X Internetowe Spotkanie ABI
19 kwietnia 2012 X Internetowe Spotkanie ABI 1
Jarosław Żabó[email protected]
Trochę statystyki
• 10 spotkań
• Pierwsze spotkanie - 1 kwietnia 2011 ;))
• Coraz bardziej niezawodna technologia
• Stale rosnąca ilość uczestników
19 kwietnia 2012 X Internetowe Spotkanie ABI 2
O czym rozmawialiśmy?
• Powierzane danych osobowych
• Zarządzanie ciągłością działania
• ACTA
• Przetwarzanie danych biometrycznych w stosunkach pracy
• Zasady przetwarzania danych
• Rozporządzenie
• Obowiązki informacyjne
• Hosting i przetwarzanie danych osobowych w chmurze
• Planowane zmiany w ochronie danych osobowych w UE
• Czym na co dzień zajmuje się ABI i co go czeka na skutek reformy ochrony danych
• Monitoring
• Świadomość konieczności zapewnienia bezpieczeństwa informacji
• Zarządzanie usługami IT
• Analiza ryzyka
• Wymagania Normy ISO 27001
19 kwietnia 2012 X Internetowe Spotkanie ABI 3
Kogo gościliśmy
• W VI spotkaniu wziął udział GIODO – Pan Minister Wojciech Wiewiórowski
• „Automatyczny system wykrywania luk i podatności w sieci” - Daniel Suchocki i Maciej Karmoliński z ProCertiv
• „Rola audytora w doskonaleniu systemu zarządzania bezpieczeństwem informacji” - Michał Kubista z CIS – CERTIFICATION
• „Parę słów na temat danych biometrycznych i ich przetwarzania w stosunkach pracy” – mec. Magdalena Korga
• „Odpowiedzialność finansowa Administratora Danych” - Adwokat Tomasz Cygan
• „Bezpieczeństwo danych na urządzeniach mobilnych podłączonych do Internetu” - Karolina Pilarczyk IBM Polska
19 kwietnia 2012 X Internetowe Spotkanie ABI 4
A może już czas na Twoją prezentację?!
19 kwietnia 2012 X Internetowe Spotkanie ABI 5
PRZYPOMNIJMY SOBIE NIEKTÓRE TEMATY
19 kwietnia 2012 X Internetowe Spotkanie ABI 6
Geneza ochrony danych osobowych
1950 1970-1980 28.01.1981 24.10.1995 1997
UstawaDyrektywa 95/46/WE
Parlamentu Europejskiego i Rady
Konwencja Rady Europy Nr 108 z dnia 28 stycznia 1981 r. o Ochronie Osób w Związku z Automatycznym Przetwarzaniem Danych Osobowych
ustawa o ochronie danych osobowych w Hesji w 1970r, w kolejnych latach ustawy w poszczególnych krajach UE,
1973, 1974 – Rezolucje (rekomendacje) Rady Europy
Rekomendacja Organizacji Współpracy Gospodarczej i Rozwoju (OECD) z
23 września 1980 r. w sprawie wytycznych dotyczących ochrony prywatności i przekazywania danych osobowych pomiędzy krajami
Europejska Konwencja Praw Człowieka
19 kwietnia 2012 X Internetowe Spotkanie ABI 7
Geneza i budowa prawa ochrony danych osobowych• Dyrektywa 95/46/WE Parlamentu Europejskiego i
Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych
• Art. 47 Konstytucji RP: „Każdy ma prawo do ochrony
prawnej życia prywatnego, rodzinnego, czci i
dobrego imienia oraz do decydowania o swoim życiu
osobistym.”
19 kwietnia 2012 X Internetowe Spotkanie ABI 8
Kim jest ABI
• W polskiej ustawie ABI pojawia się w wyniku nowelizacji z 2004 roku.
• Administrator bezpieczeństwa informacji musi być wyznaczony przez administratora danych osobowych, chyba, że ADO sam będzie wykonywał jego czynności.
• Z obowiązku powołania ABI (lub samodzielnego pełnienia jego zadań) zwolnieni są administratorzy pełniący działalność dziennikarską, literacką lub artystyczną.
19 kwietnia 2012 X Internetowe Spotkanie ABI 9
ABI
• ABI może, ale nie musi być pracownikiem
administratora danych.
• Powinien być konkretną osobą fizyczną,
wyznaczoną przez ADO.
• Wyznaczenie ABI powinno mieć formę
pisemną.
19 kwietnia 2012 X Internetowe Spotkanie ABI 10
Teraźniejszość: Praktyka
19 kwietnia 2012 X Internetowe Spotkanie ABI 11
Obowiązki ADO
19 kwietnia 2012 X Internetowe Spotkanie ABI 12
• Art. 26. 1. Administrator danych przetwarzający dane powinien dołożyć szczególnej
staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany
zapewnić, aby dane te były:
1) przetwarzane zgodnie z prawem,
2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu
przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2,
3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są
przetwarzane,
4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie
dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
2. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie
narusza praw i wolności osoby, której dane dotyczą, oraz następuje:
1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych,
2) z zachowaniem przepisów art. 23 i 25.
• Przepis art. 26 wyznacza główne zasady postępowania przy przetwarzaniu
danych i ujmuje je w formie podstawowych obowiązków, których musi
przestrzegać administrator danych.
19 kwietnia 2012 X Internetowe Spotkanie ABI 13
Rozporządzenie
19 kwietnia 2012 X Internetowe Spotkanie ABI 14
Wymagania dotyczące funkcjonalności
• Art. 32. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:
3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych,4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej,5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,5a) uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2,
• Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
19 kwietnia 2012 X Internetowe Spotkanie ABI 15
Wymagania dotyczące funkcjonalności
§ 7.
1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie:
1) daty pierwszego wprowadzenia danych do systemu; 2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; 3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; 4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; 5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
2. Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.
3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.
19 kwietnia 2012 X Internetowe Spotkanie ABI 16
Wymagania dotyczące funkcjonalności
19 kwietnia 2012 X Internetowe Spotkanie ABI 17
Znaczenie obowiązku informacyjnego
• Podstawowym obowiązkiem administratora danych wobec osoby któej dane administrator przetwarza, jest konieczność poinformowania jej o tym fakcie. Jest to warunek niezbędny, by osoba mogła skorzystać z przysługujących jej praw.
• W sprawozdaniu z roku 2002 GIODO stwierdził:− „[niedopełnienie obowiązku informacyjnego] utrudniało, a nawet uniemożliwiało
wykonywanie przez osobę, której dane są przetwarzane, uprawnień, wynikających z ustawy o ochronie danych osobowych w zakresie kontroli przetwarzania danych. (…) obowiązek informacyjny jest jednym z podstawowych obowiązków, jakie ustawa o ochronie danych osobowych nakłada na administratora danych. Jego terminowe wypełnienie gwarantuje, że osoba, której dane dotyczą, uzyska wyczerpującą informację dotyczącą przetwarzania jej danych osobowych, co w konsekwencji umożliwia jej ewentualne skorzystanie z uprawnień wynikających z przepisów ustawy o ochronie danych osobowych i efektywną kontrolę procesu przetwarzania jej danych osobowych.”
19 kwietnia 2012 X Internetowe Spotkanie ABI 18
Powierzanie
• Art. 31 ust. 1. Administrator danych może
powierzyć innemu podmiotowi, w drodze
umowy zawartej na piśmie, przetwarzanie
danych.
− Powierzamy dane, a nie zbiór danych!
− Umowa na piśmie?
− Jeżeli nie podpiszemy umowy – udostępniamy dane.
19 kwietnia 2012 X Internetowe Spotkanie ABI 19
Umowa powierzenia
• Art. 31 ust. 2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.− Umowa musi zawierać:
• Cel przetwarzania• Zakres powierzanych danych
− Umowa powinna zawierać:• Co się stanie z danymi, po zakończeniu umowy
(pamiętajmy o kopiach bezpieczeństwa)• Zabezpieczmy swoje prawa
19 kwietnia 2012 X Internetowe Spotkanie ABI 20
Hosting
• Czy hosting zawsze wiąże się z powierzeniem danych?
• Problemy ze zrozumieniem wykorzystania technik kryptograficznych.
• A co jeżeli nie chcemy żeby dostawca usług wykonywał jakiekolwiek operacje na naszych danych?
19 kwietnia 2012 X Internetowe Spotkanie ABI 21
Rodzaje chmur (Deployment Models)• Chmura prywatna
• Community cloud
• Chmura publiczna
• Zewnętrzna chmura prywatna
• Chmura hybrydowa
19 kwietnia 2012 X Internetowe Spotkanie ABI 22
Modele chmur(Service Models)
19 kwietnia 2012 X Internetowe Spotkanie ABI 23
Ryzyka CC wskazywane przez Garnera• Personel dostawcy
• Zgodność z przepisami
• Lokalizacja danych
• Separacja danych różnych klientów
• Odzyskiwanie danych
• Wsparcie wyszukiwania nielegalnych operacji
• Długoterminowa dostępnośćhttp://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853
19 kwietnia 2012 X Internetowe Spotkanie ABI 24
A CO NAS CZEKA W PRZYSZŁOŚCI?
