RODO W IT Praktyczne rozwiązania dla działów IT zgodne z GDPR Marcin Serafin, Sławomir Kowalski, Małgorzata Kurowska, Paweł Tobiczyk Kancelaria Maruta Wachta sp. j.
Agenda spotkania 1. Co RODO powiedziało nam o IT? 2. Granice danych osobowych i ich przetwarzania w środowisku IT 3. Realizacja praw podmiotów danych 4. Czy dostawca będzie przetwarzał dane osobowe? 5. Powierzenie czy upoważnienie do przetwarzania danych? 6. Kluczowe zagadnienia kontraktowe 7. Podejście oparte na ryzyku w RODO
CO RODO POWIEDZIAŁO NAM O IT?
Refleksje i wnioski z projektów wdrożeniowych
Przestarzałe rozwiązania Ile czasu zajmuje wdrożenie nowej treści zgody? Ile MD pracy wymaga zaimplementowanie logiki wykazującej zrealizowane obowiązków informacyjnych? Jak skomplikowana jest operacja usuwania danych po okresie retencji?
Podejście przez obejście Jak zrobić, żeby nie zrobić? To teraz zróbmy na frontendzie, a backendem zajmiemy się później Proces realizowany manualnie
GRANICE DANYCH OSOBOWYCH I ICH PRZETWARZANIA W ŚRODOWISKU IT
Case 1 Pracownik zewnętrznego help desk Spółki zażądał przekazania kopi dotyczących go danych osobowych. Okazuje się, że Spółka posiada dane tego pracownika obejmujące adres e-mail, login, hasło, informacje o sposobie korzystania z systemu (logi), a także szereg innych informacji, które można przypisać do tego użytkownika w sposób pośredni, m.in. nagrania rozmów telefonicznych, które prowadził, reklamacje zgłaszane przez klientów, informacje o sposobie ich rozpatrzenia, a także szereg danych dotyczących tych klientów. Jaki zakres danych osobowych pracownika help desk powinien mu zostać przekazany?
Case 2 Paweł zakupił usługę lodówka jako usługa (LaaS) w firmie X 15 kwietnia 2016 r. Lodówka jest marki Bosch, a jej numer seryjny to X3498. Lodówka kosztowała 1000 zł i była kupiona w promocji świątecznej skierowanej do miłośników piwa. Dodatkowo abonament za usługę lodowa chmura kosztuje 129 zł rocznie. Baza danych firmy X zawiera m.in. informację, że Paweł regularnie zamawia jogurt niskotłuszczowy marki Piątnica oraz niskofruktozowe marchewki. Z ogólnodostępnych źródeł wynika, że to dieta charakterystyczna dla diabetyków. Jakie informacje powinny znaleźć się w kopii danych, jeśli Paweł jej zażąda?
Case 3 Grupa ABC składająca się z 3 spółek: A, B i C korzysta ze wspólnego systemu informatycznego i bazy danych. Dane klientów wszystkich spółek są gromadzone we wspólnej bazie. Każda ze spółek ma dostęp do danych dotyczących swoich klientów, a także w ograniczonym zakresie do danych klientów innych spółek z grupy. Spółka A, odpowiadająca za zarządzanie systemem informatycznym, otrzymała żądanie dotyczące kopii danych jednego z klientów. Jakie dane spółka A powinna przekazać klientowi, zakładając, że jest on także klientem spółki B i C?
Case 4 Pracownik spółki Y i wielbiciel piłki nożnej czyta w popularnych portalach wiadomości o życiu prywatnym piłkarzy i ich bliskich. Lektura odbywa się w czasie pracy oraz na sprzęcie firmowym. Pracownik zapisuje co ciekawsze artykuły w folderze na serwerze firmowym. Kierownictwo rozważa wprowadzenie zupełnego zakazu dostępu do popularnych portali oraz zapisywania materiałów niezwiązanych z pracą na firmowych zasobach. Czy działanie pracownika czyni ze spółki Y administratora danych sportowców i ich bliskich? Czy spółka powinna podejmować jakieś działania w związku z opisaną sytuacją?
