SlideShare a Scribd company logo

IT w RODO - praktyczne informacje.

Download as PPTX, PDF
T
Tomasz Janas

IT w RODO – praktyczne podejście do spełnienia wymagań RODO przez dział IT. Jakie wymagania w stosunku do działu IT wprowadza rozporządzenie? Od czego zacząć? Jakie rozwiązania informatyczne zastosować? Analiza zapisów rozporządzenia - zapraszam do lektury.

Business
1 of 31
IT – praktyczne podejście do spełnienia wymagań RODO TOMASZ JANAS ITOMEGA.PL CEO 1
IT w RODO - informacje  General Data Protection Regulation (GDPR) czyli Rozporządzenie o Ochronie Danych Osobowych (RODO)  Jakie wymagania w stosunku do działu IT wprowadza rozporządzenie?  Analiza zapisów rozporządzenia.  Od czego zacząć?  Jakie rozwiązania informatyczne zastosować? 2
IT w RODO - preambuła  Preambuła, motyw (49): do obowiązków ADO należy zapewnienie bezpieczeństwa sieci i informacji m.in.: (…)zapewnienia odporności sieci lub systemu informacyjnego (…) na (…)działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych (…) jest prawnie uzasadnionym interesem administratora, którego sprawa dotyczy.  (…) zapobieganie nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu złośliwych kodów, przerywanie ataków typu „odmowa usługi”, a także przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej. 3
IT w RODO - preambuła  od przedsiębiorców (ADO) wymagana jest proaktywna postawa nie tylko w celu ochrony danych, ale także w przypadku gdy podjęte kroki zawiodły i nastąpiło naruszenie bezpieczeństwa. Ustawa zaznacza, że należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą.  Preambuła, motyw (87): Należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. Takie zawiadomienie może skutkować interwencją organu nadzorczego, zgodnie z jego zadaniami i uprawnieniami określonymi w niniejszym rozporządzeniu. 4
IT w RODO – ROZDZIAŁ II  ROZDZIAŁ II (Zasady) ; Artykuł 5 (Zasady dotyczące przetwarzania danych osobowych)  Dane osobowe muszą być:  f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). 5
IT w RODO – ROZDZIAŁ III  ROZDZIAŁ III, Artykuł 17 - prawo do bycia zapomnianym, przyznające osobom, których dane dotyczą, dużą swobodę w zakresie wnioskowania o usunięcie danych osobowych, co nakłada na przedsiębiorców dodatkowe obowiązki z tego tytułu.  Artykuł 17 Prawo do usunięcia danych („prawo do bycia zapomnianym”)  1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:  a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;  b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;  c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;  d) dane osobowe były przetwarzane niezgodnie z prawem;  e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;  f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1. 6
IT w RODO - ROZDZIAŁ IV  ROZDZIAŁ IV (artykuły 24 - 43) - Administrator i podmiot przetwarzający  Rozdział ten zawiera szczegółowe przepisy dotyczące obowiązków zabezpieczenia przed „naruszeniem ochrony danych osobowych”.  ROZDZIAŁ I ; Artykuł 4 (Definicje)  punkt 12. „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych; 7
IT w RODO - ROZDZIAŁ IV  ROZDZIAŁ IV, artykuł 25; nowe podejście do odpowiedzialności podmiotu przetwarzającego dane - „Data protection by design and by default” - Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych  odpowiednie procedury i zabezpieczenia powinny zostać wprowadzone przez firmy jeszcze przed rozpoczęciem zbierania i przetwarzania danych. 8
IT w RODO – rejestr czynności  ROZDZIAŁ IV, Artykuł 30. RODO wymaga, by rejestr czynności przetwarzania danych osobowych był prowadzony z uwzględnieniem technicznych i organizacyjnych wymogów bezpieczeństwa opisanych w Artykule 32. Oznacza to, że firmy i organizacje muszą być w stanie udowodnić, że ich dane i systemy są bezpieczne, a zaszyfrowane dane możliwe do odzyskania po awarii technicznej.  zapisy dotyczące prowadzenia rejestru czynności przetwarzania danych osobowych przez administratora danych, a także jego przedstawicieli.  rejestr powinien zawierać odpowiednie informacje o osobach mających dostęp do danych, ich uprawnieniach i działaniach, posiadać formę pisemną, w tym elektroniczną, a także być udostępniany na żądanie organu nadzorczego. 9
IT w RODO - wymagania  ROZDZIAŁ IV, Art. 32. RODO Bezpieczeństwo przetwarzania - poświęcony bezpieczeństwu przetwarzania danych stwierdza:  Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:  a) pseudonimizację i szyfrowanie danych osobowych;  b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;  c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;  d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. 10
IT w RODO - pseudonimizacja  ROZDZIAŁ I ; Artykuł 4 - Definicje ;  punkt 5. „pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; 11
IT w RODO - pseudonimizacja Ministerstwo Cyfryzacji – Informator RODO:  Anonimizacja pozwala na usunięcie powiązań między danymi osobowymi a osobami, których dane dotyczą. Zanonimizowane dane nie są danymi osobowymi, ponieważ nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. W związku z tym, zasady ochrony danych nie powinny mieć zastosowania do danych zanonimizowanych, co oznacza, że RODO nie stosuje się do przetwarzania takich anonimowych informacji.  Pseudonimizacja to „ukrycie” danych osobowych, ponieważ nadal istnieje narzędzie, które pozwala je odczytać. Dane osobowe, które są spseudonimizowane, pozostają danymi osobowymi. Poddając je pseudonimizacji, tylko na jakiś czas „ukrywamy” informacje pozwalające zidentyfikować osobę, której dane dotyczą. Aby dokonać skutecznie czynności pseudonimizacji istotne jest to, aby klucz pozwalający odczytać dane był przechowywany osobno, tj.w innym miejscu, niż same dane. Ponadto, klucz musi być odpowiednio zabezpieczony w sposób techniczny i organizacyjny.  Jeżeli dane są ustrukturyzowane w taki sposób, że niemożliwa jest identyfikacja osoby, której dotyczą, wtedy, zgodnie z Rozporządzeniem, wymogi ochrony danych osobowych są znacznie złagodzone (jak w przypadku pseudonimizacji) lub nie obowiązują (jak w przypadku anonimizacji). 12
IT w RODO – naruszenie ochrony ROZDZIAŁ IV, Artykuł 34. RODO zawiera zalecenia dot. zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych:  1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu Jednakże dalej ten sam artykuł stwierdza:  3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:  a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;  b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;  c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.  Badania wykazały, że im wcześniej powiadamia się o naruszeniu bezpieczeństwa danych, tym dotkliwsze są konsekwencje dla firmy, która do takiego naruszenia dopuściła. W tym przypadku szyfrowanie uważane jest za wystarczający środek uniemożliwiający naruszenie bezpieczeństwa i pozwalający chronić reputację firm, które naruszenia doświadczyły. 13
IT w RODO - zgłaszanie naruszenia  ROZDZIAŁ IV, Artykuł 33. RODO wymaga powiadamiania organu nadzorczego o każdym przypadku naruszenia bezpieczeństwa danych osobowych. W razie takiego naruszenia organ ten musi zostać powiadomiony najpóźniej w ciągu 72 godzin od wykrycia naruszenia. Po upływie tego czasu każde powiadomienie będzie należało opatrzyć wyjaśnieniem, dlaczego dokument wpływa po terminie przewidzianym w Rozporządzeniu.  Naruszenie należy również zgłosić bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, a także opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych. 14
IT w RODO - kary Przykłady zaniedbań podlegających grzywnie:  Jeżeli Administrator Danych Osobowych (ADO) nie wdrożył odpowiednich środków technicznych i organizacyjnych mających na celu ochronę praw osób, których dane dotyczą.  Jeżeli ADO nie uwzględnił ochrony danych w fazie projektowania (na etapie projektowania systemu informatycznego).  Jeżeli ADO nie zgłosił incydentu w ciągu 72h po stwierdzeniu naruszenia, organowi nadzorczemu (jeśli incydent skutkował naruszeniem praw lub wolności osób fizycznych).  ROZDZIAŁ VIII ; Artykuł 83 (Ogólne warunki nakładania administracyjnych kar pieniężnych)  Jeżeli zostanie wykazane, iż do naruszenia doszło z rażącego zaniedbania administratora, czy podmiotu przetwarzającego, to można liczyć się z ryzykiem nałożenia bardzo wysokich kar pieniężnych. Może to być nawet do 20 mln euro lub do 4% całkowitego, rocznego, globalnego obrotu z poprzedniego roku. 15
IT w RODO – od czego zacząć?  Osoby zaangażowane:  osoby znające procesy w każdym dziale przetwarzającym dane osobowe,  osoby decyzyjne (zarząd, CEO),  finansowi decydenci (CEO, CFO),  prawnicy,  IT.  Analiza ryzyka  określenie punktu wyjścia dla wdrożenia zabezpieczeń zgodnych z RODO,  zdefiniowanie procesów zachodzących w organizacji,  zidentyfikowanie zagrożeń, podatności, prawdopodobieństwa, skutków i obecnych zabezpieczeń,  opracowanie planu postępowania (z ryzykiem) 16
IT w RODO – od czego zacząć?  przy uwzględnieniu oszacowanego ryzyka - określenie jakie środki techniczne będą odpowiednie,  przy uwzględnieniu oszacowanego ryzyka - określenie jakie środki IT będą spełniały wymogi RODO,  ocena adekwatności zastosowanych zabezpieczeń,  stworzenie procedur IT m.in.:  polityka bezpieczeństwa (polityka haseł)  Instrukcja zarzadzania systemem informatycznym  polityka kopii zapasowych  polityka szyfrowania danych osobowych i pseudonimizacji,  plan ciągłości działania,  Plan sprawdzeń - regularnego testowania zastosowanych środków. 17
IT w RODO – od czego zacząć?  zebranie informacji, przeprowadzenie audytu:  identyfikacja danych osobowych podlegających kontroli zgodnie z rozporządzeniem (audyt m.in. na stacjach roboczych, SharePoint, Exchange)  bezpieczeństwa: baz danych, serwerów, systemów operacyjnych, sieci przewodowej i bezprzewodowej, styku z Internetem, urządzeń sieciowych, aplikacji desktopowych, aplikacji webowych  dostępu użytkowników, m.in. polityki zmiany haseł do systemów, sieci wifi, dostępu do danych  archiwizacji i backupów danych, możliwości odzyskania danych z backupów  szyfrowania danych na urządzeniach firmowych: laptopach, dyskach, telefonach  sposobów usuwania danych z urządzeń firmowych: laptopów, dysków, telefonów 18
IT w RODO – od czego zacząć?  #1 Zinwentaryzuj zbiory  Sprawdź jakie rodzaje zbiorów danych osobowych istnieją w Twojej firmie, a także upewnij się, że wszystkie zostały wprowadzone do rejestru, by mieć nad nimi pełną kontrolę.  #2 Ustal kto posiada dostępy  Określ pracowników, kontrahentów i partnerów, którzy mają dostęp do Twoich zbiorów danych osobowych oraz posiadają odpowiednie zgody do ich przetwarzania. 19
IT w RODO – od czego zacząć?  Identyfikacja obszarów przetwarzania danych osobowych. Dane podlegające ochronie są wszędzie.  Gdzie są dane?  bazy danych, hurtownie danych - znana struktura bazy i dostepy  dane rozproszone (chmury, aplikacje, stacje końcowe, serwery poczty, dokumenty, urządzenia mobilne)  Podstawowe problemy:  brak wiedzy gdzie są przechowywane dane osobowe  kto ma dostęp do tych danych 20
IT w RODO – ROZWIĄZANIA  ROZWIĄZANIE:  analiza danych - gdzie i jakie dane firma posiada  dane strukturalne (bazy danych)  dane niestrukturalne - poczta, dokumenty  klasyfikacja danych  analiza podatności  sporządzenie katalogu ryzyk i wyznaczenie rekomendacji w kontekście zastosowania odpowiednich rozwiązań 21
IT w RODO – ROZWIĄZANIA  Wymagania: „uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych”  ROZWIĄZANIE: projekt i planowanie pod kątem bezpieczeństwa wdrożenia systemu informatycznego w którym będą przetwarzane dane osobowe;  Wymagania: „zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania”  Wymagania: „regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania”  Wymagania: „zapobieganie nieuprawnionemu dostępowi do sieci”  ROZWIĄZANIE: bezpieczeństwo jest procesem który musi być odpowiednio udokumentowany i przestrzegany. Należy napisać, wdrożyć i egzekwować politykę bezpieczeństwa informacji a także odpowiednio dokumentować wszystkie czynności związane z przetwarzaniem danych osobowych. 22
IT w RODO - ROZWIĄZANIA  #3 Kontrola uprawnień  Kontroluj każde nadanie i odebranie uprawnień do zbiorów danych osobowych dla wszystkich użytkowników systemów.  Wymagania: „rejestr powinien zawierać odpowiednie informacje o osobach mających dostęp do danych, ich uprawnieniach i działaniach”  ROZWIĄZANIE: monitorowanie i kontrolowanie dostępu do danych osobowych, implementacja systemu do zarządzania logami systemów w zakresie dostępu do danych.  Wymagania: „wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą”  ROZWIĄZANIE: wykrywanie przypadków dostępu niezgodnego z uprawnieniami, odpowiednie logowanie wszystkich zdarzeń w systemach informatycznych, generowanie alertów poprzez odpowiednie ustawienie oprogramowania do analizy logów systemowych lub inline IDS. 23
IT w RODO - ROZWIĄZANIA  #4 Monitoring systemów i aplikacji  Monitoring upewni Cię, że w systemie nie występują braki m.in. w aktualizacjach oprogramowania czy zabezpieczeniach antywirusowych, które mogłyby powodować naruszenie bezpieczeństwa i doprowadzić do wycieku danych. W przypadku braku system automatycznie reaguje (założy zgłoszenie w systemie zgłoszeń lub powiadomi mailowo administratora).  ROZWIĄZANIE: Wdrożenie oprogramowania lub urządzenia do monitorowania systemów zaangażowanych w przetwarzanie danych osobowych w zakresie braków aktualizacji, błędów przepełnienia, odmowy dostępu, awarii. 24
IT w RODO - ROZWIĄZANIA  #5 Monitoring sprzętu  Monitoring sprzętu pomoże wykryć możliwe przypadki uszkodzenia lub przeciążenia sprzętu komputerowego jeszcze przed całkowitą awarią.  Wymagania: „przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej”  ROZWIĄZANIE: Wdrożenie systemu opartego na czujnikach do monitorowania infrastruktury sprzętowej w zakresie temperatury, zadymienia, wilgotności, skoków napięcia. Wdrożenie odpowiednich środków bezpieczeństwa fizycznego oraz UPS. 25
IT w RODO - ROZWIĄZANIA  #6 Szyfrowanie danych  szyfrowanie danych - niezbędne minimum które musi zastosować firma w związku z RODO  Wymagania: „(…stosować) pseudonimizację i szyfrowanie danych osobowych”  ROZWIĄZANIE: wdrożenie szyfrowania danych na stacjach roboczych, serwerach na których przetwarzane są dane osobowe oraz szyfrowanie kopii zapasowych w których zawarte są dane osobowe. 26
IT w RODO - ROZWIĄZANIA  #7 Antywirus  Wymagania: „ zapobieganie rozprowadzaniu złośliwych kodów ”  ROZWIĄZANIE: zastosowanie programów antywirusowych, dbanie o aktualizację oprogramowania antywirusowego, najlepiej poprzez centralną konsolę zarządzania (logowanie zdarzeń), automatyzacja procesu, generowanie raportów. 27
IT w RODO - ROZWIĄZANIA  #8 Kopie zapasowe  Wymagania: „zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego”  Wymagania: „zapewnienie odporności sieci lub systemu informacyjnego na działania naruszające”  ROZWIĄZANIE: odpowiednio skonfigurowane, udokumentowane, (procedura tworzenia kopii zapasowych / polityka kopii zapasowych) regularne tworzenie kopii zapasowych, archiwizowanie danych osobowych zgodnie z procesami GDPR,  dodatkowe miejsce przechowywania kopii zapasowych,  zapasowe centrum danych - redundancja, możliwość przełączania na centrum zapasowe. 28
IT w RODO - ROZWIĄZANIA  #8a Kopie zapasowe – prawo do bycia zapomnianym  Wymagania: „Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe”  ROZWIĄZANIE: ręczna metoda usunięcia pojedynczego rekordu z backupu bazy danych to: odtworzenie, wykasowanie i ponowna archiwizacja. Automatyzacja usuwania danych z kopii zapasowej polega na implementacji systemu który automatycznie odpytuje wszystkie bazy i kasuje właściwe rekordy. Zautomatyzowanie tego procesu to skomplikowany projekt. 29
IT w RODO - ROZWIĄZANIA  #9 IDS (IPS)  Wymagania: przerywanie ataków typu „odmowa usługi”  ROZWIĄZANIE: monitorowanie systemów zaangażowanych w przetwarzanie danych osobowych poprzez implementację systemów IDS lub IPS - urządzenia sieciowe zwiększające bezpieczeństwo sieci komputerowych przez wykrywanie (IDS) lub wykrywanie i blokowanie ataków (IPS) w czasie rzeczywistym.  #10 Zarządzaj zdarzeniami i incydentami  Bardzo ważne jest, aby każdy incydent, który może mieć wpływ na bezpieczeństwo danych osobowych był zarejestrowany, a także aby każdy pracownik Twojej firmy miał możliwość takie zdarzenie zgłosić. 30
DZIĘKUJĘ ZA UWAGĘ TOMASZ JANAS ITOMEGA.PL CEO 31

