Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

01.03.2018 - RODO – Co trzeba wiedzieć? - Tomasz Kajdzik

Tomasz Kajdzik
by

Asseco Business Solutions S.A.

on 28 February 2018

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of 01.03.2018 - RODO – Co trzeba wiedzieć? - Tomasz Kajdzik

RODO
Rewolucja czy niewielkie zmiany?
Wiemy,
że przedsiębiorstwa są na różnym etapie procesu dostosowania
RODO

„Unijne rozporządzenie o ochronie danych osobowych”
Wystawienie dokumentu w ERP

Konieczność dostosowania sposobów ochrony danych osobowych do nowych wytycznych
Wprowadźcie takie zabezpieczenia, aby dane, które przetwarzacie były
bezpieczne…
Co jest ważne?
Każdy podmiot
(administrator danych)
Naszym okiem – z praktyki
Firmy,
które są przygotowane/ intensywnie
się przygotowują
Na własnym przykładzie
"
Dane osobowe muszą być przetwarzane
w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych
,
w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz
przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych".
Zabezpieczenia danych osobowych
Jakie powinny być minimalne standardy techniczne bezpieczeństwa danych
i zapewniamy zgodnie z obecnie obowiązującymi przepisami
Odpowiedni poziom zabezpieczeń fizycznych
i systemowych przed niepowołanym dostępem jak również utratą danych dla danych przetwarzanych w CPD AssecoBS
Wdrożone procedury związane z przetwarzaniem danych osobowych, dające
pewność, że dane przetwarzane są zgodnie
z wymogami i wyłącznie
w określonych celach
Jakie kroki rekomendujemy?
Co nas (wszystkich) czeka?
Modyfikacja umów w zakresie zapisów dot. powierzenia przetwarzania danych osobowych – dostosowanie zapisów
Rozwijać biznes…
Co trzeba wiedzieć?
Tomasz Kajdzik
Sam ocenia ryzyka
i dostosowuje zabezpieczenia
Jest zobowiązany do wypełnienia ciążących na nim obowiązków
Jest zobowiązany realizować prawa podmiotów danych
RODO
Wprowadza nową filozofię myślenia o ochronie danych osobowych.
O prywatność należy zadbać już na etapie projektowania rozwiązań
(tzw. privacy by design) –
środki minimalizujące ryzyko jej naruszenia
Ochrona danych musi być domyślna (tzw. privacy by default)
Zgodnie z nią administratorzy powinni wychodzić naprzeciw ochronie danych osobowych,
a nie traktować tej ochrony
jako zło konieczne.
Co mówi RODO?
Nie wyznacza odgórnie jakie zabezpieczenia mają stosować administratorzy
danych – nie ma katalogu zabezpieczeń.
Dostrzegamy różne podejście przedsiębiorstw do procesu dostosowania do regulacji RODO
Firmy,
które rozpoczęły proces
ale mają jeszcze coś (czasami sporo) do zrobienia
Firmy, które nie rozpoczęły jeszcze procesu weryfikacji i dostosowania:
mają „wszystko”
w zgodzie z RODO
– nie muszą nic dostosowywać
jeszcze nie rozpoczęły procesu
(nie wiedzą jak się z tym problemem uporać)
RODO
Pytania w kontekście współpracy: Dystrybutor – Producent – Asseco BS:
Jak zrealizować jeden
z podstawowych obowiązków czyli uzyskać prawnie
uzasadnioną podstawę do przetwarzania danych osobowych
(jeśli jeszcze jej nie mamy)?
Kto i jaką rolę
pełni w tym procesie współpracy?
Na czym polega
i w jaki sposób zrealizować obowiązek informacyjny?
Pytania w kontekście współpracy
Dystrybutor
Producent
Ważne
-adekwatnego do oceny ryzyka (przeprowadzonej indywidualnie)
Jaka jest rola Asseco BS
w procesie przetwarzania danych osobowych?
W kontekście powierzonych danych
na potrzeby realizacji wdrożenia systemu SFA – Mobile Touch i Platformy Connector.
RODO w Asseco BS
Zapoznaliśmy się z nowymi regulacjami i zrozumieliśmy
„o co w nich chodzi”
Jesteśmy w trakcie dostosowania dokumentacji
Umowy
Polityki/procedury
m.in. opracowujemy procedury i warunki komercyjne na wypadek konieczności wsparcia administratora w realizacji jego obowiązków
Będziemy
wykorzystywali
Rodo Utility by Asseco
Staramy się wspierać naszych partnerów poprzez
Wyjaśnienia
i informowanie o naszych działaniach
Konferencję – podsumowanie teoretyczne i praktyczne
Narzędzia, które mogą wesprzeć realizację obowiązków
– RODO Utility by Asseco
Wątpliwe obszary konsultujemy na bieżąco z ekspertami: kancelaria
