Rola Inspektora Ochrony Danych w zabezpieczeniu systemu informatycznego - podejście oparte na ryzyku

Transkrypt

1 Rola Inspektora Ochrony Danych w zabezpieczeniu systemu informatycznego - podejście oparte na ryzyku Mariola Więckowska Head of Privacy Innovative Technologies Warszawa,

2 Agenda Ø RODO vs. cyber zagrożenia Ø Inspektor Ochrony Danych Ø Bezpieczeństwo systemów IT Ø Ryzyko prywatności oraz przetwarzania danych Ø Zasada PbD oraz podejście oparte na ryzyku jako mechanizm zwiększający bezpieczeństwo systemów IT - rola Inspektora Ochrony Danych

3 Stan prawny Ogólne Rozporządzenie o ochronie danych (RODO) Ustawa o ochronie danych osobowych Ustawy wprowadzające Wytyczne EDPB

4 RODO/GDPR Czym jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych? RODO ma zastosowanie do podmiotów przetwarzających dane osobowe w Unii. RODO ujednolica przepisy w zakresie ochrony danych osobowych w krajach unijnych w odróżnieniu od dyrektywy, obowiązuje w sposób bezpośredni.

5 O co tyle hałasu? 16,3 ZB (zettabajtów) jest przetwarzanych w świecie (1 ZB = ,48 GB) * International Data Corporation szacuje, że w 2020 roku transakcje biznesowe B2B i B2C osiągną 450 miliardów na dzień Akamai analizuje 75 milionów zdarzeń dziennie, aby lepiej targetować reklamę lat historii Dane z 2017 Mniej niż 0,5% danych jest używana do podejmowania decyzji 0,5% * Źródło: IDC s Data Age 2025 study, sponsored by Seagate, April 2017,

6 Statystyki: naruszenia danych (wg Breach Level Index by Gemalto) Co sekundę 122 rekordów danych ulega wyciekowi na świecie (nie wliczając danych z wycieku w Equifax) Co minutę Ponad 7000 rekordów danych jest kradzione lub utracone na świecie, co daje więcej niż 10 milionów każdego dnia. W pierwszej połowie ,9 miliarda rekordów danych wyciekło w wyniku naruszeń. To drastyczny wzrost o 164% w porównaniu z drugą połową 2016.

7 Ochrony przed cyber-zagrożeniami 3 najważniejsze pytania Jakie dane posiadasz? Jak możesz zabezpieczyć dane przed cyberzagrożeniami? Jak dobrać właściwe środki zabezpieczeń dla stosowanych rozwiązań? Ochrony przed cyberzagrożeniami Nieco poniżej 20% utraty lub wycieku danych było spowodowane wewnątrz organizacji człowiek najsłabszym punktem ochrony. Szyfrowanie pozostaje brakującym elementem ochrony danych: mniej niż 1% danych skradzionych w pierwszej połowie 2017 było zaszyfrowanych. To stanowi znaczne obniżenie w porównaniu do 4% w drugiej połowie 2016 roku. Odzyskanie stanu sprzed cyberataku jest zwykle powolne i drogie. 20% ofiar ataków wydało na to co najmniej $ i poświęciło więcej, niż 6 m-cy, zaś 7% wydało ponad $ I poświęciło więcej niż rok.

8 Rozszerzone praw podmiotów danych i obowiązków informacyjnych Ocena skutków dla ochrony danych (OSOD) Privacy by design/by default Zasada rozliczalności Risk-based approach - wprowadzenie podejścia opartego na ryzyku Rejestrowanie czynności przetwarzania Współpraca z organem nadzorczym Notyfikacja w 72h

9 Stosowanie zasady rozliczalności Prawne Organizacyjne Techniczne Umowy powierzenie/udostępnienie/współad ministrowania Szkolenia/upoważnienia Dostosowanie systemów do wypełniania praw podmiotów danych Polityki / Procedury Ocena skutków dla ochrony danych stosowanie PbD Bezpieczeństwo systemów, aplikacji i baz danych Zgody / Klauzule informacyjne Regulaminy / Polityki prywatności (transparentność) Śledzenie zmian w prawie, kodeksy postępowania... Podejście oparte na ryzyku - przetwarzania i prywatności Zarządzanie incydentami Środki ochrony fizycznej Środki sprzętowe oraz infrastruktura Stosowanie adekwatnych zabezpieczeń (Privacy by Design) Rejestrowanie czynności przetwarzania - dane klientów i pracowników -(nie)strukturalne

10 Kiedy należy wyznaczyć Inspektora Ochrony Danych (IOD/DPO) DPO Przetwarzania dokonują organ lub podmiot publiczny. (Podmioty sektora finansów publicznych (art. 9 Ustawy o finansach publicznych) oraz wskazane w KPA.) Główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych dotyczących wyroków skazujących i naruszeń prawa.

11 Wymagania dla IOD DPO Poziom wiedzy fachowej musi być współmierny do charakteru, skomplikowania i ilości przetwarzanych danych. Kwalifikacje zawodowe wiedza z zakresu krajowych i europejskich przepisów o ochronie danych osobowych, wiedza na temat danego sektora i podmiotu administratora, operacji przetwarzania danych, systemów informatycznych oraz stosowanych zabezpieczeń Możliwość wykonywania zadań pozycja w strukturach podmiotu, członek personelu, umowa o świadczenie usług, zapewnienie DPO niezbędnych zasobów, brak konfliktu interesów, cechy osobowe.

12 Zadania IOD DPO Monitorowanie zgodności z RODO identyfikacja i analiza procesów przetwarzania. Konsultowanie oceny skutków przetwarzania, m. in. w zakresie: metodologii oceny, zabezpieczeń stosowanych do łagodzenia zagrożeń, prawidłowości przeprowadzonej oceny. Współpraca z organem nadzorczym i pełnienie funkcji punktu kontaktowego. Szacowanie ryzyka związanego z operacjami przetwarzania, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania. Rejestrowanie czynności przetwarzania.

13 IOD jako single point of contact Każdego pracownika organizacji DPO DPO jest punktem kontaktowym dla: Organu nadzoru Osób spoza organizacji

14 Priorytety dla IOD DPO Zasady przetwarzania danych Ustalania wymogów bezpieczeństwa systemów IT Realizacja praw osób, których dane dotyczą Budowanie świadomości Rejestr czynności przetwarzania Zgłaszanie naruszeń

15 Rola Inspektora Ochrony Danych Aktywnie uczestniczy w analizie ryzyka oraz rekomenduje środki bezpieczeństwa pozwalające na jego mitygację. Wspomaga w wyborze adekwatnych środków zaradczych najbardziej korzystnych dla podmiotów danych, projektu i administratora danych. Poprzez odpowiednio przeprowadzoną analiza ryzyka wykazuje stosowanie ochrony danych w fazie projektowania oraz domyślną ochronę danych. Dba, aby wszelkie decyzje dotyczące prywatności i wybranych działań zostały odpowiednio udokumentowane i zaakceptowane. Monitoruje postęp działań związanych z ochroną prywatności, aby upewnić się, że są odpowiednio zakończone. Wspiera ocenę zmiany w realizacji projektu, procesów biznesowych, przepływu informacji, ról i zadań, aby upewnić się, że nie powstaje nowe ryzyko prywatności. 15

16 Art. 32 Bezpieczeństwo przetwarzania 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: pseudonimizacja i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. 16

17 Art. 32 Bezpieczeństwo przetwarzania c.d. 2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanychlub w inny sposób przetwarzanych. 3. Wywiązywanie się z obowiązków, o których mowa w ust. 1 niniejszego artykułu, można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postepowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego. 17

18 Ryzyko w RODO Ryzyko wiążące się z przetwarzaniem danych rodzące skutki finansowe, prawne i utraty reputacji w wyniku naruszenia prywatności; przypadkowe lub niezgodnego z prawem zniszczenie, utrata, modyfikacja, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Ryzyko naruszenia praw lub wolności osób, w tym braku wypełniania praw osób, możliwości kradzieży tożsamości, naruszenia dobrego imienia, dyskryminacji lub negatywnych skutków finansowych, pozbawienie przysługujących podmiotom danych ich praw. 18

19 Przykład atrybutów ryzyka przetwarzania Kontrola zarządcza Brak kontroli zarządczej w obszarze ochrony danych osobowych. Nie spełnianie wymagań zasad przetwarzania danych osobowych, w tym zasady bezpieczeństwa danych i wdrożenia procedur wymaganych przez UODO i związane akty prawne. Legalność Brak spełnienie wymogów legalności przetwarzania w tym również transferu danych do państw trzecich (USA i kraje z poza UE) oraz powierzenia przetwarzania danych osobowych wynikającego z UODO i powiązanych aktów prawnych. Poufność Brak zapewnienia poufności danych osobowych, polegające na tym, że informacja jest dostępna lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom. Integralność Brak zapewnienia integralności danych - zapewnienie mechanizmów kontroli zmian danych oraz ich utraty w systemach IT. Dostępność Ryzyko związane z brakiem zapewnienia odpowiedniego poziomu dostępności do danych, m.in. opracowania i testowania BCP. Bezpieczeństwo Brak adekwatnego poziomu stosowanych zabezpieczeń w zakresie ochrony danych osobowych, w tym zapewnienie środków technicznych i organizowanych wynikających z Polityki, instrukcji oraz wewnętrznych procedur.

20 Ryzyko prywatności Ryzyko naruszenia prywatności może zaistnieć w związku z danymi osobowymi, które są: niewłaściwe, niewystarczające lub nieaktualne; nadmiarowe lub nieistotne; przechowywane zbyt długo; ujawniane osobom, którym osoby, których dane dotyczą, nie chciałyby ujawnić; wykorzystywane w sposób nieetyczny lub w sposób, którego osoby, których dane dotyczą, się nie spodziewały; przechowywane w sposób niedostatecznie bezpieczny. 20

21 Proces zarządzania naruszeniami W przypadku naruszenia ochrony danych osobowych, administrator nie później niż w terminie 72 godzin zgłasza je organowi nadzorczemu. Chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o naruszeniu. Chyba że administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony uniemożliwiające odczyt osobom nieuprawnionym (szyfrowanie, pseudonimizacja).

22 Droga do RODO Dostosowanie do wymogów RODO Rozmowa Zrozumienie Adaptacja Wypełniania praw podmiotów danych w IT Całej organizacji RODO-wita kultura i polityka organizacji Kieruj się RODOWSKAZEM" OSOD POnR (podejście oparte na ryzyku)

23 Dziękuję