Recommended

Ochrona danych osobowych w hospicjum
Ochrona danych osobowych w hospicjumOchrona danych osobowych w hospicjum
Ochrona danych osobowych w hospicjumFundacja HPE
 
Rodo podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikowRodo podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikowSzymon Konkol - Publikacje Cyfrowe
 
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych OsobowychMonitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych OsobowychAgata Maron
 
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowychObowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowychSpodek 2.0
 
Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)Szymon Konkol - Publikacje Cyfrowe
 
Wymagania rozporzadzenia ministra spraw wewnętrznych i administracji w sprawi...
Wymagania rozporzadzenia ministra spraw wewnętrznych i administracji w sprawi...Wymagania rozporzadzenia ministra spraw wewnętrznych i administracji w sprawi...
Wymagania rozporzadzenia ministra spraw wewnętrznych i administracji w sprawi...Wyższa Szkoła Biznesu w Dąbrowie Górniczej
 
Aspekty prawne monitorowania aktywności użytkowników komputerów firmowych
Aspekty prawne monitorowania aktywności użytkowników komputerów firmowychAspekty prawne monitorowania aktywności użytkowników komputerów firmowych
Aspekty prawne monitorowania aktywności użytkowników komputerów firmowychCyberlaw Beata Marek
 
Rodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowRodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowSzymon Konkol - Publikacje Cyfrowe
 

