rodo. naruszenia bezpieczeństwa danych

Podobne dokumenty
rodo. ochrona danych osobowych.

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Spis treści. Wykaz skrótów... Wprowadzenie...

Monitorowanie systemów IT

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Ochrona danych osobowych, co zmienia RODO?

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

SZCZEGÓŁOWY HARMONOGRAM KURSU

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

Ochrona danych osobowych w biurach rachunkowych

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Przykład klauzul umownych dotyczących powierzenia przetwarzania

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

PRELEGENT Przemek Frańczak Członek SIODO

Maciej Byczkowski ENSI 2017 ENSI 2017

Nowe przepisy i zasady ochrony danych osobowych

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

#RODO2018. Śniadanie biznesowe w Gdyni. RODO praktyczne wyzwania prawno-technologiczne. Przemysław Rogiński Jakub Zuber

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

Ochrona danych osobowych w biurach rachunkowych

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

I. Postanowienia ogólne

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

PARTNER.

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Rola Inspektora Ochrony Danych w zabezpieczeniu systemu informatycznego - podejście oparte na ryzyku

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Wpływ ogólnego rozporządzenia o ochronie danych osobowych (RODO) na działalność sektora ubezpieczeń przegląd zagadnienia

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

Nowe unijne rozporządzenie w sprawie ochrony danych osobowych. 8 czerwca 2016

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

RODO w praktyce JST czas: 353 dni. Michał Jaworski Członek Zarządu Microsoft sp. z o.o.

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Ochrona danych osobowych

UMOWA w zakresie powierzenia przetwarzania danych osobowych. zawarta w XX w dniu XX XX XXXX roku pomiędzy: (dane podmiotu zawierającego umowę)

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

SPOTKANIE INFORMACYJNE

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

Spis treści. Wykaz skrótów... Wprowadzenie...

Wprowadzenie do RODO. Dr Jarosław Greser

Umowa powierzenia danych

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).

Zaangażowani globalnie

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

ECDL RODO Sylabus - wersja 1.0

NOWE OBOWIĄZKI DYREKTORA JAKO ADMINISTRATORA DANYCH OSOBOWYCH

Załącznik Nr 4 do Umowy nr.

Zgodnie z RODO administrator i podmiot przetwarzający muszą wyznaczyć inspektora ochrony danych, gdy:

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

PROGRAM TRZYDNIOWEGO KURSU DLA IOD - JAK DOSTOSOWAĆ ORGANIZACJĘ DO WYMOGÓW OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (RODO/GDPR)

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

Ochrona danych osobowych - planowane zmiany od Europejskie rozporządzenie RODO w praktyce.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

RODO. szanse i wyzwania dla działów IT w przedsiębiorstwie. Janusz Żmudziński. Dział Bezpieczeństwa. maj 2017 r.

Planowany zakres nowelizacji ustawy o ochronie danych osobowych w 2012r. Maciej Byczkowski, Andrzej Rutkowski, Stefan Szyszko

Rozporządzenie o Ochronie Danych Osobowych -jak przygotować firmę do wymogów nowych przepisów. Przemysław Perka, Anna Dopart

Al. J. Ch. Szucha 8, Warszawa

Umowa powierzenia przetwarzania Danych Osobowych. zawarta w... w dniu... pomiędzy:

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

Polityka Ochrony Danych Osobowych W

w Grupie 3S REGULAMIN PRZETWARZANIA DANYCH OSOBOWYCH

Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga

Czym jest RODO? Czym jest przetwarzanie danych osobowych?

UMOWY POWIERZENIA W RODO. Kancelaria Maruta Wachta Sp. j.

RODO sprawdzam. Wyzwania w zakresie ochrony danych osobowych w szkolnictwie po 25 maja 2018 r.

Załącznik nr 1 do Porozumienia. Umowa powierzenia przetwarzania danych osobowych. (dalej Umowa powierzenia),

UMOWA O UDOSTĘPNIANIE DANYCH OSOBOWYCH. reprezentowanym przez Dyrektora [ ], zwanym dalej jako Przedszkole Nr ; a

Polityka Ochrony Danych Osobowych w Szkole Podstawowej im. Księdza Jana Siuzdaka w Wołkowyi

Narzędzia informatyczne wspomagające IOD w zarządzaniu ochroną danych osobowych. Marcin Rek Dyrektor ds. Rozwoju Biznesu nflo

Polityka ochrony danych. w Kancelarii Radcy Prawnego Iwony Madoń

Transkrypt:

rodo. naruszenia bezpieczeństwa danych artur piechocki aplaw it security trends 01.03.2018

artur piechocki radca prawny ekspert enisa nowe technologie ochrona danych osobowych bezpieczeństwo sieci i informacji 2

ado definicja w rodo ado oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych ( ) 3

ado obowiązki w rodo podstawowe zachowanie ado - uwzględnienie ochrony danych w fazie projektowania (privacy by design) oraz domyślna ochrona danych (privacy by default) rejestrowanie czynności przetwarzania notyfikacja naruszeń bezpieczeństwa danych osobowych zawiadomienie osoby, której dane dotyczą zmiany w obowiązku zgłaszania zbioru danych do giodo 4

ado obowiązki w rodo ii. środki techniczne i organizacyjne ado decyduje samodzielnie przyjęcie wewnętrznych polityk wdrożenie odpowiednich środków technicznych wdrożenie odpowiednich środków ochrony 5

ado obowiązki w rodo iii. środki techniczne i organizacyjne zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania zdolność do szybkiego przywrócenia dostępności danych osobowych w razie incydentu fizycznego lub technicznego regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych 6

