RODO. szanse i wyzwania dla działów IT w przedsiębiorstwie. Janusz Żmudziński. Dział Bezpieczeństwa. maj 2017 r.

Podobne dokumenty
Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Privacy by Design Wyzwania dla systemów backup owych w związku z wdrożeniem Ogólnego rozporządzenia o ochronie danych

Maciej Byczkowski ENSI 2017 ENSI 2017

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Spis treści. Wykaz skrótów... Wprowadzenie...

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Ochrona danych osobowych w biurach rachunkowych

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

I. Postanowienia ogólne

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

SZCZEGÓŁOWY HARMONOGRAM KURSU

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

Monitorowanie systemów IT

Nowe przepisy i zasady ochrony danych osobowych

Ochrona danych osobowych

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

PARTNER.

rodo. naruszenia bezpieczeństwa danych

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Ochrona danych osobowych, co zmienia RODO?

Rola Inspektora Ochrony Danych w zabezpieczeniu systemu informatycznego - podejście oparte na ryzyku

PRELEGENT Przemek Frańczak Członek SIODO

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Ochrona danych osobowych w biurach rachunkowych

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Wprowadzenie do RODO. Dr Jarosław Greser

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

Przykład klauzul umownych dotyczących powierzenia przetwarzania

APTEKO, PRZYGOTUJ SIĘ NA ZMIANY! RODO W PIGUŁCE

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Ochrona danych osobowych - przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami, przygotowanie się do zmian.

UMOWA w zakresie powierzenia przetwarzania danych osobowych. zawarta w XX w dniu XX XX XXXX roku pomiędzy: (dane podmiotu zawierającego umowę)

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Nowe podejście do ochrony danych osobowych. Miłocin r.

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

Unijna reforma ochrony danych osobowych. Jak się na nią przygotować?

ECDL RODO Sylabus - wersja 1.0

Z praktyki zespołu audytorów ochrona danych osobowych dziś i po rozpoczęciu obowiązywania Rozporządzenia unijnego

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

EBIS POLITYKA OCHRONY DANYCH

GDPR Zmiany w prawie o ochronie danych osobowych

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Narzędzia informatyczne wspomagające IOD w zarządzaniu ochroną danych osobowych. Marcin Rek Dyrektor ds. Rozwoju Biznesu nflo

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

System bezpłatnego wsparcia dla NGO

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

Uchwała wchodzi w życie z dniem uchwalenia.

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

RODO w HR Zasady przetwarzania danych osobowych kandydatów i pracowników

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Prawne aspekty Big data w sektorze bankowym 22 maja 2017

Reforma ochrony danych osobowych RODO/GDPR

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

RODO WYMOGI OCHRONY DANYCH OSOBOWYCH PACJENTÓW MLD Katowice, dnia 24 kwietnia 2018 r. r. pr. Michał Rytel

Prelegent : Krzysztof Struk Stanowisko: Analityk

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

ROZPORZĄDZENIE O OCHRONIE DANYCH OSOBOWYCH. Przygotuj swoją firmę do zmian już dziś

POLITYKA OCHRONY DANYCH OSOBOWYCH W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W WIERUSZOWIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Czym jest RODO? Czym jest przetwarzanie danych osobowych?

Nowe wyzwania dla systemów IT, w kontekście planowanych zmian w ustawodawstwie

RODO sprawdzam. Wyzwania w zakresie ochrony danych osobowych w szkolnictwie po 25 maja 2018 r.

APTEKO, PRZYGOTUJ SIĘ NA RODO! KS - BDO

Już teraz powinieneś pomyśleć o przygotowaniu Twojej firmy na czekające ją zmiany w zakresie ochrony danych osobowych.

Polityka prywatności spółki BERDA spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Płochocinie

II Konferencja SASO, Nowa era jakości oprogramowania czy już była, jest, czy dopiero nadejdzie? Poznań, 30 czerwca 2017 roku

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

Rozdział 4 Procedura DPIA (Data Protection Impact Assessment)

w Grupie 3S REGULAMIN PRZETWARZANIA DANYCH OSOBOWYCH

Opracował Zatwierdził Opis nowelizacji

Ochrona danych osobowych - planowane zmiany od Europejskie rozporządzenie RODO w praktyce.

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

Załącznik Nr 4 do Umowy nr.

Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne

Transkrypt:

RODO szanse i wyzwania dla działów IT w przedsiębiorstwie Janusz Żmudziński Dział Bezpieczeństwa maj 2017 r. 1

2

Chrońmy nasze dane Jak wynika z raportu IBM (X-Force 2017), w 2016 r. z baz danych wyciekły ponad 4 miliardy rekordów, o 566 proc. więcej niż rok wcześniej. Eksperci koncernu wskazują, że coraz częściej celem przestępców stają się nieustrukturyzowane dane. Raport pokazuje, że chodzi tu m.in. o archiwalną pocztę elektroniczną, dokumenty biznesowe, kody źródłowe oprogramowania czy przedmioty własności intelektualnej. W 2016 r. cyberprzestępcy najczęściej atakowali podmioty z branży finansowej oraz medycznej. Jednak pod względem liczby rekordów, które wyciekły, pierwsze trzy miejsca należą do branży informacji i komunikacji (3,4 miliarda rekordów, 85 na jeden incydent), administracji publicznej (398 milionów, 39 na jeden incydent) oraz finansów. Z branży medycznej, mimo znacznej liczby ataków, wyciekło tylko 12 milionów rekordów, ponad 8 razy mniej niż rok wcześniej wyliczają twórcy raportu. 3

Wielkie wycieki danych Źródło: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ 4

Wielkie wycieki danych Źródło: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ 5

Źródło: http://biznes.interia.pl/finanse-osobiste/news/zatrzymany-informatyk-za-sprzedaz-baz-danych,2518131,4141 6

Zagrożenia

Rozporządzenie UE o Ochronie Danych Osobowych W dniu 14 kwietnia 2016 r. Parlament Europejski przyjął pakiet legislacyjny dotyczący nowych unijnych ram prawnych ochrony danych osobowych. Pakiet składa się rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) oraz dyrektywy w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych. Głosowanie Parlamentu, poprzedzone przyjęciem obu dokumentów przez Radę Unii Europejskiej, wieńczy trwające ponad cztery lata prace mające na celu całkowitą przebudowę unijnych zasad ochrony danych. Nowo uchwalone rozporządzenie uchyli obowiązującą aktualnie dyrektywą 95/46/WE a nowa dyrektywa decyzję ramową Rady 2008/997/WSiSW. 8

RODO - daty data wejścia w życie RODO 24 maja 2016 r. data rozpoczęcia obowiązywania RODO 25 maja 2018 r Motyw 171 RODO: Przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. 9

Do 25 maja 2018 zostało 368 dni Należy pamiętać o tym, że po 25 maja 2018 r., gdy GDPR zacznie w pełni obowiązywać, nie będzie już taryfy ulgowej i dodatkowego czasu na dostosowanie się przez administratorów danych do jego wymogów. Dlatego właśnie teraz jest już odpowiedni czas by rozpocząć proces przygotowań do wdrożenia wymogów GDPR. 10

50% Źródło: http://www.gartner.com/newsroom/id/3701117

Wyzwania Każdy przedsiębiorca jest zobowiązany do wdrożenia RODO Zmiana jakościowa przepisów: wyznaczony został cel, a nie dokładny sposób postępowania Podejście od strony analizy ryzyka Ciągły proces w miejsce jednorazowych działań Usuwanie danych osobowych Przenoszenie danych Brak możliwości przywrócenia terminu na wykonanie niektórych obowiązków 12

Obowiązek zabezpieczenia danych osobowych Obowiązek stosowania odpowiednich środków organizacyjno-technicznych Przy doborze środków administrator powinien uwzględniać najnowsze osiągnięcia techniczne oraz koszty wdrożenia tych środków Obowiązek przeprowadzenia odpowiedniej analizy ryzyka Powszechny obowiązek notyfikacji naruszeń ochrony danych osobowych (72 godziny) Nowe definicje (m.in. profilowanie, dane pseudonimizowane, dane zaszyfrowane) 13

Cel wdrożenia RODO Celem wdrożenia nie jest uniknięcie kar. Celem jest przygotowanie firmy do nowej rzeczywistości, gdzie dane osobowe otrzymały bardzo daleko idącą ochronę Ich pozyskiwanie, przetwarzanie i ochrona musi być przemyślana i kontrolowana od początku do końca. Privacy by design. Celem nie jest ochrona sama w sobie. Przy takim podejściu, rezultatem będą polityki i procedury bezpieczeństwa, które nie będą realnie stosowane i utrudnią przetwarzanie danych. 14

Privacy by design Privacy by default -obowiązek wprowadzenia domyślnej ochrony danych osobowych Administratorzy zobowiązani będą uwzględniać ochronę danych osobowych już na etapie podejmowania decyzji o tym, jakie systemy informatyczne chcą u siebie wdrożyć Administratorom pozostawiono swobodę decyzji o tym, jakimi środkami zapewnią ochronę danych osobowych. Brak jest wskazania w przepisach, w jaki sposób administrator miałby udokumentować projektowanie ochrony danych osobowych. Zasadę uwzględniania ochrony danych w fazie projektowania trzeba będzie uwzględniać również w przetargach publicznych. 15

Art. 32 Bezpieczeństwo przetwarzania 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. 2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 16

Czym jest ryzyko przetwarzania danych osobowych? Przetwarzanie danych osobowych przez firmę wymaga zidentyfikowania związanego z tym ryzyka. Wraz z wejściem w życie przepisów RODO regularna analiza ryzyka stanie się podstawą określenia zabezpieczeń adekwatnych do istniejących zagrożeń i pozwoli uniknąć sytuacji, w której prowadzone przez firmę procesy mogłyby się okazać niezgodne z prawem. Przetwarzanie danych osobowym, w tym również prawidłowa identyfikacja potencjalnych ryzyk, wymaga czujności i umiejętności przewidywania kolejnych zdarzeń przez ABI (Administratora Bezpieczeństwa Informacji), a po wejściu w życie RODO IOD (Inspektora Ochrony Danych), który odpowiada za ochronę danych osobowych w danym podmiocie. Wielu początkujących ABI nie sięga do takich narzędzi pracy jak klasyfikacja ryzyka ze względu na to, że postrzega je jako skomplikowane. Wpływa to negatywnie na firmy, które nie są odpowiednio przygotowane na potencjalne niebezpieczeństwa. 17

Analiza ryzyka Jak to zrobić? Narzędzia? Inwentaryzacja zasobów informacyjnych Inwentaryzacja środków przetwarzania 18

Usuwanie danych osobowych Administrator informuje o okresie przechowywania danych lub kryteriach, które służą do określenia tego okresu Administrator uwzględniając ochronę danych w fazie projektowania musi wziąć pod uwagę również aspekt usuwania danych w cyklu zarządzania danymi 19

Wpływ na projektowanie systemów IT Ochrona danych od początku do końca cyklu życia informacji Podejście proaktywne, nie reaktywne i zaradcze, nie naprawcze Prywatność - ustawienie domyślne Prywatność włączona w projekt Poszanowanie dla prywatności użytkowników 20

Incydenty bezpieczeństwa RODO po raz pierwszy wprowadza obowiązek zgłaszania przypadków naruszenia bezpieczeństwa danych osobowych. Przypadki utraty, kradzieży lub innego naruszenia bezpieczeństwa danych osobowych należy zgłosić organowi nadzorczemu. W niektórych sytuacjach należy również powiadomić osoby fizyczne. Karany będzie nie tyle fakt wycieku danych, co brak odpowiedniego zabezpieczenia oraz brak notyfikacji. 21

Pseudonimizacja Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych. 22

RODO - sankcje Wzmocniona zostanie ochrona konsumentów, bo odstraszać będą kary finansowe, które zostaną wprowadzone, a kary mają być wysokie, m.in. do 4 proc. rocznych światowych obrotów przedsiębiorstwa, albo do 20 mln euro, w zależności od tego, która z tych kar będzie dla danego przedsiębiorcy dotkliwsza. Teraz GIODO nie może nakładać takich kar. 23

