Monitorowanie systemów IT

Zmiany w Ustawie o Ochronie Danych Osobowych

Adam Wódz

CISSP QSA ASVBusiness Unit Director Security SolutionCybercom Poland

• Co i kiedy zmieni się w ustawie o ochronie danych

osobowych?

• Kilka ważnych definicji…

• Co to wszystko oznacza dla firm przetwarzających dane?

• Przykładowe wyzwania: ataki XSS na aplikacje

Agenda

Po wielu miesiącach prac, w kwietniu 2016 r. zostało

opublikowane rozporządzenie Parlamentu

Europejskiego i Rady Unii Europejskiej

w sprawie ochrony osób fizycznych w związku z

przetwarzaniem danych osobowych i w sprawie

swobodnego przepływu takich danych.

Rozporządzenie zacznie obowiązywać od 25 maja

2018 r., a zatem państwa członkowskie mają 2 lata na

dostosowanie swoich regulacji do wymagań wspólnoty.

Co i kiedy ma się zmienić?

25Maj

2018r.

DANE OSOBOWE oznaczają informacje o zidentyfikowanej

lub możliwej do zidentyfikowania osobie fizycznej.

MOŻLIWA DO ZIDENTYFIKOWANIA OSOBA FIZYCZNA

to osoba, którą można bezpośrednio lub pośrednio

zidentyfikować, w szczególności na podstawie

identyfikatora takiego jak imię i nazwisko, numer

identyfikacyjny, dane o lokalizacji, identyfikator

internetowy lub jeden bądź kilka szczególnych czynników

określających fizyczną, fizjologiczną, genetyczną,

psychiczną, ekonomiczną, kulturową lub społeczną

tożsamość osoby fizycznej.

Kilka ważnych definicji…

DANE GENETYCZNE oznaczają wszelkie dane dowolnego

rodzaju dotyczące charakterystycznych cech osoby fizycznej,

odziedziczonych lub nabytych na etapie wczesnego rozwoju

prenatalnego;

DANE BIOMETRYCZNE oznaczają wszelkie dane dotyczące

cech fizycznych, fizjologicznych i behawioralnych danej

osoby, które umożliwiają jej precyzyjną identyfikację, takie jak

wizerunek twarzy lub dane daktyloskopijne

Kilka ważnych definicji…

PROFILOWANIE oznacza dowolną formę zautomatyzowanego

przetwarzania danych osobowych, które polega na wykorzystaniu

danych osobowych do oceny niektórych czynników osobowych osoby

fizycznej, w szczególności do analizy lub prognozy aspektów

dotyczących efektów pracy tej osoby fizycznej, jej sytuacji

ekonomicznej, zdrowia, osobistych preferencji, zainteresowań,

wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Kilka ważnych definicji…

PSEUDONIMIZACJA oznacza przetworzenie danych osobowych

w taki sposób, by nie można ich było już przypisać konkretnej

osobie, której dane dotyczą, bez użycia dodatkowych informacji,

pod warunkiem że takie dodatkowe informacje są przechowywane

osobno i są objęte środkami technicznymi i organizacyjnymi

uniemożliwiającymi ich przypisanie zidentyfikowanej lub

możliwej do zidentyfikowania osobie fizycznej.

Kilka ważnych definicji…

NARUSZENIE OCHRONY DANYCH OSOBOWYCH oznacza

naruszenie bezpieczeństwa prowadzące do przypadkowego lub

niezgodnego z prawem zniszczenia, utraty, modyfikacji,

nieuprawnionego ujawnienia lub dostępu do danych osobowych

przesyłanych, przechowywanych lub przetwarzanych w inny

sposób.

Kilka ważnych definicji…

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz

charakter, zakres, kontekst i cele przetwarzania oraz ryzyko

naruszenia praw lub wolności osób fizycznych o różnym

prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i

podmiot przetwarzający wdrażają odpowiednie środki techniczne i

organizacyjne, aby zapewnić stopień bezpieczeństwa

odpowiadający temu ryzyku, w tym między innymi:

Bezpieczeństwo przetwarzania

• pseudonimizację i szyfrowanie danych osobowych;

• zdolność do ciągłego zapewnienia poufności, integralności,

dostępności i odporności systemów i usług przetwarzania;

• zdolność do szybkiego przywrócenia dostępności danych

osobowych i dostępu do nich w razie incydentu fizycznego lub

technicznego;

• regularne testowanie, mierzenie i ocenianie skuteczności

środków technicznych i organizacyjnych mających zapewnić

bezpieczeństwo przetwarzania.