Barta&Kaliński
– w którym miejscu jesteśmy?
Bezpieczeństwo danych
Sławomir Pawłowski
Przeprowadziliśmy audyt wewnętrzny w tym zakresie (jesteśmy na etapie analizy wniosków i dostosowania)
Zdefiniowaliśmy nasze role
w procesie przetwarzania danych osobowych w realizowanych
przez nas projektach
Procesor
Firmy, które
nie rozpoczęły
jeszcze procesu weryfikacji i dostosowania
Firmy, które są
przygotowane/ intensywnie się przygotowują
Wsparcie obsługi kluczowych procesów –
RODO Utility by Asseco
Każdy podmiot indywidualnie
Każdy podmiot + możliwość skorzystania z komercyjnego doradztwa eksperckiego
np. Kancelaria Barta & Kaliński
Każdy podmiot indywidualnie + możliwość skorzystania z komercyjnego doradztwa eksperckiego
Kick off
– zainicjowanie procesu
Analiza obszarów prawnych
Analiza obszarów technicznych i organizacyjnych
Rozwiązania informatyczne
§
RODO Utility by Asseco
Zabezpiecza i ułatwia zarządzanie dokumentacją związaną z przetwarzaniem danych
osobowych
Najważniejszy
i prawdziwy sprawdzian
dopiero po
25 maja 2018
być ciągle w procesie – weryfikacja/ audyty
sprawnie realizować
obowiązki administratora/ procesora (kto jest w stanie przewidzieć ile będzie aktywności?)
być gotowi na weryfikację
Musimy się nauczyć żyć z RODO
dotyczących legalności posiadania i przetwarzania danych osobowych (jednoosobowe podmioty gospodarcze)
Spełnienie warunków formalnych
Zapewnienie „odpowiedniego” poziomu bezpieczeństwa danych
Dziękujemy za uwagę!
z punktu widzenia rozwiązań SFA i Platformy Connector
Co mówi RODO
Jakie środki organizacyjne
i techniczne wdrożyć
Czego RODO nie mówi
(wskazuje jedynie na możliwość skorzystania
z narzędzi pseudonimizacji lub szyfrowania danych)
(podlega indywidualnej ocenie)
Jesteśmy gotowi
Wsparcie w postaci rozwiązania informatycznego
Regularne audyty stosowanych zabezpieczeń i cykliczną analizę ryzyka w celu utrzymania właściwego poziomu zabezpieczeń
Dzięki zmianom organizacyjnym i rozwiązaniom technicznym np.
Rodo Utility
będziemy zgodni z nowymi przepisami
do 25 maja 2018r.
Zabezpieczenie danych
Systemy do zarządzania informacją i zdarzeniami bezpieczeństwa
SIEM
(systemy firewalli, segmentacja sieci,
monitoring ruchu sieciowego)
Zabezpieczenie
sieci wewnętrznej
(polityka zarządzania dostępem, scentralizowany system zarządzania uprawnieniami, wielopoziomowa autentykacja, weryfikacja dostępu na poziomie sprzętowym)
Zabezpieczenie dostępu
(regularne audyty bezpieczeństwa, analiza danych pod kątem incydentów i nadużyć, oprogramowanie antywirusowe)
Zabezpieczenie systemów
(łącza VPN, obligatoryjne stosowanie szyfrowanych kanałów transmisji, szyfrowanie przesyłanych danych)
Zabezpieczenie
transmisji danych
(polityka dotycząca dostępu
i zasad przetwarzania danych, backup i archiwizacja danych)
Zabezpieczenia dostępu
(niezależne źródła zasilania, systemy podtrzymywania zasilania - UPS, generatory)
Zabezpieczenia zasilania
(klimatyzacja, systemy
przeciwpożarowe, systemy detekcji)
Zabezpieczenia warunków
środowiskowych
(systemy wielostrefowej kontroli dostępu i uprawnień, instalacje monitoringu CCTV i dozoru bezpieczeństwa, zabezpieczenia antywłamaniowe i antynapadowe)
Zabezpieczenia
systemowe i organizacyjne
Zabezpieczenia w tym obszarze to środki techniczne, systemowe, właściwe procedury jak i odpowiednio wyszkoleni ludzie
Zabezpieczenia fizyczne
Obszar ten obejmuje środki, które zapewniają nieprzerwaną
pracę urządzeń komputerowych
Indywidualne zaangażowanie
w ramach organizacji
Wsparcie – doradztwo ekspertów, którzy komercyjnie taką działalność prowadzą
– przygotowujemy zapisy dot. powierzenia przetwarzania danych
Jesteśmy w procesie oceny ryzyka związanego z przetwarzaniem danych osobowych w kontekście nowych regulacji
Zidentyfikowaliśmy
i zweryfikowaliśmy procesy/miejsca przetwarzania danych osobowych (mapa procesów)
Automatyzuje obsługę procesów (obowiązków) wynikających z RODO
Usprawnia zarządzanie retencją danych
Zapewnia gotowość
na wypadek kontroli (rozliczalność, dokumentacja, obsługa
wniosków,…)
Full transcript