Asseco dla Zdrowia 20-21.09.2018 r.
PDP Personal Data Protection Narzędzie wspomagające pracę administratora danych osobowych Alina Staneczek Warszawa, 20.09.2018
RODO weszło w życie 25 maja 2018 Podsumowanie 4 miesięcy Wielkie wiosenne poruszenie Ustawa z 1997 a RODO zwiększenie restrykcyjności przepisów RODO daje narzędzia Oskarżenie internetowych tytanów - Facebook i Google muszą stawić czoła pozwom za łamanie ustawy Pierwsza kara - Commission Nationale de l Informatique et des Libertés (CNIL) Optical Center RODO to ochrona danych osobowych klientów UODO radzi, pomaga, szkoli, przypomina 3
Co niesie RODO? Nowe obowiązki Ochrona danych poprzez: skatalogowanie zbiorów ich zabezpieczenie właściwe ich przetwarzanie PDP wspiera te czynności Nowe terminy Zadania muszą być wykonane w odpowiednim terminie Zachowanie cykliczności wykonywania zadań PDP wspiera te potrzeby Nowe kontrole PDP pozwala wykazać, że ADO dołożył wszelkich starań, by zapewnić bezpieczeństwo danych, które przetwarza 4
PDP korzyści biznesowe Mniej pracy dla ADO: wypełnione rejestry pomocnicze uporządkowane zbiory danych osobowych zinwentaryzowane systemy i zabezpieczenia wsparcie przy obsłudze żądań podmiotów danych 5
PDP korzyści biznesowe Sprawne wykonywanie obowiązków: komplementarność struktur wsparcie kontroli terminów możliwość planowania zadań Komplet informacji w jednym miejscu 6
Rekomendacja ( ) podoba mi się filozofia i struktura modułu PDP. Mam nadzieję, że moduł, w końcowym efekcie obejmie cały obszar szpitala w zakresie ochrony danych osobowych. (...) Z mojego punktu widzenia, uważam, że moduł może być przydatnym narzędziem nadzoru i monitorowania stanu ochrony danych osobowych przez administratora i inspektora ochrony danych. ( ) 7
Podsumowanie RODO nakłada szereg obowiązków PDP wspiera obsługę wymagań RODO PDP ułatwia uporządkowanie zbiorów danych osobowych oraz weryfikację ich zabezpieczania PDP pozwala wykazać, że ADO spełnia swój obowiązek w zakresie ochrony danych osobowych 8
Młodsza siostra RODO
28 sierpnia 2018 r. WESZŁA W ŻYCIE USTAWA 10
USTAWA o krajowym systemie cyberbezpieczeństwa Wynik unijnej dyrektywy nr 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, czyli dyrektywy NIS (Network and Information Systems Directive). Cel - zapewnienie wysokiego poziomu odporności systemów teleinformatycznych na ataki w cyberprzestrzeni Dotyczy operatorów usług kluczowych oraz dostawców usług cyfrowych 11
Operator usługi kluczowej Do 9 listopada 2018 - wskazanie operatorów usług kluczowych Operatorzy usług kluczowych - przedsiębiorcy z różnych sektorów: w tym służba zdrowia Sektor ochrony zdrowia będzie objęty regulacjami ustawy w bardzo szerokim zakresie - ok. 130 szpitali Konsekwencje finansowe za nieprzestrzeganie ustawy - odpowiedzialność osobista 12
Obowiązki operatora usługi kluczowej To: Prowadzenie systematycznego szacowania ryzyka oraz zarządzanie tym ryzykiem Zarządzanie incydentami Planowanie i wykonywanie działań zapobiegawczych Wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo Oraz: Objęcie świadczonych usług kluczowych systemem monitorowania w trybie ciągłym Przeprowadzania raz na dwa lata audytu bezpieczeństwa wykorzystywanego systemu
Zbieżność obowiązków wynikających z Ustawy o KSC oraz RODO PDP RODO Cyberbezpieczeństwo? 14
Dziękuję za uwagę Alina.Staneczek@asseco.pl zdrowie.asseco.com
Zastrzeżenia prawne Zawartość dostępna w prezentacji jest chroniona prawem autorskim i stanowi przedmiot własności. Teksty, grafika, fotografie, dźwięk, animacje i filmy, a także sposób ich rozmieszczenia w prezentacji podlegają ochronie na mocy Ustawy o prawach autorskich i prawach pokrewnych oraz innych przepisów z tym związanych. Jakiekolwiek nieautoryzowane zastosowanie jakichkolwiek materiałów zawartych w prezentacji może stanowić naruszenie praw autorskich, znaków firmowych lub innych przepisów. Materiały dostępne w prezentacji nie mogą być modyfikowane, powielane, przedstawiane publicznie, wykonywane, rozprowadzane lub wykorzystywane w innych celach publicznych lub komercyjnych, chyba że Asseco Poland S.A. wydał na to wyraźną zgodę na piśmie. Kopiowanie w celach komercyjnych, rozpowszechnianie, modyfikacja lub przejmowanie zawartości niniejszej prezentacji przez osoby trzecie jest niedozwolone. W prezentacji mogą być prezentowane również materiały zawierające odesłania do ofert i usług podmiotów trzecich. Warunki korzystania z ofert i usług podmiotów trzecich są określone przez te podmioty. Asseco Poland S.A. nie ponosi żadnej odpowiedzialności za warunki i skutki korzystania z ofert i usług tychże podmiotów. Dane i informacje zawarte w prezentacji mają jedynie charakter ogólnoinformacyjny. Prezentacja przygotowana została w oparciu i przy użyciu produktów firmy Inscale. Nazwa oraz logo Asseco Poland S.A. są zarejestrowanymi znakami towarowymi. Korzystanie z tych znaków wymaga wyraźnej zgody ze strony Asseco Poland S.A. 2018 Asseco Poland S.A.