juŻ ja wam dam apetyt na ryzyko naruszenia praw lub wolności osób, o różnym...
Post on 27-Feb-2019
213 Views
Preview:
TRANSCRIPT
—G
aw
roń
ski &
Partn
ers
JUŻ JA WAM DAM APETYT NA RYZYKO...Regulacyjne podstawy analizy ryzyka przetwarzania danych osobowych
radca prawny Maciej Gawroński
Gawroński & Partners S.K.A.
1
—G
aw
roń
ski &
Partn
ers
Nasz zespół to osoby z doświadczeniem w Komisji Nadzoru Finansowego, w Państwowej Inspekcji Pracy,jako szefowie działów prawnych instytucji finansowych, prawnicy in-house największych polskich spółek publicznych, prawnicy kancelarii międzynarodowych i krajowych, specjaliści do spraw przestępstwgospodarczych w tym korupcji i współpracyz organami ścigania.
Kim jesteśmy?Gawroński & Partners
3
—G
aw
roń
ski &
Partn
ers
Zakres kluczowych usług
Technologia & IP
Spory gospodarcze
Sektor finansowy
IT & Technologia
Dane osobowe
Prawo pracy
Własność intelektualna
Energetyka Media i reklama
4
—G
aw
roń
ski &
Partn
ers
Maciej Gawroński
• ekspert danych osobowych, IT, cyberbezpieczeństwa, własnościintelektualnej, sporów
• ekspert Komisji Europejskiej ds. Kontraktów Cloud Computingowych
• konsultant Grupy Roboczej Artykułu 29 ds. transferów danych
• pomysłodawca bezpośredniej odpowiedzialności podprzetwarzających(art. 82 RODO), przenoszalności danych osobowych (art. 20 RODO),konsultował zasady podpowierzenia (art. 28.2 i 28.4 RODO)
• doradzał przy największym w Polsce i Centralnej Europie projekcieinformatycznym w sektorze prywatnym jak i w setkach innych projektów IT
• główny autor treści modułu LEX Ochrona Danych Osobowych Wolters Kluwer, https://www.ochrona-danych-osobowych.lex.pl/ i publikacji RODO. Praktyczny przewodnik z wzorami (kwiecień 2018)
• reprezentował Polskę i klientów prywatnych w sporach o wartości miliardów euro
5
maciej.gawroński@gawronski.co+48 609 602 566
—G
aw
roń
ski &
Partn
ers
• Rekomendowany Ekspert Rankingu Kancelarii Prawniczych Dziennika Rzeczpospolita 2017 w kategorii Technologia, Media i Telekomunikacja
• Rekomendowany Ekspert Rankingu Chambers Europe 2017 w kategorii Technologia, Media i Telekomunikacja
• Rekomendowany Ekspert Rankingu Best Lawyers 2016-17 w kategorii IT
• Rekomendowany Ekspert Rankingu Guide to the World's Leading Lawyers 2016 w kategorii Technology, Media & Telecommunications
• Rekomendowany Ekspert Rankingu Legal 500 2016 w kategorii Technology, Media & Telecommunications
• Rekomendowany Ekspert Rankingu Who's Who Legal 100 2016w kategorii Spory Patentowe w Naukach Przyrodniczych
Maciej Gawroński
6
—G
aw
roń
ski &
Partn
ers
domniemanie
winy
RODO PERSPEKTYWA I – CHARAKTER
ogólnikowość
surowość
mierzalność
bezpośredniość
9
Nikt dotychczas nie odważył się wprowadzić regulacji, w której są tak wielkie kary za tak niejasne przepisy
- Wojciech Kapica, szef praktyki regulacyjnej Gawroński & Partners S.K.A.
—G
aw
roń
ski &
Partn
ers
RODO PERSPEKTYWA II – FILARY
• Legalność – to zasady do wprowadzenia
• Prawa – prawa jednostki to strumień pracy do obsłużenia
• Bezpieczeństwo – to procesy do wprowadzenia i utrzymywania
A POD NIMI FUNDAMENT
• Rozliczalność – obowiązek wytłumaczenia się (domniemanie winy)
10
—G
aw
roń
ski &
Partn
ers
RODO PERSPEKTYWA III – RYZYKO i ROZLICZALNOŚĆ
• Podejście przez ryzyko i na zasadzie ryzyka w
połączeniu z …domniemaniem winy
• ryzyko x 76
• prawdopodobieństwo x 13
11
—G
aw
roń
ski &
Partn
ers
RYZYKO – PRZEPISY 1, 2,
• Art. 24 ust. 1 RODO – podejście od strony ryzyka
Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać
• Art. 25 ust. 1 RODO (privacy by design)
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnymprawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne
12
—G
aw
roń
ski &
Partn
ers
RYZYKO – PRZEPISY 3, 4,
• Art. 30 ust. 5 RODO – zwolnienie z RCPD
Obowiązki [rejestry] nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzykonaruszenia praw lub wolności osób…
• Art. 33 ust. 1 RODO – Zgłaszanie naruszeń
W przypadku naruszenia […] administrator […] zgłasza je organowi […], chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób...
13
—G
aw
roń
ski &
Partn
ers
RYZYKO – PRZEPISY 5, 6
• Art. 34 ust. 1 RODO – zawiadamianie osób o naruszeniu
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu
• Art. 35 ust. 1 RODO – Ocena skutków dla ochrony danych
Jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
14
—G
aw
roń
ski &
Partn
ers
RYZYKO – BEZPIECZEŃSTWO art. 32 RODO
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku…
15
—G
aw
roń
ski &
Partn
ers
WNIOSEK
RODO uznaje, że
istnieją różne stopnie ryzyka przetwarzania danych i powinniśmy zapewnić stopnie bezpieczeństwa odpowiednie do stopni ryzyka
Zatem należy przeprowadzić
Analizę Ryzyka
16
—G
aw
roń
ski &
Partn
ers
Analiza ryzyka znajduje się na liście kontrolnej Pani Dyrektor Bogusławy Pilc
DLA NIEPRZEKONANYCH
17
—G
aw
roń
ski &
Partn
ers
ATRYBUTY BEZPIECZEŃSTWA INFORMACJI – C.I.A.
C.I.A. (A)
C – confidentiality – poufność
I – integrity – integralność
A – availability – dostępność [brak w 4.12, 5.1.f jest zwodniczy]
(A) – accountability - rozliczalność
18
—G
aw
roń
ski &
Partn
ers
RYZYKO = L x S
Ryzyko wg RODO to iloczyn:
(i) prawdopodobieństwa zagrożenia
(ii) powagi zagrożenia
Ryzyko wg ISO to:
„wpływ niepewności na cele”
19
—G
aw
roń
ski &
Partn
ers
Ryzyko ale czego?
W RODO chodzi o ryzyko naruszenia praw lub wolności osób, których dane przetwarzamy• Motyw 75
Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych
Niekoniecznie chodzi o ryzyko naruszenia ochrony danych, samo przetwarzanie danych może rodzić ryzyko (case Minority Report).
Ale skupimy się na ryzyku bezpieczeństwa danych osobowych
20
—G
aw
roń
ski &
Partn
ers
Motyw 76. Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych.
• charakter – na czym polega przetwarzanie (opis operacji lub czynności przetwarzania, z tym że w ramach czynności przetwarzania możemy podejmować różne działania i te różne działania mogą wiązać się z różnymi ryzykami)
• zakres – jakie dane, ile osób, jak bardzo rozproszone geograficznie jest przetwarzanie
• cel – po co administratorowi przetwarzanie
• kontekst – czym zajmuje się administrator (sektor, rola w łańcuchu dostawy, dla jakich sektorów/ klientów pracuje – po co przetwarzanie podmiotom danych) i okoliczności zewnętrzne
21
Motyw 76 Punkty kontrolne szacowania ryzyka
—G
aw
roń
ski &
Partn
ers
Motyw 76
…Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko
• Trzystopniowa skala?
niskie ryzyko, ryzyko, wysokie ryzyko
• Pięciostopniowa skala?
pomijalne, niskie, średnie (aka ryzyko), wysokie, maksymalne
• Raczej nie czterostopniowa, bo przed wysokim musi być średnie.
22
Skala ryzyka wg RODO
—G
aw
roń
ski &
Partn
ers
• Dobry rejestr czynności przetwarzania danych i kategorii przetwarzań pomoże w ustrukturyzowaniu analizy ryzyka
- szczególnie jeśli do analizy ryzyka podejdziemy przez czynności przetwarzania danych i będziemy mieli w miarę zinwentaryzowanych przetwarzających i systemy
23
REJESTR (RCPD i RKP)
—G
aw
roń
ski &
Partn
ers
• ISO 27005:2014 Technika informatyczna Techniki bezpieczeństwa Zarządzanie ryzykiem w bezpieczeństwie informacji
Żadna część niniejszej publikacji nie może być zwielokrotniana jakąkolwiek techniką bez zgody Prezesa Polskiego Komitetu Normalizacyjnego
- Pomysł na: jak uwłaszczyć się na wiedzy powszechnej
• ISO 29134:2017 – Information technology — Security techniques — Guidelines for privacy impact assessment
• GIODO Jak stosować podejście oparte na ryzyku? Grudzień 2017
• ISO 31000:2018 Zarządzanie ryzykiem – podobno opisuje ponad 30 metodyk zarządzania ryzykiem
24
Metodyki analizy ryzyka
—G
aw
roń
ski &
Partn
ers
Tylko zgubienie lub zepsucie
• „WYCIEK” – możliwość nieprawidłowego wykorzystania – naruszenie poufności (nieautoryzowany dostęp, zgubienie, naruszenie zobowiązania do poufności / sprzeniewierzenie – Cambridge Analytica)
• „NIEUŻYTECZNOŚĆ” – ryzyko uniemożliwienia prawidłowego wykorzystania – naruszenie integralności danych (np. przypadkowa podmiana zdjęcia rentgenowskiego skutkująca wycięciem nie tego organu, pomyłka w numerze klienta skutkująca odcięciem od prądu lub telefonu osoby niewinnej) naruszenie dostępności danych (np. niedostępność dokumentacji medycznej w chwili nagłego pogorszenia stanu pacjenta)
25
Metodyka Gawrona w budowie – Założenie 1
—G
aw
roń
ski &
Partn
ers
Mitygacja ryzyka to mitygacja prawdopodobieństwa
W praktyce mitygować będziemy tylko prawdopodobieństwo ryzyka
(mitygacja powagi konsekwencji oznacza ograniczenie zakresu danych lub wycofywanie się z ryzykownego biznesu – decyzje biznesowe a nie techniczne)
26
Metodyka Gawrona w budowie – Założenia 2
—G
aw
roń
ski &
Partn
ers
Najwyższy porządek to najwyższe ryzyko
Dla zagrożenia danego zasobu musimy ustalić tylko najwyższe ryzyko (na laptopie mam dane klientów i pracowników, zgubienie laptopa rodzi większe ryzyko dla klientów).
Jeśli zmitygujemy prawdopodobieństwo zagrożenia zasobu o najwyższym ryzyku do akceptowalnego poziomu, to i niższe nam spadną
27
Metodyka Gawrona w budowie – Założenie 3
—G
aw
roń
ski &
Partn
ers
Określić
• kategorie osób
• kategorie danych
• skalę przetwarzań (ile osób)
• funkcje przetwarzań dla osób
Przypisać poziomy powagi naruszeń ochrony danych osobno dla
• nieuprawnionego wykorzystania do kategorii danych
• niemożności prawidłowego wykorzystania do funkcji przetwarzań
…uwzględniając skalę przetwarzań (wyciek papierowy jest z natury ograniczony ale wyciek cyfrowy może dotyczyć dużej ilości danych organizacji)
28
Metodyka Gawrona w budowie – Powaga ryzyka
—G
aw
roń
ski &
Partn
ers
Określić zasoby (aktywa), których używamy do przetwarzania danych:
• hardware (komputery, serwery, smartfony, pendrives, przenośne dyski)
• oprogramowanie
• przesył danych (kabel, wifi, dostęp do internetu)
• osoby (personel)
• dokumenty papierowe i ich położenie
• kanały obiegu dokumentów
• podmioty (podwykonawców, usługi)
Przypisać zasoby do danych danych osobowych i funkcji zaczynając od tych o najwyższej powadze ryzyka – najlepiej z wykorzystaniem RCPD
29
Metodyka Gawrona w budowie – identyfikacja zasobów
—G
aw
roń
ski &
Partn
ers
• Przewidzieć możliwe zagrożenia dla poszczególnych zasobów (np. opierając się na Zał. B do ISO 29134 – Tabela typowych zagrożeń – 47 kategorii zagrożeń, Załączniku C do ISO 27005 – Przykłady typowych zagrożeń i D – Przykłady typowych podatności)
• oszacować prawdopodobieństwo tych zagrożeń
• ocenić jakich kategorii danych mogą dotyczyć i jakich funkcji i przypisać im typ konsekwencji (wyciek, nieużyteczność)
• powstaną matryce ryzyka dla poszczególnych zagrożeń
30
Prawdopodobieństwo ryzyka
—G
aw
roń
ski &
Partn
ers
• Zidentyfikować najwyższe nieakceptowalne ryzyko/ryzyka dla danego zasobu (np. najwyższe ryzyko dla smartfonów, komputerów etc)
• Ustalić i zdecydować metody mitygacji
31
Mitygacja ryzyka
—G
aw
roń
ski &
Partn
ers
• Udokumentować analizę.
• Za drugim i kolejnym razem zrobić ją porządnie
• A najlepiej, jeżeli czujemy, że nie jesteśmy w centrum tarczy strzelniczej PUODO, poczekać aż pojawią się wzorce (idealnie – gotowe analizy ryzyka wraz z zaleceniami mitygacji dla poszczególnych sektorów) i z nich skorzystać
32
Dokumentacja
top related