Embed Size (px)
Citation preview
OCHRONA DANYCH OSOBOWYCH W OVH
Powstała w 1999 r., firma OVH jest dzisiaj jednym z głównych dostawców rozwiązań chmurowych na świecie, obecnym w 19 krajach. Naszym priorytetem jest satysfakcja ponad miliona naszych klientów oraz bezpieczeństwo ich danych osobowych.
Korzystanie z usług hostingowych wiąże się dla klienta z decyzją o powierzeniu wrażliwych informacji podmiotowi zewnętrznemu. Jesteśmy świadomi wyzwań, jakie się z tym wiążą, w szczególności w zakresie zgodności z regulacjami prawnymi. Dlatego też udostępniamy kompendium wiedzy dotyczące ochrony danych osobowych.
W W W. O V H. P L
D L AC Z E G O W Y B Ó R D O STAW C Y R O Z W I Ą Z A Ń C H M U R OW YC H J E ST TA K WA Ż N Y
1
ZO B OW I Ą Z A N I A O V H JA KO P O D M I OT U P R Z E T WA R Z A JĄC E G O DA N E O S O B OW E
2
ZO B OW I Ą Z A N I A O V H W Z A K R E S I E B E Z P I E C Z E Ń ST WA3
3
4
7
1 Artykuł 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych: http://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679
2 WP29, Rekomendacje dla przedsiębiorstw mających zamiar korzystać z usług cloud computing: https://cnpd.public.lu/content/dam/cnpd/fr/actualites/international/2012/07/G29-cloud-computing/WP196_en.pdf
1.2. Kryterium inteligencji rynkowej
OVH jest przedsiębiorstwem typu pure player, które prowadzi jeden typ działalności, a mianowicie dostarcza infrastrukturę IT, w szczególności zaś infrastrukturę cloud. Nie prowadzi, bezpośrednio lub poprzez inne podmioty czy swoje oddziały, działalności konkurencyjnej w stosunku do działalności klientów OVH, takiej jak sprzedaż online czy też produkcja oprogramowania. Uważamy za szkodliwe sytuacje, w których organizacje finansują, poprzez zakup usług chmurowych, konkurencyjne przedsiębiorstwa powiązane z dostawcą, który dywersyfikuje swoją działalności.
D L AC Z E G O W Y B Ó R D O STAW C Y R O Z W I Ą Z A Ń C H M U R OW YC H J E ST TA K WA Ż N Y
1.1. Kryterium zgodności z regulacjami prawnymi
Kwestie techniczne nie mogą być jedynym kry-terium wyboru dostawcy rozwiązań chmuro-wych. Regulacje prawne, takie jak Rozporzą-dzenie Parlamentu Europejskiego i Rady (UE) 2016/679, nazywane Ogólnym Rozporządze-niem o Ochronie Danych Osobowych (RODO), jak również wyzwania etyczne i ekonomicz-ne związane z lokalizacją danych określonego podmiotu, skłaniają do szerszego spojrzenia — wykraczającego poza uwarunkowania techno-logiczne. OVH zapewnia, że świadczone przez nią usługi są nie tylko wydajne i bezpieczne, ale również transparentne pod względem lokaliza-cji i zgodne z przepisami prawa.
Taka gwarancja jest kluczowa dla wszystkich podmiotów chcących powierzyć przetwarzanie i przechowywanie danych zewnętrznemu do-stawcy: zachowanie zgodności z prawem jest w ich przypadku uzależnione od tego, czy do-stawca usług chmurowych respektuje przepisy prawa. A zatem to właśnie dzięki normom sto-sowanym przez OVH klient będzie mógł wypeł-
niać spoczywające na nim obowiązki prawne. Mówi o tym artykuł 28 RODO, który stanowi, że „administrator” powinien „korzystać wyłącznie z usług takich podmiotów przetwarzających, któ-re zapewniają wystarczające gwarancje wdro-żenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia1”.
Grupa Robocza art. 29 ds. ochrony danych osobowych, w skład której wchodzi między innymi Generalny Inspektor Ochrony Danych Osobowych, rekomenduje, aby „przedsiębior-stwo [...] mające zamiar korzystać z usług clo-ud computing przeprowadziło analizę ryzyka, i aby było bardzo restrykcyjne w wyborze swo-jego dostawcy. W szczególności przedsiębior-stwo takie powinno sprawdzić, jakie gwarancje w zakresie ochrony danych osobowych zapew-nia dostawca oraz upewnić się, czy dostarczy on wszystkie niezbędne zabezpieczenia po-zwalające wypełnić obowiązki przedsiębiorcy wobec prawa.2”
1
3
ZO B OW I Ą Z A N I A O V H JA KO P O D M I OT U P R Z E T WA R Z A JĄC E G O DA N E O S O B OW E
OVH występuje w charakterze podmiotu przetwarzającego, kiedy przetwarza dane osobowe w imieniu administratora. To typowy przypadek, kiedy klient korzysta z usług firmy OVH i przechowuje dane osobowe na jej serwerach.
