4Tel Partner Sp. z oo Obowiązki przedsiębiorcy

Transkrypt

4Tel Partner Sp. z o.o.
Obowiązki
przedsiębiorcy telekomunikacyjnego
na rzecz obronności, bezpieczeństwa państwa
oraz bezpieczeństwa i porządku publicznego.
Ochrona informacji.
Dominika Piniewicz
Andrzej Fudala
Plan Prezentacji
1. Odpowiedzialność dyscyplinarna, finansowa, karna i
cywilna za niedopełnienie obowiązków ustawowych.
2. Integralność sieci, usług i zbiorów.
3. Obowiązki na rzecz obronności, bezpieczeństwa
państwa, bezpieczeństwa i porządku publicznego.
4. Bezpieczeństwo informacji podlegającej ustawowej
ochronie.
1. Odpowiedzialność dyscyplinarna, finansowa, karna i cywilna
za niedopełnienie obowiązków ustawowych.
1.1. Prezes UKE:
Kara pieniężna: do 3% - przedsiębiorstwo,
do 300% - kierownik przedsiębiorstwa.
Zakaz prowadzenie działalności gospodarczej w zakresie
telekomunikacji.
Art. 201 Pt
1.2. Generalny Inspektor Ochrony Danych Osobowych
– jako organ egzekucyjny może stosować środek
egzekucyjny – grzywnę - w celu przymuszenia do
wykonania jego decyzji administracyjnej.
Wysokość takiej grzywny wynosi maksymalnie w stosunku do:
osoby fizycznej - 10 000 zł,
(50 000 zł )*,
osoby prawnej – 50 000 zł,
(200 000 zł)*
* łączna wysokość grzywny w przypadku wielokrotnego nakładania grzywien w jednym
postępowaniu egzekucyjnym.
1.3. Odpowiedzialność karna.
KODEKS KARNY
Przestępstwa popełnione przeciwko informacji zagrożone
są karą grzywny, ograniczenia wolności albo pozbawienia
wolności od 3 miesięcy do lat 5.
USTAWA O OCHRONIE DANYCH OSOBOWYCH
Przetwarzanie danych osobowych niezgodnie z
przepisami prawa zagrożone jest kara grzywny,
ograniczeniem lub pozbawieniem wolności do lat 2 (3).
1.4. Odpowiedzialność cywilna.
Przedsiębiorca telekomunikacyjny może w postępowaniu
cywilnym
ponieść
konsekwencje
niewłaściwego
przetwarzania danych telekomunikacyjnych i danych
osobowych.
2. Integralność sieci i usług.
W celu zapewnienia bezpieczeństwa i integralności sieci i usług
telekomunikacyjnych przedsiębiorca telekomunikacyjny jest
obowiązany:
zachować
należytą
staranność
przy
zabezpieczaniu
urządzeń
telekomunikacyjnych, sieci telekomunikacyjnych oraz zbiorów danych przed
ujawnieniem tajemnicy telekomunikacyjnej.
podjąć środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa i
integralności sieci, usług oraz przekazu komunikatów.
informować użytkowników o wystąpieniu szczególnego ryzyka naruszenia
bezpieczeństwa sieci, o istniejących możliwościach zapewnienia
bezpieczeństwa i związanych z tym kosztach.
niezwłocznie informować Prezesa UKE o naruszeniu bezpieczeństwa lub
integralności sieci lub usług,
wzór formularza w rozporządzeniu i na stronie UKE.
Przedsiębiorca telekomunikacyjny podejmuje środki mające na celu
zapewnienie bezpieczeństwa i integralności sieci, usług oraz
przekazu komunikatów, w tym:
1) eliminuje przekaz komunikatu, który zagraża bezpieczeństwu
sieci lub usług;
2) przerywa lub ogranicza świadczenia usługi telekomunikacyjnej na
zakończeniu sieci, z którego następuje wysyłanie komunikatów
zagrażających bezpieczeństwu sieci lub usług.