Recommended

Ochrona danych osobowych w hospicjum
Ochrona danych osobowych w hospicjumOchrona danych osobowych w hospicjum
Ochrona danych osobowych w hospicjumFundacja HPE
 
Rodo podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikowRodo podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikowSzymon Konkol - Publikacje Cyfrowe
 
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych OsobowychMonitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych OsobowychAgata Maron
 
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowychObowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowychSpodek 2.0
 
Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)Szymon Konkol - Publikacje Cyfrowe
 
Wymagania rozporzadzenia ministra spraw wewnętrznych i administracji w sprawi...
Wymagania rozporzadzenia ministra spraw wewnętrznych i administracji w sprawi...Wymagania rozporzadzenia ministra spraw wewnętrznych i administracji w sprawi...
Wymagania rozporzadzenia ministra spraw wewnętrznych i administracji w sprawi...Wyższa Szkoła Biznesu w Dąbrowie Górniczej
 
Aspekty prawne monitorowania aktywności użytkowników komputerów firmowych
Aspekty prawne monitorowania aktywności użytkowników komputerów firmowychAspekty prawne monitorowania aktywności użytkowników komputerów firmowych
Aspekty prawne monitorowania aktywności użytkowników komputerów firmowychCyberlaw Beata Marek
 
Rodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowRodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowSzymon Konkol - Publikacje Cyfrowe
 
Prezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychPrezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychSzkoleniaCognity
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowejWebinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowejngopl
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOngopl
 
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...Stowarzyszenie Jakości Systemów Informatycznych (SJSI)
 
Rodo reakcja na_naruszenia
Rodo reakcja na_naruszeniaRodo reakcja na_naruszenia
Rodo reakcja na_naruszeniaSzymon Konkol - Publikacje Cyfrowe
 
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...COGNITY Szkolenia
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018ngopl
 
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...ecommerce poland expo
 
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadr
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadrCognity Szkolenia - Ochrona danych osobowych w działach HR i kadr
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadrSzkoleniaCognity
 
Chmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawoChmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawoKonwent2015
 
Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...
Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...
Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...ViDiS SA
 
Obowiązki ADO - zasady przetwarzania danych osobowych
Obowiązki ADO - zasady przetwarzania danych osobowychObowiązki ADO - zasady przetwarzania danych osobowych
Obowiązki ADO - zasady przetwarzania danych osobowychWyższa Szkoła Biznesu w Dąbrowie Górniczej
 
Chmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracyChmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracyKonwent2015
 
Pytania RODO do prezentacji
Pytania RODO do prezentacjiPytania RODO do prezentacji
Pytania RODO do prezentacjiSzymon Konkol - Publikacje Cyfrowe
 
Obowiazek informacyjny
Obowiazek informacyjnyObowiazek informacyjny
Obowiazek informacyjnyWyższa Szkoła Biznesu w Dąbrowie Górniczej
 
Michał Kluska - Ochrona danych osobowych w 2014 r. - przygotuj swój biznes na...
Michał Kluska - Ochrona danych osobowych w 2014 r. - przygotuj swój biznes na...Michał Kluska - Ochrona danych osobowych w 2014 r. - przygotuj swój biznes na...
Michał Kluska - Ochrona danych osobowych w 2014 r. - przygotuj swój biznes na...#e-biznes festiwal
 
Rodo dla hr
Rodo dla hrRodo dla hr
Rodo dla hrGroMar® Sp. z o.o.
 
RODO / Ochrona danych osobowych - 20 rzeczy, którymi warto się zająć przed 25...
RODO / Ochrona danych osobowych - 20 rzeczy, którymi warto się zająć przed 25...RODO / Ochrona danych osobowych - 20 rzeczy, którymi warto się zająć przed 25...
RODO / Ochrona danych osobowych - 20 rzeczy, którymi warto się zająć przed 25...CallPage
 
PLNOG 13: Artur Piechocki: Protection of privacy
PLNOG 13: Artur Piechocki: Protection of privacyPLNOG 13: Artur Piechocki: Protection of privacy
PLNOG 13: Artur Piechocki: Protection of privacyPROIDEA
 
Netcamp #12 - Ochrona danych osobowych w Internecie
Netcamp #12 - Ochrona danych osobowych w InternecieNetcamp #12 - Ochrona danych osobowych w Internecie
Netcamp #12 - Ochrona danych osobowych w InternecieFundacja Rozwoju Branży Internetowej Netcamp
 
Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)
Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)
Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)ngopl
 
Jak wdrożyć bezpiecznie chmurę? Aspekty prawne
Jak wdrożyć bezpiecznie chmurę? Aspekty prawneJak wdrożyć bezpiecznie chmurę? Aspekty prawne
Jak wdrożyć bezpiecznie chmurę? Aspekty prawneCyberlaw Beata Marek
 

More Related Content

What's hot

Prezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychPrezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychSzkoleniaCognity
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowejWebinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowejngopl
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOngopl
 
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...COGNITY Szkolenia
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018ngopl
 
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...ecommerce poland expo
 
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadr
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadrCognity Szkolenia - Ochrona danych osobowych w działach HR i kadr
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadrSzkoleniaCognity
 
Chmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawoChmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawoKonwent2015
 
Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...
Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...
Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...ViDiS SA
 
Chmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracyChmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracyKonwent2015
 
Michał Kluska - Ochrona danych osobowych w 2014 r. - przygotuj swój biznes na...
Michał Kluska - Ochrona danych osobowych w 2014 r. - przygotuj swój biznes na...Michał Kluska - Ochrona danych osobowych w 2014 r. - przygotuj swój biznes na...
Michał Kluska - Ochrona danych osobowych w 2014 r. - przygotuj swój biznes na...#e-biznes festiwal
 
RODO / Ochrona danych osobowych - 20 rzeczy, którymi warto się zająć przed 25...
RODO / Ochrona danych osobowych - 20 rzeczy, którymi warto się zająć przed 25...RODO / Ochrona danych osobowych - 20 rzeczy, którymi warto się zająć przed 25...
RODO / Ochrona danych osobowych - 20 rzeczy, którymi warto się zająć przed 25...CallPage
 
PLNOG 13: Artur Piechocki: Protection of privacy
PLNOG 13: Artur Piechocki: Protection of privacyPLNOG 13: Artur Piechocki: Protection of privacy
PLNOG 13: Artur Piechocki: Protection of privacyPROIDEA
 

What's hot (19)

Prezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychPrezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowych
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowejWebinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
 
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
 
Rodo reakcja na_naruszenia
Rodo reakcja na_naruszeniaRodo reakcja na_naruszenia
Rodo reakcja na_naruszenia
 
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
 
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
 
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadr
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadrCognity Szkolenia - Ochrona danych osobowych w działach HR i kadr
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadr
 
Chmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawoChmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawo
 
Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...
Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...
Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...
 
