GDPR Protec - ibr-rbi.ro · 2 Agenda: protecția datelor personale 1. Frauda utilizând...

6 iulie 2017

GDPR – Protecția datelor personale

2

Agenda: protecția datelor personale

1. Frauda utilizând identități furate sau falsificate

2. GDPR

3. Măsuri de protecție a datelor personale

4. Răspunsul în caz de incidente

2

© 2017 Deloitte Romania 3

1.Frauda utilizând identități furate sau falsificate

3

© 2017 Deloitte Romania

• Tip de delict prin care un infractor sau grup de infractori fură informații/ date personale pentru a comite fraude

• Tipuri de furturi de identitate includ:

• Furtul codurilor/ datelor de identificare (CNP, security number, serie și număr documente de indentificare, etc.)

• Furtul datelor personale utilizate în mediului online - nume, prenume, fotografii, alte informații personale

• Furtul datelor personale wireless (RFID)

• Furturi de date personale pentru categorii speciale, vulnerabile: copii, batrani, bolnavi, persoane decedate

Furt de identitate

Frauda utilizând identități furate sau falsificate

4


• Câstiguri financiare și economice

• Aplicații false pentru credite sau carduri de credit

• Retrageri frauduloase de bani din conturi

• Utilizare frauduloasă a cardurilor preplatite și a conturilor online

• Obtinerea frauduloasă de bunuri și servicii

• Impersonare în mediul online (FB, LinkedIn, Twitter, etc.)

• Delicte cibernetice

• Spălare de bani

• Trafic de persoan, droguri, arme

• Imigrație ilegală

Identități furate sau falsificate


5


• Compromiterea rețelei Play Station și furtul datelor cardurilor utilizatorilor – 77 mil de conturi au fost expuse; serviciile au fost indisponibile pentru 23 de zile

• TJX – 45 mil de conturi compromise, inclusive carduri de debit și credit

• Phillip Cummings – a vândut rapoarte de credit către o rețea nigeriană – 30,000 de păgubiți, 15mil $

• Amar Singh și Neha Punjani-Singh – au folosit informații personale pentru a face carduri de credit false - 13 mil $

• Cazuri ciudate: un francez a impersonat cel puțin 500 de persoane, o mamă a pretins că este fiica sa pentru a intra în clubul de majorete, …

Exemple


6


• 15.4 mil persoane au fost victime ale

furtului de identitate, 16% +

• Fraudele cu tranzacții efectuate prin

telefon au crescut cu 40%

• +31% acces neautorizat la conturi

• Conturi noi fraudulos create + 20%

• 16 miliarde furate in 2016, + 1

miliard față de 2015

Statistici - 2016


7


2. GDPR

8


According to the Digital Clarity Group „The GDPR could be a mortal threat to your company’s existence — and it makes fundamental decisions about data collection, processing, and storage into key strategic business issues."

Un pericol iminent?

GDPR

9

http://www.digitalclaritygroup.com/general-data-protection-regulation/


Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice in ceea ce privește prelucrarea datelor cu caracter personal si privind libera circulație a acestor date (“GDPR”) a intrat in vigoare la data de 25 mai 2016.

GDPR înlocuiește Directiva 95/46/EC privind protecția persoanelor fizice in ceea ce privește prelucrarea datelor cu caracter personal si libera circulație a acestor date si va fi direct aplicabil in toate statele membre ale UE fără a fi necesara transpunerea in legislația națională.

Reglementarea securității datelor și a obligației de raportare

GDPR

Lege nr. 677/2001

pentru protecția persoanelor

cu privire la prelucrarea datelor

cu caracter personal si libera circulație

a acestora (“LPD”)

21 noiembrie 2001

Legea nr. 102/2005

privind înființarea

Autorității Naționale de

Supraveghere a

Prelucrării Datelor cu

Caracter Personal

(“ANSPDCP”)

3 mai 2005

Aprobarea GDPR

27 aprilie 2016

Intrare in vigoare a GDPR

25 mai 2016

Aplicare GDPR

25 mai 2018

Romania adera

la UE

1 ianuarie 2007


Reglementare anterioară în LPD: Capitolul V – Confidențialitatea și securitatea prelucrărilor, art. 20 privind securitatea prelucrărilor:

Reglementarea securității datelor și a obligației de raportare

GDPR

Art. 20. - (1) Operatorul este obligat să aplice măsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea respectivă comportă transmisii de date în cadrul unei rețele, precum și împotriva oricărei alte forme de prelucrare ilegală. (2) Aceste măsuri trebuie să asigure, potrivit stadiului tehnicii utilizate în procesul de prelucrare şi de costuri, un nivel de securitate adecvat în ceea ce priveşte riscurile pe care le reprezintă prelucrarea, precum și în ceea ce privește natura datelor care trebuie protejate. Cerințele minime de securitate vor fi elaborate de autoritatea de supraveghere și vor fi actualizate periodic, corespunzător progresului tehnic și experienței acumulate. […] (4) Autoritatea de supraveghere poate decide, în cazuri individuale, asupra obligării operatorului la adoptarea unor măsuri suplimentare de securitate, cu excepția celor care privesc garantarea securității serviciilor de telecomunicații.

