Polecane artykuły 

    Konsultacje online 

    +48 739 972 265  

  biuro@centrumprawneonline.pl  

NEWSLETTER

Subskrybuj bloga

 

Ewelina Fuławka-Nawrocka

Prawnik dla firm

 

Zajmuję się kompleksową obsługą prawną e-biznesu.

 

Stawiam na holistyczne podejście, profesjonalizm i długofalowe relacje.

 

Najlepszy Prawnik Wrocław prawnik dla firm  online prawniczka Wrocław

Przetwarzanie danych w chmurze, audyt i wdrożenie RODO, incydent bezpieczeństwa w RODO.

17 sierpnia 2021

Artykuł udziela odpowiedzi na pytania

 

dane osobowe w chmurze

 

  1. Czy przechowywanie danych w chmurze jest bezpieczne?
  2. Czy powinnam posiadać dedykowany program do przetwarzania danych osobowych?
  3. Co zrobić, kiedy dojdzie do naruszenia danych osobowych?
  4. W jakim czasie od daty wdrożenia RODO przeprowadzić audyt RODO – kontrolę powdrożeniową?
  5. Czy mogę samodzielnie przeprowadzić audyt RODO?

 

 

 

 

 

Bezpieczne przechowywanie danych w chmurze

Czym jest chmura obliczeniowa? Czy mogę przechowywać dane w chmurze?

Chmura z punktu widzenia RODO to najprościej rzecz ujmując model przechowywania danych za pośrednictwem Internetu, inaczej sieć połączonych ze sobą serwerów. Użytkownik może zamieszczać w chmurze  różnorodne  pliki i posiadać do nich nieograniczony dostęp. Przechowywanie w chmurze posiada wiele zalet ekonomicznych i organizacyjnych, lecz czy chmura to na pewno bezpieczne miejsce do przechowywania dokumentów z danymi osobowymi?

 

Na tak postawione pytanie nie sposób udzielić jednoznacznej odpowiedzi.

 

Wraz z nasilającymi się atakami hackerskimi dostawcy usług chmurowych aktualizują i udoskonalają procedury technologiczne dotyczące zarządzania tożsamością użytkowników, uwierzytelniania, czy też monitoringu bezpieczeństwa i zgodności z przepisami obowiązującego prawa. Zgodnie z raportem „2020 Global PKI and IoT Trends Study” – dostępnym na entrust.com –  wykorzystywanie certyfikatów cyfrowych gwałtownie rośnie w przypadku aplikacji w chmurze i uwierzytelniania użytkowników.

Musimy jednak pamiętać, że pomimo najlepszych rozwiązań zawsze istnieje prawdopodobieństwo padnięcia ofiarą cyberprzestępstwa, w szczególności modnego ostatnimi czasy phishingu.

 

Phishing polega na wykorzystaniu inżynierii społecznej, czyli zespołu technik służących osiągnięciu określonych celów poprzez manipulację społeczeństwem.

 

 

Cyberprzestępcy podszywają się pod osoby lub instytucje, aby nakłonić użytkownika do działania zgodnego z ich zamierzeniami. Zazwyczaj celem cyberprzestępców jest wejście w posiadanie danych do logowania. Żeby przekonać się na czym polega tego typu proceder odsyłam do odsłuchania rozmowy z oszustem, który podszywał się pod pracownika banku, w celu otrzymania dostępu do aplikacji bankowej swojego rozmówcy. Nagranie rozmowy możesz odsłuchać na YouTube na kanale „Niebezpiecznik” w odcinku pt. „Rozmowa ze złodziejami, którzy od miesięcy oszukują Polaków”.

 

Według raportu Check Point wskutek pandemii COVID-19 globalne cyberataki wzrosły o 29 % (raport pobierzesz na stronie checkpoint.com). Świadomość rodzaju i poziomu zagrożeń z pewnością zmniejszy ryzyko kradzieży danych.

 

Klientom, w zależności od skali prowadzenia działalności, polecam przechowywanie danych na własnych dyskach, korzystanie z chmury prywatnej – niewspółdzielonej, ulokowanej wewnątrz sieci korporacyjnej lub zawarcie umowy outsourcingu usług informatycznych.

 

Przed podjęciem decyzji o sposobie przechowywania danych w chmurze, bez względu na jej rodzaj (chmura publiczna, społecznościowa, prywatna, czy hybrydowa), zalecam:

 

  1. poznać zasady technologiczne przetwarzania danych w chmurze, zrozumieć typy i różnice pomiędzy chmurami;
  2. dokonać wykładni procedury ochrony – użytkownik powinien wiedzieć z jakim modelem współodpowiedzialności ma do czynienia;
  3. przeprowadzić test dostępnych narzędzi chmurowych;
  4. po wybraniu chmury stworzyć:
  • politykę przetwarzania danych,
  • zasady zarządzania operacyjnego,
  • procedury kontroli,
  • metody szyfrowania danych,
  • monitoring zgodności z przepisami obowiązującego prawa,
  • procedurę zarządzania dostępami użytkowników do chmury.

 

za co odpowiada dostawca chmury obliczeniowejZapamiętaj, że odpowiedzialność jest rozproszona! Zazwyczaj dostawca chmury odpowiada za bezpieczeństwo infrastruktury chmury, a użytkownik za ochronę swoich danych w chmurze!

 

 

Ze względu na ryzyka IT oraz bezpieczeństwa, powyższy proces w średnich i dużych przedsiębiorstwach wpisuje się w harmonogram wdrożenia RODO. Oczywiście warto posiadać dedykowany program do przetwarzania danych osobowych, który ułatwi m.in. prowadzenie rejestru czynności przetwarzania oraz rejestru naruszeń.

 

 

Bezpieczeństwo cyfrowe

czym jest atak hackerski, jak się chronić przed wyłudzeniem danych w internecie?

 

Na przestrzeni ostatnich trzech miesięcy zgłosiło się do mnie dwóch klientów w sprawie ataków hackerskich. Pierwszy był atakiem brute force – atak polegający na stosowaniu różnych zestawień znaków aż do momentu, kiedy trafi się na właściwą kombinację. Drugi atak to modny phishing. Ze względu na zasady poufności i charakter pomocy, nie zdradzę szczegółów, ale mogę ujawnić, że zawiadomienie o podejrzeniu popełnienia przestępstwa na podstawie art. 287 k.k., reklamacja na system zabezpieczeń chmurowych, reklamacja na autoryzację transakcji wraz z odpowiednimi wnioskami dowodowymi, doprowadziły do zwrotu skradzionych pieniędzy z konta bankowego wraz z odsetkami.

 

Po ataku hackerskim moi klienci wyciągnęli odpowiednie wnioski i wiedzą, że:

 

  • muszą aktualizować swoje hasła, systemy i programy na których pracują;
  • stworzyć odmienne hasła do logowania w różnych miejscach;
  • stosować weryfikację dwuetapową;
  •  sprawdzać włączone aplikacje oraz subskrypcje na koncie Google;
  • być na bieżąco z opcjami prywatności i bezpieczeństwa swoich przeglądarek internetowych;
  • czytać ze zrozumieniem na jakie pliki cookies wyrazili zgodę;
  • nie mogą odpowiadać na podejrzane wiadomości lub telefony;
  • należy wybierać bezpieczne metody płatności;
  • mogą podawać numer karty płatniczej tylko wtedy, kiedy zajdzie taka konieczność;
  • najlepiej wykorzystywać do płatności internetowych kartę prepaid.

 

Karta przedpłacona , karta prepaid definicjaKarty przedpłacone (pre-paid cards) to karty funkcjonujące na zasadzie elektronicznego portfela; mają one wstępnie opłaconą wartość z możliwością doładowania lub bez tej możliwości. W praktyce opiera się to na tym, że konsument najpierw opłaca konkretną wartość, którą może później wykorzystać. Następnie, kiedy dokonuje zakupu i płaci daną kartą, z karty pobierana jest kwota za zakupy. Niemożliwe jest przekroczenie "limitu” karty, czyli zapłacenie większej kwoty niż na jaką karta została zasilona (źródło: mfiles.pl).