1. Nieużywanie danych klienta do własnych celów
OVH zobowiązuje się do przetwarzania danych osobowych klienta wyłącznie do ce-lów związanych z właściwą realizacją usług i wyłącznie zgodnie z jego instrukcjami.
Dane przechowywane na infrastrukturze OVH pozostają własnością klienta.
OVH gwarantuje, że nie będzie odsprzedawać danych klienta ani nie będzie wyko-rzystywać ich do celów marketingowych (takich jak np. profilowanie czy marketing bezpośredni).
2. Zapewnienie odwracalności danych klienta
Odwracalność danych (to znaczy możliwość przesyłania lub pobierania danych w standardowym formacie) jest jedną z podstaw otwartej chmury obliczeniowej (open cloud). Nie wszystkie oferty rozwiązań chmurowych dostępne na rynku umoż-liwiają przenoszenie danych lub jest to skomplikowany proces wynikający z blokad technologicznych. Usługi cloud computing są strategicznymi zasobami firm. Zbyt ważnymi, aby podejmować ryzyko lub dożywotnio wiązać się z jednym dostawcą. Wspieranie idei otwartej chmury ma na celu uniemożliwienie dominującemu gra-czowi narzucenie jego własnych zasad tylko dlatego, że kontroluje część rynku.
Dlatego rozwiązania cloud OVH opierają się na uznawanych standardach techno-logicznych, w tym na wielu technologiach open source. Dzięki temu klienci mogą z łatwością przenosić swoje dane: odwracalność i interoperacyjność są podstawą tego procesu.
2
4
4. Przejrzystość w zakresie korzystania z usług podwykonawców
OVH kontroluje cały łańcuch dostawy usług hostingowych, począwszy od produkcji serwerów, a na zarządzaniu centrami danych kończąc. Z wyjątkiem spółek zależ-nych OVH i, o ile nie jest to wyraźnie określone w szczegółowych warunkach świad-czenia usługi, żadne inne przedsiębiorstwo nie ma wglądu ani dostępu do danych klientów OVH.
Lista spółek zależnych OVH dostępna jest na naszej stronie WWW. Można ją też uzyskać od pracowników Działu Obsługi Klienta. Wśród spółek tych znajdują się głównie oddziały zagraniczne OVH, takie jak: OVH Francja, OVH Niemcy, OVH Hiszpania, etc.
Ponieważ celem OVH jest maksymalna ochrona danych klientów, OVH US nie jest z prawnego punktu widzenia spółką zależną. Jest podmiotem całkowicie niezależ-nym od oddziałów europejskich. W przypadku dodania do listy spółek zależnych nowej spółki OVH ma obowiązek poinformować o tym fakcie klientów z trzydziesto-dniowym wyprzedzeniem.
Gdyby firma OVH planowała w przyszłości zlecić podwykonawcy działania wiążące się z koniecznością wglądu lub dostępu do danych, podjęcie tego kroku uzależnione byłoby od uprzedniej zgody klientów.
3. Transparentność lokalizacji przechowywania i przetwarzania danych
Gdy klient zamówi usługę przechowywania treści, w szczególności danych oso-bowych, będzie mógł sprawdzić na stronie WWW OVH dokładną lokalizację lub region geograficzny, w którym są one przechowywane. Ponadto, w momencie skła-dania zamówienia, klient może wybrać preferowaną lokalizację lub obszar geogra-ficzny, w którym mają być przechowywane jego dane (pod warunkiem dostępności kilku lokalizacji lub regionów).
Należy pamiętać, że „przechowywanie danych” nie jest synonimem „przetwarzania danych”. RODO określa odrębne reguły w przypadku „przetwarzania danych”, w od-różnieniu od zwykłego „przechowywania”. Zalecamy zatem szczególną ostrożność przy stosowaniu tych dwóch terminów.
Kiedy klient wybiera jako obszar przechowywania danych terytorium znajdujące się w Unii Europejskiej, OVH gwarantuje, że nie będzie przetwarzać danych klienta poza Unią ani poza terytorium krajów uznanych przez Komisję Europejską za kraje posiadające wystarczający poziom ochrony danych osobowych (dotyczy to ochro-ny prywatności, swobód i fundamentalnych praw osób, a także wykonywania od-powiednich praw [decyzja w sprawie adekwatności]). Ponadto OVH zapewnia, że w żadnych okolicznościach nie będzie przetwarzać danych w Stanach Zjednoczonych.