• Cerințele privind măsurile de securitate și obligațiile de raportare către autoritatea de supraveghere sunt reglementate in articolele 32 – 34 din GDPR.


Sancțiuni mai mari

GDPR

Amenzi de pana la 10.000.000 EUR sau, in cazul unor întreprinderi, 2% din cifra de afaceri mondială totală anuala corespunzătoare exercițiului financiar anterior, luându-se cea mai mare valoare pentru încălcarea dispozițiilor privind, de exemplu, următoarele:

Obligațiile operatorului si ale persoanei împuternicite de operator

Obligațiile organismului de certificare

334 EUR - 11,112 EUR Art. 33 LPD: Neîndeplinirea obligațiilor privind aplicarea măsurilor de securitate și de păstrare a confidențialității prelucrărilor, prevăzute la art. 19 și 20, constituie contravenție, dacă nu este săvârșită în astfel de condiții încât să constituie infracțiune, și se sancționează cu amendă de la 1.500 lei la 50.000 lei.

GDPR LPD

01 02

act:33560 12848425

act:33560 12848430


Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

10

Consimțământ – atenție!

Consimțământul – doar una dinte condițiile de legalitate a prelucrării: • forma accesibilă și inteligibilă • limbaj clar și simplu • acțiune clară • în cunoștință de cauză – informare prealabilă Daca societatea s-a bazat pe consimțământ, iar acesta este invalidat (e.g. viciat sau retras), este discutabil daca poate sa se ralieze pe un alt temei legal de prelucrare (e.g. interes legitim). In plus, apelarea la consimțământ afectează drepturile persoanelor vizate, acestea vor avea drepturi suplimentare in baza Regulamentului (e.g. dreptul de a fi uitat si dreptul la portabilitate).

Clarificarea temeiului legal al prelucrării

GDPR


Responsabilul cu protectia datelor personale

GDPR

14


1

2

3

Concept, clarificări

COR – o noua ocupatie (?)

Principala recomandare – evaluarea necesitatii de a numi o persoana responsabila

GDPR

Ce este responsabilul cu protectia datelor personale?

15


Responsabilul cu protecția datelor personale

activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă, sau

activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni. prelucrarea este

efectuată de o autoritate sau un organism public

GDPR


implicare in mod corespunzator si in timp util in toate aspectele legate de protectia datelor cu caracter personal

1

instructiuni cu privire la indeplinirea atributiilor 3

resurse necesare pentru exercitarea atributiilor

2

o anumita “imunitate” 4

GDPR

Poziția responsabilului cu protecția datelor

17


Scop

Primul pas pe care îl recomandăm societăților care prelucrează date cu caracter personal este o auto-evaluare, un audit intern care să răspundă cel puțin următoarelor întrebări:

− care sunt categoriile de date cu caracter personal prelucrate de către societate?

− dacă aceste date cu caracter personal sunt transferate şi către cine?

− dacă prelucrarea şi/sau transferul datelor respectă principiile şi regulile impuse de Regulament?

− dacă societatea are implementat un sistem de notificare/informare a persoanelor vizate, precum şi de preluare a consimțământului acestora?

− dacă există proceduri la nivelul societății pentru cazurile în care securitatea datelor cu caracter personal ar fi compromisă?

− este societatea în situația în care trebuie să numească un responsabil cu protecția datelor?

Rezultate

După îndeplinirea acestei auto-evaluări societățile pot începe implementarea măsurilor necesare pentru asigurarea conformității cu prevederile Regulamentului. Această etape presupune atât măsuri organizatorice (de exemplu prin crearea cadrului pentru funcționarea responsabilului cu protecția datelor sau prin implementarea procedurilor în cazul în care securitatea datele cu caracter personal ar fi compromisă), dar şi tehnică.

− mediul ITC utilizat de organizație pentru prelucrarea datelor cu caracter personal;

− măsurile tehnice și organizatorice luate deja de organizație pentru a respecta cerințele de confidențialitate, e.g. documentație de confidențialitate, politici, ghiduri, declarații de confidențialitate, clauze contractuale, măsuri luate cu privire la transferul internațional de date, etc.

Scopul evaluării este de a oferi o viziune de ansamblu clară asupra gradului de respectare a confidențialității și protecției datelor cu caracter personal în cadrul organizației locale. Practic, societatea va avea o privire de ansamblu a tuturor activităților de prelucrare de date la nivelul societății, a proceselor de business care implica prelucrare de date, cu indicarea precisa a zonelor in care trebuie luate masuri pentru a asigura respectarea Regulamentului.

Evaluarea diagnostic a activităților de prelucrare la nivelul societății

GDPR


3. Măsuri de protecție

19


Privire de ansamblu

Măsuri de protectie

20

5. Principiile protectiei datelor

Procesarea datelor personale este realizata conform cerintelor legale, limitata ca scop, proportionala, precisa si transparenta pentru persoana vizata, asigurand pastrare pentru o perioada limitata

3. Securitatea datelor

Datele sunt procesate in conditiii de siguranță; divulgările de date

personale semnificative sunt raportate

1. Guvernanta (datelor)

Atitudinea conducerii, politicile implementate, roluri și responsabilități precum și structuri organizatorice contribuie decisiv la protecția

datelor personale

2. Drepturile persoanelor vizate

Operatorii oferă persoanelor vizate controlul pentru conținutul si scopul datelor procesate

4. Transferul datelor

Controale sunt implementate pentru a asigura protecția

adecvata a datelor personale de către terți

Cerințe ale regulamentului care sunt implementate la nivel central si care pot fi evaluate o singura data pentru intreaga organizatie

Cerințe ale standardului care sunt implementate separat la nivelul proceselor de resurse umane si de business si care trebuie evaluate individual


Guvernanța organizației în contextul GDPR

Măsuri de protecție

Politici și proceduri

Responsabil cu protecția datelor

Inregistrări ale activităților de

procesare

Protecția datelor începând cu momentul proiectării

Analiza impactului asupra protecției

datelor

Protectia implicită a datelor

Managementul riscurilor

21


GDPR art. 25


(1) Având în vedere stadiul actual al tehnologiei, costurile implementării[...], operatorul [...] pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și a proteja drepturile persoanelor vizate

(2) Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligație se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane

Motivare (1): Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene („carta”) și articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene (TFUE) prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc.

Privacy by

design

Privacy by

default

22


Privacy by Design


Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit – înseamnă construirea de sisteme care iau in considerare confidențialitatea datelor încă de la arhitectura, operarea și managementul unui sistem, procese de business sau chiar specificații de design;

Se bazează pe aderarea la cele 7 Principii Fundamentale ale Privacy by Design în construirea de noi sisteme (formulate de Dr. Ann Cavoukian, Executive Director, Privacy and Big Data Institute)

Privacy by ReDesign – aplicarea principiilor asupra diferențele de conformitate a sistemelor existente.

23


4. Răspunsul la incidente

24


Breșă și incident

Răspunsul la incidente

Securizare – operatiuni, aplicații și infrastructură

Securizare – operatiuni și infrastructură

art. 4 (12) „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;

art. 5 (1)(f) Datele cu caracter personal sunt: (f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”).

25


Securitatea prelucrării - art. 32


Securizare – operațiuni și infrastructură

Teste de penetrare

Securizare – operațiuni și infrastructură

Tehnologii specifice

(1) Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, [...], operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

(a) pseudonimizarea și criptarea datelor cu caracter personal;

(b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;

(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

(d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

26


Provocări strategice – reziliența


• Dezvoltarea unei viziuni privind managementul securității și riscului, bazată pe încredere și reziliență în dimensiunea digitală a businessului.

• Adaptarea obiectivelor strategice de risc și securitate pentru a fi aliniate noilor realități digitale.

• Adoptarea celor 6 principii de încredere și reziliență (#6 Trecerea de la protecție la detecție și răspuns)

• Dezvoltarea și adaptarea unei arhitecturi contextuale de securitate.

• Implementarea și gestionarea unui program formal de management al securității și riscului bazat pe procese interne, care să susțină business-ul digital.

• Sursa: Gartner, Managing Risk and Security at the Speed of Digital Business

27

http://www.gartner.com/document/3224717?ref=solrAll&refval=168639426&qid=22205dc3f584b3d0bb2ceaa1416f5601

http://www.gartner.com/document/3224717?ref=solrAll&refval=168639426&qid=22205dc3f584b3d0bb2ceaa1416f5601


Monitorizare – evidențe


Monitorizare – activități și securitate

Monitorizare – activități și securitate

art. 30(1) Fiecare operator și, după caz, reprezentantul acestuia păstrează o evidență a activităților de prelucrare desfășurate sub responsabilitatea lor. Respectiva evidență cuprinde toate următoarele informații:

(g) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 32 alineatul (1).

art.30(2) Fiecare operator și, după caz, persoana împuternicită de operator păstrează o evidență a tuturor categoriilor de activități de prelucrare desfășurate în numele operatorului, care cuprind:

* art 32 (1) – Securitatea prelucrării

28


Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal


art.33(1) în cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore [...]. în cazul în care notificarea nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată din partea autorității de supraveghere.

art.33(2) Persoana împuternicită de operator înștiințează operatorul fără întârzieri nejustificate după ce ia cunoștință de o încălcare a securității datelor [...]

art.33(3) Notificarea menționată la alineatul (1) cel puțin: (a) descrie caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză; (b) comunică numele și datele de contact ale responsabilului [...] (c) descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

29


Obține implicarea conducerii superioare

Implica principalii actori: responsabilul de securitate, persoana din conducere responsabila de conformitate privind protecția datelor, IT (dezvoltare & operațiuni), risc, juridic, conformitate, responsabili procese/produse/servicii, utilizatori finali, …

Caută aliați în interiorul organizației, e.g. Financiar, Achiziții (funcții “cheie”)

Definirea clară: aceeași înțelegere evitarea modificării scopului și obiectivelor

Evită abordarea departamentală: este important să fie înțeles întregul ciclu de viață al datelor de către toți responsabilii

Termene clare necesare pentru acțiuni de remediere

Protecția datelor nu trebuie sa încetinească activitățile de afaceri ci sa le faciliteze

• Determinați-vă rolul: sunteți operator sau persoană împuternicită?

• Protecția datelor prin proiectare si dezvoltare va deveni obligatorie (General Data Protection Regulation)

• Nu exista un standard (încă), doar cerințe minime (bune practici)

• Adaptarea cerințelor fiecărei organizații în parte

• Creșterea valorii prin integrare in procesul existent de management al riscurilor informaționale

• Folosește protecția datelor personale pentru a creste nivelul de conștientizare privind securitatea datelor in general in cadrul organizației

• Desfășurați o evaluare de risc, dacă este cazul și implementați măsurile sugerate de experți.

• Asigurați-vă că este clar cine este persoana responsabilă cu securitatea datelor cu caracter personal și cu securitatea sistemelor informatice.

Recomandări

Sumar

30

6 iulie 2017

GDPR – Protecția datelor personale

Numele Deloitte se refera la organizatia Deloitte Touche Tohmatsu Limited, o companie cu raspundere limitata din Marea Britanie, la firmele membre ale acesteia, in cadrul careia fiecare firma membra este o persoana juridica independenta. Pentru o descriere amanuntita a structurii legale a Deloitte Touche Tohmatsu Limited si a firmelor membre, va rugam sa accesati www.deloitte.com/ro/despre. Reff si Asociatii SCA este societate de avocati membra a Baroului Bucuresti, independenta in conformitate cu reglementarile aplicabile profesiei de avocat, si reprezinta reteaua de societati de avocati Deloitte Legal in Romania. Deloitte Legal inseamna practicile juridice ale membrilor Deloitte Touche Tohmatsu Limited si afiliatii acestora care ofera servicii de asistenta juridica. Pentru o descriere a serviciilor de asistenta juridica oferite de entitatile membre ale Deloitte Legal, va rugam accesati: http://www.deloitte.com/deloittelegal. Deloitte furnizeaza servicii clientilor din sectorul public si privat in urmatoarele domenii profesionale - audit, taxe, consultanta, consultanta

financiara – deservind numeroase industrii. Prin intermediul retelei sale globale de firme membre, care activeaza in peste 150 de tari, Deloitte pune la dispozitia clientilor sai resursele internationale precum si priceperea locala pentru a-i ajuta sa exceleze indiferent de locul in care acestia isi desfasoara activitatea. Obiectivul celor 225 000 de profesionisti din Deloitte este acela de a crea un impact vizibil in societate.


http://www.deloitte.com/ro/despre

http://www.deloitte.com/deloittelegal

GDPR Protec - ibr-rbi.ro · 2 Agenda: protecția datelor personale 1. Frauda utilizând...

Documents

Transcript of GDPR Protec - ibr-rbi.ro · 2 Agenda: protecția datelor personale 1. Frauda utilizând...