Obowiązki ADO - zasady przetwarzania danych osobowych
Obowiązki ADO - zasady przetwarzania danych osobowychObowiązki ADO - zasady przetwarzania danych osobowych
Obowiązki ADO - zasady przetwarzania danych osobowych
 
Chmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracyChmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracy
 
Pytania RODO do prezentacji
Pytania RODO do prezentacjiPytania RODO do prezentacji
Pytania RODO do prezentacji
 
Obowiazek informacyjny
Obowiazek informacyjnyObowiazek informacyjny
Obowiazek informacyjny
 
Michał Kluska - Ochrona danych osobowych w 2014 r. - przygotuj swój biznes na...
Michał Kluska - Ochrona danych osobowych w 2014 r. - przygotuj swój biznes na...Michał Kluska - Ochrona danych osobowych w 2014 r. - przygotuj swój biznes na...
Michał Kluska - Ochrona danych osobowych w 2014 r. - przygotuj swój biznes na...
 
Rodo dla hr
Rodo dla hrRodo dla hr
Rodo dla hr
 
RODO / Ochrona danych osobowych - 20 rzeczy, którymi warto się zająć przed 25...
RODO / Ochrona danych osobowych - 20 rzeczy, którymi warto się zająć przed 25...RODO / Ochrona danych osobowych - 20 rzeczy, którymi warto się zająć przed 25...
RODO / Ochrona danych osobowych - 20 rzeczy, którymi warto się zająć przed 25...
 
PLNOG 13: Artur Piechocki: Protection of privacy
PLNOG 13: Artur Piechocki: Protection of privacyPLNOG 13: Artur Piechocki: Protection of privacy
PLNOG 13: Artur Piechocki: Protection of privacy
 

Similar to IT w RODO - praktyczne informacje.

Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)
Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)
Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)ngopl
 
Jak wdrożyć bezpiecznie chmurę? Aspekty prawne
Jak wdrożyć bezpiecznie chmurę? Aspekty prawneJak wdrożyć bezpiecznie chmurę? Aspekty prawne
Jak wdrożyć bezpiecznie chmurę? Aspekty prawneCyberlaw Beata Marek
 
Ochrona danych osobowych (ODO2013)
Ochrona danych osobowych (ODO2013)Ochrona danych osobowych (ODO2013)
Ochrona danych osobowych (ODO2013)Krzysztof Sługocki
 
Program szkolenia procedur ochrony danych UE (RODO) 2017/2018
Program szkolenia procedur ochrony danych UE (RODO) 2017/2018Program szkolenia procedur ochrony danych UE (RODO) 2017/2018
Program szkolenia procedur ochrony danych UE (RODO) 2017/2018Łukasz Cieniak
 
Zmiany w przepisach o ochronie danych osobowych
Zmiany w przepisach o ochronie danych osobowychZmiany w przepisach o ochronie danych osobowych
Zmiany w przepisach o ochronie danych osobowychGrant Thornton
 
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychNaruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychPwC Polska
 
Cognity Ochrona Danych Osobowych
Cognity Ochrona Danych OsobowychCognity Ochrona Danych Osobowych
Cognity Ochrona Danych OsobowychCOGNITY Szkolenia
 
Cognity - Ochrona Danych Osobowych w Firmie
Cognity - Ochrona Danych Osobowych w FirmieCognity - Ochrona Danych Osobowych w Firmie
Cognity - Ochrona Danych Osobowych w FirmieSzkoleniaCognity
 
RODO - istota i praktyka ochrony danych osobowych
RODO - istota i praktyka ochrony danych osobowychRODO - istota i praktyka ochrony danych osobowych
RODO - istota i praktyka ochrony danych osobowychKrzysztof Sługocki
 
Ochrona danych osobowych
Ochrona danych osobowychOchrona danych osobowych
Ochrona danych osobowych3camp
 
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...Beyond.pl
 
Cyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowejCyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowejMicrosoft Polska
 
Outsourcing usług, umowa powierzenia przetwarzania danych osobowych
Outsourcing usług, umowa powierzenia przetwarzania danych osobowychOutsourcing usług, umowa powierzenia przetwarzania danych osobowych
Outsourcing usług, umowa powierzenia przetwarzania danych osobowychCyberlaw Beata Marek
 
10 najważniejszych zmian w ochronie danych osobowych
10 najważniejszych zmian w ochronie danych osobowych10 najważniejszych zmian w ochronie danych osobowych
10 najważniejszych zmian w ochronie danych osobowychRK Legal
 
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...PROIDEA
 

Similar to IT w RODO - praktyczne informacje. (18)

Netcamp #12 - Ochrona danych osobowych w Internecie
Netcamp #12 - Ochrona danych osobowych w InternecieNetcamp #12 - Ochrona danych osobowych w Internecie
Netcamp #12 - Ochrona danych osobowych w Internecie
 
Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)
Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)
Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)
 
Jak wdrożyć bezpiecznie chmurę? Aspekty prawne
Jak wdrożyć bezpiecznie chmurę? Aspekty prawneJak wdrożyć bezpiecznie chmurę? Aspekty prawne
Jak wdrożyć bezpiecznie chmurę? Aspekty prawne
 
Ochrona danych osobowych (ODO2013)
Ochrona danych osobowych (ODO2013)Ochrona danych osobowych (ODO2013)
Ochrona danych osobowych (ODO2013)
 
X internetowe spotkanieabiv2
X internetowe spotkanieabiv2X internetowe spotkanieabiv2
X internetowe spotkanieabiv2
 
Program szkolenia procedur ochrony danych UE (RODO) 2017/2018
Program szkolenia procedur ochrony danych UE (RODO) 2017/2018Program szkolenia procedur ochrony danych UE (RODO) 2017/2018
Program szkolenia procedur ochrony danych UE (RODO) 2017/2018
 
Zmiany w przepisach o ochronie danych osobowych
Zmiany w przepisach o ochronie danych osobowychZmiany w przepisach o ochronie danych osobowych
Zmiany w przepisach o ochronie danych osobowych
 
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychNaruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
 
Cognity Ochrona Danych Osobowych
Cognity Ochrona Danych OsobowychCognity Ochrona Danych Osobowych
Cognity Ochrona Danych Osobowych
 
Cognity - Ochrona Danych Osobowych w Firmie
Cognity - Ochrona Danych Osobowych w FirmieCognity - Ochrona Danych Osobowych w Firmie
Cognity - Ochrona Danych Osobowych w Firmie
 
RODO - istota i praktyka ochrony danych osobowych
RODO - istota i praktyka ochrony danych osobowychRODO - istota i praktyka ochrony danych osobowych
RODO - istota i praktyka ochrony danych osobowych
 
Ochrona danych osobowych
Ochrona danych osobowychOchrona danych osobowych
Ochrona danych osobowych
 
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...
 
Cyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowejCyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowej
 
Outsourcing usług, umowa powierzenia przetwarzania danych osobowych
Outsourcing usług, umowa powierzenia przetwarzania danych osobowychOutsourcing usług, umowa powierzenia przetwarzania danych osobowych
Outsourcing usług, umowa powierzenia przetwarzania danych osobowych
 
10 najważniejszych zmian w ochronie danych osobowych
10 najważniejszych zmian w ochronie danych osobowych10 najważniejszych zmian w ochronie danych osobowych
10 najważniejszych zmian w ochronie danych osobowych
 
RODO – Jak skutecznie wypełnić obowiązek informacyjny i uniknąć kary
RODO – Jak skutecznie wypełnić obowiązek informacyjny i uniknąć karyRODO – Jak skutecznie wypełnić obowiązek informacyjny i uniknąć kary
RODO – Jak skutecznie wypełnić obowiązek informacyjny i uniknąć kary
 
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
 

IT w RODO - praktyczne informacje.

  • 1. IT – praktyczne podejście do spełnienia wymagań RODO TOMASZ JANAS ITOMEGA.PL CEO 1
  • 2. IT w RODO - informacje  General Data Protection Regulation (GDPR) czyli Rozporządzenie o Ochronie Danych Osobowych (RODO)  Jakie wymagania w stosunku do działu IT wprowadza rozporządzenie?  Analiza zapisów rozporządzenia.  Od czego zacząć?  Jakie rozwiązania informatyczne zastosować? 2
  • 3. IT w RODO - preambuła  Preambuła, motyw (49): do obowiązków ADO należy zapewnienie bezpieczeństwa sieci i informacji m.in.: (…)zapewnienia odporności sieci lub systemu informacyjnego (…) na (…)działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych (…) jest prawnie uzasadnionym interesem administratora, którego sprawa dotyczy.  (…) zapobieganie nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu złośliwych kodów, przerywanie ataków typu „odmowa usługi”, a także przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej. 3
  • 4. IT w RODO - preambuła  od przedsiębiorców (ADO) wymagana jest proaktywna postawa nie tylko w celu ochrony danych, ale także w przypadku gdy podjęte kroki zawiodły i nastąpiło naruszenie bezpieczeństwa. Ustawa zaznacza, że należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą.  Preambuła, motyw (87): Należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. Takie zawiadomienie może skutkować interwencją organu nadzorczego, zgodnie z jego zadaniami i uprawnieniami określonymi w niniejszym rozporządzeniu. 4
  • 5. IT w RODO – ROZDZIAŁ II  ROZDZIAŁ II (Zasady) ; Artykuł 5 (Zasady dotyczące przetwarzania danych osobowych)  Dane osobowe muszą być:  f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). 5
  • 6. IT w RODO – ROZDZIAŁ III  ROZDZIAŁ III, Artykuł 17 - prawo do bycia zapomnianym, przyznające osobom, których dane dotyczą, dużą swobodę w zakresie wnioskowania o usunięcie danych osobowych, co nakłada na przedsiębiorców dodatkowe obowiązki z tego tytułu.  Artykuł 17 Prawo do usunięcia danych („prawo do bycia zapomnianym”)  1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:  a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;  b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;  c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;  d) dane osobowe były przetwarzane niezgodnie z prawem;  e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;  f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1. 6
  • 7. IT w RODO - ROZDZIAŁ IV  ROZDZIAŁ IV (artykuły 24 - 43) - Administrator i podmiot przetwarzający  Rozdział ten zawiera szczegółowe przepisy dotyczące obowiązków zabezpieczenia przed „naruszeniem ochrony danych osobowych”.  ROZDZIAŁ I ; Artykuł 4 (Definicje)  punkt 12. „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych; 7
  • 8. IT w RODO - ROZDZIAŁ IV  ROZDZIAŁ IV, artykuł 25; nowe podejście do odpowiedzialności podmiotu przetwarzającego dane - „Data protection by design and by default” - Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych  odpowiednie procedury i zabezpieczenia powinny zostać wprowadzone przez firmy jeszcze przed rozpoczęciem zbierania i przetwarzania danych. 8
  • 9. IT w RODO – rejestr czynności  ROZDZIAŁ IV, Artykuł 30. RODO wymaga, by rejestr czynności przetwarzania danych osobowych był prowadzony z uwzględnieniem technicznych i organizacyjnych wymogów bezpieczeństwa opisanych w Artykule 32. Oznacza to, że firmy i organizacje muszą być w stanie udowodnić, że ich dane i systemy są bezpieczne, a zaszyfrowane dane możliwe do odzyskania po awarii technicznej.  zapisy dotyczące prowadzenia rejestru czynności przetwarzania danych osobowych przez administratora danych, a także jego przedstawicieli.  rejestr powinien zawierać odpowiednie informacje o osobach mających dostęp do danych, ich uprawnieniach i działaniach, posiadać formę pisemną, w tym elektroniczną, a także być udostępniany na żądanie organu nadzorczego. 9
  • 10. IT w RODO - wymagania  ROZDZIAŁ IV, Art. 32. RODO Bezpieczeństwo przetwarzania - poświęcony bezpieczeństwu przetwarzania danych stwierdza:  Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:  a) pseudonimizację i szyfrowanie danych osobowych;  b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;  c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;  d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. 10
  • 11. IT w RODO - pseudonimizacja  ROZDZIAŁ I ; Artykuł 4 - Definicje ;  punkt 5. „pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; 11