5
6. Dostarczenie kompletnej dokumentacji dotyczącej usług OVH
Kluczowe jest, aby klient uzyskał od dostawcy usług w chmurze odpowiednie gwa-rancje dotyczące bezpieczeństwa przetwarzania danych. Jest to jedno z kryteriów umożliwiających zapewnienie zgodności z obowiązującymi regulacjami prawnymi dotyczącymi ochrony danych osobowych.
Aby wykazać się zgodnością z przepisami przed odpowiednimi organami kontroli, klient powinien posiadać kompletną dokumentację dotyczącą usług świadczonych przez podmiot przetwarzający dane. Z tego właśnie względu OVH zobowiązuje się do dostarczenia klientom odpowiednich dokumentów, takich jak: opis środków bez-pieczeństwa zastosowanych w odniesieniu do usług klienta, potwierdzenie lokaliza-cji, w której przechowywane są dane, etc.
7. Zawarcie umowy potwierdzającej zobowiązania OVH
Zobowiązania OVH zawarte są w Umowie powierzenia przetwarzania danych. Umowa ta stanowi załącznik do dokumentów zawierających warunki świadczenia usług OVH. Jest dostępna na życzenie dla wszystkich naszych klientów.
5. Powiadomienie klientów w przypadku naruszenia ochrony danych
OVH wdraża rygorystyczne środki w celu zapewnienia bezpieczeństwa danych. Jednocześnie jednak przewiduje wszystkie możliwe scenariusze, w tym dotyczące naruszenia ochrony danych.
W przypadku wystąpienia takiej sytuacji OVH zobowiązuje się do poinformowania o niej klientów w jak najszybszym terminie. Powiadomienie określało będzie rodzaj incydentu, przewidywane konsekwencje, jak również kroki podjęte w celu ich zmi-nimalizowania.
6
ZO B OW I Ą Z A N I A O V H W Z A K R E S I E B E Z P I E C Z E Ń ST WA
OVH podejmuje wszelkie środki ostrożności w celu zapewnienia bezpieczeństwa i poufności przetwarzanych danych osobowych. Celem OVH jest niedopuszczenie do sytuacji, w której dane zostałyby zniekształcone, uszkodzone, lub w której osoby trzecie uzyskałyby do nich nieautoryzowany dostęp.
3.1. Różnica między bezpieczeństwem danych a bezpieczeństwem infrastruktur:
Bardzo istotne jest rozróżnienie między bezpie-czeństwem danych przechowywanych przez klienta a bezpieczeństwem infrastruktur, na któ-rych dane te są przechowywane.
• Bezpieczeństwo przechowywanych danych: klient jest jako jedyny odpowiedzialny za zabez-pieczenie zasobów i systemów, które używa przy okazji korzystania z usług OVH. OVH udo-stępnia klientom narzędzia pomagające zabez-pieczyć dane.
• Bezpieczeństwo infrastruktur: Firma OVH zobowiązuje się do zabezpieczenia swoich in-frastruktur w sposób optymalny. Wdrożyła w szczególności politykę bezpieczeństwa syste-mów informacyjnych (PSSI) i spełnia wymagania wielu norm oraz certyfikatów, takich jak: certyfi-kat PCI-DSS, certyfikat ISO/IEC 27001, certyfi-kat SOC 1 typu 2 oraz SOC 2 typu 2, etc. OVH posiada również zezwolenie upoważniające do przechowywania danych medycznych (HDS) w związku ze świadczeniem usługi Healthcare.
3.2. Środki bezpieczeństwa gwarantowane przez OVH
OVH dostosowuje środki bezpieczeństwa do rodzaju świadczonych usług. Dla każdej usługi odrębnie dostarcza pełną dokumentację. Dzię-ki temu klienci OVH mogą stwierdzić, czy dana usługa spełnia wymogi dotyczące przetwarza-nia danych osobowych.
W odniesieniu do wszystkich świadczonych usług OVH zobowiązuje się zapewnić:• fizyczne zabezpieczenia uniemożliwiające dostęp nieupoważnionych osób do infrastruk-tur, na których przechowywane są dane klienta;• dyżury pracowników ochrony czuwających nad bezpieczeństwem fizycznym pomieszczeń OVH 24/7/365;• system zarządzania uprawnieniami ograni-
czający dostęp do pomieszczeń oraz danych tylko do osób, które muszą go mieć ze względu na pełnione funkcje i zakres obowiązków;• system fizycznego i/lub logicznego odizolo-wania usług poszczególnych klientów;• ścisłe procedury uwierzytelniania użytkow-ników i administratorów dzięki rygorystycznej polityce zarządzania hasłami oraz wdrożeniu weryfikacji dwuetapowej (przy użyciu YubiKey);• procedury i środki umożliwiające monitoro-wanie wszystkich operacji przeprowadzanych w systemie informacyjnym oraz raportowanie, zgodnie z obowiązującymi przepisami, w przy-padku wystąpienia incydentów dotyczących danych klienta.
3
7
W W W. O V H. P L
