WYDARZENIE

« Wszystkie Wydarzenia

  • To wydarzenie minęło.

Ochrona danych osobowych po nowemu

23 listopada 2016 | 09:00 - 11:45

RELACJA

null

Nadchodzi RODO. Przygotowania czas zacząć!

W maju 2018 r. wejdzie w życie europejskie Rozporządzenie o ochronie danych osobowych (GDPR). Ujednolicone w skali całej Unii Europejskiej praktyk w tym zakresie będzie obowiązywać wszystkich. Odchodzimy od koncepcji zgłaszania zbiorów danych w kierunku domyślnej ochrony danych. Obowiązkowe będzie natomiast zgłaszanie naruszeń. Choć zostało niespełna półtora roku do wejścia w życie nowych regulacji, to nadal jest mnóstwo niewiadomych. Wiele pytań i wątpliwości mają sami szefowie bezpieczeństwa informacji.

Rozporządzenie o ochronie danych osobowych (RODO) stanowi odpowiedź Komisji Europejskiej na nową sytuację, która wytworzyła się w związku cyfryzacją wszystkich aspektów ludzkiego życia. Dane osobowe są gromadzone w ogromnych ilościach przez przedsiębiorstwa i instytucje publiczne. Dlatego podjęta została decyzja, że w ramach jednolitego rynku cyfrowego konieczne jest ujednolicenie – w skali całej Unii – ochrony danych osobowych. Dotychczas w poszczególnych krajach występowały znaczące różnice – w zakresie obowiązujących regulacji prawnych a także organów powołanych do egzekwowania ich przestrzegania.

GDPR to temat ważny dla wszystkich dyrektorów bezpieczeństwa informacji. Wzrośnie zakres ich odpowiedzialności i kluczową rzeczą będzie tutaj harmonijna współpraca z Inspektorem Ochrony Danych w firmie – z czym dzisiaj często bywa rozmaicie.

Nowe ogólnoeuropejskie rozporządzenie o ochronie danych osobowych wchodzi w życie 25 maja 2018 r. Równocześnie powinna wejść w życie nowa ustawa przygotowywana przez Ministerstwo Cyfryzacji. Projekt tej ustawy ma być gotowy do końca marca 2017 r. Później mają być prowadzone uzgodnienia międzyresortowe i konsultacje społeczne. Zakres nowej ustawy obejmuje zasady nadzoru nad zapewnieniem ochrony danych osobowych przez GIODO oraz zasady współpracy na rzecz danych osobowych.

Realizacja idei przyświecającej Komisji w tym przypadku będzie jednak bardzo trudna do zrealizowania. Obowiązujące dziś systemy ochronnych danych osobowych w różnych państwach europejskich są już mocno zakorzenione. Dodatkowo w RODO znajduje się bardzo dużo wyłączeń – w zakresie sektorowym, rejestrów zbiorów danych, skazań karnych czy w odniesieniu do dzieci” – mówiła, podczas listopadowego spotkania CSO Council, towarzyszącego konferencji Advanced Threat Summit 2016, mec. Izabela Kowalczuk-Pakuła z Kancelarii Bird & Bird.

Różni prawnicy inaczej interpretują niektóre zapisy. Sprawy nie poprawia konieczność tłumaczenia rozporządzenia na języki narodowe. Pojawiające się błędy w dostępnych tłumaczeniach dodatkowo pogłębiają rozbieżności interpretacyjne” – dodawała Izabela Kowalczuk-Pakuła.

Co budzi niepokój?

Oczywiście największy niepokój budzą potencjalne koszty związane z wejściem w życie RODO. Wynikają one m.in. z niejasności definicji, wyższych wymagań dotyczących zgody na przetwarzanie, minimalizacji danych, nowych praw osób, których dane dotyczą itp. Nie są to jednak jedyne wątpliwości. Uczestnicy spotkania CSO Council w pierwszej kolejności zapytali o ważność zgód udzielanych przy zbierani danych do przetwarzania przed wejściem w życie RODO.

Spotkanie CSO Council „Ochrona danych osobowych po nowemu” zgromadziło wyjątkowo liczne grono dyrektorów bezpieczeństwa informacji.

Od 28 maja 2018r. mogą one stać się nieważne. Oznacza to, że w przypadku dotychczasowych klientów firm, zgoda musi być ponownie uzyskana – wyrażona wprost i bez żadnych wątpliwości. Dopytywano również czy zmienią się podstawy do przetwarzania danych osobowych. Obecnie marketing to prawnie usprawiedliwiony cel przetwarzania. W tym wypadku jednak nic się nie zmienia. Niemniej mec. Izabela Kowalczuk-Pakuła rekomendowała, żeby firmy zbierające dzisiaj zgody, robiły to już zgodnie z RODO, ponieważ na ich podstawie będzie można przetwarzać dane po 25 maja 2018 r. Ponadto już dziś warto stosować nowe wzory umów powierzenia przetwarzania danych. Dzięki temu później nie trzeba będzie ich zmieniać ani renegocjować.

Pytano także o czas zgłaszania naruszeń bezpieczeństwa, które mogą dotykać danych osobowych. Teoretycznie powinno to mieć miejsce w ciągu 74 godzin – od jakiego momentu zaczyna płynąć ten czas? Uznaje się, że od momentu uzyskania pewności, że doszło do naruszenia, a nie od chwili rozpoczęcia dochodzenia. Dzisiaj takie zgłoszenia kierowane do polskiego biura GIODO są raczej incydentalne. Pod władzą nowych regulacji mogą stać się zjawiskiem znacznie częstszym.

Uczestników interesowały także zmiany w zakresie funkcji i kompetencji ABI (w nomenklaturze RODO to Inspektor Ochrony Danych). Będą one niezbyt duże – z tą różnicą, że teraz w niektórych organizacjach powołanie IOD będzie konieczne. Ważne jest jednak, że konieczne będzie zapewnienie IOD zasobów niezbędnych do wykonania zadań oraz nieudzielania instrukcji, jak je wykonywać – rola IOD ma być w dużej mierze niezależna.

RODO w praktyce

Konkretnych porad uczestnikom udzielał Michał Jaworski, członek Zarządu w Microsoft Polska. Jego firma, jak dostawca rozwiązań chmurowych, od dawna bardzo intensywnie przygotowuje się do RODO. W każdej firmie potrzebna jest decyzja o budowie wiedzy i kompetencji – w szczególności poprzez udział w szkoleniach lub warsztatach, najlepiej w towarzystwie firmowych prawników.

Ważne jest określenie obszarów największego zainteresowania. Marketing? Komunikacja z klientem? Profilowanie? Jeśli chodzi o konkretne przygotowania, to należy zacząć od inwentaryzacji operacji przetwarzania danych w organizacji, dokonać analizy wszelkich punktów kontaktu z klientem, zastanowić się nad zabezpieczeniem danych. Kluczowe znaczenie ma podejście w oparciu o analizę ryzyk. To administrator danych jest odpowiedzialny za właściwą oceną ryzyka i ocenę skutków przetwarzania.” – mówił Michał Jaworski. Jednocześnie porównał on RODO do wyzwań związanych z problemem roku 2000 (Y2K). Z tą jednak różnicą, że po 1 stycznia 2000 wszyscy mogli się uspokoić, bo nic się takiego nie stało. W przypadku RODO będzie odwrotnie – po 25 maja 2018 r. sytuacja zacznie się komplikować i skala wyzwań rosnąć.

Michał Jaworski zwrócił także uwagę, że rozwiązania chmurowe pozwalają na pewien rodzaj outsourcingu odpowiedzialności. Część wymagań związanych z ochroną danych osobowych można przenieść na dostawcę usług chmurowych. W tym sensie cloud może stanowić potencjalną metodę na ograniczenie problemów z wdrożeniem RODO. Uczestnicy wyrazili jednak swoje wątpliwości co do transferu odpowiedzialności z ADO do procesora. Odpowiedzialność bowiem nadal będzie spoczywać na administratorze danych i to on będzie podlegać potencjalnej karze.

Wartościowe rady

Mecenas Beata Marek z Cyberlaw, zwracała natomiast uwagę m.in. na pseudonimizację danych, która stanowi jeden z podstawowych aspektów zabezpieczania danych. Wszędzie tam gdzie jest to możliwe, warto robić pseudonimizację, czyli ograniczanie zakresu przetwarzanych danych do niezbędnego minimum. Można się spodziewać, że w wypadku pojawienia się kłopotów w przyszłości, wykonanie tego zabiegu będzie traktowane jako okoliczność łagodząca w kontekście kar.

Doświadczeniami w zakresie praktycznych trudności związanych z implementacją podzielił się także Daniel Ślęzak, Privacy Officer z T-Mobile. Zwracał on uwagę na konieczność współpracy Privacy Officera z CISO oraz uspokajał, że dla organizacji posiadających system ISO 27001 przygotowanie do RODO nie będzie tak trudne.

Zadanie dla podmiotów grupowych, zwłaszcza międzynarodowych, będzie łatwiejsze, bo z pewnością już od dawna stosują zunifikowane polityki, prowadza wewnętrzne audyty albo zlecają zewnętrzne przez konsultantów” – przekonywał Daniel Ślęzak. Wiele osób wskazuje jako zaletę RODO to, iż nie zawiera ono wskazówek dotyczących wymogów stosowania określonych środków technicznych czy organizacyjnych, jednak jednocześnie zwiększa to zakres odpowiedzialności ciążących na firmach i to także stanie się obszarem odpowiedzialności szefa bezpieczeństwa informacji w firmach.

WSTĘP

Obszar ochrony danych osobowych to duża, osobna dziedzina, ważna w szczególności dla firm, które mają i analizują duże bazy klientów. Zazwyczaj zajmują się nią administratorzy bezpieczeństwa informacji czy tak zwani oficerowie prywatności, którzy współpracują z obszarem cyberbezpieczeństwa w firmie i regulatorem rynku. W Polsce jest nim Biuro Generalnego Inspektora Ochrony Danych Osobowych.

Tutaj czeka nas ogromna zmiana – nowa europejska regulacja, tzw. General Data Protection Regulation wymusi zmianę dotychczasowych regulacji i krajowych legislacji. Nałoży na firmy nowe obowiązki, obwarowane – inaczej niż poprzednio – groźbą gigantycznych kar finansowych. Jednym z bezpośrednich konsekwencji nowych regulacji będzie obowiązek niezwłocznego raportowania wszystkich naruszeń bezpieczeństwa dotykających danych oraz zalecenie do ustanowienia w firmie nowego stanowiska dla osoby, która będzie pełnić rolę wewnętrznego regulatora i audytora, ciesząc się pełną autonomią. To wszystko zmienia kontekst działania dyrektora bezpieczeństwa informacji w firmie. Choć nowe regulacje wejdą w życie w 2018 roku, to jednak z uwagi na skalę zmian i wyzwań już teraz należy zacząć przygotowania.

Dlatego temu tematowi poświęcamy kolejne spotkanie CSO Council. W jego trakcie będziemy chcieli poznać odpowiedzi w takich kwestiach jak:

  • Dlaczego wprowadzono takiego rodzaju rozwiązania
  • Co dla firm w Polsce oznacza wdrożenie nowych regulacji europejskich w zakresie ochrony danych osobowych
  • Jakie nowe obowiązki na komórki bezpieczeństwa nakłada nowa legislacja i jak się do nich dobrze przygotować
  • Co będzie tutaj sprawiać największe trudności i jak może to być kosztowne?

Do merytorycznego udziału w spotkaniu zaprosiliśmy znakomitych prawników i praktyków.

Spotkania CSO Council to gwarancja bardzo efektywnego spędzenia dwóch godzin w elitarnym gronie dyrektorów bezpieczeństwa informacji z dużych organizacji. Treściwą i aktualną merytorykę zapewniają najlepsi eksperci, zaś możliwość wymiany opinii oraz dyskusji z uczestnikami spotkania to niepowtarzalna okazja do pogłębienia wiedzy jak i doświadczeń.

Zapraszamy do udziału w listopadowym spotkaniu CSO Council!

Przemysław Gamdzyk i Jacek Skorupka
Komitet Organizacyjny CSO Council

PROGRAM

9.00 - 9.30

Networking, powitalna kawa i herbata, rejestracja

9.30 - 11.00

Wystąpienia ekspertów

Dlaczego będziemy mieć nowe regulacje w obszarze ochrony danych osobowych i co z tego w praktyce wynika – czy jest się czego bać?

Izabela Kowalczuk-Pakula

Senior Associate, Radca Prawny, Kancelaria Prawna, Bird & Bird

Wdrożenie GDPR przez dostawców chmury – jak wiele zmieni się u usługodawców i proces przystosowawczy. W jaki sposób standardy i normy będą definiowały w przyszłości pracę centrów danych.

Michał Jaworski

Członek Zarządu, Microsoft Polska

Co firmy w Polsce muszą zrobić (zaczynając już teraz), żeby się przygotować do GDPR i RODO.

Beata Marek

dyrektor ds. prawnych, ISSA Polska

Ocena praktycznej trudności i skali wyzwań związanych z implementacją GDPR w firmie. Czy nowe regulacje zmieniają coś w zakresie współpracy Privacy Officer’a z CISO w firmie?

Daniel Ślęzak

Cyber Security Manager - Privacy & Compliance, Reckitt Benckiser Group Plc

11.00 - 11.30

Dyskusja i podsumowanie

LOKALIZACJA

Listopadowe spotkanie CSO Council odbędzie się w Hotelu Novotel Centrum przy ulicy ul. Marszałkowska 94.
Zapraszamy do sali konferencyjnej Orchidea.

zdjecie-sala2-h3383-novotel-47287zdjecie-sala2-h3383-novotel-47287
zdjecie-sala1-h3383novotel-irys-47270zdjecie-sala1-h3383novotel-irys-47270
warszawa_novotelcentrumwarszawa_1_2warszawa_novotelcentrumwarszawa_1_2

REJESTRACJA

Udział w spotkaniu organizowanym przez CSO Council w dniu 23 listopada 2016 roku, jest możliwy po wypełnieniu poniższego formularza zgłoszeniowego.

Warunki udziału w spotkaniach CSO Council

Spotkania CSO Council kierowane są do:

– Członków CSO Council
– CSO
– CISO
– Dyrektorów bezpieczeństwa informacji
– Dyrektorów cyberbezpieczeństwa
– osób na stanowiskach odpowidzialnych za bezpieczeństwo IT w przedsiębiorstwie

W przypadku pytań dotyczących spotkań oraz działalności CSO Council prosimy o bezpośrednio kontakt:

Karolina Seliga
Community Manager
e-mail: Karolina.Seliga@evention.pl
tel.: (22) 257-86-22
tel. kom.: 533-397-633

Fotorelacja ze spotkania

mini-img_7579xmini-img_7579x
mini-p1250686xmini-p1250686x
mini-img_7589xmini-img_7589x
mini-img_7563xmini-img_7563x
mini-img_7551xmini-img_7551x
mini-img_7536xmini-img_7536x
mini-img_7521xmini-img_7521x
mini-img_7391xmini-img_7391x
mini-img_7381xmini-img_7381x
mini-img_7352xmini-img_7352x
mini-4b4f5039xmini-4b4f5039x
mini-4b4f5014xmini-4b4f5014x
mini-p1250691xmini-p1250691x
mini-p1250691xmini-p1250691x

ORGANIZATORZY

PARTNER GENERALNY

Szczegóły

Data:
23 listopada 2016
Czas:
09:00 - 11:45

Miejsce

Hotel Novotel Centrum
Marszałkowska 94
Warszawa, Mazowieckie 00-510 Polska + Google Map