 

 

 

Audyt zgodności z RODO – kontrola po wdrożeniu RODO

 

Kontrola powdrożeniowa RODO, audyt RODO

 

 

W jakim czasie od daty wdrożenia RODO przeprowadzić audyt zgodności  z RODO?

 

Audyt zgodności z RODO po wdrożeniu RODO weryfikuje, czy stworzone procedury przetwarzania danych osobowych, w tym procedura przeprowadzania oceny skutków dla ochrony danych i procedura zarządzania incydentami bezpieczeństwa danych są przestrzegane zgodnie z ich treścią oraz celem, któremu mają służyć. Termin kontroli najlepiej ustalić w porozumieniu ze specjalistą, który przeprowadzał wdrożenie RODO.

 

Swoim klientom zalecam audyt po 6 (sześciu) miesiącach od daty wdrożenia. Bywają przypadki, kiedy klient prosi o wcześniejszą weryfikację, aby upewnić się, czy w strukturze organizacyjnej firmy nie występują naruszenia ochrony danych osobowych.

 

Kontrola powdrożeniowa udziela odpowiedzi na pytania, czy administrator:

 

  • przestrzega zasad rozliczalności, ograniczenia celu przetwarzania danych, minimalizacji danych, odpowiedniego poziom bezpieczeństwa IT, integralności i poufności danych, retencji danych;
  • spełnia obowiązki informacyjne względem osób, których dane przetwarza;
  • prawidłowo i rzetelnie prowadzi rejestry;
  • stosuje wystarczające środki ochrony np. szyfrowanie danych, anonimizacja danych, autoryzacja dostępu do danych;
  • monitoruje zmiany w prawie i w ślad za nimi aktualizuje dokumentację RODO.

 

Audyt kończy się analizą zebranych informacji, na podstawie których należy opracować zalecenia i rekomendacje wdrożeniowe.

 

 

Czy mogę samodzielnie przeprowadzić audyt?

 

Czy mogę samodzielnie wdrożyć RODO

 

„Nikt nie może być sędzią we własnej sprawie” – ta paremia prawnicza wskazuje na podstawowy warunek bezstronności organu rozstrzygającego sprawę. Oceniając samych siebie możemy nie zauważyć podstawowych błędów lub słabych punktów naszej struktury organizacyjnej w zakresie przestrzegania danych osobowych.

 

Wdrożenie RODO powinno zostać przeprowadzone przez prawnika specjalizującego się w ochronie danych osobowych lub inspektora ochrony danych, czyli osobę z odpowiednią wiedzą i doświadczeniem w zakresie ochrony danych, powołaną przez administratora lub podmiot przetwarzający do pomocy przy przestrzeganiu przepisów o ochronie danych osobowych.

 

Również kontrola powdrożeniowa powinna zostać dokonana przez specjalistę RODO.

 

 

Postępowanie w razie naruszenia ochrony danych osobowych

kary za naruszenie danych osobowych

 

Co zrobić, kiedy wystąpi incydent bezpieczeństwa danych osobowych?

 

Zacznę od przypomnienia, że naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 RODO).

 

Czas na zawiadomienie o naruszeniu

 

Zgodnie z motywem 85 RODO natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.

 

wyciek danych osobowych do sieci, co zrobić?Przykład braku obowiązku zgłoszenia

Twojemu pracownikowi skradziono laptopa, który zawierał dane osobowe, ale jego dysk był zaszyfrowany, a hasło do odszyfrowania znajdowało się w zabezpieczonym miejscu i nie zostało złamane, co oznacza, że dane osobowe były nieczytelne dla każdego, kto wszedł w posiadanie laptopa bez hasła.

