—G

aw

roń

ski &

Partn

ers

JUŻ JA WAM DAM APETYT NA RYZYKO...Regulacyjne podstawy analizy ryzyka przetwarzania danych osobowych

radca prawny Maciej Gawroński

Gawroński & Partners S.K.A.

1

—G

aw

roń

ski &

Partn

ers

2

Dostarczamy rozwiązania.

—G

aw

roń

ski &

Partn

ers

Nasz zespół to osoby z doświadczeniem w Komisji Nadzoru Finansowego, w Państwowej Inspekcji Pracy,jako szefowie działów prawnych instytucji finansowych, prawnicy in-house największych polskich spółek publicznych, prawnicy kancelarii międzynarodowych i krajowych, specjaliści do spraw przestępstwgospodarczych w tym korupcji i współpracyz organami ścigania.

Kim jesteśmy?Gawroński & Partners

3

—G

aw

roń

ski &

Partn

ers

Zakres kluczowych usług

Technologia & IP

Spory gospodarcze

Sektor finansowy

IT & Technologia

Dane osobowe

Prawo pracy

Własność intelektualna

Energetyka Media i reklama

4

—G

aw

roń

ski &

Partn

ers

Maciej Gawroński

• ekspert danych osobowych, IT, cyberbezpieczeństwa, własnościintelektualnej, sporów

• ekspert Komisji Europejskiej ds. Kontraktów Cloud Computingowych

• konsultant Grupy Roboczej Artykułu 29 ds. transferów danych

• pomysłodawca bezpośredniej odpowiedzialności podprzetwarzających(art. 82 RODO), przenoszalności danych osobowych (art. 20 RODO),konsultował zasady podpowierzenia (art. 28.2 i 28.4 RODO)

• doradzał przy największym w Polsce i Centralnej Europie projekcieinformatycznym w sektorze prywatnym jak i w setkach innych projektów IT

• główny autor treści modułu LEX Ochrona Danych Osobowych Wolters Kluwer, https://www.ochrona-danych-osobowych.lex.pl/ i publikacji RODO. Praktyczny przewodnik z wzorami (kwiecień 2018)

• reprezentował Polskę i klientów prywatnych w sporach o wartości miliardów euro

5

maciej.gawroński@gawronski.co+48 609 602 566

—G

aw

roń

ski &

Partn

ers

• Rekomendowany Ekspert Rankingu Kancelarii Prawniczych Dziennika Rzeczpospolita 2017 w kategorii Technologia, Media i Telekomunikacja

• Rekomendowany Ekspert Rankingu Chambers Europe 2017 w kategorii Technologia, Media i Telekomunikacja

• Rekomendowany Ekspert Rankingu Best Lawyers 2016-17 w kategorii IT

• Rekomendowany Ekspert Rankingu Guide to the World's Leading Lawyers 2016 w kategorii Technology, Media & Telecommunications

• Rekomendowany Ekspert Rankingu Legal 500 2016 w kategorii Technology, Media & Telecommunications

• Rekomendowany Ekspert Rankingu Who's Who Legal 100 2016w kategorii Spory Patentowe w Naukach Przyrodniczych

Maciej Gawroński

6

—G

aw

roń

ski &

Partn

ers

7

—G

aw

roń

ski &

Partn

ers

15.12.2017 r. 8

RODO

—G

aw

roń

ski &

Partn

ers

domniemanie

winy

RODO PERSPEKTYWA I – CHARAKTER

ogólnikowość

surowość

mierzalność

bezpośredniość

9

Nikt dotychczas nie odważył się wprowadzić regulacji, w której są tak wielkie kary za tak niejasne przepisy

- Wojciech Kapica, szef praktyki regulacyjnej Gawroński & Partners S.K.A.

—G

aw

roń

ski &

Partn

ers

RODO PERSPEKTYWA II – FILARY

• Legalność – to zasady do wprowadzenia

• Prawa – prawa jednostki to strumień pracy do obsłużenia

• Bezpieczeństwo – to procesy do wprowadzenia i utrzymywania

A POD NIMI FUNDAMENT

• Rozliczalność – obowiązek wytłumaczenia się (domniemanie winy)

10

—G

aw

roń

ski &

Partn

ers

RODO PERSPEKTYWA III – RYZYKO i ROZLICZALNOŚĆ

• Podejście przez ryzyko i na zasadzie ryzyka w

połączeniu z …domniemaniem winy

• ryzyko x 76

• prawdopodobieństwo x 13

11

—G

aw

roń

ski &

Partn

ers

RYZYKO – PRZEPISY 1, 2,

• Art. 24 ust. 1 RODO – podejście od strony ryzyka

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać

• Art. 25 ust. 1 RODO (privacy by design)

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnymprawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne

12

—G

aw

roń

ski &

Partn

ers

RYZYKO – PRZEPISY 3, 4,

• Art. 30 ust. 5 RODO – zwolnienie z RCPD

Obowiązki [rejestry] nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzykonaruszenia praw lub wolności osób…

• Art. 33 ust. 1 RODO – Zgłaszanie naruszeń

W przypadku naruszenia […] administrator […] zgłasza je organowi […], chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób...

13

—G

aw

roń

ski &

Partn

ers

RYZYKO – PRZEPISY 5, 6

• Art. 34 ust. 1 RODO – zawiadamianie osób o naruszeniu

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu

• Art. 35 ust. 1 RODO – Ocena skutków dla ochrony danych

Jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

14

—G

aw

roń

ski &

Partn

ers

RYZYKO – BEZPIECZEŃSTWO art. 32 RODO

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku…

15

—G

aw

roń

ski &

Partn

ers

WNIOSEK

RODO uznaje, że

istnieją różne stopnie ryzyka przetwarzania danych i powinniśmy zapewnić stopnie bezpieczeństwa odpowiednie do stopni ryzyka

Zatem należy przeprowadzić

Analizę Ryzyka

16

—G

aw

roń

ski &

Partn

ers

Analiza ryzyka znajduje się na liście kontrolnej Pani Dyrektor Bogusławy Pilc

DLA NIEPRZEKONANYCH

17

—G

aw

roń

ski &

Partn

ers

ATRYBUTY BEZPIECZEŃSTWA INFORMACJI – C.I.A.

C.I.A. (A)

C – confidentiality – poufność

I – integrity – integralność

A – availability – dostępność [brak w 4.12, 5.1.f jest zwodniczy]

(A) – accountability - rozliczalność

18

—G

aw

roń

ski &

Partn

ers

RYZYKO = L x S

Ryzyko wg RODO to iloczyn:

(i) prawdopodobieństwa zagrożenia

(ii) powagi zagrożenia

Ryzyko wg ISO to:

„wpływ niepewności na cele”

19

—G

aw

roń

ski &

Partn

ers

Ryzyko ale czego?

W RODO chodzi o ryzyko naruszenia praw lub wolności osób, których dane przetwarzamy• Motyw 75

Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych

Niekoniecznie chodzi o ryzyko naruszenia ochrony danych, samo przetwarzanie danych może rodzić ryzyko (case Minority Report).

Ale skupimy się na ryzyku bezpieczeństwa danych osobowych

20

—G

aw

roń

ski &

Partn

ers

Motyw 76. Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych.

• charakter – na czym polega przetwarzanie (opis operacji lub czynności przetwarzania, z tym że w ramach czynności przetwarzania możemy podejmować różne działania i te różne działania mogą wiązać się z różnymi ryzykami)

• zakres – jakie dane, ile osób, jak bardzo rozproszone geograficznie jest przetwarzanie

• cel – po co administratorowi przetwarzanie

• kontekst – czym zajmuje się administrator (sektor, rola w łańcuchu dostawy, dla jakich sektorów/ klientów pracuje – po co przetwarzanie podmiotom danych) i okoliczności zewnętrzne

21

Motyw 76 Punkty kontrolne szacowania ryzyka

—G

aw

roń

ski &

Partn

ers

Motyw 76

…Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko

• Trzystopniowa skala?

niskie ryzyko, ryzyko, wysokie ryzyko

• Pięciostopniowa skala?

pomijalne, niskie, średnie (aka ryzyko), wysokie, maksymalne

• Raczej nie czterostopniowa, bo przed wysokim musi być średnie.

22

Skala ryzyka wg RODO

—G

aw

roń

ski &

Partn

ers

• Dobry rejestr czynności przetwarzania danych i kategorii przetwarzań pomoże w ustrukturyzowaniu analizy ryzyka

- szczególnie jeśli do analizy ryzyka podejdziemy przez czynności przetwarzania danych i będziemy mieli w miarę zinwentaryzowanych przetwarzających i systemy

23

REJESTR (RCPD i RKP)

—G

aw

roń

ski &

Partn

ers

• ISO 27005:2014 Technika informatyczna Techniki bezpieczeństwa Zarządzanie ryzykiem w bezpieczeństwie informacji

Żadna część niniejszej publikacji nie może być zwielokrotniana jakąkolwiek techniką bez zgody Prezesa Polskiego Komitetu Normalizacyjnego

- Pomysł na: jak uwłaszczyć się na wiedzy powszechnej

• ISO 29134:2017 – Information technology — Security techniques — Guidelines for privacy impact assessment

• GIODO Jak stosować podejście oparte na ryzyku? Grudzień 2017

• ISO 31000:2018 Zarządzanie ryzykiem – podobno opisuje ponad 30 metodyk zarządzania ryzykiem

24

Metodyki analizy ryzyka

—G

aw

roń

ski &

Partn

ers

Tylko zgubienie lub zepsucie

• „WYCIEK” – możliwość nieprawidłowego wykorzystania – naruszenie poufności (nieautoryzowany dostęp, zgubienie, naruszenie zobowiązania do poufności / sprzeniewierzenie – Cambridge Analytica)

• „NIEUŻYTECZNOŚĆ” – ryzyko uniemożliwienia prawidłowego wykorzystania – naruszenie integralności danych (np. przypadkowa podmiana zdjęcia rentgenowskiego skutkująca wycięciem nie tego organu, pomyłka w numerze klienta skutkująca odcięciem od prądu lub telefonu osoby niewinnej) naruszenie dostępności danych (np. niedostępność dokumentacji medycznej w chwili nagłego pogorszenia stanu pacjenta)

25

Metodyka Gawrona w budowie – Założenie 1

—G

aw

roń

ski &

Partn

ers

Mitygacja ryzyka to mitygacja prawdopodobieństwa

W praktyce mitygować będziemy tylko prawdopodobieństwo ryzyka

(mitygacja powagi konsekwencji oznacza ograniczenie zakresu danych lub wycofywanie się z ryzykownego biznesu – decyzje biznesowe a nie techniczne)

26

Metodyka Gawrona w budowie – Założenia 2

—G

aw

roń

ski &

Partn

ers

Najwyższy porządek to najwyższe ryzyko

Dla zagrożenia danego zasobu musimy ustalić tylko najwyższe ryzyko (na laptopie mam dane klientów i pracowników, zgubienie laptopa rodzi większe ryzyko dla klientów).

Jeśli zmitygujemy prawdopodobieństwo zagrożenia zasobu o najwyższym ryzyku do akceptowalnego poziomu, to i niższe nam spadną

27

Metodyka Gawrona w budowie – Założenie 3

—G

aw

roń

ski &

Partn

ers

Określić

• kategorie osób

• kategorie danych

• skalę przetwarzań (ile osób)

• funkcje przetwarzań dla osób

Przypisać poziomy powagi naruszeń ochrony danych osobno dla

• nieuprawnionego wykorzystania do kategorii danych

• niemożności prawidłowego wykorzystania do funkcji przetwarzań

…uwzględniając skalę przetwarzań (wyciek papierowy jest z natury ograniczony ale wyciek cyfrowy może dotyczyć dużej ilości danych organizacji)

28

Metodyka Gawrona w budowie – Powaga ryzyka

—G

aw

roń

ski &

Partn

ers

Określić zasoby (aktywa), których używamy do przetwarzania danych:

• hardware (komputery, serwery, smartfony, pendrives, przenośne dyski)

• oprogramowanie

• przesył danych (kabel, wifi, dostęp do internetu)

• osoby (personel)

• dokumenty papierowe i ich położenie

• kanały obiegu dokumentów

• podmioty (podwykonawców, usługi)

Przypisać zasoby do danych danych osobowych i funkcji zaczynając od tych o najwyższej powadze ryzyka – najlepiej z wykorzystaniem RCPD

29

Metodyka Gawrona w budowie – identyfikacja zasobów

—G

aw

roń

ski &

Partn

ers

• Przewidzieć możliwe zagrożenia dla poszczególnych zasobów (np. opierając się na Zał. B do ISO 29134 – Tabela typowych zagrożeń – 47 kategorii zagrożeń, Załączniku C do ISO 27005 – Przykłady typowych zagrożeń i D – Przykłady typowych podatności)

• oszacować prawdopodobieństwo tych zagrożeń

• ocenić jakich kategorii danych mogą dotyczyć i jakich funkcji i przypisać im typ konsekwencji (wyciek, nieużyteczność)

• powstaną matryce ryzyka dla poszczególnych zagrożeń

30

Prawdopodobieństwo ryzyka

—G

aw

roń

ski &

Partn

ers

• Zidentyfikować najwyższe nieakceptowalne ryzyko/ryzyka dla danego zasobu (np. najwyższe ryzyko dla smartfonów, komputerów etc)

• Ustalić i zdecydować metody mitygacji

31

Mitygacja ryzyka

—G

aw

roń

ski &

Partn

ers

• Udokumentować analizę.

• Za drugim i kolejnym razem zrobić ją porządnie

• A najlepiej, jeżeli czujemy, że nie jesteśmy w centrum tarczy strzelniczej PUODO, poczekać aż pojawią się wzorce (idealnie – gotowe analizy ryzyka wraz z zaleceniami mitygacji dla poszczególnych sektorów) i z nich skorzystać

32

Dokumentacja

—G

aw

roń

ski &

Partn

ers

33

DLACZEGO WAŻNA JEST ANALIZA RYZYKA?

TO BE CONTINUED…

—G

aw

roń

ski &

Partn

ers

34

Zapraszamy do kontaktu

Gawroński & Partners s.k.a.T: +48 22 243 49 53 E: info@gawronski.coAl. Jana Pawła II 12 00-124 Warszawa

maciej.gawroński@gawronski.co+48 609 602 566