O podjętych środkach niezwłocznie (nie później niż w ciągu 24 godzin) informuje
Prezesa UKE.
Prezes UKE może, w drodze decyzji, zakazać stosowania ww. środków.
Informacje o:
o działaniach, jakie dostawca usług jest uprawniony
podejmować w związku z przypadkami naruszenia
bezpieczeństwa lub integralności sieci i usług
powinna zawierać umowa o świadczenie publicznie
dostępnych usług telekomunikacyjnych
telekomunikacyjnych..
W przypadku podjęcia środków „bezpieczeństwa”
przedsiębiorca telekomunikacyjny nie odpowiada za
niewykonanie lub nienależyte wykonanie usług
telekomunikacyjnych w zakresie wynikającym z podjętych
środków.
3. Obowiązki na rzecz obronności, bezpieczeństwa państwa,
bezpieczeństwa i porządku publicznego: w tym:
• sporządzaniu planów działań w sytuacjach szczególnych
zagrożeń.
• udostępnianie danych telekomunikacyjnych – art. 180d Pt,
• gromadzeniu, przechowywaniu i udostępnianiu danych
telekomunikacyjnych – „RETENCJA DANYCH”.
• zapewnieniu warunków dostępu do treści korespondencji oraz
danych telekomunikacyjnych i ich utrwalania – kontrola
operacyjna, kontrola procesowa.
3.1 Plan działań ….
Obowiązkowi sporządzenia planu nie podlega przedsiębiorca, który wykonuje działalność
telekomunikacyjną:
1) polegającą wyłącznie na dostarczaniu udogodnień towarzyszących;
2) wyłącznie na obszarze nieprzekraczającym granic administracyjnych jednej
gminy, z wyłączeniem gmin będących miastami na prawach powiatu,
3) polegającą wyłącznie na dostarczaniu sieci lub łączy telekomunikacyjnych
dzierżawionych od innego przedsiębiorcy;
4) polegającą wyłącznie na sprzedaży we własnym imieniu i na własny rachunek
usługi telekomunikacyjnej świadczonej przez innego dostawcę usług;
5) polegającą wyłącznie na rozprowadzaniu lub rozpowszechnianiu programów
radiofonicznych lub telewizyjnych;
6) polegającą wyłącznie na świadczeniu usług dostępu do sieci Internet za
pośrednictwem sieci telekomunikacyjnej obsługującej do 500 zakończeń sieci
posiadających własny adres IP;
7) wyłącznie za pośrednictwem sieci telekomunikacyjnej innego przedsiębiorcy
telekomunikacyjnego.
3.2. Udostępnianie danych telekomunikacyjnych – art. 180d
Pt
Przedsiębiorcy telekomunikacyjni są obowiązani do zapewnienia
warunków dostępu i utrwalania oraz do udostępniania
uprawnionym podmiotom, a także Służbie Celnej, sądowi i
prokuratorowi, na własny koszt, przetwarzanych przez siebie danych
związanych ze świadczoną usługą telekomunikacyjną, na zasadach i
przy zachowaniu procedur określonych w przepisach odrębnych*.
* W szczególności: Ustawy kompetencyjne, KPK,
3.3. Zatrzymywanie i przechowywanie przez okres 12 miesięcy niektórych
danych telekomunikacyjne oraz udostępnianie ich uprawnionym
podmiotom, Służbie Celnej, sądowi i prokuratorowi,
RETENCJA DANYCH
Operator publicznej sieci telekomunikacyjnej oraz dostawca
publicznie dostępnych usług telekomunikacyjnych jest obowiązany:
1) zatrzymywać i przechowywać dane generowane w sieci telekomunikacyjnej
lub przez nich przetwarzane niezbędne do:
a) ustalenia zakończenia sieci, telekomunikacyjnego urządzenia
