Ocena ryzyka, a zasada rozliczalności na przykładzie Allegro

Transkrypt

1 RISK Ocena ryzyka, a zasada rozliczalności na przykładzie Allegro Konferencja Akademii Leona Koźmińskiego & GIODO: Metodyka oceny skutków przetwarzania dla ochrony danych osobowych Mariola Więckowska

2 Agenda 1. Zasada rozliczalności, a obowiązki Administratora 2. Moc danych i konieczne działania podejście Allegro 3. Ryzyko Prywatności w RODO 4. OSOD Ocena Skutków dla Ochrony Danych i stosowanie podejścia opartego na ryzyku w praktyce

3 3 Zasada rozliczalności: obowiązki Administratora Rozszerzone praw podmiotów danych i obowiązków informacyjnych Ocena skutków dla ochrony danych Privacy by design/by default Risk-based approach - wprowadzenie podejścia opartego na ryzyku Rejestrowanie czynności przetwarzania Współpraca z organem nadzorczym Notyfikacja 72h

4 #regułygry 4 MOC DANYCH a RODO

5 Inspektor Ochrony Danych 5 Administrator danych Allegro Podmioty danych: klienci i pracownicy Współpraca z organem nadzorczym Informowanie i doradzanie Privacy by design / default Monitorowanie zgodności z przepisami o ochronie danych Ocena skutków dla ochrony danych i podejście oparte na ryzyku Naruszenia ochrony danych Rejestrowanie czynności przetwarzania Prawo dostępu i sprostowania Prawo do przenoszenia Prawo do usunięcia Prawo do ograniczenia przetwarzania i sprzeciwu Transparentność przetwarzania Notyfikacja - zgłaszanie naruszeń Uprzednie konsultacje

6 Konieczne działania - stosowanie zasady rozliczalności 6 Prawne Organizacyjne Techniczne Umowy Polityki / Procedury Zgody / Klauzule informacyjne Regulaminy / Polityki prywatności (transparentność) Śledzenie zmian w prawie, kodeksy postępowania... Szkolenia Ocena skutków dla ochrony danych - wszystkie zmiany Podejście oparte na ryzyku - przetwarzania i prywatności Zarządzanie incydentami Dostosowanie do wypełniania praw podmiotów danych Zgody na profilowanie Stosowanie adekwatnych zabezpieczeń (Privacy by Design) Rejestrowanie czynności przetwarzania - dane klientów i pracowników -(nie)strukturalne

7 RODO: Roadmap Planned In Progress Completed Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec Jan Feb Mar Apr May Kick Off Umowy Zmiany umów DZIAŁANIA PRAWNE Polityki Zgody / Klauzule informacyjne Regulaminy/ Polityki prywatności Dostosowanie do UODO Dostosowanie do UODO Dostosowanie do UODO Śledzenie zmian w prawie, kodeksy postępowania... DZIAŁANIA ORGANIZACYJNE Szkolenia Szkolenia OSOD/Ryzyko Szkolenia UODO Wdrożenie OSOD w proces zmian + analiza retrospektywna Przeprowadzanie OSOD wg UODO Podejście oparte na ryzyku - przetwarzania i prywatności Zarządzanie incydentami Notyfikacja DZIAŁANIA TECHNICZNE Prawa obecne Rejestr zbiorów i wykaz narzędzi Narzędzia do wypełniania prawa (przenoszalność) Określenie zasad dotyczących profilowania Rejestrowanie czynności przetwarzania analiza rozwiązań technicznych Narzędzia do obsługi profilowania Wypełnianie praw podmiotów danych OSOD: Stosowanie adekwatnych zabezpieczeń (Privacy by Design) Rejestrowanie czynności przetwarzania - Wdrożenie

8 Podejście oparte na ryzyku a ochrona przed cyberzagrożeniami 4.3 miliarda rekordów zostało skradzionych przez hakerów w 2016, m.in. od takich gigantów jak Yahoo, LinkedIn czy MySpace Obawy konsumentów rosną, gdyż średni czas wykrycia wycieku danych to 201 dni. Ofiarami ransomware padają instytucje publiczne włączając policję, szkoły i szpitale. 49% firm było przedmiotem ransomware. W pierwszych 3 miesiącach 2016 firmy zapłaciły ponad $209m - co w porównaniu z $24m w 2015 daje wzrost o 771%. FBI szacuje, że rynek ransomware przekroczy $1 miliard rocznie. Wdrożenie podstawowych zasad bezpieczeństwa już dawno nie wystarcza. Potrzeba znacznie bardziej zaawansowanych metod zabezpieczeń, jak przykładowo szyfrowanie, by ochronić się przed licznymi cyberatakami. IoT [Internet of Things] staje się znaczącym problemem. Etyczne wykorzystanie danych płynących coraz szerszym strumieniem otwiera furtkę do kolejnych wyzwań. Mrożącym krew w żyłach jest przykład laleczki Cayla. 8

