rodo. naruszenia bezpieczeństwa danych artur piechocki aplaw it security trends 01.03.2018
artur piechocki radca prawny ekspert enisa nowe technologie ochrona danych osobowych bezpieczeństwo sieci i informacji 2
ado definicja w rodo ado oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych ( ) 3
ado obowiązki w rodo podstawowe zachowanie ado - uwzględnienie ochrony danych w fazie projektowania (privacy by design) oraz domyślna ochrona danych (privacy by default) rejestrowanie czynności przetwarzania notyfikacja naruszeń bezpieczeństwa danych osobowych zawiadomienie osoby, której dane dotyczą zmiany w obowiązku zgłaszania zbioru danych do giodo 4
ado obowiązki w rodo ii. środki techniczne i organizacyjne ado decyduje samodzielnie przyjęcie wewnętrznych polityk wdrożenie odpowiednich środków technicznych wdrożenie odpowiednich środków ochrony 5
ado obowiązki w rodo iii. środki techniczne i organizacyjne zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania zdolność do szybkiego przywrócenia dostępności danych osobowych w razie incydentu fizycznego lub technicznego regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych 6
ado szacowanie ryzyka definicja ryzyka w rozumieniu iia (ang. the institute of internal auditors (iia): możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów; ryzyko jest mierzone wpływem (skutkami) i prawdopodobieństwem wystąpienia należyte zorganizowanie procesu analizy ryzyka w organizacji staje się podstawowym elementem budowy systemu ochrony danych 7
ado szacowanie ryzyka ii zarządzenie ryzykiem: identyfikacja ryzyka pomiar i analiza ryzyka (ryzyko i wysokie ryzyko) postępowanie z ryzykiem informowanie o ryzyku i konsultowanie ryzyka 8
ado - oceny skutków dla ochrony danych (dpia) oceny skutków dokonujemy w przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych operacje przetwarzania, które wiążą się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych: wiążą się z użyciem nowych technologii są nowe i nie zostały jeszcze poddane przez administratora ocenie skutków dla ochrony danych stały się niezbędne z uwagi na upływ czasu od pierwotnego przetwarzania 9
ado - oceny skutków dla ochrony danych (dpia) ii dpia zawiera: systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą środki planowane w celu zaradzenia ryzyku 10
naruszenie ochrony danych osobowych naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych ryzyko dla praw i wolności osób fizycznych 11
rodzaje naruszenia naruszenie poufności naruszenie dostępności (trwała utrata lub niedostępność danych, np. ransomware) naruszenie integralności naruszenie o ryzyku i o wysokim ryzyku dla praw i wolności 12
wykrywanie naruszenia w celu wykrycia nieprawidłowości w przetwarzaniu danych administrator lub podmiot przetwarzający może zastosować określone środki techniczne, takie jak analizatory przepływu danych i logów, z których można zdefiniować zdarzenia i ostrzeżenia poprzez korelację wszelkich danych z logów 13
ado zgłoszenie naruszenia i komu? właściwemu organowi nadzoru (prezes urzędu ochrony danych osobowych projekt ustawy) termin? bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu (uzyskanie rozsądnego poziomu świadomości naruszenia) naruszenia, (opóźnienie trzeba uzasadnić) wyjątek? mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (np. utrata zaszyfrowanego nośnika danych, chyba że brak back-up, wtedy naruszenie braku dostępności danych osobowych) 14
ado zgłoszenie naruszenia ii zgłoszenie musi co najmniej: opisywać charakter naruszenia, w tym wskazywać kategorie i przybliżoną liczbę osób (mogą zostać określone w przybliżeniu) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych opisywać możliwe konsekwencje opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych 15
ado zgłoszenie naruszenia iii obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych w tym: okoliczności naruszenia ochrony danych osobowych skutki podjęte działania zaradcze umowa z procesorem / innym administratorem powinna zobowiązywać do notyfikacji naruszeń 16
ado zgłoszenie naruszenia iv podjęcie działań zmierzających do ograniczenia skutków naruszenia - mogą nawet przyczynić się uniknięcia kary pieniężnej; podjęcie wiadomości przez GIODO z innego źródła niż administrator albo chęć uzyskania korzyści majątkowej, stanowi okoliczność zaostrzającą wymiar kary 17
ado zawiadomienie osoby, której dane dotyczą jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (stopień zagrożenia, natura, wielkość danych, łatwość identyfikacji os. fiz., rodzaj naruszenia) ado bez zbędnej zwłoki zobowiązany do zawiadomienia osoby, której dane dotyczą, o takim naruszeniu (aby zapobiec negatywnym skutkom dla podmiotu danych) treść zawiadomienia tożsama ze zgłoszeniem do giodo wyłączenia podobne jak przy zgłoszeniu 18
obowiązki notyfikacyjne konsekwencja braku notyfikacji projekt polskiej ustawy w zakresie obowiązku zawiadomienia osoby prawo telekomunikacyjne, nis, eidas 19
obowiązkowy organ nadzorczy 1. uprawnienia proceduralne (nakazanie przekazania informacji, audyty, przegląd certyfikatów, zawiadamianie ado o podejrzeniu naruszenia, dostęp do informacji, pomieszczeń, sprzętu) 2. uprawnienia naprawcze (ostrzeżenia ex ante, upomnienia ex post, nakazy dotyczące przetwarzania danych, np. sprostowania, usunięcia; cofnięcie certyfikatu; administracyjna kara pieniężna, zawieszenie transferu, ograniczenie przetwarzania) 3. uprawnienia zezwalające i doradcze (udzielanie porad ado w procedurze konsultacji, wydawanie opinii dla instytucji państwowych, zezwalanie na przetwarzanie, zatwierdzanie standardowych klauzul, wiążących reguł korpo, certyfikacja) 20
ochrona prawna skargi kierowane do giodo ochrona sądowa przeciwko ado / procesorowi (prawo właściwe) ochrona sądowa przeciwko giodo solidarna (ado +procesor) odpowiedzialność na zasadzie winy 21
kary uodo prawo karne kary administracyjne 10.000 zł (50.000 zł) 50.000 zł (200.000 zł) 22
kary administracyjne skuteczne, proporcjonalne, odstraszające, zindywidualizowane (waga, czas naruszenia, wina umyślna, kategorie) obok lub zamiast nakazu do 10.000.000 euro 2% globalnego rocznego obrotu (naruszenie obowiązków ado) do 20.000.000 euro 4% (pozostałe + nieprzestrzeganie nakazu) 23