Case 5 Bank X monitoruje, na podstawie kodów MCC, transakcje realizowane przez klientów. W oparciu o analizę wydatków Filipa bank ustalił, że Filip z prawdopodobieństwem: 0,7 ma problem alkoholowy oraz 0,8 ma kochankę. Wynika to z dużej liczby transakcji z kodem 5813 (pijalnie alkoholu, bary, tawerny ) i 5921 (sklepy z alkoholem) oraz częstych transakcji z kodem 7011 (hotele, motele). W tej sytuacji Bank dokładniej monitoruje sposób spłaty przez Filipa i jego żonę Annę kredytu hipotecznego. Filip poprosił o kopię dotyczących go danych osobowych. Czy bank musi przekazać informacje o swoich przypuszczeniach o jego aktywności?
Case 6 Spółka X współpracuje z zewnętrznym call center, zatrudniającym wyłącznie osoby niepełnosprawne. W celu umożliwienia im wykonywania pracy spółka X nadała im identyfikatory w systemach informatycznych oraz określiła zakres uprawnień do danych klientów. Oceń, czy spółka X przetwarza dane osobowe o stanie zdrowia pracowników swojego zewnętrznego call center. Czy call center może udostępnić dane osobowe swoich pracowników spółce X?
Case 7 Kamera zainstalowana w korytarzu i recepcji spółki X zapisuje nagranie ruchu w korytarzu. Nagrania zawierają wizerunki przechodzących korytarzem osób. Celem monitoringu korytarza jest zapewnienie bezpieczeństwa mienia i osób. Nagrania są przechowywane przez 6 miesięcy. Początkujący nerd ochrony prywatności (od niedawna w firmie), zwrócił uwagę, że dane z nagrań mogą zdradzać pochodzenie etniczne i należy monitoring wyłączyć. Wczuj się w sytuację wiceprezesa odpowiedzialnego za compliance i odpowiedz na argumenty pracownika. Znajdź inny błąd spółki X.
Case 8 Spółka ABC podjęła decyzję o digitalizacji archiwum dokumentów. Z uwagi na dużą skalę prac, mają one zostać zlecone do zewnętrznego wykonawcy. Spółka rozważa dwa warianty digitalizacji: a) zeskanowanie dokumentów, b) zeskanowanie dokumentów oraz umożliwienie wyszukiwania pełnotekstowego w tych dokumentach. O co powinna zadbać spółka ABC, aby proces digitalizacji przebiegał zgodnie z RODO? W jaki sposób wybór wariantu projektu wpływa na przetwarzanie danych osobowych zawartych w tych dokumentach?
CZY DOSTAWCA BĘDZIE PRZETWARZAŁ DANE OSOBOWE?
Czy dostawca będzie przetwarzał dane osobowe? Czy dostawca będzie mieć dostęp do danych? Czy świadczone usługi wymagają przetwarzania danych osobowych? Czy ujawnione informacje będą stanowić dane osobowe? Czy dane będą miały postać czytelną dla dostawcy?
Case 1 Spółka SecureData świadczy usługi kolokacji. Umowa przewiduje, że spółka udostępni klientowi szafę serwerową oraz zapewni ochronę pomieszczenia, w którym jest ona posadowiona 24/7. Spółka SecureData zapewnia SLA ciągłości usługi na poziomie 98%. SecureData zastanawia się, czy w związku z RODO powinna zawierać ze swoimi klientami umowy powierzenia.
Case 2 Spółka DataSecure świadczy usługi polegające na prowadzeniu testów bezpieczeństwa systemów informatycznych i wykrywaniu podatności tych systemów. W trakcie prowadzenia testów Spółka ma możliwość dostępu do danych przetwarzanych w systemie, jednak dostęp ten nie jest z reguły konieczny dla realizacji usługi. Niektórzy klienci Spółki żądają zawierania z nimi umów powierzenia, podczas gdy inni uznają, że nie ma takiej potrzeby.