Bezpieczeństwo przetwarzania

W przypadku naruszenia ochrony danych osobowych,

administrator bez zbędnej zwłoki – w miarę

możliwości, nie później niż w terminie 72 godzin po

stwierdzeniu naruszenia – zgłasza je organowi

nadzorczemu właściwemu zgodnie z art. 55, chyba że

jest mało prawdopodobne, by naruszenie to

skutkowało ryzykiem naruszenia praw lub wolności

osób fizycznych. Do zgłoszenia przekazanego

organowi nadzorczemu po upływie 72 godzin dołącza

się wyjaśnienie przyczyn opóźnienia.

Zgłaszanie naruszenia ochrony danych osobowych

Max72h

Podmiot przetwarzający po stwierdzeniu naruszenia ochrony

danych osobowych bez zbędnej zwłoki zgłasza je

administratorowi.

Zgłaszanie naruszenia ochrony danych osobowych

Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:

• opisywać charakter naruszenia ochrony danych osobowych, w tym

w miarę możliwości wskazywać kategorie i przybliżoną liczbę

osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę

wpisów danych osobowych, których dotyczy naruszenie;

• zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony

danych lub oznaczenie innego punktu kontaktowego, od którego

można uzyskać więcej informacji;

Zgłaszanie naruszenia ochrony danych osobowych

Administrator dokumentuje wszelkie naruszenia ochrony danych

osobowych, w tym okoliczności naruszenia ochrony danych

osobowych, jego skutki oraz podjęte działania zaradcze.

Dokumentacja ta musi pozwolić organowi nadzorczemu

weryfikowanie przestrzegania niniejszego artykułu.

Zgłaszanie naruszenia ochrony danych osobowych

Jeżeli naruszenie ochrony danych osobowych może

powodować wysokie ryzyko naruszenia praw lub

wolności osób fizycznych, administrator bez zbędnej

zwłoki zawiadamia osobę, której dane dotyczą, o

takim naruszeniu.

Zawiadomienie (…) jasnym i prostym językiem

opisuje charakter naruszenia ochrony danych

osobowych oraz zawiera przynajmniej (te same

informacje, co w przypadku zgłoszenia).

Zawiadomienie osób o naruszeniu ochrony danych osobowych

Zawiadomienie (…) nie jest wymagane, w następujących

przypadkach:

• administrator wdrożył odpowiednie techniczne i organizacyjne

środki ochrony i środki te zostały zastosowane do danych

osobowych, których dotyczy naruszenie, w szczególności środki

takie jak szyfrowanie, uniemożliwiające odczyt osobom

nieuprawnionym do dostępu do tych danych osobowych;

Zawiadomienie osób o naruszeniu ochrony danych osobowych

• administrator zastosował następnie środki eliminujące

prawdopodobieństwo wysokiego ryzyka naruszenia praw lub

wolności osoby, której dane dotyczą (…);

• wymagałoby ono niewspółmiernie dużego wysiłku. W takim

przypadku wydany zostaje publiczny komunikat lub zastosowany

zostaje podobny środek, za pomocą którego osoby, których dane

dotyczą, zostają poinformowane w równie skuteczny sposób.

Zawiadomienie osób o naruszeniu ochrony danych osobowych

• Konieczność przeprowadzania analizy ryzyk dla przetwarzanych

danych osobowych (świadomość zagrożeń)

• Opracowanie i wdrożenie adekwatnych procedur i środków

bezpieczeństwa

• Regularne audytowanie systemów i ocena ich skuteczności (testy

zewnętrzne i wewnętrzne, dotyczące także podwykonawców)

• Monitorowanie i raportowanie incydentów (alerty o zagrożeniach,

analiza logów, monitorowanie systemów antywirusowych)

• Zwiększenie świadomości pracowników (testy socjotechniczne)

• Przykładowe wyzwanie: ataki XSS na aplikację…

Co to wszystko oznacza w praktyce?

Adam Wódz

CISSP QSABusiness Unit Director

Security SolutionsCybercom Poland