Rola Inspektora Ochrony Danych w zabezpieczeniu systemu informatycznego - podejście oparte na ryzyku

Podobne dokumenty
Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Ocena ryzyka, a zasada rozliczalności na przykładzie Allegro

Maciej Byczkowski ENSI 2017 ENSI 2017

Monitorowanie systemów IT

Nowe przepisy i zasady ochrony danych osobowych

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

PRELEGENT Przemek Frańczak Członek SIODO

I. Postanowienia ogólne

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Ochrona danych osobowych w biurach rachunkowych

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Spis treści. Wykaz skrótów... Wprowadzenie...

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

rodo. naruszenia bezpieczeństwa danych

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

SZCZEGÓŁOWY HARMONOGRAM KURSU

PARTNER.

Ochrona danych osobowych, co zmienia RODO?

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

UMOWA w zakresie powierzenia przetwarzania danych osobowych. zawarta w XX w dniu XX XX XXXX roku pomiędzy: (dane podmiotu zawierającego umowę)

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Ochrona danych osobowych w biurach rachunkowych

Wprowadzenie do RODO. Dr Jarosław Greser

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

RODO. szanse i wyzwania dla działów IT w przedsiębiorstwie. Janusz Żmudziński. Dział Bezpieczeństwa. maj 2017 r.

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

Ochrona danych osobowych

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

PROGRAM TRZYDNIOWEGO KURSU DLA IOD - JAK DOSTOSOWAĆ ORGANIZACJĘ DO WYMOGÓW OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (RODO/GDPR)

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

ZAŁĄCZNIK SPROSTOWANIE

Zgodnie z RODO administrator i podmiot przetwarzający muszą wyznaczyć inspektora ochrony danych, gdy:

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Polityka Ochrony Danych Osobowych W

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Załącznik Nr 4 do Umowy nr.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

System bezpłatnego wsparcia dla NGO

#RODO2018. Śniadanie biznesowe w Gdyni. RODO praktyczne wyzwania prawno-technologiczne. Przemysław Rogiński Jakub Zuber

POLITYKA OCHRONY DANYCH OSOBOWYCH W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W WIERUSZOWIE

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

Umowa powierzenia danych

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

SPOTKANIE INFORMACYJNE

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

poleca e-book Instrukcja RODO

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga

ECDL RODO Sylabus - wersja 1.0

Rozporządzenie o Ochronie Danych Osobowych -jak przygotować firmę do wymogów nowych przepisów. Przemysław Perka, Anna Dopart

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Wykaz skrótów... XV Wykaz literatury... XXI Wprowadzenie... XXVII

Pierwsze doświadczenia w wykonywaniu funkcji IODy

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

Wpływ nowych regulacji prawnych na dopuszczalność outsourcingu procesów biznesowych.

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

RODO w praktyce JST czas: 353 dni. Michał Jaworski Członek Zarządu Microsoft sp. z o.o.

Al. J. Ch. Szucha 8, Warszawa

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Spis treści. Wykaz skrótów... Wprowadzenie...

POLITYKA BEZPIECZEŃSTWA INFORMACJI W MELACO SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA. w spółce W.EG Polska sp. z o.o. z siedzibą we Wrocławiu

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Transkrypt:

Rola Inspektora Ochrony Danych w zabezpieczeniu systemu informatycznego - podejście oparte na ryzyku Mariola Więckowska Head of Privacy Innovative Technologies Warszawa, 25.09.2018

Agenda Ø RODO vs. cyber zagrożenia Ø Inspektor Ochrony Danych Ø Bezpieczeństwo systemów IT Ø Ryzyko prywatności oraz przetwarzania danych Ø Zasada PbD oraz podejście oparte na ryzyku jako mechanizm zwiększający bezpieczeństwo systemów IT - rola Inspektora Ochrony Danych

Stan prawny Ogólne Rozporządzenie o ochronie danych (RODO) Ustawa o ochronie danych osobowych Ustawy wprowadzające Wytyczne EDPB

RODO/GDPR Czym jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych? RODO ma zastosowanie do podmiotów przetwarzających dane osobowe w Unii. RODO ujednolica przepisy w zakresie ochrony danych osobowych w krajach unijnych w odróżnieniu od dyrektywy, obowiązuje w sposób bezpośredni.

O co tyle hałasu? 16,3 ZB (zettabajtów) jest przetwarzanych w świecie (1 ZB = 931 322 574 615,48 GB) * International Data Corporation szacuje, że w 2020 roku transakcje biznesowe B2B i B2C osiągną 450 miliardów na dzień Akamai analizuje 75 milionów zdarzeń dziennie, aby lepiej targetować reklamę 5 000 lat historii Dane z 2017 Mniej niż 0,5% danych jest używana do podejmowania decyzji 0,5% * Źródło: IDC s Data Age 2025 study, sponsored by Seagate, April 2017, https://www.seagate.com/files/www-content/our-story/trends/files/seagate-wp-dataage2025-march-2017.pdfc

Statystyki: naruszenia danych (wg Breach Level Index by Gemalto) Co sekundę 122 rekordów danych ulega wyciekowi na świecie (nie wliczając danych z wycieku w Equifax) Co minutę Ponad 7000 rekordów danych jest kradzione lub utracone na świecie, co daje więcej niż 10 milionów każdego dnia. W pierwszej połowie 2017 1,9 miliarda rekordów danych wyciekło w wyniku naruszeń. To drastyczny wzrost o 164% w porównaniu z drugą połową 2016.

Ochrony przed cyber-zagrożeniami 3 najważniejsze pytania Jakie dane posiadasz? Jak możesz zabezpieczyć dane przed cyberzagrożeniami? Jak dobrać właściwe środki zabezpieczeń dla stosowanych rozwiązań? Ochrony przed cyberzagrożeniami Nieco poniżej 20% utraty lub wycieku danych było spowodowane wewnątrz organizacji człowiek najsłabszym punktem ochrony. Szyfrowanie pozostaje brakującym elementem ochrony danych: mniej niż 1% danych skradzionych w pierwszej połowie 2017 było zaszyfrowanych. To stanowi znaczne obniżenie w porównaniu do 4% w drugiej połowie 2016 roku. Odzyskanie stanu sprzed cyberataku jest zwykle powolne i drogie. 20% ofiar ataków wydało na to co najmniej $50 000 i poświęciło więcej, niż 6 m-cy, zaś 7% wydało ponad $100 000 I poświęciło więcej niż rok.

Rozszerzone praw podmiotów danych i obowiązków informacyjnych Ocena skutków dla ochrony danych (OSOD) Privacy by design/by default Zasada rozliczalności Risk-based approach - wprowadzenie podejścia opartego na ryzyku Rejestrowanie czynności przetwarzania Współpraca z organem nadzorczym Notyfikacja w 72h

Stosowanie zasady rozliczalności Prawne Organizacyjne Techniczne Umowy powierzenie/udostępnienie/współad ministrowania Szkolenia/upoważnienia Dostosowanie systemów do wypełniania praw podmiotów danych Polityki / Procedury Ocena skutków dla ochrony danych stosowanie PbD Bezpieczeństwo systemów, aplikacji i baz danych Zgody / Klauzule informacyjne Regulaminy / Polityki prywatności (transparentność) Śledzenie zmian w prawie, kodeksy postępowania... Podejście oparte na ryzyku - przetwarzania i prywatności Zarządzanie incydentami Środki ochrony fizycznej Środki sprzętowe oraz infrastruktura Stosowanie adekwatnych zabezpieczeń (Privacy by Design) Rejestrowanie czynności przetwarzania - dane klientów i pracowników -(nie)strukturalne

Kiedy należy wyznaczyć Inspektora Ochrony Danych (IOD/DPO) DPO Przetwarzania dokonują organ lub podmiot publiczny. (Podmioty sektora finansów publicznych (art. 9 Ustawy o finansach publicznych) oraz wskazane w KPA.) Główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych dotyczących wyroków skazujących i naruszeń prawa.

Wymagania dla IOD DPO Poziom wiedzy fachowej musi być współmierny do charakteru, skomplikowania i ilości przetwarzanych danych. Kwalifikacje zawodowe wiedza z zakresu krajowych i europejskich przepisów o ochronie danych osobowych, wiedza na temat danego sektora i podmiotu administratora, operacji przetwarzania danych, systemów informatycznych oraz stosowanych zabezpieczeń Możliwość wykonywania zadań pozycja w strukturach podmiotu, członek personelu, umowa o świadczenie usług, zapewnienie DPO niezbędnych zasobów, brak konfliktu interesów, cechy osobowe.

Zadania IOD DPO Monitorowanie zgodności z RODO identyfikacja i analiza procesów przetwarzania. Konsultowanie oceny skutków przetwarzania, m. in. w zakresie: metodologii oceny, zabezpieczeń stosowanych do łagodzenia zagrożeń, prawidłowości przeprowadzonej oceny. Współpraca z organem nadzorczym i pełnienie funkcji punktu kontaktowego. Szacowanie ryzyka związanego z operacjami przetwarzania, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania. Rejestrowanie czynności przetwarzania.

IOD jako single point of contact Każdego pracownika organizacji DPO DPO jest punktem kontaktowym dla: Organu nadzoru Osób spoza organizacji

Priorytety dla IOD DPO Zasady przetwarzania danych Ustalania wymogów bezpieczeństwa systemów IT Realizacja praw osób, których dane dotyczą Budowanie świadomości Rejestr czynności przetwarzania Zgłaszanie naruszeń

Rola Inspektora Ochrony Danych Aktywnie uczestniczy w analizie ryzyka oraz rekomenduje środki bezpieczeństwa pozwalające na jego mitygację. Wspomaga w wyborze adekwatnych środków zaradczych najbardziej korzystnych dla podmiotów danych, projektu i administratora danych. Poprzez odpowiednio przeprowadzoną analiza ryzyka wykazuje stosowanie ochrony danych w fazie projektowania oraz domyślną ochronę danych. Dba, aby wszelkie decyzje dotyczące prywatności i wybranych działań zostały odpowiednio udokumentowane i zaakceptowane. Monitoruje postęp działań związanych z ochroną prywatności, aby upewnić się, że są odpowiednio zakończone. Wspiera ocenę zmiany w realizacji projektu, procesów biznesowych, przepływu informacji, ról i zadań, aby upewnić się, że nie powstaje nowe ryzyko prywatności. 15

Art. 32 Bezpieczeństwo przetwarzania 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: pseudonimizacja i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. 16

Art. 32 Bezpieczeństwo przetwarzania c.d. 2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanychlub w inny sposób przetwarzanych. 3. Wywiązywanie się z obowiązków, o których mowa w ust. 1 niniejszego artykułu, można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postepowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42. 4. Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego. 17

Ryzyko w RODO Ryzyko wiążące się z przetwarzaniem danych rodzące skutki finansowe, prawne i utraty reputacji w wyniku naruszenia prywatności; przypadkowe lub niezgodnego z prawem zniszczenie, utrata, modyfikacja, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Ryzyko naruszenia praw lub wolności osób, w tym braku wypełniania praw osób, możliwości kradzieży tożsamości, naruszenia dobrego imienia, dyskryminacji lub negatywnych skutków finansowych, pozbawienie przysługujących podmiotom danych ich praw. 18

Przykład atrybutów ryzyka przetwarzania Kontrola zarządcza Brak kontroli zarządczej w obszarze ochrony danych osobowych. Nie spełnianie wymagań zasad przetwarzania danych osobowych, w tym zasady bezpieczeństwa danych i wdrożenia procedur wymaganych przez UODO i związane akty prawne. Legalność Brak spełnienie wymogów legalności przetwarzania w tym również transferu danych do państw trzecich (USA i kraje z poza UE) oraz powierzenia przetwarzania danych osobowych wynikającego z UODO i powiązanych aktów prawnych. Poufność Brak zapewnienia poufności danych osobowych, polegające na tym, że informacja jest dostępna lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom. Integralność Brak zapewnienia integralności danych - zapewnienie mechanizmów kontroli zmian danych oraz ich utraty w systemach IT. Dostępność Ryzyko związane z brakiem zapewnienia odpowiedniego poziomu dostępności do danych, m.in. opracowania i testowania BCP. Bezpieczeństwo Brak adekwatnego poziomu stosowanych zabezpieczeń w zakresie ochrony danych osobowych, w tym zapewnienie środków technicznych i organizowanych wynikających z Polityki, instrukcji oraz wewnętrznych procedur.

Ryzyko prywatności Ryzyko naruszenia prywatności może zaistnieć w związku z danymi osobowymi, które są: niewłaściwe, niewystarczające lub nieaktualne; nadmiarowe lub nieistotne; przechowywane zbyt długo; ujawniane osobom, którym osoby, których dane dotyczą, nie chciałyby ujawnić; wykorzystywane w sposób nieetyczny lub w sposób, którego osoby, których dane dotyczą, się nie spodziewały; przechowywane w sposób niedostatecznie bezpieczny. 20

Proces zarządzania naruszeniami W przypadku naruszenia ochrony danych osobowych, administrator nie później niż w terminie 72 godzin zgłasza je organowi nadzorczemu. Chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o naruszeniu. Chyba że administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony uniemożliwiające odczyt osobom nieuprawnionym (szyfrowanie, pseudonimizacja).

Droga do RODO Dostosowanie do wymogów RODO Rozmowa Zrozumienie Adaptacja Wypełniania praw podmiotów danych w IT Całej organizacji RODO-wita kultura i polityka organizacji Kieruj się RODOWSKAZEM" OSOD POnR (podejście oparte na ryzyku)

jolanta.jackowiak@pl.gt.com Dziękuję

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres