Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne

Podobne dokumenty
Obrót dokumentami elektronicznymi w chmurze

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Prawne aspekty chmury publicznej! Maciej Gawroński Bird & Bird" Sebastian Szumczyk IBM"

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

PARTNER.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Wprowadzenie do RODO. Dr Jarosław Greser

Outsourcing danych ubezpieczeniowych (w tym danych osobowych)

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Ochrona danych osobowych w biurach rachunkowych

Raport o usługach cloud computing w działalności ubezpieczeniowej Regulacje prawne dotyczące ubezpieczeo związane z outsourcingiem usług IT

Przetwarzanie danych w chmurze a bezpieczeństwo informacji. T: (+48) Jachranka, 27 listopada 2015r. E:

Szczegółowe informacje o kursach

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Bezpieczeństwo danych osobowych w usługach w chmurze zagadnienia prawne. Warszawa, dnia 1 marca 2016 r. Maria Markiewicz radca prawny

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Maciej Byczkowski ENSI 2017 ENSI 2017

SZCZEGÓŁOWY HARMONOGRAM KURSU

Reforma regulacyjna sektora bankowego

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Spis treści. Wykaz skrótów... Wprowadzenie...

PROGRAM TRZYDNIOWEGO KURSU DLA IOD - JAK DOSTOSOWAĆ ORGANIZACJĘ DO WYMOGÓW OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (RODO/GDPR)

System bezpłatnego wsparcia dla NGO

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

POLITYKA BEZPIECZEŃSTWA

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

USŁUGI AUDYTOWE I DORADCZE W ZAKRESIE OCHRONY DANYCH OSOBOWYCH. 17 września 2012

NOWE OBOWIĄZKI DYREKTORA JAKO ADMINISTRATORA DANYCH OSOBOWYCH

INTERNATIONAL POLICE CORPORATION

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Nowe przepisy i zasady ochrony danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Dane osobowe w data center

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

Załącznik nr 5 do Polityki bezpieczeństwa

Zgodnie z RODO administrator i podmiot przetwarzający muszą wyznaczyć inspektora ochrony danych, gdy:

zwana dalej Administratorem

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

Umowa powierzenia przetwarzania danych osobowych stanowiąca uzupełnienie Umowy.. (nr, data zawarcia)

ZASADY POWIERZANIA DANYCH OSOBOWYCH FIRMY ELEKTROMONTAŻ RZESZÓW S.A. z dnia 25 maja 2018r.

Ochrona danych osobowych

:00 17:00. Organizator szkolenia: Związek Pracodawców Ziemi Jaworskiej

POLITYKA BEZPIECZEŃSTWA

Załącznik nr10 do IWZ Załącznik nr 4 do Umowy

Ochrona danych osobowych w biurach rachunkowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Prawne instrumenty zapobiegania cyberatakom i wyciekom informacji

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

PROGRAM NAUCZANIA KURS ABI

Umowa powierzenia przetwarzania danych osobowych nr..

Privacy by Design Wyzwania dla systemów backup owych w związku z wdrożeniem Ogólnego rozporządzenia o ochronie danych

Wzór umowy powierzenia przetwarzania danych osobowych nr...

OCHRONA PRAWA DO PRYWATNOŚCI I INNYCH TAJEMNIC PRAWNIE CHRONIONYCH

Zał. nr 2 do Zarządzenia nr 48/2010 r.

Przetwarzanie danych osobowych w chmurze

Maciej Gawroński Maruta Wachta Sp.j. Odpowiedzialność za cyberbezpieczeństwo

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH ORAZ POUFNOŚCI INFORMACJI

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

Unijna reforma ochrony danych osobowych. Jak się na nią przygotować?

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE

Jak przetwarzać dane sensytywne zgodnie z RODO w gabinecie lekarskim 1

POLITYKA BEZPIECZEŃSTWA INFORMACJI

O Autorach... XI Przedmowa... XV Wykaz skrótów... XIX Wykaz literatury... XXV

Przetwarzanie danych osobowych w przedsiębiorstwie

Czas trwania szkolenia- 1 DZIEŃ

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Backup & Storage - organizacyjne i prawne aspekty korzystania z usługi

wraz z wzorami wymaganej prawem dokumentacją

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

UMOWA O POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH

I. Postanowienia ogólne

Transkrypt:

Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne 18 listopada 2015 r. Maria Guzewska, LL.M. Prawnik w zespole IP/DP

Agenda Rodzaje danych w systemach IT Podstawowe pojęcia Zabezpieczanie danych Obowiązek szyfrowania danych w polskich i unijnych przepisach - dziś Obowiązek szyfrowania - jutro Obowiązek tworzenia kopii zapasowych Odpowiedzialność cywilna, karna i administracyjna Page 2

Rodzaje danych w systemach IT Page 3

Dane osobowe Page 4

Dane osobowe who is who? PRZETWARZAJĄCY 1 ADMINISTRATOR DANYCH OSOBOWYCH (spółka/ bank/ ministerstwo/ organ) Powierzenie przetwarzania danych osobowych ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI PRZETWARZAJĄCY 2 PODMIOTY DANYCH Page 5

Zabezpieczanie danych

Regulacje i wytyczne organów WYMOGI PRAWNE TECHNICZNE I ORGANIZACYJNE WYTYCZNE ustawa o ochronie danych osobowych z 1997 (na podstawie dyrektywy z 1995) Rozporządzenia wykonawcze do: ustawy o ochronie danych osobowych Opinie Grupy Roboczej art. 29 Decyzje, sprawozdania GIODO Page 7

Obowiązkowe dokumenty dotyczące zabezpieczenia danych 1 2 3 4 5 Polityka bezpieczeństwa Instrukcja zarządzania systemem informatycznym Upoważnienie dla (współ)pracowników do przetwarzania danych osobowych Ewidencja upoważnionych (współ)pracowników Umowa (pod)powierzenia danych osobowych Page 8

Szyfrowanie danych - dziś

Szyfrowanie danych dziś Obowiązek zabezpieczenia przez szyfrowanie Page 10

Szyfrowanie danych w polskim prawie Obowiązek szyfrowania w polskim prawie: komputer przenośny urządzenia i nośniki, na których przetwarzane są dane sensytywne danych wykorzystywanych do uwierzytelnienia w sieci publicznej Internet Page 11

Szyfrowanie danych cloud computing Powszechne zalecenie szyfrowania Dokument w sprawie przetwarzania danych w chmurze obliczeniowej w kwestii ochrony danych i prywatności Grupa Berlińska Opinia 5/2012 Grupy Roboczej w sprawie przetwarzania danych w chmurze obliczeniowej ISO/IEC 27018:2014 Zalecenie szyfrowania danych przy przekazaniu informacji do i z chmury przy wymianie danych między centrami chmurowymi przy przechowywaniu danych w centrach chmurowych szyfrowanie uwierzytelnienia klienta chmury zarządzanie chmurą powinno odbywać się za pośrednictwem bezpiecznego kanału komunikacyjnego Page 12

Szyfrowanie wnioski Szyfrowanie przy braku dostępu dostawcy chmury do danych Nie stosuje się regulacji dotyczących tajemnic zawodowych/ medycznych? Nie ma powierzenia przetwarzania danych osobowych? Możliwy eksport danych do państwa trzeciego? Page 13

Obowiązek szyfrowania danych w krajach UE Wielka Brytania Brak obowiązku, ale zalecane szyfrowania, np. dla poszczególnych dokumentów na laptopach lub innych urządzeniach przenośnych, które mogą być wyniesione poza biuro Francja Szyfrowanie wymagane w przypadku niektórych kategorii danych sensytywnych (jak dane o zdrowiu), informacji o płatnościach Hiszpania Szyfrowanie wymagane w pewnych wypadkach przy przesyłaniu danych przez sieć telekomunikacyjną Finlandia, Słowacja, Włochy, Czechy Brak podobnego wymogu Page 14

