RODO W IT Praktyczne rozwiązania dla działów IT zgodne z GDPR

Podobne dokumenty
RODO W IT Praktyczne rozwiązania dla działów IT zgodne z GDPR

MONITORING A RODO. Małgorzata Kurowska. Radca prawny, Senior Associate w kancelarii Maruta Wachta sp. j.

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

SZCZEGÓŁOWY HARMONOGRAM KURSU

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

RODO W WYKONYWANIU ZAWODU RADCY PRAWNEGO

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

PARTNER.

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Spis treści. Wykaz skrótów... Wprowadzenie...

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Maciej Byczkowski ENSI 2017 ENSI 2017

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Rozdział 4 Procedura DPIA (Data Protection Impact Assessment)

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

rodo. naruszenia bezpieczeństwa danych

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Ocena skutków przetwarzania

Welcome. to Space4GDPR. Platforma Space4GDPR jest narzędziem dedykowanym. do sprawnego zarządzania ochroną danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

PROGRAM ZAJĘĆ II EDYCJI SZKOŁY RODO. Kancelaria Maruta Wachta sp. j.

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

POLITYKA PRYWATNOŚCI PARK LINOWY TARZAN

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

POLITYKA PRYWATNOŚCI KJ JEZIORKI

PROGRAM TRZYDNIOWEGO KURSU DLA IOD - JAK DOSTOSOWAĆ ORGANIZACJĘ DO WYMOGÓW OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (RODO/GDPR)

INTERNATIONAL POLICE CORPORATION

POLITYKA BEZPIECZEŃSTWA

UMOWA POWIERZENIA ( Umowa ) zawierana w związku z zawarciem umowy na podstawie. Regulaminu Świadczenia usług platformy SKY-SHOP.PL.

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

POLITYKA PRYWATNOŚCI

Ochrona danych osobowych, co zmienia RODO?

RODO W WYKONYWANIU ZAWODU RADCY PRAWNEGO

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

PRZETWARZANIE DANYCH PRZEZ ADMINISTRATORA

Paweł Makowski Radca GIODO

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Umowa powierzenia przetwarzania danych osobowych,

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

POLITYKA PRZETWARZANIA DANYCH OSOBOWYCH W KANCELARII: PATRYCJA JANKOWSKA KANCELARIA RADCY PRAWNEGO. Warszawa, r.

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

POLITYKA PRYWATNOŚCI VIGOR MED sp. j.

Prelegent : Krzysztof Struk Stanowisko: Analityk

POLITYKA PRZETWARZANIA DANYCH OSOBOWYCH W NOBLE FUNDS TOWARZYSTWIE FUNDUSZY INWESTYCYJNYCH S.A. (Polityka transparentności)

II Konferencja SASO, Nowa era jakości oprogramowania czy już była, jest, czy dopiero nadejdzie? Poznań, 30 czerwca 2017 roku

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

Przetwarzanie danych w chmurze a bezpieczeństwo informacji. T: (+48) Jachranka, 27 listopada 2015r. E:

OCHRONA DANYCH OD A DO Z

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

POLITYKA PRYWATNOŚCI

Umowa powierzenia przetwarzania danych osobowych zawarta w dniu 2018 r. pomiędzy:

NOWE PRZEPISY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH. Agnieszka Wiercińska-Krużewska, adwokat, senior partner 21 września 2017 r.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Bezpieczeństwo informacji w call center. Jak nim zarządzać? Warszawa, dn. 9 marca 2011 r.

B U R E A U V E R I T A S P O L S K A S P. Z O. O. RODO PO ROKU P D P / I S M & B C M T E A M L E A D E R

UMOWY POWIERZENIA W RODO. Kancelaria Maruta Wachta Sp. j.

Opracował Zatwierdził Opis nowelizacji

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Załącznik Nr 4 do Umowy nr.

Chroń Dane Osobowe. Personal Data Protection Officer. Konrad Gałaj-Emiliańczyk

Dane osobowe w data center

Polityka Prywatności Przetwarzania Danych Osobowych Kandydatów REKRUTACJA ZA POŚREDNICTWEM PORTALU

Radom, 13 kwietnia 2018r.

PROGRAM ZAJĘĆ WAKACYJNEJ SZKOŁY RODO. Kancelaria Maruta Wachta sp. j.

Safe24biz Sp z o.o., ul. Człuchowska 2c/13, Warszawa tel: (62) ,

Regulamin usług świadczonych drogą elektroniczną dla strony

PRELEGENT Przemek Frańczak Członek SIODO

UMOWA NR ANNĘ TREPKA

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

POLITYKA PRYWATNOŚCI GTS

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

Serwis serwis internetowy prowadzony przez Administratora pod adresem oraz inne adresy przekierowujące;

POLITYKA PRZETWARZANIE DANYCH OSOBOWYCH. W SPÓŁCE Zako Apartamenty s.c

Polityka Prywatności w Muzeum Wojsk Lądowych w Bydgoszczy

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Informacja o zasadach świadczenia usług zaufania w systemie DOCert Wersja 1.0

OCHRONA DANYCH OSOBOWYCH W DZIAŁACH KADR I HR - RODO W PRAKTYCE

POLITYKA PRYWATNOŚCI

I. Postanowienia ogólne

Transkrypt:

RODO W IT Praktyczne rozwiązania dla działów IT zgodne z GDPR Marcin Serafin, Sławomir Kowalski, Małgorzata Kurowska, Paweł Tobiczyk Kancelaria Maruta Wachta sp. j.

Agenda spotkania 1. Co RODO powiedziało nam o IT? 2. Granice danych osobowych i ich przetwarzania w środowisku IT 3. Realizacja praw podmiotów danych 4. Czy dostawca będzie przetwarzał dane osobowe? 5. Powierzenie czy upoważnienie do przetwarzania danych? 6. Kluczowe zagadnienia kontraktowe 7. Podejście oparte na ryzyku w RODO

CO RODO POWIEDZIAŁO NAM O IT?

Refleksje i wnioski z projektów wdrożeniowych

Przestarzałe rozwiązania Ile czasu zajmuje wdrożenie nowej treści zgody? Ile MD pracy wymaga zaimplementowanie logiki wykazującej zrealizowane obowiązków informacyjnych? Jak skomplikowana jest operacja usuwania danych po okresie retencji?

Podejście przez obejście Jak zrobić, żeby nie zrobić? To teraz zróbmy na frontendzie, a backendem zajmiemy się później Proces realizowany manualnie

GRANICE DANYCH OSOBOWYCH I ICH PRZETWARZANIA W ŚRODOWISKU IT

Case 1 Pracownik zewnętrznego help desk Spółki zażądał przekazania kopi dotyczących go danych osobowych. Okazuje się, że Spółka posiada dane tego pracownika obejmujące adres e-mail, login, hasło, informacje o sposobie korzystania z systemu (logi), a także szereg innych informacji, które można przypisać do tego użytkownika w sposób pośredni, m.in. nagrania rozmów telefonicznych, które prowadził, reklamacje zgłaszane przez klientów, informacje o sposobie ich rozpatrzenia, a także szereg danych dotyczących tych klientów. Jaki zakres danych osobowych pracownika help desk powinien mu zostać przekazany?

Case 2 Paweł zakupił usługę lodówka jako usługa (LaaS) w firmie X 15 kwietnia 2016 r. Lodówka jest marki Bosch, a jej numer seryjny to X3498. Lodówka kosztowała 1000 zł i była kupiona w promocji świątecznej skierowanej do miłośników piwa. Dodatkowo abonament za usługę lodowa chmura kosztuje 129 zł rocznie. Baza danych firmy X zawiera m.in. informację, że Paweł regularnie zamawia jogurt niskotłuszczowy marki Piątnica oraz niskofruktozowe marchewki. Z ogólnodostępnych źródeł wynika, że to dieta charakterystyczna dla diabetyków. Jakie informacje powinny znaleźć się w kopii danych, jeśli Paweł jej zażąda?

Case 3 Grupa ABC składająca się z 3 spółek: A, B i C korzysta ze wspólnego systemu informatycznego i bazy danych. Dane klientów wszystkich spółek są gromadzone we wspólnej bazie. Każda ze spółek ma dostęp do danych dotyczących swoich klientów, a także w ograniczonym zakresie do danych klientów innych spółek z grupy. Spółka A, odpowiadająca za zarządzanie systemem informatycznym, otrzymała żądanie dotyczące kopii danych jednego z klientów. Jakie dane spółka A powinna przekazać klientowi, zakładając, że jest on także klientem spółki B i C?

Case 4 Pracownik spółki Y i wielbiciel piłki nożnej czyta w popularnych portalach wiadomości o życiu prywatnym piłkarzy i ich bliskich. Lektura odbywa się w czasie pracy oraz na sprzęcie firmowym. Pracownik zapisuje co ciekawsze artykuły w folderze na serwerze firmowym. Kierownictwo rozważa wprowadzenie zupełnego zakazu dostępu do popularnych portali oraz zapisywania materiałów niezwiązanych z pracą na firmowych zasobach. Czy działanie pracownika czyni ze spółki Y administratora danych sportowców i ich bliskich? Czy spółka powinna podejmować jakieś działania w związku z opisaną sytuacją?

Case 5 Bank X monitoruje, na podstawie kodów MCC, transakcje realizowane przez klientów. W oparciu o analizę wydatków Filipa bank ustalił, że Filip z prawdopodobieństwem: 0,7 ma problem alkoholowy oraz 0,8 ma kochankę. Wynika to z dużej liczby transakcji z kodem 5813 (pijalnie alkoholu, bary, tawerny ) i 5921 (sklepy z alkoholem) oraz częstych transakcji z kodem 7011 (hotele, motele). W tej sytuacji Bank dokładniej monitoruje sposób spłaty przez Filipa i jego żonę Annę kredytu hipotecznego. Filip poprosił o kopię dotyczących go danych osobowych. Czy bank musi przekazać informacje o swoich przypuszczeniach o jego aktywności?

Case 6 Spółka X współpracuje z zewnętrznym call center, zatrudniającym wyłącznie osoby niepełnosprawne. W celu umożliwienia im wykonywania pracy spółka X nadała im identyfikatory w systemach informatycznych oraz określiła zakres uprawnień do danych klientów. Oceń, czy spółka X przetwarza dane osobowe o stanie zdrowia pracowników swojego zewnętrznego call center. Czy call center może udostępnić dane osobowe swoich pracowników spółce X?

Case 7 Kamera zainstalowana w korytarzu i recepcji spółki X zapisuje nagranie ruchu w korytarzu. Nagrania zawierają wizerunki przechodzących korytarzem osób. Celem monitoringu korytarza jest zapewnienie bezpieczeństwa mienia i osób. Nagrania są przechowywane przez 6 miesięcy. Początkujący nerd ochrony prywatności (od niedawna w firmie), zwrócił uwagę, że dane z nagrań mogą zdradzać pochodzenie etniczne i należy monitoring wyłączyć. Wczuj się w sytuację wiceprezesa odpowiedzialnego za compliance i odpowiedz na argumenty pracownika. Znajdź inny błąd spółki X.

Case 8 Spółka ABC podjęła decyzję o digitalizacji archiwum dokumentów. Z uwagi na dużą skalę prac, mają one zostać zlecone do zewnętrznego wykonawcy. Spółka rozważa dwa warianty digitalizacji: a) zeskanowanie dokumentów, b) zeskanowanie dokumentów oraz umożliwienie wyszukiwania pełnotekstowego w tych dokumentach. O co powinna zadbać spółka ABC, aby proces digitalizacji przebiegał zgodnie z RODO? W jaki sposób wybór wariantu projektu wpływa na przetwarzanie danych osobowych zawartych w tych dokumentach?

CZY DOSTAWCA BĘDZIE PRZETWARZAŁ DANE OSOBOWE?

Czy dostawca będzie przetwarzał dane osobowe? Czy dostawca będzie mieć dostęp do danych? Czy świadczone usługi wymagają przetwarzania danych osobowych? Czy ujawnione informacje będą stanowić dane osobowe? Czy dane będą miały postać czytelną dla dostawcy?

Case 1 Spółka SecureData świadczy usługi kolokacji. Umowa przewiduje, że spółka udostępni klientowi szafę serwerową oraz zapewni ochronę pomieszczenia, w którym jest ona posadowiona 24/7. Spółka SecureData zapewnia SLA ciągłości usługi na poziomie 98%. SecureData zastanawia się, czy w związku z RODO powinna zawierać ze swoimi klientami umowy powierzenia.

Case 2 Spółka DataSecure świadczy usługi polegające na prowadzeniu testów bezpieczeństwa systemów informatycznych i wykrywaniu podatności tych systemów. W trakcie prowadzenia testów Spółka ma możliwość dostępu do danych przetwarzanych w systemie, jednak dostęp ten nie jest z reguły konieczny dla realizacji usługi. Niektórzy klienci Spółki żądają zawierania z nimi umów powierzenia, podczas gdy inni uznają, że nie ma takiej potrzeby.

Case 3 Spółka DataProtect świadczy usługi utrzymania systemów informatycznych, przy czym z reguły do ich świadczenia nie jest niezbędny dostęp do jakichkolwiek danych. W sporadycznych przypadkach, gdy wymagane są operacje na danych osobowych, klienci przekazują Spółce dane osobowe w postaci zaszyfrowanej. Spółka nie otrzymuje klucza umożliwiającego rozszyfrowanie komunikatu. Spółka DataProtect zastanawia się, czy w tym wypadku może uniknąć zawierania umowy powierzenia przetwarzania danych.

POWIERZENIE CZY UPOWAŻNIENIE DO PRZETWARZANIA DANYCH?

Czy niezbędna jest umowa powierzenia? Czy świadczone usługi wymagają przetwarzania danych osobowych? Czy dane przekazane są dostawcy do faktycznej dyspozycji? Na czyim sprzęcie i w jakich lokalizacjach pracuje dostawca? Czy dane opuszczają organizację administratora?

Case 1 (cz. 1) Spółka ABC świadczy usługi informatyczne w zakresie wdrożeń systemów SAP, a także utrzymania i wsparcia. Personel spółki ABC składa się z pracowników spółki oraz osób zatrudnionych na kontraktach cywilnoprawnych. W szczególnie trudnych przypadkach ABC współpracuje także z freelancerami wysokiej klasy specjalistami, przyjmującymi zlecenia od różnych podmiotów. Usługi świadczone są w siedzibie klienta (zamawiającego), i na jego sprzęcie, nierzadko jednak usługi świadczone są także zdalnie, po przesłaniu niezbędnych danych i informacji do ABC przez osobę wyznaczoną przez zamawiającego. Czy Spółka ABC powinna zawierać z zamawiającymi umowy powierzenia przetwarzania danych osobowych?

Case 1 (cz. 2) Z uwagi na rosnące koszty prowadzonej działalności, spółka ABC postanowiła zmienić sposób świadczenia usług usługi wsparcia świadczone mają być z siedziby ABC, z wykorzystaniem zdalnego dostępu do systemu klienta za pośrednictwem VPN. Dostęp taki uzyskują pracownicy / współpracownicy ABC wyznaczeni do obsługi danego klienta. Czy w tej sytuacji wystarczające będzie udzielenie przez zamawiającego stosownych upoważnień?

Case 1 (cz. 3) ABC, odpowiadając na oczekiwania zamawiających, oferuje także usługi w modelu, w którym całość zleconych zadań realizowana jest w siedzibie klienta. Personel ABC na czas projektu otrzymuje własne stanowiska pracy, a także sprzęt, należący do zamawiającego, skonfigurowany zgodnie z zaleceniami ABC. Czy w ramach tego modelu niezbędne jest zawieranie umowy powierzenia przetwarzania?

Case 2 Spółka XYZ świadczy usługi utrzymaniowe systemów informatycznych. Co do zasady, świadczenie usług nie wymaga przetwarzania danych, jednak w pewnych przypadkach usunięcie awarii wymaga dostępu do środowiska produkcyjnego i pracy na rzeczywistych danych. Zgłaszając incydenty, pracownicy zamawiającego przesyłają też nierzadko screeny z ekranu, w których zawarte są obrazy danych osobowych przetwarzanych w systemie. Spółka XYZ zastanawia się, w jaki sposób umownie uregulować zagadnienie danych osobowych w tej sytuacji.

KLUCZOWE ZAGADNIENIA KONTRAKTOWE

Najczęstsze pułapki w umowie powierzenia: Zasady korzystania z podwykonawców Zasady przeprowadzenia audytów i ponoszenia ich kosztów Odpowiedzialność i kary umowne Konstrukcja umowy dalszego powierzenia

Case 1 W umowie z zamawiającym wskazano, że: Wykonawca jest uprawniony do korzystania z podwykonawców pod warunkiem, że będą to podmioty prowadzące działalność gospodarczą w zakresie objętym złożonym im zleceniem. W każdym wypadku wykonawca odpowiada za działania i zaniechania takich podwykonawców jak za własne działania i zaniechania. Spółka Smart Data będąca wykonawcą (procesorem) zastanawia się, czy takie postanowienie jest wystarczające dla zapewnienia sobie prawa do korzystania z partnerów podwykonawców.

Case 2 Spółka ANALYZE! świadczy usługi polegające na analizie danych osobowych przekazanych przez klientów i sporządzaniem ich profili. ANALYZE! Chciałaby maksymalnie ochronić swój know-how, i w tym celu zamierza maksymalnie ograniczyć prawo administratora do prowadzenia audytu. Spółka rozważa dopuszczalność: Pobierania opłaty za umożliwienie audytu Określenia maksymalnej długości audytów i ich częstotliwości Ograniczenia możliwości posługiwania się przez administratora podmiotami trzecimi

Case 3 Spółka SmartData świadczy usługi IT w przeważającej większości przypadków wymagających powierzenia przetwarzania danych. Spółka zastanawia się, jak uregulować zasady swojej odpowiedzialności, tak by maksymalnie chronić swoje interesy. Spółka zastanawia się nad dopuszczalnością: Ograniczenia kwotowego swojej odpowiedzialności Wyłączenia możliwości zwrotnego dochodzenia od Spółki roszczeń związanych z karami nałożonymi na zamawiającego Rezygnacji z kar umownych

Case 4 W związku z profilem prowadzonej działalności Spółka ABC uznała, że zawieranie umów powierzenia z zamawiającymi w jej przypadku nie jest konieczne. W ramach świadczonych usług personel Spółki będzie otrzymywał pisemne upoważnienia do przetwarzania danych bezpośrednio od zamawiającego. Czy i w jaki sposób Spółka powinna określić umownie zasady swojej odpowiedzialności w zakresie dotyczącym danych osobowych?

Case 5 Spółka Analyze! świadczy usługi analityczne, z reguły korzystając z usług podwykonawców. W związku z RODO Spółka chciałaby opracować standardowy wzór umowy dalszego powierzenia; obawia się jednak, że z uwagi na różnorodne oczekiwania klientów (administratorów danych) stworzenie jednolitego wzoru będzie niemożliwe. Na jakie kwestie należy zwrócić szczególną uwagę w relacji obejmującej dalsze powierzenie przetwarzania danych?

PODEJŚCIE OPARTE NA RYZYKU W RODO

Czym jest podejście oparte na ryzyku (RBA)? Kluczowa zmiana na gruncie RODO Dostosowanie odpowiednich środków w zależności od poziomu ryzyka związanego z przetwarzaniem danych Ochrona by design, by default i DPIA jako elementy oceny ryzyka Obowiązek zapewnienia rozliczalności (dokumentowanie oceny)

Zasada ochrony privacy by design CELE Skuteczna realizacja podstawowych zasad ochrony danych, takich jak minimalizacja danych, integralność i poufność Nadanie przetwarzaniu niezbędnych gwarancji, tak by spełnić wymogi RODO oraz chronić prawa osób, której dane dotyczą OBOWIĄZKI po stronie organizacji Uwzględnienie ochrony danych w fazie projektowania Uwzględnienie m.in. stanu wiedzy technicznej, kosztów wdrożenia itp. Obowiązek wprowadzenia określonych środków "wbudowanie" ich w projektowane rozwiązanie

Zasada ochrony privacy by default CELE Domyślnie przetwarzane powinny być wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania OBOWIĄZKI po stronie organizacji Wdrożenie odpowiednich środków technicznych i organizacyjnych Ograniczenie powinno dotyczyć: ilości gromadzonych danych; zakresu przetwarzania danych; okresu ich przechowywania; dostępności Domyślnie dane osobowe nie powinny być udostępniane bez interwencji danej osoby nieokreślonej liczbie osób

Ocena skutków dla ochrony danych (DPIA) Przesłanki prowadzenia oceny: duże prawdopodobieństwo wysokiego ryzyka dla praw i wolności osób ZAWARTOŚĆ OCENY: opis planowanych operacji ocena konieczności i proporcjonalności przetwarzania ocena zagrożeń dla praw i wolności osób (risk analysis) środki planowane w celu zaradzenia zagrożeniom (risk management)

Elementy oceny ryzyka Ocena w fazie projektowania (by design) Ocena prawdopodobieństwa Ocena skutków dla ochrony danych (DPIA) albo Uproszczona ocena

Przedmiot oceny ryzyka: IT security vs RODO RYZYKO PONIESIENIA STRAT PRZEZ ORGANIZACJĘ RYZYKO NARUSZENIA PRAW I WOLNOŚCI OSÓB (PRYWATNOŚCI)

W jakich rolach może występować IT przy ocenie ryzyka? 1 Wewnętrzny dział IT (po stronie ADO) 2 Podwykonawca (procesor / podprocesor) 3 Właściciel biznesowy projektu / procesu

Ocena privacy by design podstawowe założenia KTO ODPOWIADA właściciel biznesowy / IOD / prawnicy CZEGO DOTYCZY nowych projektów (procesów) CO SPRAWDZAMY czy projekt biznesowy może być realizowany JAK SPRAWDZAMY weryfikacja, czy założenia spełniają minimalne wymogi RODO: minimalizacja, retencja, transparentność, privacy by default

Ocena privacy by design rola IT Dostarczanie informacji, np.: o o jakie dane są przetwarzane i w jakich celach są wykorzystywane (w szczególności identyfikatory internetowe, np. ID cookie, adres IP) czy możliwe jest realizowanie podstawowych zasad: usuwanie danych z systemu, określanie zakresu danych, przekazywanie informacji podmiotom danych Współpraca przy projektowaniu rozwiązań by default

Ocena prawdopodobieństwa podstawowe założenia KTO ODPOWIADA właściciel biznesowy / IOD / prawnicy CZEGO DOTYCZY wszystkich projektów (procesów) CO SPRAWDZAMY czy projekt biznesowy wymaga DPIA JAK SPRAWDZAMY zgodnie z przyjętą metodyką (np. kryteria GR 29)

Ocena prawdopodobieństwa rola IT Dostarczanie informacji, np.: czy dane przetwarzane na dużą skalę czy stosowane są innowacyjne rozwiązania czy występuje stałe monitorowanie

Ocena uproszczona podstawowe założenia KTO ODPOWIADA właściciel biznesowy / IOD / prawnicy CZEGO DOTYCZY projektów (procesów), które nie generują dużego prawdopodobieństwa wysokiego ryzyka CO SPRAWDZAMY środki, które należy wdrożyć, aby zapewnić legalność projektu JAK SPRAWDZAMY zgodnie z przyjętą metodyką (np. opis zastosowanych środków organizacyjnych i technicznych)

Ocena uproszczona rola IT Dostarczanie informacji, np.: jakie środki techniczne i fizyczne są stosowane jakie procedury są stosowane

Ocena skutków (DPIA) podstawowe założenia KTO ODPOWIADA właściciel biznesowy / IOD / prawnicy CZEGO DOTYCZY projektów (procesów), które generują duże prawdopodobieństwo wysokiego ryzyka CO SPRAWDZAMY czy występuje wysokie ryzyko naruszenia praw i wolności; środki, które należy wdrożyć, aby ograniczyć ryzyko JAK SPRAWDZAMY zgodnie z przyjętą metodyką (np. ocena ryzyka potencjalnego, szczątkowego i finalnego)

Przykładowa metodyka oceny ISTOTNOŚĆ (WAGA) ZAGROŻENIA PRAWDOPODOBIEŃSTWO WYSTĄPIENIA ZAGROŻENIA pomijalne (1) niskie (2) średnie (3) wysokie (4) krytyczne (5) pomijalna (1) 1 2 3 4 5 niska (2) 2 4 6 8 10 średnia (3) 3 6 9 12 15 wysoka (4) 4 8 12 16 20 krytyczna (5) 5 10 15 20 25 STOPIEŃ RYZYKA niski (1-7) średni (8-14) wysoki (15-25)

OPIS ZAGROŻEŃ MAJĄCYCH WPŁYW NA STOPIEŃ RYZYKA NARUSZENIA PRYWATNOŚCI LP. KATEGORIE ZAGROŻEŃ ZAGROŻENIA, KTÓRE MOGĄ WYSTĄPIĆ W OCENIANYM PROCESIE/PROJEKCIE OCENA RYZYKA POTENCJALNEGO ISTOTNOŚĆ (WAGA) ZAGROŻENIA PRAWDOPODO -BIEŃSTWO WYSTĄPIENIA ZAGROŻENIA STOPIEŃ RYZYKA POTENCJALN EGO ZALECENIA EKSPERTA TECHNOLOGICZNEGO ZALECENIA EKSPERTA TECHNOLOGICZNEGO WDROŻONE ŚRODKI LUB UZASADNIENI E BRAKU WDROŻENIA OCENA RYZYKA SZCZĄTKOWEGO ISTOTNOŚĆ (WAGA) ZAGROŻENIA PRAWDOPODO -BIEŃSTWO WYSTĄPIENIA ZAGROŻENIA STOPIEŃ SZCZĄTKOW EGO RYZYKA 1 POUFNOŚĆ (ZAGROŻENIA ZWIĄZANE Z UZYSKANIEM BEZPRAWNEGO DOSTĘPU DO DANYCH) Cyberataki hakerskie (np. złośliwe oprogramowanie, cyberterrotyzm, sabotaż, przełamanie zabezpieczeń) 3 5 15 Zabezpieczenie urządzeń końcowych przed złośliwym oprogramowaniem (oprogramowanie antywirusowe). 3 2 6 1 INTEGRALNOŚĆ (ZAGROŻENIA ZWIĄZANE Z NIEPOŻĄDANĄ ZMIANĄ DANYCH) Dostęp nieuprawnionej osoby z wewnątrz organizacji (błąd ludzki, naruszenie procedur itp..) 3 3 9 NIE DOTYCZY 3 3 9 1 DOSTĘPNOŚĆ (ZAGROŻENIA ZWIĄZANE Z UTRATĄ DANYCH LUB BRAKIEM DOSTĘPU DO DANYCH PRZEZ ADMINISTRATORA) Zdarzenia losowe (np. przegrzana serwerownia, pożar, zalanie itd.) 4 5 20 Zabezpieczenie serwerowni systemem przeciwpożarowym. Wyposażenie budynku, w którym przetwarzane są dane, w zasilanie awaryjne lub generator prądu. 4 4 16

Ocena skutków (DPIA) rola IT Dostarczanie informacji (ryzyko potencjalne), np.: o o jakie środki techniczne i fizyczne są stosowane jakie procedury są stosowane Zmapowanie zagrożeń (podatności) Ocena prawdopodobieństwa (wybraną metodą) Opracowanie zaleceń dot. środków ochrony

Q&A RODO W IT

Marcin Serafin +48 501 255 984 mserafin@maruta.pl Sławomir Kowalski +48 608 040 121 skowalski@maruta.pl Małgorzata Kurowska +48 735 200 367 mkurowska@maruta.pl We know IT Paweł Tobiczyk +48 882 345 217 ptobiczyk@maruta.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres