczywistego właściciela. Praktyczne szanse i nieoczywiste zagrożenia

Po latach oczekiwań i licznych postulatach ze strony środowisk doradczych oraz biznesowych, Ministerstwo Finansów opublikowało długo zapowiadane objaśnienia dotyczące statusu rzeczywistego właściciela w kontekście podatku u źródła (WHT). Teraz nadszedł czas, by bardziej szczegółowo przyjrzeć się poszczególnym zagadnieniom. Dokument z 3 lipca 2025 r., opublikowany na stronie MF 9 lipca, ma na celu rozwianie wieloletnich wątpliwości dotyczących stosowania klauzuli „beneficial owner”. Choć sam fakt publikacji należy ocenić jako krok w stronę większej przejrzystości i przewidywalności, nie wszystkie zapisy spełniły oczekiwania.

Polski podatek cyfrowy jeszcze w tym roku? Rząd nie ogląda się na Brukselę

Choć Komisja Europejska wycofała się z planów nałożenia podatku cyfrowego, Polska idzie własną drogą. Minister cyfryzacji Krzysztof Gawkowski zapowiada, że projekt ustawy będzie gotowy do końca roku.

REKLAMA

KSeF 2026: koniec z papierowymi fakturami, zmiany w obiegu dokumentów i obsłudze procesu sprzedaży w firmie

W przyszłym roku w Polsce zostanie uruchomiony obowiązkowy system fakturowania za pomocą Krajowego Systemu e-Faktur (KSeF). Obowiązek ten wejdzie w życie na początku 2026 roku i wynika z procedowanego w Parlamencie projektu ustawy o zmianie ustawy o podatku od towarów i usług. Aktualny postęp prac legislacyjnych nad projektem, oznaczonym numerem druku 1407, można śledzić na stronach Sejmu.

Składki ZUS dla małych firm w 2025 roku - preferencje: ulga na start, mały ZUS plus i wakacje składkowe

Ulga na start, preferencyjne składki, czy „Mały ZUS plus”, a także wakacje składkowe – to propozycje wsparcia dla małych przedsiębiorców. Korzyści to możliwość opłacania niższych składek lub ich brak. Warto też zwrócić uwagę na konsekwencje z tym związane. ZUS tłumaczy kto i z jakich ulg może skorzystać oraz jakie są zagrożenia z tym związane.

Zwracasz pracownikom wydatki na taksówki – czy musisz pobrać zaliczkę na podatek PIT? Najnowsze wyjaśnienia fiskusa (taksówki w podróży służbowej i w czasie wyjścia służbowego)

Pracodawcy mają wątpliwości, czy w przypadku zwracania pracownikom wydatków na taksówki (kiedy to pracownicy wykonują obowiązki służbowe – zarówno w podróży służbowej jak i w czasie tzw. wyjścia służbowego), trzeba od tych kwot pobierać zaliczki na podatek dochodowy? Pod koniec czerwca 2025 r. wyjaśnił to dokładnie Dyrektor Krajowej Informacji Skarbowej. Kilka miesięcy wcześniej odpowiedzi na to pytanie udzielił Minister Finansów.

Minister Majewska chce uproszczenia ZUS dla firm – konkretne propozycje zmian już na stole

Minister Agnieszka Majewska zaproponowała szereg zmian w przepisach dotyczących ubezpieczeń społecznych, które mają ułatwić życie mikro, małym i średnim przedsiębiorcom. Wśród postulatów znalazły się m.in. podniesienie limitu Małego ZUS Plus, likwidacja składki rentowej dla emerytów-przedsiębiorców, uproszczenia przy wakacjach składkowych oraz ułatwienia dla łączących biznes z rodzicielstwem.

REKLAMA

Miliardy z KPO usprawniają kolejową infrastrukturę

Prawie 11,5 mld zł warte są inwestycje realizowane ze środków Krajowego Planu Odbudowy i Zwiększenia Odporności (KPO) przez PKP Polskie Linie Kolejowe S.A. Zarządzająca infrastrukturą kolejową spółka, która jest największym beneficjentem KPO, zawarła już ponad 120 umów z wykonawcami na kwotę 8 mld zł. Przeszło 160 prowadzonych zadań ma przyczynić się do zwiększenia prędkości pociągów, a także zwiększenia przepustowości tras oraz usprawnienia zarządzania ruchem kolejowym. Inwestycje poprawiają bezpieczeństwo ruchu i komfort obsługi podróżnych. Na stacjach i przystankach budowany jest nowoczesny system informacji pasażerskiej, a ich infrastruktura - dopasowywana do potrzeb osób o ograniczonej mobilności.

Darowizna od brata ponad limit 36 120 zł. Jakie warunki muszą zostać spełnione, aby nie stracić prawa do zwolnienia podatkowego?

Co robić gdy darowizna przekazana przez brata przekracza limit kwoty wolnej w wysokości 36 120 zł? Czy podlegała zwolnieniu od podatku od spadków i darowizn, pomimo że jest dokonywana z majątku wspólnego brata i jego małżonki? Jakie warunki muszą zostać spełnione, żeby nie stracić prawa do zwolnienia?

REKLAMA