Prezentacja z X Internetowego Spotkania Administratorów Bezpieczeństwa Informacji

1. X Internetowe Spotkanie ABI
Jarosław Żabówka
proinfosec@odoradca.pl
19 kwietnia 2012 X Internetowe Spotkanie ABI 1

2. Trochę statystyki
• 10 spotkań
• Pierwsze spotkanie - 1 kwietnia 2011 ;))
• Coraz bardziej niezawodna technologia
• Stale rosnąca ilość uczestników
19 kwietnia 2012 X Internetowe Spotkanie ABI 2

3. O czym rozmawialiśmy?
• Powierzane danych osobowych
• Zarządzanie ciągłością działania
• ACTA
• Przetwarzanie danych biometrycznych w stosunkach pracy
• Zasady przetwarzania danych
• Rozporządzenie
• Obowiązki informacyjne
• Hosting i przetwarzanie danych osobowych w chmurze
• Planowane zmiany w ochronie danych osobowych w UE
• Czym na co dzień zajmuje się ABI i co go czeka na skutek reformy ochrony danych
• Monitoring
• Świadomość konieczności zapewnienia bezpieczeństwa informacji
• Zarządzanie usługami IT
• Analiza ryzyka
• Wymagania Normy ISO 27001
19 kwietnia 2012 X Internetowe Spotkanie ABI 3

4. Kogo gościliśmy
• W VI spotkaniu wziął udział GIODO – Pan Minister Wojciech Wiewiórowski
• „Automatyczny system wykrywania luk i podatności w sieci” - Daniel Suchocki i
Maciej Karmoliński z ProCertiv
• „Rola audytora w doskonaleniu systemu zarządzania bezpieczeństwem
informacji” - Michał Kubista z CIS – CERTIFICATION
• „Parę słów na temat danych biometrycznych i ich przetwarzania w stosunkach
pracy” – mec. Magdalena Korga
• „Odpowiedzialność finansowa Administratora Danych” - Adwokat Tomasz Cygan
• „Bezpieczeństwo danych na urządzeniach mobilnych podłączonych do
Internetu” - Karolina Pilarczyk IBM Polska
19 kwietnia 2012 X Internetowe Spotkanie ABI 4

5. A może już czas na Twoją
prezentację?!
19 kwietnia 2012 X Internetowe Spotkanie ABI 5

6. PRZYPOMNIJMY SOBIE NIEKTÓRE
TEMATY
19 kwietnia 2012 X Internetowe Spotkanie ABI 6

7. Geneza ochrony danych osobowych
1950 1970-1980 28.01.1981 24.10.1995 1997
ustawa o ochronie
danych osobowych w
Hesji w 1970r, w
kolejnych latach ustawy
w poszczególnych
krajach UE,
1973, 1974 – Rezolucje
Konwencja Rady Europy
(rekomendacje) Rady
Nr 108 z dnia 28 Ustawa
Europy
stycznia 1981 r. o
Dyrektywa 95/46/WE
Europejska Konwencja Ochronie Osób w
Rekomendacja Parlamentu
Praw Człowieka Związku z
Organizacji Współpracy Europejskiego i Rady
Automatycznym
Gospodarczej i Rozwoju
Przetwarzaniem Danych
(OECD) z
Osobowych
23 września 1980 r. w
sprawie wytycznych
dotyczących ochrony
prywatności i
przekazywania danych
osobowych pomiędzy
krajami
19 kwietnia 2012 X Internetowe Spotkanie ABI 7

8. Geneza i budowa prawa ochrony
danych osobowych
• Dyrektywa 95/46/WE Parlamentu Europejskiego i
Rady z dnia 24 października 1995 r. w sprawie
ochrony osób fizycznych w zakresie przetwarzania
danych osobowych oraz swobodnego przepływu tych
danych
• Art. 47 Konstytucji RP: „Każdy ma prawo do ochrony
prawnej życia prywatnego, rodzinnego, czci i
dobrego imienia oraz do decydowania o swoim życiu
osobistym.”
19 kwietnia 2012 X Internetowe Spotkanie ABI 8

9. Kim jest ABI
• W polskiej ustawie ABI pojawia się w wyniku nowelizacji
z 2004 roku.
• Administrator bezpieczeństwa informacji musi być
wyznaczony przez administratora danych osobowych,
chyba, że ADO sam będzie wykonywał jego czynności.
• Z obowiązku powołania ABI (lub samodzielnego pełnienia
jego zadań) zwolnieni są administratorzy pełniący
działalność dziennikarską, literacką lub artystyczną.
19 kwietnia 2012 X Internetowe Spotkanie ABI 9

10. ABI
• ABI może, ale nie musi być pracownikiem
administratora danych.
• Powinien być konkretną osobą fizyczną,
wyznaczoną przez ADO.
• Wyznaczenie ABI powinno mieć formę
pisemną.
19 kwietnia 2012 X Internetowe Spotkanie ABI 10