9 OSOD-Ocena Skutków dla Ochrony Danych, a zasada rozliczalności 9 OSOD to narzędzie, które odpowiednio wbudowane w kulturę organizacyjną zapewni wysoką ochronę danych i pozwoli na ich bezpieczne przetwarzanie oraz pozwoli na wykazanie stosowania zasady rozliczalność, m.in. poprzez: 1. podjęcie kluczowych decyzji już w fazie projektowania (privacy by design), domyślną ochronę danych (privacy by default); 2. podejście oparte na ryzyku poprzez wczesne zaadresowanie oraz minimalizację potencjalnego ryzyka prywatności.

10 10 Etapy OSOD Etap 1: Wstępna ocena skutków dla ochrony danych Etap 2: Ocena skutków dla ochrony danych Etap 5: Monitoring wdrożenia Etap 3: Ocena ryzyka prywatności i rekomendowane środki zaradcze Etap 4: Przygotowanie raportu końcowego

11 11 OSOD Etap 3: Ryzyko w RODO Ryzyko wiążące się z przetwarzaniem danych rodzące skutki finansowe, prawne i utraty reputacji w wyniku naruszenia prywatności; przypadkowe lub niezgodne z prawem zniszczenie, utrata, modyfikacja, nieuprawnione ujawnienie lub nieuprawniony dostępu do danych osobowych. Ryzyko naruszenia praw lub wolności osób, w tym braku wypełniania praw podmiotów danych, kradzieży tożsamości, naruszenia dobrego imienia, straty finansowej, dyskryminacji ze względu na pochodzenie rasowe, poglądy polityczne, wyznanie lub przekonania, stan genetyczny i zdrowotny, orientację seksualną.

12 12 OSOD Etap 3: Ocena ryzyka przetwarzania Ryzyko przetwarzania danych określa miarę stopnia zagrożenia dla poufności, integralności i dostępności informacji, wyrażoną jako prawdopodobieństwa wystąpienia zagrożenie i szkodliwości jej skutków. Art. 32 ust. 2 RODO ( ) ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przecho wywanych lub w inny sposób przetwarzanych.

13 13 OSOD Etap 3: Przykład atrybutów ryzyka przetwarzania Kontrola zarządcza Legalność Poufność Integralność Dostępność Bezpieczeństwo Brak kontroli zarządczej w obszarze ochrony danych osobowych. Niespełnianie wymagań zasad przetwarzania danych osobowych, w tym zasady bezpieczeństwa danych i wdrożenia procedur wymaganych przez UODO i związane akty prawne. Brak spełnienia wymogów legalności przetwarzania w tym również transferu danych do państw trzecich (USA i kraje spoza UE) oraz powierzania przetwarzania danych osobowych wynikającego z UODO i powiązanych aktów prawnych. Brak zapewnienia poufności danych osobowych, polegające na tym, że informacja jest dostępna lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom. Brak zapewnienia integralności danych zapewnienie mechanizmów kontroli zmian danych oraz ich utraty w systemach IT. Ryzyko związane z brakiem zapewnienia odpowiedniego poziomu dostępności do danych, m.in. opracowania i testowania BCP. Brak adekwatnego poziomu stosowanych zabezpieczeń w zakresie ochrony danych osobowych, w tym zapewnienie środków technicznych i organizowanych wynikających z polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi oraz wewnętrznych procedur.

14 14 OSOD Etap 3: Ocena ryzyka prywatności Podstawą oceny ryzyka prywatności jest zrozumienie prawdopodobieństwa naruszenia praw i wolności osób, których dane dotyczą i wiążących się z tym potencjalnych skutków. Ocena jest niezbędna do identyfikacji środków zaradczych i działań, i do wydania rekomendacji, co do sposobu realizacji projektu, które zminimalizują ryzyko prywatności i wzmocnią potencjalne korzyści z lepszej ochrony danych. Motyw 71 RODO: ( ) zabezpieczyć dane osobowe w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiegający m.in. skutkom w postaci dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przyna leżność do związków zawodowych, stan genetyczny lub zdrowotny, orientację seksualna lub skutkujący środkami mającymi taki efekt.