 

 

Administrator kierując się zasadą rozliczalności musi wykazać, że dane osobowe są przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.

 

Motyw 77 RODO opisuje instrumenty pozwalające na wdrożenie odpowiednich środków bezpieczeństwa oraz ocenę ryzyka : „Wskazówki co do tego, jak wdrożyć odpowiednie środki oraz wykazać przestrzeganie prawa przez administratora lub podmiot przetwarzający dane – w szczególności jeżeli chodzi o identyfikowanie ryzyka związanego z przetwarzaniem, o jego ocenę pod kątem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia oraz o najlepsze praktyki pozwalające zminimalizować to ryzyko – mogą być przekazane w szczególności w formie zatwierdzonych kodeksów postępowania, zatwierdzonej certyfikacji, wytycznych Europejskiej Rady Ochrony Danych lub poprzez sugestie inspektora ochrony danych. Europejska Rada Ochrony Danych może wydawać wytyczne także w sprawie operacji przetwarzania, których nie uznaje się za mogące powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, i wskazywać, jakie środki mogą wystarczyć w takich przypadkach dla zaradzenia takiemu ryzyku.”

 

W ciągu 72 h specjalista RODO powinien ustalić na czym polega incydent i czy wymaga zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych. Ponadto powinien podjąć działania, które ograniczą lub wyeliminują skutki incydentu. Informacja o incydencie powinna znaleźć się w rejestrze naruszeń ochrony danych, nawet jeśli incydent nie zostanie zgłoszony!

 

W takiej sytuacji zawsze należy dokonać oceny ryzyka naruszenia praw i wolności danych osoby fizycznej, której dane zostały przypadkowo lub niezgodnie z prawem zniszczone, utracone, zmodyfikowane, ujawnione lub do których osoba nieuprawniona otrzymała dostęp.

 

Jeżeli wynik oceny ryzyka naruszenia praw i wolności danych wskutek incydentu będzie pozytywny, należy ustalić stopień zagrożenia. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.

 

czym jest ryzyko naruszenia danych osobowych?Ryzyko naruszenia praw lub wolności występuje, kiedy naruszenie może skutkować fizyczną, materialną albo niematerialną szkodą dla osoby fizycznej.

 

 

W przypadku wystąpienia wysokiego ryzyka, administrator musi zawiadomić PUODO oraz zainteresowaną osobę.

 

Zgodnie ze stanowiskiem PUODO wyrażonym w decyzji o nr DKN.5131.11.2020 samo potencjalne wystąpienie ryzyka dla praw lub wolności powinno skłonić administratora danych osobowych, do zgłoszenia naruszenia i powiadomienia o incydencie zainteresowaną osobę.

 

Sposób zawiadomienia o naruszeniu

 

Zgłoszenia naruszenia ochrony danych osobowych dokonujemy elektronicznie, na formularzu dostępnym na stronie UPDO.

 

Zawiadomienie osoby, której dane dotyczą powinno zawierać charakter naruszenia ochrony danych osobowych, opisany jasnym i prostym językiem oraz środki zastosowane lub proponowane przez administratora w celu wyeliminowania naruszenia ochrony danych osobowych albo zminimalizowania jego ewentualnych negatywnych skutków.

 

Administrator powinien zawiadomić zainteresowaną osobę w sposób zgodny z wewnętrzną procedurą zarządzania incydentami bezpieczeństwa danych osobowych.

 

Jeśli administrator stwierdzi, że podmiot danych nie podlega zawiadomieniu, to PUODO może stwierdzić inaczej i zażądać od administratora stosownego zawiadomienia.

 

Kara pieniężna za brak zawiadomienia o naruszeniu danych

 

Niezawiadomienie osoby, której danych dotyczy incydent powodujący dla niej wysokie ryzyko naruszenia praw lub wolności może stanowić podstawę do nałożenia na administratora lub podmiot przetwarzający administracyjnej kary pieniężnej w wysokości 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

 

Czy prawnik może przeprowadzić wdrożenie RODO?Dlatego ocenę ryzyka naruszenia praw i wolności danych osoby fizycznej należy pozostawić prawnikowi – ekspertowi RODO i IOD!