  • 12. IT w RODO - pseudonimizacja Ministerstwo Cyfryzacji – Informator RODO:  Anonimizacja pozwala na usunięcie powiązań między danymi osobowymi a osobami, których dane dotyczą. Zanonimizowane dane nie są danymi osobowymi, ponieważ nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. W związku z tym, zasady ochrony danych nie powinny mieć zastosowania do danych zanonimizowanych, co oznacza, że RODO nie stosuje się do przetwarzania takich anonimowych informacji.  Pseudonimizacja to „ukrycie” danych osobowych, ponieważ nadal istnieje narzędzie, które pozwala je odczytać. Dane osobowe, które są spseudonimizowane, pozostają danymi osobowymi. Poddając je pseudonimizacji, tylko na jakiś czas „ukrywamy” informacje pozwalające zidentyfikować osobę, której dane dotyczą. Aby dokonać skutecznie czynności pseudonimizacji istotne jest to, aby klucz pozwalający odczytać dane był przechowywany osobno, tj.w innym miejscu, niż same dane. Ponadto, klucz musi być odpowiednio zabezpieczony w sposób techniczny i organizacyjny.  Jeżeli dane są ustrukturyzowane w taki sposób, że niemożliwa jest identyfikacja osoby, której dotyczą, wtedy, zgodnie z Rozporządzeniem, wymogi ochrony danych osobowych są znacznie złagodzone (jak w przypadku pseudonimizacji) lub nie obowiązują (jak w przypadku anonimizacji). 12
  • 13. IT w RODO – naruszenie ochrony ROZDZIAŁ IV, Artykuł 34. RODO zawiera zalecenia dot. zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych:  1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu Jednakże dalej ten sam artykuł stwierdza:  3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:  a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;  b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;  c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.  Badania wykazały, że im wcześniej powiadamia się o naruszeniu bezpieczeństwa danych, tym dotkliwsze są konsekwencje dla firmy, która do takiego naruszenia dopuściła. W tym przypadku szyfrowanie uważane jest za wystarczający środek uniemożliwiający naruszenie bezpieczeństwa i pozwalający chronić reputację firm, które naruszenia doświadczyły. 13
  • 14. IT w RODO - zgłaszanie naruszenia  ROZDZIAŁ IV, Artykuł 33. RODO wymaga powiadamiania organu nadzorczego o każdym przypadku naruszenia bezpieczeństwa danych osobowych. W razie takiego naruszenia organ ten musi zostać powiadomiony najpóźniej w ciągu 72 godzin od wykrycia naruszenia. Po upływie tego czasu każde powiadomienie będzie należało opatrzyć wyjaśnieniem, dlaczego dokument wpływa po terminie przewidzianym w Rozporządzeniu.  Naruszenie należy również zgłosić bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, a także opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych. 14
  • 15. IT w RODO - kary Przykłady zaniedbań podlegających grzywnie:  Jeżeli Administrator Danych Osobowych (ADO) nie wdrożył odpowiednich środków technicznych i organizacyjnych mających na celu ochronę praw osób, których dane dotyczą.  Jeżeli ADO nie uwzględnił ochrony danych w fazie projektowania (na etapie projektowania systemu informatycznego).  Jeżeli ADO nie zgłosił incydentu w ciągu 72h po stwierdzeniu naruszenia, organowi nadzorczemu (jeśli incydent skutkował naruszeniem praw lub wolności osób fizycznych).  ROZDZIAŁ VIII ; Artykuł 83 (Ogólne warunki nakładania administracyjnych kar pieniężnych)  Jeżeli zostanie wykazane, iż do naruszenia doszło z rażącego zaniedbania administratora, czy podmiotu przetwarzającego, to można liczyć się z ryzykiem nałożenia bardzo wysokich kar pieniężnych. Może to być nawet do 20 mln euro lub do 4% całkowitego, rocznego, globalnego obrotu z poprzedniego roku. 15
  • 16. IT w RODO – od czego zacząć?  Osoby zaangażowane:  osoby znające procesy w każdym dziale przetwarzającym dane osobowe,  osoby decyzyjne (zarząd, CEO),  finansowi decydenci (CEO, CFO),  prawnicy,  IT.  Analiza ryzyka  określenie punktu wyjścia dla wdrożenia zabezpieczeń zgodnych z RODO,  zdefiniowanie procesów zachodzących w organizacji,  zidentyfikowanie zagrożeń, podatności, prawdopodobieństwa, skutków i obecnych zabezpieczeń,  opracowanie planu postępowania (z ryzykiem) 16
  • 17. IT w RODO – od czego zacząć?  przy uwzględnieniu oszacowanego ryzyka - określenie jakie środki techniczne będą odpowiednie,  przy uwzględnieniu oszacowanego ryzyka - określenie jakie środki IT będą spełniały wymogi RODO,  ocena adekwatności zastosowanych zabezpieczeń,  stworzenie procedur IT m.in.:  polityka bezpieczeństwa (polityka haseł)  Instrukcja zarzadzania systemem informatycznym  polityka kopii zapasowych  polityka szyfrowania danych osobowych i pseudonimizacji,  plan ciągłości działania,  Plan sprawdzeń - regularnego testowania zastosowanych środków. 17
  • 18. IT w RODO – od czego zacząć?  zebranie informacji, przeprowadzenie audytu:  identyfikacja danych osobowych podlegających kontroli zgodnie z rozporządzeniem (audyt m.in. na stacjach roboczych, SharePoint, Exchange)  bezpieczeństwa: baz danych, serwerów, systemów operacyjnych, sieci przewodowej i bezprzewodowej, styku z Internetem, urządzeń sieciowych, aplikacji desktopowych, aplikacji webowych  dostępu użytkowników, m.in. polityki zmiany haseł do systemów, sieci wifi, dostępu do danych  archiwizacji i backupów danych, możliwości odzyskania danych z backupów  szyfrowania danych na urządzeniach firmowych: laptopach, dyskach, telefonach  sposobów usuwania danych z urządzeń firmowych: laptopów, dysków, telefonów 18
  • 19. IT w RODO – od czego zacząć?  #1 Zinwentaryzuj zbiory  Sprawdź jakie rodzaje zbiorów danych osobowych istnieją w Twojej firmie, a także upewnij się, że wszystkie zostały wprowadzone do rejestru, by mieć nad nimi pełną kontrolę.  #2 Ustal kto posiada dostępy  Określ pracowników, kontrahentów i partnerów, którzy mają dostęp do Twoich zbiorów danych osobowych oraz posiadają odpowiednie zgody do ich przetwarzania. 19
  • 20. IT w RODO – od czego zacząć?  Identyfikacja obszarów przetwarzania danych osobowych. Dane podlegające ochronie są wszędzie.  Gdzie są dane?  bazy danych, hurtownie danych - znana struktura bazy i dostepy  dane rozproszone (chmury, aplikacje, stacje końcowe, serwery poczty, dokumenty, urządzenia mobilne)  Podstawowe problemy:  brak wiedzy gdzie są przechowywane dane osobowe  kto ma dostęp do tych danych 20
  • 21. IT w RODO – ROZWIĄZANIA  ROZWIĄZANIE:  analiza danych - gdzie i jakie dane firma posiada  dane strukturalne (bazy danych)  dane niestrukturalne - poczta, dokumenty  klasyfikacja danych  analiza podatności  sporządzenie katalogu ryzyk i wyznaczenie rekomendacji w kontekście zastosowania odpowiednich rozwiązań 21
  • 22. IT w RODO – ROZWIĄZANIA  Wymagania: „uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych”  ROZWIĄZANIE: projekt i planowanie pod kątem bezpieczeństwa wdrożenia systemu informatycznego w którym będą przetwarzane dane osobowe;  Wymagania: „zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania”  Wymagania: „regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania”  Wymagania: „zapobieganie nieuprawnionemu dostępowi do sieci”  ROZWIĄZANIE: bezpieczeństwo jest procesem który musi być odpowiednio udokumentowany i przestrzegany. Należy napisać, wdrożyć i egzekwować politykę bezpieczeństwa informacji a także odpowiednio dokumentować wszystkie czynności związane z przetwarzaniem danych osobowych. 22
  • 23. IT w RODO - ROZWIĄZANIA  #3 Kontrola uprawnień  Kontroluj każde nadanie i odebranie uprawnień do zbiorów danych osobowych dla wszystkich użytkowników systemów.  Wymagania: „rejestr powinien zawierać odpowiednie informacje o osobach mających dostęp do danych, ich uprawnieniach i działaniach”  ROZWIĄZANIE: monitorowanie i kontrolowanie dostępu do danych osobowych, implementacja systemu do zarządzania logami systemów w zakresie dostępu do danych.  Wymagania: „wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą”  ROZWIĄZANIE: wykrywanie przypadków dostępu niezgodnego z uprawnieniami, odpowiednie logowanie wszystkich zdarzeń w systemach informatycznych, generowanie alertów poprzez odpowiednie ustawienie oprogramowania do analizy logów systemowych lub inline IDS. 23
  • 24. IT w RODO - ROZWIĄZANIA  #4 Monitoring systemów i aplikacji  Monitoring upewni Cię, że w systemie nie występują braki m.in. w aktualizacjach oprogramowania czy zabezpieczeniach antywirusowych, które mogłyby powodować naruszenie bezpieczeństwa i doprowadzić do wycieku danych. W przypadku braku system automatycznie reaguje (założy zgłoszenie w systemie zgłoszeń lub powiadomi mailowo administratora).  ROZWIĄZANIE: Wdrożenie oprogramowania lub urządzenia do monitorowania systemów zaangażowanych w przetwarzanie danych osobowych w zakresie braków aktualizacji, błędów przepełnienia, odmowy dostępu, awarii. 24
  • 25. IT w RODO - ROZWIĄZANIA  #5 Monitoring sprzętu  Monitoring sprzętu pomoże wykryć możliwe przypadki uszkodzenia lub przeciążenia sprzętu komputerowego jeszcze przed całkowitą awarią.  Wymagania: „przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej”  ROZWIĄZANIE: Wdrożenie systemu opartego na czujnikach do monitorowania infrastruktury sprzętowej w zakresie temperatury, zadymienia, wilgotności, skoków napięcia. Wdrożenie odpowiednich środków bezpieczeństwa fizycznego oraz UPS. 25
  • 26. IT w RODO - ROZWIĄZANIA  #6 Szyfrowanie danych  szyfrowanie danych - niezbędne minimum które musi zastosować firma w związku z RODO  Wymagania: „(…stosować) pseudonimizację i szyfrowanie danych osobowych”  ROZWIĄZANIE: wdrożenie szyfrowania danych na stacjach roboczych, serwerach na których przetwarzane są dane osobowe oraz szyfrowanie kopii zapasowych w których zawarte są dane osobowe. 26
  • 27. IT w RODO - ROZWIĄZANIA  #7 Antywirus  Wymagania: „ zapobieganie rozprowadzaniu złośliwych kodów ”  ROZWIĄZANIE: zastosowanie programów antywirusowych, dbanie o aktualizację oprogramowania antywirusowego, najlepiej poprzez centralną konsolę zarządzania (logowanie zdarzeń), automatyzacja procesu, generowanie raportów. 27
  • 28. IT w RODO - ROZWIĄZANIA  #8 Kopie zapasowe  Wymagania: „zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego”  Wymagania: „zapewnienie odporności sieci lub systemu informacyjnego na działania naruszające”  ROZWIĄZANIE: odpowiednio skonfigurowane, udokumentowane, (procedura tworzenia kopii zapasowych / polityka kopii zapasowych) regularne tworzenie kopii zapasowych, archiwizowanie danych osobowych zgodnie z procesami GDPR,  dodatkowe miejsce przechowywania kopii zapasowych,  zapasowe centrum danych - redundancja, możliwość przełączania na centrum zapasowe. 28
  • 29. IT w RODO - ROZWIĄZANIA  #8a Kopie zapasowe – prawo do bycia zapomnianym  Wymagania: „Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe”  ROZWIĄZANIE: ręczna metoda usunięcia pojedynczego rekordu z backupu bazy danych to: odtworzenie, wykasowanie i ponowna archiwizacja. Automatyzacja usuwania danych z kopii zapasowej polega na implementacji systemu który automatycznie odpytuje wszystkie bazy i kasuje właściwe rekordy. Zautomatyzowanie tego procesu to skomplikowany projekt. 29
  • 30. IT w RODO - ROZWIĄZANIA  #9 IDS (IPS)  Wymagania: przerywanie ataków typu „odmowa usługi”  ROZWIĄZANIE: monitorowanie systemów zaangażowanych w przetwarzanie danych osobowych poprzez implementację systemów IDS lub IPS - urządzenia sieciowe zwiększające bezpieczeństwo sieci komputerowych przez wykrywanie (IDS) lub wykrywanie i blokowanie ataków (IPS) w czasie rzeczywistym.  #10 Zarządzaj zdarzeniami i incydentami  Bardzo ważne jest, aby każdy incydent, który może mieć wpływ na bezpieczeństwo danych osobowych był zarejestrowany, a także aby każdy pracownik Twojej firmy miał możliwość takie zdarzenie zgłosić. 30
  • 31. DZIĘKUJĘ ZA UWAGĘ TOMASZ JANAS ITOMEGA.PL CEO 31