ado szacowanie ryzyka definicja ryzyka w rozumieniu iia (ang. the institute of internal auditors (iia): możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów; ryzyko jest mierzone wpływem (skutkami) i prawdopodobieństwem wystąpienia należyte zorganizowanie procesu analizy ryzyka w organizacji staje się podstawowym elementem budowy systemu ochrony danych 7

ado szacowanie ryzyka ii zarządzenie ryzykiem: identyfikacja ryzyka pomiar i analiza ryzyka (ryzyko i wysokie ryzyko) postępowanie z ryzykiem informowanie o ryzyku i konsultowanie ryzyka 8

ado - oceny skutków dla ochrony danych (dpia) oceny skutków dokonujemy w przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych operacje przetwarzania, które wiążą się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych: wiążą się z użyciem nowych technologii są nowe i nie zostały jeszcze poddane przez administratora ocenie skutków dla ochrony danych stały się niezbędne z uwagi na upływ czasu od pierwotnego przetwarzania 9

ado - oceny skutków dla ochrony danych (dpia) ii dpia zawiera: systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą środki planowane w celu zaradzenia ryzyku 10

naruszenie ochrony danych osobowych naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych ryzyko dla praw i wolności osób fizycznych 11

rodzaje naruszenia naruszenie poufności naruszenie dostępności (trwała utrata lub niedostępność danych, np. ransomware) naruszenie integralności naruszenie o ryzyku i o wysokim ryzyku dla praw i wolności 12

wykrywanie naruszenia w celu wykrycia nieprawidłowości w przetwarzaniu danych administrator lub podmiot przetwarzający może zastosować określone środki techniczne, takie jak analizatory przepływu danych i logów, z których można zdefiniować zdarzenia i ostrzeżenia poprzez korelację wszelkich danych z logów 13

ado zgłoszenie naruszenia i komu? właściwemu organowi nadzoru (prezes urzędu ochrony danych osobowych projekt ustawy) termin? bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu (uzyskanie rozsądnego poziomu świadomości naruszenia) naruszenia, (opóźnienie trzeba uzasadnić) wyjątek? mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (np. utrata zaszyfrowanego nośnika danych, chyba że brak back-up, wtedy naruszenie braku dostępności danych osobowych) 14

ado zgłoszenie naruszenia ii zgłoszenie musi co najmniej: opisywać charakter naruszenia, w tym wskazywać kategorie i przybliżoną liczbę osób (mogą zostać określone w przybliżeniu) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych opisywać możliwe konsekwencje opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych 15

ado zgłoszenie naruszenia iii obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych w tym: okoliczności naruszenia ochrony danych osobowych skutki podjęte działania zaradcze umowa z procesorem / innym administratorem powinna zobowiązywać do notyfikacji naruszeń 16

ado zgłoszenie naruszenia iv podjęcie działań zmierzających do ograniczenia skutków naruszenia - mogą nawet przyczynić się uniknięcia kary pieniężnej; podjęcie wiadomości przez GIODO z innego źródła niż administrator albo chęć uzyskania korzyści majątkowej, stanowi okoliczność zaostrzającą wymiar kary 17

ado zawiadomienie osoby, której dane dotyczą jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (stopień zagrożenia, natura, wielkość danych, łatwość identyfikacji os. fiz., rodzaj naruszenia) ado bez zbędnej zwłoki zobowiązany do zawiadomienia osoby, której dane dotyczą, o takim naruszeniu (aby zapobiec negatywnym skutkom dla podmiotu danych) treść zawiadomienia tożsama ze zgłoszeniem do giodo wyłączenia podobne jak przy zgłoszeniu 18

obowiązki notyfikacyjne konsekwencja braku notyfikacji projekt polskiej ustawy w zakresie obowiązku zawiadomienia osoby prawo telekomunikacyjne, nis, eidas 19

obowiązkowy organ nadzorczy 1. uprawnienia proceduralne (nakazanie przekazania informacji, audyty, przegląd certyfikatów, zawiadamianie ado o podejrzeniu naruszenia, dostęp do informacji, pomieszczeń, sprzętu) 2. uprawnienia naprawcze (ostrzeżenia ex ante, upomnienia ex post, nakazy dotyczące przetwarzania danych, np. sprostowania, usunięcia; cofnięcie certyfikatu; administracyjna kara pieniężna, zawieszenie transferu, ograniczenie przetwarzania) 3. uprawnienia zezwalające i doradcze (udzielanie porad ado w procedurze konsultacji, wydawanie opinii dla instytucji państwowych, zezwalanie na przetwarzanie, zatwierdzanie standardowych klauzul, wiążących reguł korpo, certyfikacja) 20

ochrona prawna skargi kierowane do giodo ochrona sądowa przeciwko ado / procesorowi (prawo właściwe) ochrona sądowa przeciwko giodo solidarna (ado +procesor) odpowiedzialność na zasadzie winy 21

kary uodo prawo karne kary administracyjne 10.000 zł (50.000 zł) 50.000 zł (200.000 zł) 22

kary administracyjne skuteczne, proporcjonalne, odstraszające, zindywidualizowane (waga, czas naruszenia, wina umyślna, kategorie) obok lub zamiast nakazu do 10.000.000 euro 2% globalnego rocznego obrotu (naruszenie obowiązków ado) do 20.000.000 euro 4% (pozostałe + nieprzestrzeganie nakazu) 23

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres