Monitorowanie systemów IT

Podobne dokumenty
Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

I. Postanowienia ogólne

rodo. naruszenia bezpieczeństwa danych

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

PRELEGENT Przemek Frańczak Członek SIODO

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Ochrona danych osobowych w biurach rachunkowych

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Prawne aspekty Big data w sektorze bankowym 22 maja 2017

UMOWA O UDOSTĘPNIANIE DANYCH OSOBOWYCH. reprezentowanym przez Dyrektora [ ], zwanym dalej jako Przedszkole Nr ; a

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

#RODO2018. Śniadanie biznesowe w Gdyni. RODO praktyczne wyzwania prawno-technologiczne. Przemysław Rogiński Jakub Zuber

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Dworek Bielin Sp. z o.o.

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

Ochrona danych osobowych w biurach rachunkowych

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Maciej Byczkowski ENSI 2017 ENSI 2017

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

POLITYKA OCHRONY DANYCH OSOBOWYCH. z dnia Postanowienia Ogólne

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

UMOWA w zakresie powierzenia przetwarzania danych osobowych. zawarta w XX w dniu XX XX XXXX roku pomiędzy: (dane podmiotu zawierającego umowę)

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Ochrona danych osobowych, co zmienia RODO?

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

Wprowadzenie do RODO. Dr Jarosław Greser

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

SZCZEGÓŁOWY HARMONOGRAM KURSU

Z dziennika tłumaczki. Rozważania o RODO. Odcinek 15 - zgłoszenie naruszenia

ECDL RODO Sylabus - wersja 1.0

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

w Grupie 3S REGULAMIN PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA PRYWATNOŚCI W SPÓŁCE MIASTO DZIECI SP. Z O.O. DLA KONTROLOWANYCH PRZEZ NIĄ: NIEPUBLICZNEJ SZKOŁY PODSTAWOWEJ SZKOŁY PRZYSZŁOŚCI ORAZ

Czym jest RODO/ GDPR?

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

POLITYKA OCHRONY DANYCH OSOBOWYCH W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W WIERUSZOWIE

EBIS POLITYKA OCHRONY DANYCH

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

Słowniczek pojęć. Nowa regulacja ma przyczynić się do tworzenia przestrzeni wolności, bezpieczeństwa

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

OGRANICZENIE PRZETWARZANIA:

ZASADY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Zespole Szkół Technicznych "MECHANIK" w Jeleniej Górze

Polityka Ochrony Danych Osobowych w Akademii Wychowania Fizycznego im. Eugeniusza Piaseckiego w Poznaniu

Nowe przepisy i zasady ochrony danych osobowych

Umowa powierzenia danych

POLITYKA PRYWATNOŚCI PREAMBUŁA

Polityka Ochrony Danych Osobowych

Polityka Ochrony Danych Osobowych W

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE)

Polityka Ochrony Danych Osobowych w Szkole Podstawowej im. Księdza Jana Siuzdaka w Wołkowyi

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Rola Inspektora Ochrony Danych w zabezpieczeniu systemu informatycznego - podejście oparte na ryzyku

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

ZARZĄDZENIE NR K PREZYDENTA MIASTA ZIELONA GÓRA - KIEROWNIKA URZĘDU. z dnia 24 maja 2018 r.

Sprawdzenie systemu ochrony danych

PARTNER.

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

Umowa wzajemnego powierzenia przetwarzania danych przy realizacji zlecenia transportowego

Polityka prywatności spółki BERDA spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Płochocinie

Spis treści. Wykaz skrótów... Wprowadzenie...

POLITYKA OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

Rozporządzenie o Ochronie Danych Osobowych -jak przygotować firmę do wymogów nowych przepisów. Przemysław Perka, Anna Dopart

Załącznik nr 1 do Porozumienia. Umowa powierzenia przetwarzania danych osobowych. (dalej Umowa powierzenia),

Polityka Ochrony Danych Osobowych w Spirax Sarco Sp. z o.o., ul. Jutrzenki 98, Warszawa, z dnia

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).

Magdalena Jacolik Mgr Prawa Europejskiego Aliant Krzyżowska Międzynarodowa Kancelaria Prawna

B. Wybrane zasady dotyczące przetwarzania danych (art. 5)

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

ZASADY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH NA RZECZ ROSEVILLE INVESTMENTS SP. Z O.O.

Polityka bezpieczeństwa danych

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Transkrypt:

Monitorowanie systemów IT Zmiany w Ustawie o Ochronie Danych Osobowych Adam Wódz CISSP QSA ASV Business Unit Director Security Solution Cybercom Poland

Agenda Co i kiedy zmieni się w ustawie o ochronie danych osobowych? Kilka ważnych definicji Co to wszystko oznacza dla firm przetwarzających dane? Przykładowe wyzwania: ataki XSS na aplikacje

Co i kiedy ma się zmienić? Po wielu miesiącach prac, w kwietniu 2016 r. zostało opublikowane rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Rozporządzenie zacznie obowiązywać od 25 maja 2018 r., a zatem państwa członkowskie mają 2 lata na dostosowanie swoich regulacji do wymagań wspólnoty. 25 Maj 2018r.

Kilka ważnych definicji DANE OSOBOWE oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. MOŻLIWA DO ZIDENTYFIKOWANIA OSOBA FIZYCZNA to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Kilka ważnych definicji DANE GENETYCZNE oznaczają wszelkie dane dowolnego rodzaju dotyczące charakterystycznych cech osoby fizycznej, odziedziczonych lub nabytych na etapie wczesnego rozwoju prenatalnego; DANE BIOMETRYCZNE oznaczają wszelkie dane dotyczące cech fizycznych, fizjologicznych i behawioralnych danej osoby, które umożliwiają jej precyzyjną identyfikację, takie jak wizerunek twarzy lub dane daktyloskopijne

Kilka ważnych definicji PROFILOWANIE oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Kilka ważnych definicji PSEUDONIMIZACJA oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Kilka ważnych definicji NARUSZENIE OCHRONY DANYCH OSOBOWYCH oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób.

Bezpieczeństwo przetwarzania Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi:

Bezpieczeństwo przetwarzania pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Zgłaszanie naruszenia ochrony danych osobowych W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Max 72h

Zgłaszanie naruszenia ochrony danych osobowych Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.

Zgłaszanie naruszenia ochrony danych osobowych Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

Zgłaszanie naruszenia ochrony danych osobowych Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

Zawiadomienie osób o naruszeniu ochrony danych osobowych Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie ( ) jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej (te same informacje, co w przypadku zgłoszenia).

Zawiadomienie osób o naruszeniu ochrony danych osobowych Zawiadomienie ( ) nie jest wymagane, w następujących przypadkach: administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

Zawiadomienie osób o naruszeniu ochrony danych osobowych administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą ( ); wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Co to wszystko oznacza w praktyce? Konieczność przeprowadzania analizy ryzyk dla przetwarzanych danych osobowych (świadomość zagrożeń) Opracowanie i wdrożenie adekwatnych procedur i środków bezpieczeństwa Regularne audytowanie systemów i ocena ich skuteczności (testy zewnętrzne i wewnętrzne, dotyczące także podwykonawców) Monitorowanie i raportowanie incydentów (alerty o zagrożeniach, analiza logów, monitorowanie systemów antywirusowych) Zwiększenie świadomości pracowników (testy socjotechniczne) Przykładowe wyzwanie: ataki XSS na aplikację

Adam Wódz CISSP QSA Business Unit Director Security Solutions Cybercom Poland

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres