B U R E A U V E R I T A S P O L S K A S P. Z O. O. RODO PO ROKU K O N R A D G A Ł A J - E M I L I A Ń C Z Y K P D P / I S M & B C M T E A M L E A D E R
NADZÓR NAD PROCESORAMI Motyw (81) RODO zgodność z RODO zgodność z ISO wpływ na cenę powierzenia poufności świadczenia usług komunikacja testowanie audyty Aby zapewnić przestrzeganie wymogów niniejszego rozporządzenia w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania. ISO 27002 Należy uzgodnić z dostawcą i udokumentować wymagania bezpieczeństwa informacji celem zmniejszenia ryzyk związanych z dostępem dostawcy do aktywów organizacji. 1. ANKIETA ZGODNOŚCI odpowiedzialność zabezpieczenia nadzór POD PROCESORZY 2. UMOWA 3. NADZÓR PODMIOTY PRZETWARZAJĄCE (PROCESORZY) KODEKSY BRANŻOWE potwierdzenie zgodności z RODO potwierdzenie zgodności z ISO zwiększenie pewności obrotu gospodarczego Slide / 2
#1 Administrator strony internetowej (maj 2019r. kara 56.000 PLN) Dolnośląski Związek Piłki Nożnej opublikował zbyt szeroki zakres danych sędziów (adresy zamieszkania, numery PESEL) na stronie internetowej. Pomimo żądania usunięcia danych, zewnętrzny dostawca usług tego nie zrobił. #2 Dostawca systemu analitycznego (sierpień 2018r.) Bank Wells Fargo korzystając z zewnętrznego systemu analizy kredytowej, który zawierał błędy doprowadził 625 osób do utraty zdolności kredytowej. Ok. 400 klientów straciło nieruchomości będące zabezpieczeniem kredytu. #3 Dostawca czytników zużycia wody (lipiec 2018r.) Dostęp do danych osobowych oraz danych dotyczących zużycia wody został opublikowany na stronie internetowej firmy Minol, która jest dostawcą urządzeń pomiarowych. Brak jakichkolwiek zabezpieczeń. #4 Dostawca system informatycznego (czerwiec 2018r.) Dostęp do bazy Karty Krakowskiej (mieszkańca) chroniony danymi dostępowymi admin/admin123. dostawa ocenił, że jest to małe zagrożenie dla bezpieczeństwa informacji i nie poinformował UMK. #5 Dostawca usług kurierskich (marzec 2018r.) Zewnętrzny dostawca DHL, twórca portalu do śledzenia przesyłek z klockami LEGO, nie zabezpieczył dostępu do danych pozostałych użytkowników. Po zmianie nr zamówienia można było śledzić cudze przesyłki. CASE STUDY KONSEKWENCJE: szkoda wizerunkowa, utrata klientów, rekompensaty, kary organu nadzorczego. PREWENCJA: ocena ryzyka na poziomie zapytań ofertowych, dobór certyfikowanych dostawców usług, okresowa weryfikacja zgodności dostawców, określenie minimalnych wymogów bezpieczeństwa dla zewnętrznych dostawców. Slide / 3
ŚWIADOMOŚĆ PERSONELU W ZAKRESIE RODO I BEZPIECZEŃSTWA INFORMACJI Art. 39 ust. lit b) RODO [ ] działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. ISO 27002 Zaleca się, aby wszyscy pracownicy organizacji oraz, w stosownych wypadkach kontrahenci przeszli stosowne kształcenie i szkolenie uświadamiające oraz regularnie otrzymywali aktualizacje polityk i procedur związanych z ich stanowiskiem pracy. SZKOLENIA STACJONARNE E-LEARNING INSTRUKTARZE STANOWISKOWE ZASADY OCHRONY DANYCH CZASOCHŁONNE KOSZTOWNE INTERAKTYWNE ELASTYCZNE MERZALNE DEDYKOWANE DOPASOWANE KONTEKSTOWE ANGAŻUJĄCE NAJTAŃSZE WYMAGAJĄ CZASU NIEDOPASOWANE OKRESOWE AUDYTY WYMAGAJĄ KOORDYNACJI WYMAGAJĄ AUDYTORÓW SĄ NAJSKUTECZNIEJSZE Slide / 4