 

 

Obowiązki dotyczące naruszeń zostały również określone w ustawie z dnia:

 

  • 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. 2004 nr 171 poz. 1800 z późn. zm.),
  • 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. 2019 poz. 125),
  • 15 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U.2018.1560),

oraz w rozporządzeniu eIDAS - Rozporządzenie (UE) nr 910/2014

w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym.

 

Jak przestrzegać RODO?

W następnych artykułach przedstawię obowiązki administratora związane z naruszeniami ochrony danych osobowych, wynikające z wymienionych aktów prawnych.

 

 

O czym pamiętać podczas przetwarzania danych osobowych w sieci? Wdrożenie RODO online i zdalne wdrożenie RODO

 

 

Jeżeli masz dodatkowe pytania dotyczące przetwarzania danych w chmurze obliczeniowej lub potrzebujesz wdrożenia RODO przy skutecznej optymalizacji kosztów firmy (audyt, analiza ryzyka, dostosowanie procesów i środowiska IT, dokumentacja, szkolenia), to serdecznie zapraszam do współpracy.

 

 

 

Do usłyszenia lub napisania!

Prawnik

Ewelina Fuławka

 

 

 

Podstawa prawna

 

Motyw 77–85 RODO

 

Art. 4 RODO

 

Art. 35–37 RODO

 

Decyzja PUODO o nr DKN.5131.11.2020 z dnia 30.06.2021 r.

 

NOTA PRAWNO–INFORMACYJNA

 

Wiadomości prawne zawarte w niniejszym artykule nie stanowią porady prawnej, lecz mają charakter informacyjny. Artykuł uwzględnia stan prawny obowiązujący w dniu jego sporządzenia tj. w dniu 17.08.2021 r.

 

WSZELKIE PRAWA ZASTRZEŻONE

 

Chcesz skorzystać z artykułu? Kup licencję na treść. Zakupiona licencja umożliwia publikację w Internecie w zgodzie z ustawą o prawie autorskim i prawach pokrewnych z dnia 4 lutego 1994 r. oraz z prawami majątkowymi Autora publikacji. Kopiowanie oraz rozpowszechnianie artykułu bez zgody Autora jest niedozwolone i może podlegać odpowiedzialności cywilnej. Za wykorzystanie artykułu bez uprzedniej pisemnej zgody autora, ustala się minimalną wysokość opłaty licencyjnej w kwocie wskazanej w § 4 ust. 6 Regulaminu CPO.

 

 

POZNAJ AKTUALNĄ OFERTĘ USŁUG CENTRUM PRAWNEGO ONLINE

Kliknij w obrazek i pobierz ofertę

 

Regulamin sklepu internetowego, umowa, wdrożenie RODO, polityka prywatności

PRZECHODZĘ DO POPRZEDNICH PUBLIKACJI

 

chmura obliczeniowa, wdrożenie RODO, naruszenie ochrony danych osobowych, incydent bezpieczeństwa
Regulamin sklepu internetowego prawnik dla firm  prawnik online prawnik Wrocław
Regulamin sklepu internetowego prawnik dla firm  prawnik online prawnik Wrocław

Przydatne informacje i porady.

Twoja firma zgodna z prawem.

więcej o mnie

Blog prawny dla firm

Prawnik dla firm blog dla firm regulamin sklepu internetowego polityka prywatności

Prawnik Ewelina Fuławka-Nawrocka

pomoc prawna online
pomoc prawna online

tel. 739 972 265

e-mail: biuro@centrumprawneonline.pl

pomoc prawna online

Regulamin usług 

Polityka prywatności

pomoc prawna online

Jesteśmy tutaj

od pon. do czw. od 09:00 do 17:00

w pt. nieczynne