11. Teraźniejszość: Praktyka
19 kwietnia 2012 X Internetowe Spotkanie ABI 11

12. Obowiązki ADO
19 kwietnia 2012 X Internetowe Spotkanie ABI 12

13. • Art. 26. 1. Administrator danych przetwarzający dane powinien dołożyć szczególnej
staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany
zapewnić, aby dane te były:
1) przetwarzane zgodnie z prawem,
2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu
przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2,
3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są
przetwarzane,
4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie
dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
2. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie
narusza praw i wolności osoby, której dane dotyczą, oraz następuje:
1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych,
2) z zachowaniem przepisów art. 23 i 25.
• Przepis art. 26 wyznacza główne zasady postępowania przy przetwarzaniu
danych i ujmuje je w formie podstawowych obowiązków, których musi
przestrzegać administrator danych.
19 kwietnia 2012 X Internetowe Spotkanie ABI 13

14. Rozporządzenie
19 kwietnia 2012 X Internetowe Spotkanie ABI 14

15. Wymagania dotyczące
funkcjonalności
• Art. 32. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania
danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza
prawo do:
3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz
podania w powszechnie zrozumiałej formie treści tych danych,
4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że
administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy
informacji niejawnych lub zachowania tajemnicy zawodowej,
5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o
odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,
5a) uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art.
26a ust. 2,
• Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad
tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru
wprowadzone oraz komu są przekazywane.
19 kwietnia 2012 X Internetowe Spotkanie ABI 15

16. Wymagania dotyczące
funkcjonalności
§ 7.
1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z
wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do
edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie:
1) daty pierwszego wprowadzenia danych do systemu;
2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu
informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;
3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;
4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione,
dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych
zawartych w zbiorach jawnych;
5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
2. Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po
zatwierdzeniu przez użytkownika operacji wprowadzenia danych.
3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system
zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie
informacje, o których mowa w ust. 1.
19 kwietnia 2012 X Internetowe Spotkanie ABI 16

17. Wymagania dotyczące
funkcjonalności
19 kwietnia 2012 X Internetowe Spotkanie ABI 17

18. Znaczenie obowiązku informacyjnego
• Podstawowym obowiązkiem administratora danych wobec osoby
któej dane administrator przetwarza, jest konieczność
poinformowania jej o tym fakcie.
Jest to warunek niezbędny, by osoba mogła skorzystać z
przysługujących jej praw.
• W sprawozdaniu z roku 2002 GIODO stwierdził:
− „[niedopełnienie obowiązku informacyjnego] utrudniało, a nawet uniemożliwiało
wykonywanie przez osobę, której dane są przetwarzane, uprawnień, wynikających z
ustawy o ochronie danych osobowych w zakresie kontroli przetwarzania danych. (…)
obowiązek informacyjny jest jednym z podstawowych obowiązków, jakie ustawa o
ochronie danych osobowych nakłada na administratora danych. Jego terminowe
wypełnienie gwarantuje, że osoba, której dane dotyczą, uzyska wyczerpującą informację
dotyczącą przetwarzania jej danych osobowych, co w konsekwencji umożliwia jej
ewentualne skorzystanie z uprawnień wynikających z przepisów ustawy o ochronie danych
osobowych i efektywną kontrolę procesu przetwarzania jej danych osobowych.”
19 kwietnia 2012 X Internetowe Spotkanie ABI 18

19. Powierzanie
• Art. 31 ust. 1. Administrator danych może
powierzyć innemu podmiotowi, w drodze
umowy zawartej na piśmie, przetwarzanie
danych.
− Powierzamy dane, a nie zbiór danych!
− Umowa na piśmie?
− Jeżeli nie podpiszemy umowy – udostępniamy dane.
19 kwietnia 2012 X Internetowe Spotkanie ABI 19

20. Umowa powierzenia
• Art. 31 ust. 2. Podmiot, o którym mowa w
ust. 1, może przetwarzać dane wyłącznie w
zakresie i celu przewidzianym w umowie.
− Umowa musi zawierać:
• Cel przetwarzania
• Zakres powierzanych danych
− Umowa powinna zawierać:
• Co się stanie z danymi, po zakończeniu umowy
(pamiętajmy o kopiach bezpieczeństwa)
• Zabezpieczmy swoje prawa
19 kwietnia 2012 X Internetowe Spotkanie ABI 20

21. Hosting
• Czy hosting zawsze wiąże się z
powierzeniem danych?
• Problemy ze zrozumieniem wykorzystania
technik kryptograficznych.
• A co jeżeli nie chcemy żeby dostawca usług
wykonywał jakiekolwiek operacje na
naszych danych?
19 kwietnia 2012 X Internetowe Spotkanie ABI 21

22. Rodzaje chmur
(Deployment Models)
• Chmura prywatna
• Community cloud
• Chmura publiczna
• Zewnętrzna chmura prywatna
• Chmura hybrydowa
19 kwietnia 2012 X Internetowe Spotkanie ABI 22

23. Modele chmur
(Service Models)
19 kwietnia 2012 X Internetowe Spotkanie ABI 23

24. Ryzyka CC wskazywane przez
Garnera
• Personel dostawcy
• Zgodność z przepisami
• Lokalizacja danych
• Separacja danych różnych klientów
• Odzyskiwanie danych
• Wsparcie wyszukiwania nielegalnych operacji
• Długoterminowa dostępność
http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853
19 kwietnia 2012 X Internetowe Spotkanie ABI 24

25. A CO NAS CZEKA W PRZYSZŁOŚCI?
19 kwietnia 2012 X Internetowe Spotkanie ABI 25

26. Rozporządzenie UE
• Jednolite, ogólnoeuropejskie prawo
• Wprowadza definicje pojęć do tej pory
niejasnych
• Wprowadza obowiązek informowania o
naruszeniach
• Obowiązek prowadzenia analizy wpływu
• Prawo do bycia zapomnianym
• Określa rolę ABI
19 kwietnia 2012 X Internetowe Spotkanie ABI 26

27. Rozporządzenie UE
• W policji i sądownictwie będzie obowiązywać dyrektywa.
• Zmiana pozycji i zakresu zadań ABI.
• Nieco rozszerzamy definicję danych osobowych. Obecnie są to dane które
pozwalają na zidentyfikowanie osoby przez ADO lub „any natural or legal
person”.
• Pojawiają się definicje "personal data breach", "biometric data", "data
concerning health", "genetic data", "main establishment", "child".
• Adres, Adres IP, cookie – stają się jednoznacznie danymi osobowymi.
• Dane sensytywne zostają rozszerzone o genotyp i dane biometryczne.
• Regulacja obejmuje pozaeuropejskie przedsiębiorstwa przetwarzające dane lub
monitorujące mieszkańców UE, jeżeli to działania jest skierowane do
mieszkańców UE (prowadzone w lokalnym języku, w serwisie w narodowej
domenie) – w miejsce obecnego przetwarzania na sprzęcie znajdującym się na
terenie UE.
19 kwietnia 2012 X Internetowe Spotkanie ABI 27

28. Rozporządzenie UE - zmiany
• Projekt zawiera osobny rozdział na temat zgody na
przetwarzanie danych. Jest to „dobrowolne, wyraźne i świadome
wyrażenie woli”. Zgoda nie będzie ważna, jeżeli występuje
nierównowaga w zależności osoby od administratora.
• Nowe prawo - “right to be forgotten and erasure”.
• “Impact assessments” – nowy obowiązek dla ADO.
• “Prior authorization/consultation” – czyli wymagana zgoda
GIODO, w wypadku przetwarzania w wyższym stopniu
zagrażającym prywatności.
• Obowiązek informowania osoby i organu nadzoru w wypadku
naruszenia bezpieczeństwa.
19 kwietnia 2012 X Internetowe Spotkanie ABI 28

29. Rozdział 4 – Data protection officer.
Art. 32 – Wyznaczenie DPO
• DPO musi być wyznaczony przez ADO lub procesora (również art.
19 ust. 2. pkt (e)):
− Będącego instytucją publiczną
− Zatrudniającego powyżej 250 pracowników
− Podstawowa działalność ADO lub procesora polega na regularnym i
systematycznym monitorowaniu osób
• Inne podmioty mogą wyznaczyć DPO.
• DPO powinien posiadać adekwatną wiedzę i powinna być ona
dostosowana do przetwarzanych danych.
• ADO i procesor powinni zapewnić, że DPO wykonując swoje
zadania nie będzie narażony na konflikty interesów.
19 kwietnia 2012 X Internetowe Spotkanie ABI 29

30. Art. 34 –Zadania DPO
• Informuje ADO i procesora o ich obowiązkach
oraz dokumentuje te działania.
• Monitoruje wdrażanie i stosowanie polityki, w
tym prowadzenie szkoleń, audytów.
• Monitoruje wdrażanie i stosowanie
rozporządzenia.
• Zapewnia prowadzenie wymaganej
rozporządzeniem dokumentacji.
19 kwietnia 2012 X Internetowe Spotkanie ABI 30

31. Art. 34 –Zadania DPO
• Monitoruje skuteczność oceny skutków
przetwarzania danych.
• Stanowi osobę kontaktową dla GIODO.
19 kwietnia 2012 X Internetowe Spotkanie ABI 31

32. Co nas czeka w najbliższej
przyszłości?
• Nowelizacja ustawy.
• Zniesienie obowiązku rejestrowania zbiorów
zawierających dane zwykłe.
• Zmiana pozycji ABI?
• Zmiana rozporządzenia.
• Kolejne Internetowe Spotkania ABI ☺
•…
19 kwietnia 2012 X Internetowe Spotkanie ABI 32

33. Dziękujemy za udział w
dotychczasowych spotkaniach i
zapraszamy na kolejne!
19 kwietnia 2012 X Internetowe Spotkanie ABI 33