Szyfrowanie danych - jutro

Szyfrowanie danych jutro Projekt Rozporządzenia UE: 1 Brak przepisów o szyfrowaniu 2 Po ocenie ryzyka należy wdrożyć odpowiednie środki techniczne i organizacyjne, odpowiednie też może być szyfrowanie 3 KE może dookreślić te środki w aktach wykonawczych Page 16

Privacy by design Mając na uwadze dostępną technologię i koszt wdrażania oraz uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz prawdopodobieństwo i powagę zagrożenia dla praw i wolności osób fizycznych wynikającego z przetwarzania, administratorzy wdrażają ( ) środki techniczne i organizacyjne odpowiednie do wykonywanej czynności przetwarzania i do jej celów np. minimalizację i pseudonimizację danych w taki sposób, by przetwarzanie było zgodne z wymogami niniejszego rozporządzenia oraz chroniło prawa ( ) podmiotów danych. Obowiązek administratora (przetwarzający?) Wdrożenie środków technicznych i organizacyjnych odpowiednich do ryzyka Proces powinien rozpoczynać się już w fazie projektowania Page 17

Zapowiadane ostrzejsze sankcje! Nowe rozporządzenie PE i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych Organ nadzorczy uprawniony będzie do: Wydawanie ostrzeżeń, udzielanie upomnień, żądanie udzielenia informacji prowadzenia dochodzenia w formie audytu oraz! do nałożenia grzywny do wysokości 100 000 000 EUR lub 2 % rocznego globalnego przychodu grupy (w zależności który środek jest bardziej dotkliwy) Page 18

Obowiązek tworzenia kopii zapasowych

Rekomendacja D Jednym ze środków mających na celu zapewnienie ciągłości działania w przypadku awarii lub katastrofy są awaryjne kopie danych, instancji systemów informatycznych oraz konfiguracji kluczowych komponentów infrastruktury teleinformatycznej. Bank powinien posiadać sformalizowane zasady zarządzania nośnikami danych przechowującymi kopie awaryjne. Page 20

Kopie zapasowe zagrożenia i problemy w praktyce Problematyczny do zastosowania w praktyce wyrok WSA nakazujący usunięcie danych osobowych także z kopii zapasowych (wyrok z z 16.01.2008 sygn. akt II SA/Wa 1801/07) Usunięcie danych z kopii zapasowych jest sprzeczne z: celem tworzenia kopii zapasowych funkcją zabezpieczeniem danych ISO/IEC 27018:2014 zalecenie usunięcia danych osobowych również z kopii zapasowych (A.9.3) Page 21

Sankcje

Odpowiedzialność ADMINISTRACYJNA CYWILNA KARNA Decyzje GIODO: Przywrócenie stanu zgodnego z prawem W razie niewykonania decyzji grzywna (jednorazowo do 50 tys. zł, łącznie do 200 tys. zł) Page 23 Odpowiedzialność deliktowa (za naruszenie dóbr osobistych) brak możliwości ograniczenia odpowiedzialności za szkodę umyślną Przestępstwem jest m.in. niespełnienie obowiązku informacyjnego brak rejestracji zbioru danych utrudnianie kontroli uzyskanie informacji przeznaczonej dla kogoś innego, poprzez sieć telekomunikacyjną lub łamiąc zabezpieczenia elektroniczne ujawnienie/wykorzysta nie tajemnicy ubezpieczeniowej nieuprawniony dostęp do informacji dla niego nieprzeznaczonej

Dziękuję! Maria Guzewska Prawnik w zespole IP/DP maria.guzewska@twobirds.com Dziękuję! Maria Guzewska, LL.M. Prawnik w zespole IP/DP

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres