x internetowe spotkanieabiv2

X Internetowe Spotkanie ABI

19 kwietnia 2012 X Internetowe Spotkanie ABI 1

Jarosław Żabó[email protected]

Trochę statystyki

• 10 spotkań

• Pierwsze spotkanie - 1 kwietnia 2011 ;))

• Coraz bardziej niezawodna technologia

• Stale rosnąca ilość uczestników


O czym rozmawialiśmy?

• Powierzane danych osobowych

• Zarządzanie ciągłością działania

• ACTA

• Przetwarzanie danych biometrycznych w stosunkach pracy

• Zasady przetwarzania danych

• Rozporządzenie

• Obowiązki informacyjne

• Hosting i przetwarzanie danych osobowych w chmurze

• Planowane zmiany w ochronie danych osobowych w UE

• Czym na co dzień zajmuje się ABI i co go czeka na skutek reformy ochrony danych

• Monitoring

• Świadomość konieczności zapewnienia bezpieczeństwa informacji

• Zarządzanie usługami IT

• Analiza ryzyka

• Wymagania Normy ISO 27001


Kogo gościliśmy

• W VI spotkaniu wziął udział GIODO – Pan Minister Wojciech Wiewiórowski

• „Automatyczny system wykrywania luk i podatności w sieci” - Daniel Suchocki i Maciej Karmoliński z ProCertiv

• „Rola audytora w doskonaleniu systemu zarządzania bezpieczeństwem informacji” - Michał Kubista z CIS – CERTIFICATION

• „Parę słów na temat danych biometrycznych i ich przetwarzania w stosunkach pracy” – mec. Magdalena Korga

• „Odpowiedzialność finansowa Administratora Danych” - Adwokat Tomasz Cygan

• „Bezpieczeństwo danych na urządzeniach mobilnych podłączonych do Internetu” - Karolina Pilarczyk IBM Polska


A może już czas na Twoją prezentację?!


PRZYPOMNIJMY SOBIE NIEKTÓRE TEMATY


Geneza ochrony danych osobowych

1950 1970-1980 28.01.1981 24.10.1995 1997

UstawaDyrektywa 95/46/WE

Parlamentu Europejskiego i Rady

Konwencja Rady Europy Nr 108 z dnia 28 stycznia 1981 r. o Ochronie Osób w Związku z Automatycznym Przetwarzaniem Danych Osobowych

ustawa o ochronie danych osobowych w Hesji w 1970r, w kolejnych latach ustawy w poszczególnych krajach UE,

1973, 1974 – Rezolucje (rekomendacje) Rady Europy

Rekomendacja Organizacji Współpracy Gospodarczej i Rozwoju (OECD) z

23 września 1980 r. w sprawie wytycznych dotyczących ochrony prywatności i przekazywania danych osobowych pomiędzy krajami

Europejska Konwencja Praw Człowieka


Geneza i budowa prawa ochrony danych osobowych• Dyrektywa 95/46/WE Parlamentu Europejskiego i

Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych

• Art. 47 Konstytucji RP: „Każdy ma prawo do ochrony

prawnej życia prywatnego, rodzinnego, czci i

dobrego imienia oraz do decydowania o swoim życiu

osobistym.”


Kim jest ABI

• W polskiej ustawie ABI pojawia się w wyniku nowelizacji z 2004 roku.

• Administrator bezpieczeństwa informacji musi być wyznaczony przez administratora danych osobowych, chyba, że ADO sam będzie wykonywał jego czynności.

• Z obowiązku powołania ABI (lub samodzielnego pełnienia jego zadań) zwolnieni są administratorzy pełniący działalność dziennikarską, literacką lub artystyczną.


ABI

• ABI może, ale nie musi być pracownikiem

administratora danych.

• Powinien być konkretną osobą fizyczną,

wyznaczoną przez ADO.

• Wyznaczenie ABI powinno mieć formę

pisemną.


Teraźniejszość: Praktyka


Obowiązki ADO


• Art. 26. 1. Administrator danych przetwarzający dane powinien dołożyć szczególnej

staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany

zapewnić, aby dane te były:

1) przetwarzane zgodnie z prawem,

2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu

przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2,

3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są

przetwarzane,

4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie

dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

2. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie

narusza praw i wolności osoby, której dane dotyczą, oraz następuje:

1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych,

2) z zachowaniem przepisów art. 23 i 25.

• Przepis art. 26 wyznacza główne zasady postępowania przy przetwarzaniu

danych i ujmuje je w formie podstawowych obowiązków, których musi

przestrzegać administrator danych.


Rozporządzenie


Wymagania dotyczące funkcjonalności

• Art. 32. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:

3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych,4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej,5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,5a) uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2,

• Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.



§ 7.

1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie:

1) daty pierwszego wprowadzenia danych do systemu; 2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; 3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; 4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; 5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.

2. Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.

3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.


Znaczenie obowiązku informacyjnego

• Podstawowym obowiązkiem administratora danych wobec osoby któej dane administrator przetwarza, jest konieczność poinformowania jej o tym fakcie. Jest to warunek niezbędny, by osoba mogła skorzystać z przysługujących jej praw.

• W sprawozdaniu z roku 2002 GIODO stwierdził:− „[niedopełnienie obowiązku informacyjnego] utrudniało, a nawet uniemożliwiało

wykonywanie przez osobę, której dane są przetwarzane, uprawnień, wynikających z ustawy o ochronie danych osobowych w zakresie kontroli przetwarzania danych. (…) obowiązek informacyjny jest jednym z podstawowych obowiązków, jakie ustawa o ochronie danych osobowych nakłada na administratora danych. Jego terminowe wypełnienie gwarantuje, że osoba, której dane dotyczą, uzyska wyczerpującą informację dotyczącą przetwarzania jej danych osobowych, co w konsekwencji umożliwia jej ewentualne skorzystanie z uprawnień wynikających z przepisów ustawy o ochronie danych osobowych i efektywną kontrolę procesu przetwarzania jej danych osobowych.”