Case 3 Spółka DataProtect świadczy usługi utrzymania systemów informatycznych, przy czym z reguły do ich świadczenia nie jest niezbędny dostęp do jakichkolwiek danych. W sporadycznych przypadkach, gdy wymagane są operacje na danych osobowych, klienci przekazują Spółce dane osobowe w postaci zaszyfrowanej. Spółka nie otrzymuje klucza umożliwiającego rozszyfrowanie komunikatu. Spółka DataProtect zastanawia się, czy w tym wypadku może uniknąć zawierania umowy powierzenia przetwarzania danych.
POWIERZENIE CZY UPOWAŻNIENIE DO PRZETWARZANIA DANYCH?
Czy niezbędna jest umowa powierzenia? Czy świadczone usługi wymagają przetwarzania danych osobowych? Czy dane przekazane są dostawcy do faktycznej dyspozycji? Na czyim sprzęcie i w jakich lokalizacjach pracuje dostawca? Czy dane opuszczają organizację administratora?
Case 1 (cz. 1) Spółka ABC świadczy usługi informatyczne w zakresie wdrożeń systemów SAP, a także utrzymania i wsparcia. Personel spółki ABC składa się z pracowników spółki oraz osób zatrudnionych na kontraktach cywilnoprawnych. W szczególnie trudnych przypadkach ABC współpracuje także z freelancerami wysokiej klasy specjalistami, przyjmującymi zlecenia od różnych podmiotów. Usługi świadczone są w siedzibie klienta (zamawiającego), i na jego sprzęcie, nierzadko jednak usługi świadczone są także zdalnie, po przesłaniu niezbędnych danych i informacji do ABC przez osobę wyznaczoną przez zamawiającego. Czy Spółka ABC powinna zawierać z zamawiającymi umowy powierzenia przetwarzania danych osobowych?
Case 1 (cz. 2) Z uwagi na rosnące koszty prowadzonej działalności, spółka ABC postanowiła zmienić sposób świadczenia usług usługi wsparcia świadczone mają być z siedziby ABC, z wykorzystaniem zdalnego dostępu do systemu klienta za pośrednictwem VPN. Dostęp taki uzyskują pracownicy / współpracownicy ABC wyznaczeni do obsługi danego klienta. Czy w tej sytuacji wystarczające będzie udzielenie przez zamawiającego stosownych upoważnień?
Case 1 (cz. 3) ABC, odpowiadając na oczekiwania zamawiających, oferuje także usługi w modelu, w którym całość zleconych zadań realizowana jest w siedzibie klienta. Personel ABC na czas projektu otrzymuje własne stanowiska pracy, a także sprzęt, należący do zamawiającego, skonfigurowany zgodnie z zaleceniami ABC. Czy w ramach tego modelu niezbędne jest zawieranie umowy powierzenia przetwarzania?
Case 2 Spółka XYZ świadczy usługi utrzymaniowe systemów informatycznych. Co do zasady, świadczenie usług nie wymaga przetwarzania danych, jednak w pewnych przypadkach usunięcie awarii wymaga dostępu do środowiska produkcyjnego i pracy na rzeczywistych danych. Zgłaszając incydenty, pracownicy zamawiającego przesyłają też nierzadko screeny z ekranu, w których zawarte są obrazy danych osobowych przetwarzanych w systemie. Spółka XYZ zastanawia się, w jaki sposób umownie uregulować zagadnienie danych osobowych w tej sytuacji.