końcowego, użytkownika końcowego inicjującego połączenie oraz do
którego kierowane jest połączenie;
b) określenia daty i godziny połączenia oraz czasu jego trwania, rodzaju
połączenia, lokalizacji telekomunikacyjnego urządzenia końcowego.
RETENCJA DANYCH
Operator publicznej sieci telekomunikacyjnej oraz dostawca
publicznie dostępnych usług telekomunikacyjnych jest obowiązany:
2) chronić te dane przed przypadkowym lub bezprawnym zniszczeniem, utratą
lub zmianą, nieuprawnionym lub bezprawnym przechowywaniem,
przetwarzaniem, dostępem lub ujawnieniem.
3) udostępniać ww. dane uprawnionym podmiotom, a także sądowi i
prokuratorowi, na zasadach i w trybie określonym w ustawach
kompetencyjnych oraz w KPK;
Obowiązek retencji danych powinien być realizowany w sposób, który nie
powoduje ujawniania przekazu telekomunikacyjnego (treści informacji
przekazywanej w sieci telekomunikacyjnej np. treści rozmów, maili, SMS itp.).
Udostępnianie danych telekomunikacyjnych.
Podmiotami ustawowo upoważnionymi do dostępu do danych identyfikujących
abonenta są:
Centralne Biuro Antykorupcyjne,
Agencja Bezpieczeństwa Wewnętrznego,
Policja,
Straż Graniczna,
Żandarmeria Wojskowa,
Służba Kontrwywiadu Wojskowego,
Wywiad Skarbowy (Główny Inspektor Kontroli
Skarbowej),
• Służba Celna,
• sąd i prokurator.
•
•
•
•
•
•
•
RETENCJA DANYCH
Szczegółowy wykaz danych podlegających retencji określono
w rozporządzeniu Ministra Infrastruktury z dnia 28 grudnia 2009 r.
w sprawie szczegółowego wykazu danych oraz rodzajów
operatorów publicznej sieci telekomunikacyjnej lub dostawców
publicznie dostępnych usług telekomunikacyjnych obowiązanych
do ich zatrzymywania i przechowywania (Dz. U. Nr 226 poz. 1828).
RETENCJA DANYCH
Przedsiębiorca telekomunikacyjny, w terminie do dnia 31 stycznia,
składa Prezesowi UKE, za rok poprzedni informacje o:
• łącznej liczbie przypadków udostępnienia danych,
• czasie, jaki upłynął między datą zatrzymania danych a datą
złożenia wniosku lub ustnego żądania o ich udostępnienie;
• łącznej liczbie przypadków, w których wniosek lub ustne
żądanie nie mógł być zrealizowany.
Art. 209. 1. Kto:
28) nie wypełnia obowiązków wynikających z art.
180g,
- podlega karze pieniężnej.
3.4. Zapewnienie warunków dostępu do treści korespondencji
oraz danych telekomunikacyjnych i ich utrwalania – kontrola
Zapewnienie warunków technicznych i organizacyjnych
wykonywania :
1) uprawnionym podmiotom - kontroli operacyjnej,
2) sądom i prokuratorom - kontroli procesowej.
1) uprawnionym podmiotom technicznych i organizacyjnych
warunków jednoczesnego i wzajemnie niezależnego dostępu do:
- treści przekazów telekomunikacyjnych,
- posiadanych danych telekomunikacyjnych,
- danych związanych ze świadczoną usługą telekomunikacyjną,
oraz ich utrwalania.
2) utrwalania ww. treści i danych, na rzecz sądu lub prokuratora.
2
1
Uprawniony
podmiot
Cel
Kontrola operacyjna
Prokurator
2a
2a
5
2a
00
???
00
???
3
4
6
Przedsiębiorca
telekomunikacyjny
Sąd
System LI
20
Kontrola procesowa
1
Cel
Prokurator
5
2a
**
**
4
Podmiot
3
uprawniony*
Przedsiębiorca
telekomunikacyjny
Sąd
System LI
* podmiot uprawniony - podmiot wskazany w postanowieniu sądu lub prokuratora o zarządzeniu kontroli
przekazów informacji, o którym mowa w art. 237 § 1 lub 2 Kpk
** postanowienie sądu, w którym wskazany jest podmiot uprawniony
2
System LI
Organizacyjne
Przygotowanie pracowników
Techniczne
Urządzenia
Opracowanie i wdrożenie procedur
Oprogramowanie
Zorganizowanie pracy pracownikom
Zapewnienie ochrony informacji
i sprzętu
Zorganizowanie obiegu dokumentów
Uzgodnienia, porozumienia,
informowanie …
Pomieszczenie
SPSÓB WYPEŁNIENIA OBOWIĄZKÓW
POWIERZAJĄC
W drodze umowy zawartej na piśmie
Zapewnienie warunków technicznych
lub organizacyjnych … (art. 179 Pt)
Plan działań ……..
Retencja danych
Sprawozdawczość 180g
SAMODZIELNIE
Przyjmujący zlecenie (art. 179 PT)
Przedsiębiorca telekomunikacyjny
Posiada ŚBP
Przygotowany merytorycznie
Daje gwarancje dobrego wykonania zlecenia np.
opinia w środowisku
Ubezpieczony od odpowiedzialności zawodowej
4. Bezpieczeństwo informacji podlegającej ustawowej ochronie:
• informacji stanowiących tajemnicę telekomunikacyjną
i danych osobowych,
• informacji niejawnych,
• tajemnica przedsiębiorcy.
4.1 Bezpieczeństwo informacji stanowiących tajemnicę
telekomunikacyjną i danych osobowych
Przedsiębiorca telekomunikacyjny obowiązany jest zachować
należytą
staranność
przy
zabezpieczaniu
urządzeń
telekomunikacyjnych, sieci telekomunikacyjnych oraz zbiorów
danych przed ujawnieniem tajemnicy telekomunikacyjnej.
Tajemnica telekomunikacyjna obejmuje:
1) dane dotyczące użytkownika
= dane osobowe;
2) treść indywidualnych komunikatów;
3) dane transmisyjne;
4) dane o lokalizacji;
5) dane o próbach uzyskania połączenia między zakończeniami
sieci.
Analiza stanu prawnego i faktycznego
Inwentaryzacja zbiorów danych osobowych
Audyt
Opracowanie dokumentacji i wdrożenie jej w życie
Wyznaczenie ABI, ASI.
Upoważnienie, szkolenie
Zgłoszenie zbioru danych do GIODO
Szczególne obowiązki ADO
przetwarzającego dane abonentów lub użytkowników końcowych.
W przypadku naruszenia danych osobowych ADO:
1) w terminie 3 dni od stwierdzenia naruszenia,
zawiadamia GIODO.
2) Jeśli naruszenie danych osobowych może mieć
niekorzystny wpływ na prawa abonenta, ADO
niezwłocznie, w terminie 3 dni od stwierdzenia
naruszenia, zawiadamia o takim naruszeniu również tego
abonenta.
Szczególne obowiązki ADO
przetwarzającego dane abonentów lub użytkowników końcowych.
ADO prowadzi rejestr
naruszeń danych osobowych.
Dokumentacja ODO
1. Polityka bezpieczeństwa danych osobowych
2. Instrukcja zarządzania systemem informatycznym
3. Ewidencja osób upoważnionych do przetwarzania danych
osobowych
4. Upoważnienia do przetwarzania danych osobowych.
5. Wykaz osób uczestniczących w szkoleniu nt. „Zasady ochrony
danych osobowych”.
6. Wniosek o wpisanie zbioru danych osobowych do rejestru
GIODO
…….
16. ……………………….
Najczęściej popełniane błędy:
Brak świadomości obowiązku ochrony danych
osobowych
Brak zgłoszeń zbioru do rejestru GIODO
Brak aktualnej dokumentacji
Nieuprawnione zbieranie danych osobowych
=§
Przekazywanie danych osobowych bez umowy
powierzenia
Brak zabezpieczeń zbiorów danych
Przesyłanie danych osobowych zwykłym mailem !!!
UWAGA
JESTEŚ W UKRYTEJ KAMERZE !!!
WIZERUNEK
TEŻ MOŻE BYĆ DANĄ OSOBOWĄ !!!
4.2. Bezpieczeństwo informacji stanowiących tajemnicę
przedsiębiorcy
• Co daje klauzula: tajemnica przedsiębiorcy?
• Nieujawnienie „know-how” firmy przez urzędy
w trybie udip
• Ochrona firmy przed konkurencją
przedsiębiorcy
Tajemnica przedsiębiorstwa
Art. 11 ust. 4 ustawy o zwalczaniu nieuczciwej
konkurencji:
• Informacje o charakterze technicznym,
technologicznym, organizacyjnym lub inne
mające wartość gospodarczą
• Nieujawnione do wiadomości publicznej
• Co do których przedsiębiorca powziął niezbędne
kroki w celu zachowania w poufności
przedsiębiorcy
Pełnomocnik ds. ochrony TP
• Zazwyczaj jedocześnie pełnomocnik ds.
ochrony informacji niejawnych i ABI
• Szkolenia
• Ma wpływ na politykę wizerunkową firmy
• Ma wpływ na PR i dział Marketingu)
przedsiębiorcy
Ochrona informacji stanowiących tajemnicę
przedsiębiorcy:
- regulamin ochrony tajemnicy przedsiębiorstwa
- katalog informacji chronionych,
- szkolenie pracowników,
- wydanie NDA).
4.3. OCHRONA INFORMACJI NIEJAWNYCH
Art. 242 Kpk
ŚBP II st
ŚBP I stopnia
ŚBP II stopnia
ŚBP III stopnia
Upoważnienie
do 500*
500 do 5.000*
5.000 do 50.000*
5.000 do 100.000 IP
powyżej 50.000*
100.000 IP
§ 3. Rozporządzenia Rady Ministrów z dnia 13 września 2005 r
* - ilość zakończeń sieci eksploatowanej przez przedsiębiorcę telekomunikacyjnego.
Obowiązki z zakresu ochrony informacji niejawnych:
• uzyskania ŚBP do klauzuli „ściśle tajne”– koszty postępowań i
szkoleń prowadzonych przez ABW
- ok. 30 tys. zł co 5 lat,
• budowy sytemu zabezpieczeń do przetwarzania i
przechowywania informacji niejawnych oraz utworzenia
kancelarii tajnej
– ok. 80 tys. zł,
• utworzenia pionu ochrony i zatrudnienia pełnomocnika ds.
ochrony informacji niejawnych oraz kierownika kancelarii tajnej
– ok. 6 tys. zł miesięcznie,
• wynajem pomieszczenia
– ok. ?????. zł miesięcznie,
• podpisania umowy z Pocztą Specjalną Policji
– ok. 0,2 tys. zł miesięcznie,
• konserwacji urządzeń alarmowych i zatrudnienia patrolu
interwencyjnego dedykowanego dla systemów
zabezpieczeń informacji niejawnych
– ok. 0,5 tys. zł miesięcznie.
• doradztwo podmiotu zewnętrznego
- ????. .
Czas trwania procesu uzyskania ŚBP – ok. 1,5 roku.
Dziękuję za uwagę
4Tel Partner Sp. z o.o.
ul. Skarbka z Gór 69a/11
03-287 Warszawa
telefon: +48 601 161 144
+48 669 714 970
fax: +48 22 291 6689
[email protected]
www.4telpartner.pl

4Tel Partner Sp. z oo Obowiązki przedsiębiorcy

Transkrypt

Podobne dokumenty

Zasady udostępniania nieruchomości w celu - Lub-Kom

Nauczanie w gospodarce sieciowej opartej na wiedzy

PRAWNIK- pracownik biurowy - miejsce pracy

Zasady udostępniania nieruchomości w celu - ADREM

rozwiązanie umowy o świadczeniu usług

Wzór wypowiedzenia umowy - Telekomunikacja Cyfrowa

Koncepcja budowy infrastruktury oraz dostarczania usług

O firmie - DAWIS Sp. z oo

Zasady udostępniania nieruchomości i budynków oraz infrastruktury