#1 Szkolenie z przepisów, a nie z praktyki Prowadzenie szkoleń (niezależnie od formy) bazujące jedynie na przepisach, które nie zostały zinterpretowane i dopasowane do organizacji powoduje błędne rozumienie wymogów w praktyce. #2 Szkolenie ogólne nie dopasowane do stanowiska Szkolenie jest takie samo dla personelu pracującego stacjonarnie jak i w terenie, które nie uwzględnia zagrożeń wobec zasobów informacyjnych w szczególnych warunkach przetwarzania. #3 Szkolenie tylko z RODO bez bezpieczeństwa informacji Pominięcie aspektu zabezpieczeń, które muszą być stosowane w organizacji, a skupianie się na samej ochronie danych osobowych bez uwzględnienia systemu bezpieczeństwa informacji. #4 Brak weryfikacji przestrzegania procedur po szkoleniu Brak oceny przestrzegania procedur przez personel po ukończeniu szkolenia. Brak lub niewystarczająca weryfikacja poziomu świadomości personelu w wybranych okresach czasu. #5 Brak opisu zdarzeń stanowiących incydent/ naruszenie Brak opisu incydentów/ naruszeń ochrony danych osobowych w trakcie szkoleń powoduje nie zgłaszanie poważnych zdarzeń, a często zgłaszanie błahostek. PRZYCZYNY I SKUTKI NISKIEGO POZIOMU ŚWIADOMOŚCI SKUTKI: brak reakcji na naruszenie w terminie 72h, podatność na socjotechniki i wyłudzenia informacji, brak pewności co do konieczności stosowania zabezpieczeń, niski poziom wdrożenia systemu bezpieczeństwa informacji. Slide / 5
ZGODNOŚCI Z RODO Art. 42 RODO Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają w szczególności na szczeblu Unii do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z niniejszym rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające. Przy tym uwzględnia się szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. Motyw (100) RODO Aby zwiększyć przejrzystość i poprawić przestrzeganie niniejszego rozporządzenia, należy zachęcać do ustanowienia mechanizmów certyfikacji oraz do wprowadzenia znaków jakości i oznaczeń w dziedzinie ochrony danych, pozwalając w ten sposób osobom, których dane dotyczą, szybko ocenić stopień ochrony danych, której podlegają stosowne produkty i usługi. SEKTOROWE DOBRE PRAKTYKI ISO 27017 ISO 27018 ISO 27019 DOBRE PRAKTYKI ISO 27002 ISO 29151 PCA PUODO WYMOGI KRAJOWE WYMOGI RODO ISO 27001 ISO 27552 TERMINOLOGIA I ZASADY ISO 27000 ISO 29100 ISO 27003 METODY WSPIERAJĄCE WYMOGI ISO 27004 ISO 27009 ISO 29134 ISO 27005 JEDNOSTKA AKREDYTOWANA ISO 17065 ISO 27006 Slide / 6
akredytacja kryteria OBLIGATORYJNE KRYTERIA CERTYFIKACJI ZGODNOŚCI Z RODO #1 ZGODNOŚĆ PRZETWARZANIA DANYCH Z PRAWEM ART. 6 RODO #2 ZASADY PRZETWARZANIA DANYCH OSOBOWYCH ART. 5 RODO #3 PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ ART. 12-23 RODO #4 OBOWIAZEK ZGŁASZANIA NARUSZEŃ ART. 33 RODO #5 PRIVACY BY DESIGN & PRIVACY BY DEFAULT ART. 25 RODO #6 PLAN POSTEPOWANIA Z RYZYKIE PRZY DPIA ART. 35 UST. 7 LIT. D) RODO #7 ŚRODKI TECHNICZNE I ORGANIZACYJNE ART. 32 RODO wytyczne PCA PUODO ERODO CO MOŻE BYĆ OBJĘTE CERTYFIKACJĄ RODO? produktów, procesów, usług. JEDNOSTKA AKREDYTOWANA SZCZEGÓŁOWE KRYTERIA CERTYFIKACJI audyt wniosek audyt PODMIOT CERTYFIKAT: produktu procesu usługi UWZGLĘDNIAJĄCA dane osobowe (zakres przedmiotowy RODO); systemy techniczne - sprzęt i oprogramowanie procedury związane z operacją(ami) przetwarzania. Slide / 7