19 kwietnia 2012 X Internetowe Spotkanie ABI 25
Rozporządzenie UE
• Jednolite, ogólnoeuropejskie prawo
• Wprowadza definicje pojęć do tej pory niejasnych
• Wprowadza obowiązek informowania o naruszeniach
• Obowiązek prowadzenia analizy wpływu
• Prawo do bycia zapomnianym
• Określa rolę ABI
19 kwietnia 2012 X Internetowe Spotkanie ABI 26
Rozporządzenie UE
• W policji i sądownictwie będzie obowiązywać dyrektywa.
• Zmiana pozycji i zakresu zadań ABI.
• Nieco rozszerzamy definicję danych osobowych. Obecnie są to dane które pozwalają na zidentyfikowanie osoby przez ADO lub „any natural or legalperson”.
• Pojawiają się definicje "personal data breach", "biometric data", "data concerning health", "genetic data", "main establishment", "child".
• Adres, Adres IP, cookie – stają się jednoznacznie danymi osobowymi.
• Dane sensytywne zostają rozszerzone o genotyp i dane biometryczne.
• Regulacja obejmuje pozaeuropejskie przedsiębiorstwa przetwarzające dane lub monitorujące mieszkańców UE, jeżeli to działania jest skierowane do mieszkańców UE (prowadzone w lokalnym języku, w serwisie w narodowej domenie) – w miejsce obecnego przetwarzania na sprzęcie znajdującym się na terenie UE.
19 kwietnia 2012 X Internetowe Spotkanie ABI 27
Rozporządzenie UE - zmiany
• Projekt zawiera osobny rozdział na temat zgody na przetwarzanie danych. Jest to „dobrowolne, wyraźne i świadome wyrażenie woli”. Zgoda nie będzie ważna, jeżeli występuje nierównowaga w zależności osoby od administratora.
• Nowe prawo - “right to be forgotten and erasure”.
• “Impact assessments” – nowy obowiązek dla ADO.
• “Prior authorization/consultation” – czyli wymagana zgoda GIODO, w wypadku przetwarzania w wyższym stopniu zagrażającym prywatności.
• Obowiązek informowania osoby i organu nadzoru w wypadku naruszenia bezpieczeństwa.
19 kwietnia 2012 X Internetowe Spotkanie ABI 28
Rozdział 4 – Data protection officer.Art. 32 – Wyznaczenie DPO
• DPO musi być wyznaczony przez ADO lub procesora (również art.
19 ust. 2. pkt (e)):− Będącego instytucją publiczną− Zatrudniającego powyżej 250 pracowników− Podstawowa działalność ADO lub procesora polega na regularnym i
systematycznym monitorowaniu osób
• Inne podmioty mogą wyznaczyć DPO.
• DPO powinien posiadać adekwatną wiedzę i powinna być ona dostosowana do przetwarzanych danych.
• ADO i procesor powinni zapewnić, że DPO wykonując swoje zadania nie będzie narażony na konflikty interesów.
19 kwietnia 2012 X Internetowe Spotkanie ABI 29
Art. 34 –Zadania DPO
• Informuje ADO i procesora o ich obowiązkach oraz dokumentuje te działania.
• Monitoruje wdrażanie i stosowanie polityki, w tym prowadzenie szkoleń, audytów.
• Monitoruje wdrażanie i stosowanie rozporządzenia.
• Zapewnia prowadzenie wymaganej rozporządzeniem dokumentacji.
19 kwietnia 2012 X Internetowe Spotkanie ABI 30
Art. 34 –Zadania DPO
• Monitoruje skuteczność oceny skutków
przetwarzania danych.
• Stanowi osobę kontaktową dla GIODO.
19 kwietnia 2012 X Internetowe Spotkanie ABI 31
Co nas czeka w najbliższej przyszłości?• Nowelizacja ustawy.
• Zniesienie obowiązku rejestrowania zbiorów zawierających dane zwykłe.
• Zmiana pozycji ABI?
• Zmiana rozporządzenia.
• Kolejne Internetowe Spotkania ABI ☺
• …
19 kwietnia 2012 X Internetowe Spotkanie ABI 32
Dziękujemy za udział w dotychczasowych spotkaniach i zapraszamy na kolejne!
19 kwietnia 2012 X Internetowe Spotkanie ABI 33