KLUCZOWE ZAGADNIENIA KONTRAKTOWE
Najczęstsze pułapki w umowie powierzenia: Zasady korzystania z podwykonawców Zasady przeprowadzenia audytów i ponoszenia ich kosztów Odpowiedzialność i kary umowne Konstrukcja umowy dalszego powierzenia
Case 1 W umowie z zamawiającym wskazano, że: Wykonawca jest uprawniony do korzystania z podwykonawców pod warunkiem, że będą to podmioty prowadzące działalność gospodarczą w zakresie objętym złożonym im zleceniem. W każdym wypadku wykonawca odpowiada za działania i zaniechania takich podwykonawców jak za własne działania i zaniechania. Spółka Smart Data będąca wykonawcą (procesorem) zastanawia się, czy takie postanowienie jest wystarczające dla zapewnienia sobie prawa do korzystania z partnerów podwykonawców.
Case 2 Spółka ANALYZE! świadczy usługi polegające na analizie danych osobowych przekazanych przez klientów i sporządzaniem ich profili. ANALYZE! Chciałaby maksymalnie ochronić swój know-how, i w tym celu zamierza maksymalnie ograniczyć prawo administratora do prowadzenia audytu. Spółka rozważa dopuszczalność: Pobierania opłaty za umożliwienie audytu Określenia maksymalnej długości audytów i ich częstotliwości Ograniczenia możliwości posługiwania się przez administratora podmiotami trzecimi
Case 3 Spółka SmartData świadczy usługi IT w przeważającej większości przypadków wymagających powierzenia przetwarzania danych. Spółka zastanawia się, jak uregulować zasady swojej odpowiedzialności, tak by maksymalnie chronić swoje interesy. Spółka zastanawia się nad dopuszczalnością: Ograniczenia kwotowego swojej odpowiedzialności Wyłączenia możliwości zwrotnego dochodzenia od Spółki roszczeń związanych z karami nałożonymi na zamawiającego Rezygnacji z kar umownych
Case 4 W związku z profilem prowadzonej działalności Spółka ABC uznała, że zawieranie umów powierzenia z zamawiającymi w jej przypadku nie jest konieczne. W ramach świadczonych usług personel Spółki będzie otrzymywał pisemne upoważnienia do przetwarzania danych bezpośrednio od zamawiającego. Czy i w jaki sposób Spółka powinna określić umownie zasady swojej odpowiedzialności w zakresie dotyczącym danych osobowych?
Case 5 Spółka Analyze! świadczy usługi analityczne, z reguły korzystając z usług podwykonawców. W związku z RODO Spółka chciałaby opracować standardowy wzór umowy dalszego powierzenia; obawia się jednak, że z uwagi na różnorodne oczekiwania klientów (administratorów danych) stworzenie jednolitego wzoru będzie niemożliwe. Na jakie kwestie należy zwrócić szczególną uwagę w relacji obejmującej dalsze powierzenie przetwarzania danych?
PODEJŚCIE OPARTE NA RYZYKU W RODO
Czym jest podejście oparte na ryzyku (RBA)? Kluczowa zmiana na gruncie RODO Dostosowanie odpowiednich środków w zależności od poziomu ryzyka związanego z przetwarzaniem danych Ochrona by design, by default i DPIA jako elementy oceny ryzyka Obowiązek zapewnienia rozliczalności (dokumentowanie oceny)