15 15 OSOD Etap 3: Ocena ryzyka prywatności motyw 75 RODO Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: - jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; - jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;

16 OSOD Etap 3: Ocena ryzyka prywatności motyw 75 RODO cd. 16 jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa; jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się w celu tworzenia lub wykorzystywania profili osobistych; lub jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci; jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

17 17 Analiza ryzyka w OSOD Analiza ryzyka naruszenia praw lub wolności osób fizycznych przy uwzględnieniu wiedzy technicznej, kosztu wdrożenia, charakteru, zakresu, kontekstu i celów przetwarzania powinna objąć poniższe obszary: OBSZARY ANALIZY RYZYKA 1. Cel i zakres zbierania danych osobowych 2. Źródło danych osobowych 3. Informowanie podmiotu o zbieraniu danych osobowych 4. Sposób zbierania danych osobowych 5. Przechowywanie i bezpieczeństwo danych osobowych 6. Dostęp do danych 7. Sprostowanie danych 8. Poprawność i adekwatność przetwarzanych danych 9. Okres przechowywania danych 10.Wykorzystanie danych zgodnie z celem 11.Ujawnienie i przekazywanie danych 12.Użycie unikalnych identyfikatorów

18 18 OSOD Etap 3: Dokumentacja Dobierz adekwatne środki zaradcze, opierając się na ocenie skuteczności poszczególnych rozwiązań. Wybierz te, które są najbardziej korzystne dla podmiotów danych, projektu i administratora danych. Udokumentuj dla każdego ryzyka: A. Źródło ryzyka (Z powodu ) B. Ryzyko (istnieje ryzyko, że ) C. Potencjalne skutki (w wyniku czego ) D. Istniejące środki bezpieczeństwa E. Poziom prawdopodobieństwa i wpływ skutków przy obecnych środkach bezpieczeństwa F. Rekomendowane środki mitygacji ryzyka G. Poziom prawdopodobieństwa i wpływ skutków po zastosowaniu rekomendowanych środków

19 Przykładowe tabela analizy ryzyka 19 Ocena potencjalnego ryzyka i możliwych sposobów jego ograniczenia OBSZAR 1: Cel i zakres zbierania danych osobowych Nr ref.: Źródło ryzyka Opis ryzyka Skutki ryzyka Aktualne środki Ocena obecnego ryzyka Rekomendowane Ocena ryzyka (z powodu ) (istnieje ryzyko, że ) (wskutek ograniczające rezydualnego środki zapobiegawcze szczątkowego czego ) ryzyko dla zarządzenia pozostałego po ryzykiem zastosowaniu rekomendowanych środków zapobiegawczych R-01.1 Określić każdy Opisać zidentyfikowane Wyjaśnić, Określić aktualnie aspekt projektu elementy ryzyka dlaczego dany obowiązujące wpływający na (negatywnie wpływające aspekt projektu środki mitygujące prywatność. na projekt) z ma negatywny lub zidentyfikowane uwzględnieniem pozytywny wpływ ryzyko. obowiązujących na podmioty przepisów prawa i potrzeb danych. systemowych. Ocenić prawdopodobieństwo wystąpienia ryzyka oraz potencjalną szkodę z nim związaną w przypadku niezastosowania dodatkowych zabezpieczeń. Zawrzeć zalecenia ograniczające ryzyko, zarządzenia nim, aby zapewnić ochronę prywatności.

20 20 OSOD Etap 3: Dobór środków zaradczych Rezygnacja z przetwarzania części danych osobowych; Ograniczenie czasu przetwarzania danych i zaplanowanie ich bezpiecznej likwidacji; Wdrożenie odpowiednich technologii oraz procesów i fizycznych środków bezpieczeństwa; Zastosowanie pseudonimizacji lub anonimizacji danych; Przygotowanie instrukcji o sposobie używania nowego systemu i odpowiednie przeszkolenie pracowników; Zapewnienie transparentności informacji podmiotom danych (jakie dane i w jaki sposób są przetwarzane); Wybór dostawców oferujących większy poziom bezpieczeństwa.

21 21 O czym warto pamiętać? Minimalizacja danych to środek zmniejszający ryzyko przetwarzania danych. Łączone informacje mogą potencjalnie zwiększyć ryzyko zidentyfikowania osoby przez wnioskowanie, nawet jeśli sama informacja nie jest uważana za dane osobowe. Ocena ryzyka i potencjalnych środków zaradczych pozwala wybrać te, które są najbardziej korzystne dla podmiotów danych, projektu i administratora danych. Udokumentuj etap 3 OSOD, tj. analizę ryzyka, aby zgodnie z zasadą rozliczalności móc wykazać przed organem nadzorczym wypełnienie obowiązków wynikających z RODO.

22 Dziękuję i zapraszam do dyskusji mariola.wieckowska@allegrogroup.com Mariola Więckowska