Powierzanie

• Art. 31 ust. 1. Administrator danych może

powierzyć innemu podmiotowi, w drodze

umowy zawartej na piśmie, przetwarzanie

danych.

− Powierzamy dane, a nie zbiór danych!

− Umowa na piśmie?

− Jeżeli nie podpiszemy umowy – udostępniamy dane.


Umowa powierzenia

• Art. 31 ust. 2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.− Umowa musi zawierać:

• Cel przetwarzania• Zakres powierzanych danych

− Umowa powinna zawierać:• Co się stanie z danymi, po zakończeniu umowy

(pamiętajmy o kopiach bezpieczeństwa)• Zabezpieczmy swoje prawa


Hosting

• Czy hosting zawsze wiąże się z powierzeniem danych?

• Problemy ze zrozumieniem wykorzystania technik kryptograficznych.

• A co jeżeli nie chcemy żeby dostawca usług wykonywał jakiekolwiek operacje na naszych danych?


Rodzaje chmur (Deployment Models)• Chmura prywatna

• Community cloud

• Chmura publiczna

• Zewnętrzna chmura prywatna

• Chmura hybrydowa


Modele chmur(Service Models)


Ryzyka CC wskazywane przez Garnera• Personel dostawcy

• Zgodność z przepisami

• Lokalizacja danych

• Separacja danych różnych klientów

• Odzyskiwanie danych

• Wsparcie wyszukiwania nielegalnych operacji

• Długoterminowa dostępnośćhttp://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853


A CO NAS CZEKA W PRZYSZŁOŚCI?


Rozporządzenie UE

• Jednolite, ogólnoeuropejskie prawo

• Wprowadza definicje pojęć do tej pory niejasnych

• Wprowadza obowiązek informowania o naruszeniach

• Obowiązek prowadzenia analizy wpływu

• Prawo do bycia zapomnianym

• Określa rolę ABI


Rozporządzenie UE

• W policji i sądownictwie będzie obowiązywać dyrektywa.

• Zmiana pozycji i zakresu zadań ABI.

• Nieco rozszerzamy definicję danych osobowych. Obecnie są to dane które pozwalają na zidentyfikowanie osoby przez ADO lub „any natural or legalperson”.

• Pojawiają się definicje "personal data breach", "biometric data", "data concerning health", "genetic data", "main establishment", "child".

• Adres, Adres IP, cookie – stają się jednoznacznie danymi osobowymi.

• Dane sensytywne zostają rozszerzone o genotyp i dane biometryczne.

• Regulacja obejmuje pozaeuropejskie przedsiębiorstwa przetwarzające dane lub monitorujące mieszkańców UE, jeżeli to działania jest skierowane do mieszkańców UE (prowadzone w lokalnym języku, w serwisie w narodowej domenie) – w miejsce obecnego przetwarzania na sprzęcie znajdującym się na terenie UE.


Rozporządzenie UE - zmiany

• Projekt zawiera osobny rozdział na temat zgody na przetwarzanie danych. Jest to „dobrowolne, wyraźne i świadome wyrażenie woli”. Zgoda nie będzie ważna, jeżeli występuje nierównowaga w zależności osoby od administratora.

• Nowe prawo - “right to be forgotten and erasure”.

• “Impact assessments” – nowy obowiązek dla ADO.

• “Prior authorization/consultation” – czyli wymagana zgoda GIODO, w wypadku przetwarzania w wyższym stopniu zagrażającym prywatności.

• Obowiązek informowania osoby i organu nadzoru w wypadku naruszenia bezpieczeństwa.


Rozdział 4 – Data protection officer.Art. 32 – Wyznaczenie DPO

• DPO musi być wyznaczony przez ADO lub procesora (również art.

19 ust. 2. pkt (e)):− Będącego instytucją publiczną− Zatrudniającego powyżej 250 pracowników− Podstawowa działalność ADO lub procesora polega na regularnym i

systematycznym monitorowaniu osób

• Inne podmioty mogą wyznaczyć DPO.

• DPO powinien posiadać adekwatną wiedzę i powinna być ona dostosowana do przetwarzanych danych.

• ADO i procesor powinni zapewnić, że DPO wykonując swoje zadania nie będzie narażony na konflikty interesów.


Art. 34 –Zadania DPO

• Informuje ADO i procesora o ich obowiązkach oraz dokumentuje te działania.

• Monitoruje wdrażanie i stosowanie polityki, w tym prowadzenie szkoleń, audytów.

• Monitoruje wdrażanie i stosowanie rozporządzenia.

• Zapewnia prowadzenie wymaganej rozporządzeniem dokumentacji.


Art. 34 –Zadania DPO

• Monitoruje skuteczność oceny skutków

przetwarzania danych.

• Stanowi osobę kontaktową dla GIODO.


Co nas czeka w najbliższej przyszłości?• Nowelizacja ustawy.

• Zniesienie obowiązku rejestrowania zbiorów zawierających dane zwykłe.

• Zmiana pozycji ABI?

• Zmiana rozporządzenia.

• Kolejne Internetowe Spotkania ABI ☺

• …


Dziękujemy za udział w dotychczasowych spotkaniach i zapraszamy na kolejne!


x internetowe spotkanieabiv2

Business