Zasada ochrony privacy by design CELE Skuteczna realizacja podstawowych zasad ochrony danych, takich jak minimalizacja danych, integralność i poufność Nadanie przetwarzaniu niezbędnych gwarancji, tak by spełnić wymogi RODO oraz chronić prawa osób, której dane dotyczą OBOWIĄZKI po stronie organizacji Uwzględnienie ochrony danych w fazie projektowania Uwzględnienie m.in. stanu wiedzy technicznej, kosztów wdrożenia itp. Obowiązek wprowadzenia określonych środków "wbudowanie" ich w projektowane rozwiązanie
Zasada ochrony privacy by default CELE Domyślnie przetwarzane powinny być wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania OBOWIĄZKI po stronie organizacji Wdrożenie odpowiednich środków technicznych i organizacyjnych Ograniczenie powinno dotyczyć: ilości gromadzonych danych; zakresu przetwarzania danych; okresu ich przechowywania; dostępności Domyślnie dane osobowe nie powinny być udostępniane bez interwencji danej osoby nieokreślonej liczbie osób
Ocena skutków dla ochrony danych (DPIA) Przesłanki prowadzenia oceny: duże prawdopodobieństwo wysokiego ryzyka dla praw i wolności osób ZAWARTOŚĆ OCENY: opis planowanych operacji ocena konieczności i proporcjonalności przetwarzania ocena zagrożeń dla praw i wolności osób (risk analysis) środki planowane w celu zaradzenia zagrożeniom (risk management)
Elementy oceny ryzyka Ocena w fazie projektowania (by design) Ocena prawdopodobieństwa Ocena skutków dla ochrony danych (DPIA) albo Uproszczona ocena
Przedmiot oceny ryzyka: IT security vs RODO RYZYKO PONIESIENIA STRAT PRZEZ ORGANIZACJĘ RYZYKO NARUSZENIA PRAW I WOLNOŚCI OSÓB (PRYWATNOŚCI)
W jakich rolach może występować IT przy ocenie ryzyka? 1 Wewnętrzny dział IT (po stronie ADO) 2 Podwykonawca (procesor / podprocesor) 3 Właściciel biznesowy projektu / procesu
Ocena privacy by design podstawowe założenia KTO ODPOWIADA właściciel biznesowy / IOD / prawnicy CZEGO DOTYCZY nowych projektów (procesów) CO SPRAWDZAMY czy projekt biznesowy może być realizowany JAK SPRAWDZAMY weryfikacja, czy założenia spełniają minimalne wymogi RODO: minimalizacja, retencja, transparentność, privacy by default
Ocena privacy by design rola IT Dostarczanie informacji, np.: o o jakie dane są przetwarzane i w jakich celach są wykorzystywane (w szczególności identyfikatory internetowe, np. ID cookie, adres IP) czy możliwe jest realizowanie podstawowych zasad: usuwanie danych z systemu, określanie zakresu danych, przekazywanie informacji podmiotom danych Współpraca przy projektowaniu rozwiązań by default
Ocena prawdopodobieństwa podstawowe założenia KTO ODPOWIADA właściciel biznesowy / IOD / prawnicy CZEGO DOTYCZY wszystkich projektów (procesów) CO SPRAWDZAMY czy projekt biznesowy wymaga DPIA JAK SPRAWDZAMY zgodnie z przyjętą metodyką (np. kryteria GR 29)
Ocena prawdopodobieństwa rola IT Dostarczanie informacji, np.: czy dane przetwarzane na dużą skalę czy stosowane są innowacyjne rozwiązania czy występuje stałe monitorowanie
Ocena uproszczona podstawowe założenia KTO ODPOWIADA właściciel biznesowy / IOD / prawnicy CZEGO DOTYCZY projektów (procesów), które nie generują dużego prawdopodobieństwa wysokiego ryzyka CO SPRAWDZAMY środki, które należy wdrożyć, aby zapewnić legalność projektu JAK SPRAWDZAMY zgodnie z przyjętą metodyką (np. opis zastosowanych środków organizacyjnych i technicznych)
Ocena uproszczona rola IT Dostarczanie informacji, np.: jakie środki techniczne i fizyczne są stosowane jakie procedury są stosowane
Ocena skutków (DPIA) podstawowe założenia KTO ODPOWIADA właściciel biznesowy / IOD / prawnicy CZEGO DOTYCZY projektów (procesów), które generują duże prawdopodobieństwo wysokiego ryzyka CO SPRAWDZAMY czy występuje wysokie ryzyko naruszenia praw i wolności; środki, które należy wdrożyć, aby ograniczyć ryzyko JAK SPRAWDZAMY zgodnie z przyjętą metodyką (np. ocena ryzyka potencjalnego, szczątkowego i finalnego)
Przykładowa metodyka oceny ISTOTNOŚĆ (WAGA) ZAGROŻENIA PRAWDOPODOBIEŃSTWO WYSTĄPIENIA ZAGROŻENIA pomijalne (1) niskie (2) średnie (3) wysokie (4) krytyczne (5) pomijalna (1) 1 2 3 4 5 niska (2) 2 4 6 8 10 średnia (3) 3 6 9 12 15 wysoka (4) 4 8 12 16 20 krytyczna (5) 5 10 15 20 25 STOPIEŃ RYZYKA niski (1-7) średni (8-14) wysoki (15-25)
OPIS ZAGROŻEŃ MAJĄCYCH WPŁYW NA STOPIEŃ RYZYKA NARUSZENIA PRYWATNOŚCI LP. KATEGORIE ZAGROŻEŃ ZAGROŻENIA, KTÓRE MOGĄ WYSTĄPIĆ W OCENIANYM PROCESIE/PROJEKCIE OCENA RYZYKA POTENCJALNEGO ISTOTNOŚĆ (WAGA) ZAGROŻENIA PRAWDOPODO -BIEŃSTWO WYSTĄPIENIA ZAGROŻENIA STOPIEŃ RYZYKA POTENCJALN EGO ZALECENIA EKSPERTA TECHNOLOGICZNEGO ZALECENIA EKSPERTA TECHNOLOGICZNEGO WDROŻONE ŚRODKI LUB UZASADNIENI E BRAKU WDROŻENIA OCENA RYZYKA SZCZĄTKOWEGO ISTOTNOŚĆ (WAGA) ZAGROŻENIA PRAWDOPODO -BIEŃSTWO WYSTĄPIENIA ZAGROŻENIA STOPIEŃ SZCZĄTKOW EGO RYZYKA 1 POUFNOŚĆ (ZAGROŻENIA ZWIĄZANE Z UZYSKANIEM BEZPRAWNEGO DOSTĘPU DO DANYCH) Cyberataki hakerskie (np. złośliwe oprogramowanie, cyberterrotyzm, sabotaż, przełamanie zabezpieczeń) 3 5 15 Zabezpieczenie urządzeń końcowych przed złośliwym oprogramowaniem (oprogramowanie antywirusowe). 3 2 6 1 INTEGRALNOŚĆ (ZAGROŻENIA ZWIĄZANE Z NIEPOŻĄDANĄ ZMIANĄ DANYCH) Dostęp nieuprawnionej osoby z wewnątrz organizacji (błąd ludzki, naruszenie procedur itp..) 3 3 9 NIE DOTYCZY 3 3 9 1 DOSTĘPNOŚĆ (ZAGROŻENIA ZWIĄZANE Z UTRATĄ DANYCH LUB BRAKIEM DOSTĘPU DO DANYCH PRZEZ ADMINISTRATORA) Zdarzenia losowe (np. przegrzana serwerownia, pożar, zalanie itd.) 4 5 20 Zabezpieczenie serwerowni systemem przeciwpożarowym. Wyposażenie budynku, w którym przetwarzane są dane, w zasilanie awaryjne lub generator prądu. 4 4 16
Ocena skutków (DPIA) rola IT Dostarczanie informacji (ryzyko potencjalne), np.: o o jakie środki techniczne i fizyczne są stosowane jakie procedury są stosowane Zmapowanie zagrożeń (podatności) Ocena prawdopodobieństwa (wybraną metodą) Opracowanie zaleceń dot. środków ochrony
Q&A RODO W IT
Marcin Serafin +48 501 255 984 mserafin@maruta.pl Sławomir Kowalski +48 608 040 121 skowalski@maruta.pl Małgorzata Kurowska +48 735 200 367 mkurowska@maruta.pl We know IT Paweł Tobiczyk +48 882 345 217 ptobiczyk@maruta.pl