Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Dane osobowe Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą.

Podobne prezentacje


Prezentacja na temat: "Dane osobowe Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą."— Zapis prezentacji:

1

2

3

4 Dane osobowe Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne 4

5 Privacy by Design - paradygmat nowoczesnej gospodarki

6 Czy ktoś na serio podchodzi do prywatności i ochrony danych osobowych?
Krótki test W wolnej chwili proszę wpisać w wyszukiwarkę Google imię i nazwisko dowolnej osoby. Np. Jan Kochanowski 6

7 Kolejny przykład (zdarzyło się w 2016 roku)
Informacja o naruszeniu danych osobowych XXX Szanowni Państwo, niezwłocznie informujemy, że 7 lipca 2016 roku strona internetowa ZZZZ.pl została zaatakowana przez hakerów. Doszło do naruszenia danych osobowych, które przekazali Państwo poprzez formularze na stronie ZZZZ.pl Pragniemy pokreślić, że dane Klientów oraz firm współpracujących są zabezpieczone przez ekspertów Spółki, których wspomaga dodatkowy, wysoko wykwalifikowany, zewnętrzny zespół doradczy. Hasła i loginy do portalu samoobsługowego ZZZZOnline są bezpieczne, dlatego nie ma konieczności podejmowania żadnych dodatkowych działań ze strony Klientów.   Informacja o naruszeniu danych osobowych W wykonaniu obowiązku określonego w art. 174a ust. 3 oraz ust. 8 ustawy z dnia 16 lipca 2004 r. – prawo telekomunikacyjne tj. z dnia 10 stycznia 2014 r. (Dz.U. z 2014 r. poz. 243 ze zm.), przekazujemy następujące informacje: 7 lipca 2016 r., o godz. 11:03 przeprowadzono atak hakerski na serwis zzzz.pl. 7

8 Czym jest EU GDPR? Komisja Europejska zmodernizowała legislację 'data protection' zastępuje dyrektywę EU Data Protection Directive 95/46 EC publikacja rozporządzenia GDPR nastąpiła w maju 2016r. obowiązująca wszystkie kraje Unii Europejskiej oraz globalne przedsiębiorstwa i organizacje przechowujące dane obywateli Unii GDPR (General Data Protection Regulation) – nowa era kontroli prywatności i egzekwowania zgodności rozszerza definicję danych osobowych narzuca wymóg ochrony/zabezpieczania PII (Personally Identifiable Information), PHI (Protected Health Information) i PCI organizacje mają czas do maja 2018 na wdrożenie zgodności znaczące kary za brak zgodności (do 4% przychodów firmy / €20M) 8

9 General Data Protection Regulation (GDPR)
Główne zmiany wprowadzenie stanowiska Data Protection Officer (odpowiadającego mniej więcej obecnemu polskiemu Administratorowi Bezpieczeństwa Informacji / ABI) Zwiększona odpowiedzialność dot. powiadamiania o naruszeniu bezpieczeństwa 'Privacy by design' oraz 'privacy by default' Prawo do bycia zapomnianym oraz przenośność danych Jeden zestaw reguł i europejski regulator/data protection authority 9

10 wybór, inwestycje, wdrożenia
Wymogi GDPR - wyzwanie dla nas wszystkich 2015 2016 2017 2018 2019 Maj Wymagane uzyskanie zgodności Listopad: ostateczna wersja GDPR zgłoszona pod obrady Maj GDPR opublikowany wybór, inwestycje, wdrożenia Utrzymywanie i rozwój 10

11 Wyzwania związane z GDPR
Określenie/zrozumienie zakresu “Personally Identifiable Information/PII” Stosowanie czasów retencji dla danych osobowych i kontaktowych Wykonanie oceny Data Protection Impact Assessments Posiadanie formalnej/jednoznacznej zgody użytkownika Realizacja prawa “right to erasure” (prawo do zapomnienia) dla danych osobowych Obowiązkowe informowanie o naruszeniach prywatności Aktywne zarządzanie wielkimi i rozproszonymi źródłami danych (“Data Lake”) 11

12 Zmiana podejścia wymuszona przez GDPR
Obecnie Wymagane przez GDPR / RODO Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz ze zm.): Zmiana hasła, następuje nie rzadziej niż co 30 dni. Hasło służące do uwierzytelniania użytkowników składa się co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne (dotyczy podwyższonego poziomu bezpieczeństwa). Do ochrony danych osobowych na komputerach przenośnych stosowane są środki ochrony kryptograficznej. Itd.. Ocena stopnia bezpieczeń-stwa Środki techniczne i organizacyj-ne Odpowiedni poziom bezpieczeństwa

13 Ocena stopnia bezpieczeństwa
18 October 2017 Ocena stopnia bezpieczeństwa Odpowiedni poziom bezpieczeństwa Ryzyko nieuprawnionego dostępu/ujawnienia Ryzyko modyfikacji Ryzyko zniszczenia/ utraty HP Confidential

14 Charakter, zakres, kontekst i cele przetwarzania
18 October 2017 Dobór środków organizacyjnych i technicznych cz. 1 Stan wiedzy Koszt wdrożenia Charakter, zakres, kontekst i cele przetwarzania Ryzyko naruszenia praw lub wolności Prawdopodobieństwo wystąpienia Waga zagrożenia HP Confidential

15 Dobór środków organizacyjnych i technicznych cz. 2
18 October 2017 Dobór środków organizacyjnych i technicznych cz. 2 pseudonimizacja i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. HP Confidential

16 Alternatywne sposoby zapewnienia odpowiedniego stopnia bezpieczeństwa
Zatwierdzony kodeks postępowania Cel: pomoc we właściwym stosowaniu RODO - z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw Zatwierdzony mechanizm certyfikacji Cel: świadczyć o zgodności z RODO operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzając

17 Zgłoszenie naruszenia
Incydent Wyłączenie: „chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych”. Zgłoszenie Do: Właściwy organ nadzorczy Termin: bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia Dokumentacja Zakres: Okoliczności Skutki Podjęte działania


Pobierz ppt "Dane osobowe Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą."

Podobne prezentacje


Reklamy Google