Bezpieczeństwo to nie produkt, to proces. Bruce Schneier 24

Ochrona danych osobowych jest procesem, nie czynnością jednorazową Nie ma uniwersalnego "punktu docelowego", którego osiągnięcie zapewni spokój. To proces bardzo zbliżony do zapewnienia bezpieczeństwa - strategiczna umiejętność, która musi być wkomponowana ład IT organizacji, przez nią zarządzana i rozwijana. 25

Kluczowa rola IT IT jest centralnym zasobem przetwarzającym dane. Proces poprawnego przetwarzania danych z pewnością dotknie systemy informatyczne, i to zarówno na etapie analitycznym i jak i realizacyjnym. Implementacja rekomendacji zapewne zajmie dużo czasu i może być kosztowna. Warto przeprowadzać analizy i prace związane z implementacją RODO od razu angażując działy informatyczne. 26

Systemy informatyczne są kluczowe Dla większości dużych organizacji kluczowe są systemy informatyczne, a dostosowanie tych systemów będą czasochłonne i kosztowne. Dlatego to często dział IT narzuci określone polityki i procedury, a nie na odwrót. IT powinno być włączone w proces decyzyjny od samego początku. 27

Nie istnieją magiczne rozwiązania techniczne Nie ma magicznych rozwiązań, które można kupić i rozwiązać problem. Każda firma będzie decydować o adekwatnych środkach - organizacyjnych i technicznych. Dla części będą to rozwiązania stosunkowo proste, dla części wręcz przeciwnie. Nie da się kupić i zapomnieć Będą potrzebni doświadczeni doradcy - ze względu na specjalistyczną wiedzę prawną i technologiczną związaną z RODO. 28

Firmy potrzebują bezpieczeństwa Firmy/organizacje nie potrzebują tylko firewalli, antywirusów, SIEM, DLP, itd. Potrzebują znacznie więcej. Potrzebują zapewnienia, że ich biznes jest właściwie chroniony i jest zgodny z obowiązującymi regulacjami. Podejście oparte o architekturę bezpieczeństwa gwarantuje właściwe zabezpieczenie wszystkich obszarów IT w organizacji a w szczególności zgodność z przepisami prawa. 29

Definicja architektury bezpieczeństwa Wielopoziomowy zbiór wszystkich komponentów (normatywnych, procesowych, projektowych i technologicznych), ich wzajemnych relacji i wskazówek kierujących ich rozwojem i ewolucją w czasie, które współdziałając ze sobą zapewniają bezpieczeństwo organizacji. 30

Architektura bezpieczeństwa systemu Sztuka doboru, projektowania i wdrożenia, zbioru koniecznych zabezpieczeń systemów, ich właściwości, oraz relacji między nimi, zapewniających uzyskanie i utrzymanie zakładanego poziomu bezpieczeństwa Te zabezpieczenia muszą odpowiadać: wymaganiom biznesowym, obowiązującym regulacjom (np. przepisy prawa, korporacyjna polityka bezpieczeństwa), wynikom szacowania ryzyka.

Architektura bezpieczeństwa - przykład 32

Wymagane działania Lokalizacja (inwentaryzacja) danych osobowych) Szacowanie ryzyka Wdrożenie zabezpieczeń i mechanizmów kontrolnych Kontrola dostępu Zarządzanie incydentami 33

Edukacja Twoich pracowników to najważniejszy element systemu bezpieczeństwa. 34

Podsumowanie RODO jest trudnym i strategicznie ważnym aktem prawnym, którego prawidłowa implementacja może przynieść długofalowe korzyści Domyślna ochrona danych osobowych Podejście od strony analizy ryzyka Ciągły proces w miejsce jednorazowych działań Bardzo wysokie kary Wdrożenie RODO zabezpieczy nie tylko dane osobowe 35

Dziękuję za uwagę janusz.zmudzinski@assecods.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres