#gdpr #gastro #hotel. 16. února Janka Brezániová

Transkript

1 #gdpr #gastro #hotel 16. února 2018 Janka Brezániová

2 Obecné Nařízení o ochraně osobních údajů G D P R General Data Protection Regulation Regulation (Nařízení) > Directive (Směrnice) 2

3 Čemu se chcete vyhnout GDPR eprivacy Zákon o kybernetické bezpečnosti EUR nebo 4% z celkového ročního obratu celosvětově za předchozí finanční rok EUR nebo 2% EUR, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok FO: do Kč PO nebo podnikající FO: od Kč do Kč 3

4 GDPR - základní info Nařízení EU o ochraně osobních údajů nejkomplexnější soubor pravidel na ochranu osobních dat a jejich zpracování NA KOHO SE VZTAHUJE Správce, zpracovatel, subjekty údajů, dozorové úřady (ÚOOÚ), Sbor NA CO SE VZTAHUJE Zpracování osobních údajů KDE PLATÍ EU + EFTA (Brexit?) I třetí země, pokud zpracování probíhá v EU OD KDY 25. květen 2018 Zdroj: 4

5 Co jsou osobní údaje? 5

6 Osobní údaje Veškeré informace (obrazové, slovní, IP adresa, atd.) Vztahující se (vztah daný obsahem, jméno a adresa pracovní pozice) K identifikované nebo identifikovatelné fyzické osobě (specifické charakteristiky, nepřímá identifikace s přihlédnutím ke všem prostředkům, např. výběr vyčleněním) Šifrované údaje (někdo má klíč) Co kontaktní údaje na webu? 6

7 Osobní údaje Informace přiřaditelné k člověku X osobní údaje zesnulých X anonymizované údaje Vše, co mne odlišuje od ostatních subjektů (osobní identita) Obecné osobní údaje i organizační osobní údaje Čím více osobních údajů zpracováváte, tím větší riziko!!! 7

8 Co jsou citlivé osobní údaje? Zdroj: oit.edu Zdroj: clarku.edu Zdroj: wikipedia.org Zdroj: totango.com Zdroj: gemalto.com Zdroj: thenationonlineng.net Zdroj: genengnews.com Zdroj: enca.com Zdroj: rlhsnews.com 8

9 Citlivé osobní údaje Speciální okruh osobních údajů zdravotní stav sexuální orientace členství v odborech náboženství, filozofické vyznání politické názory rasový či etnický původ pravomocné odsouzení, trestní delikty genetické a biometrické údaje osobní údaje dětí 9

10 Zpracování Jakákoliv operace (či soubor operací) s osobními údaji X zpracování v rámci osobních a domácích činností X národní bezpečnost X kontrola hranic, migrace, azyl X vyšetřování a odhalování trestných činů Ruční i automatizované Profilování V SRN i umístnění tlačítka sociální sítě na web Zdroj: lupa.cz 10

11 Jsem správce, zpracovatel nebo obojí? Správce určuje: Společní správci účel (chci vědět, jaké průměrné hodnocení jsme od klientů obdrželi za poslední měsíc) prostředky (analýza informací z formulářů zadaných klienty pomocí našich webových stránek) Odpovědnost! Zpracovatel vykoná to, co správce určí Zabezpečení! Řetězení zpracovatelů Vzájemný vztah Správce vs. Zpracovatel Smlouva o zpracování osobních údajů...tak to nemáme 11

12 GDPR principy zpracování Zákonnost, spravedlivost a transparentnost Integrita, důvěrnost a Shromáždění pro určité, výslovně vyjádřené a legitimní účely ODPOVĚDNOST Omezení uložení Minimalizace údajů Přesnost údajů a aktuálnost dat 12

13 Zákonnost zpracování Zdroj: oecd.org Zdroj: piperreport.com Zdroj: linkedin.com Zdroj: triexforces.com 13

14 Zákonnost zpracování Plnění smlouvy (i jednání o smlouvě) Životně důležité zájmy subjektu dat Oprávněné zájmy správce Veřejný zájem Právní povinnost (vyplývající z jiných právních předpisů) Souhlas 14

15 Zdroj: missinfogeek.net 15

16 Informační povinnost Vždy je potřeba subject údajů informovat (ne jenom u souhlasu) O čem: co kdo účel zájem nebo povinnost doba dobrovolně/nutně upozornit na práva 16

17 Práva subjektů osobních údajů Výrazně posílena Právo na: přístup opravu výmaz a právo být zapomenut omezení zpracování přenositelnost údajů vznesení námitky Bude pravděpodobně zneužíváno ze strany nespokojených zákazníků nebo zaměstnanců Oznámení (PRIVACY NOTICE) by mělo upravovat postup, jakým může subjekt osobních údajů uplatnit svoje práva 17

18 Vaše povinnosti (výběr) Jmenování pověřence pro ochranu osobních údajů (DPO) povinný pro veřejné orgány rozsáhlé systematické monitorování rozsáhlé zpracování citlivých dat Hlášení úniku údajů do 72 hodin zpracovatel/správce Záznamy o činnostech zpracování povinnost pro správce i zpracovatele musí být na požádání poskytnuty dozorovému orgánu neplatí pro organizaci s méně než 250 zaměstnanci neexistuje riziko pro práva subjektů dat nejsou zpracovávány citlivé údaje 18

19 Na co má GDPR dopad ve firmě Obchodní procesy Marketing Dodavatelé Většina prováděných Podpůrné procesy Archivace Skartace Zálohování Dokumenty Smlouvy Obchodní podmínky Interní předpisy IT systémy Web, aplikace Reporty Úložiště, archivy, zálohy Zdroj: keepcalmandcarryon.com 19

20 Rozsah oblastí s možným dopadem GDPR In-House vs. Outsourcing Papírové uložiště Informační systémy Klientské centrum Procesy a činnosti Bezpečnost Osobní informace Souhlasy 20

21 GDPR a nové požadavky na IT Aktuálně palčivé otázky ne/jen pro IT: Umíme vést záznamy zpracování, kde zpracováváme? Pod který účel které zpracování náleží a po jakou dobu? Jaká množina osobních údajů je pro daný účel aktuálně potřebná? Známe obsažené subjekty / typy subjektů údajů u jednotlivých zpracování? Víme které zdroje obsahují aktuálně které kategorie údajů (bezpečnostní incidenty)? Máme přehled nad aktuálním rizikem pro subjekty údajů? Jsme schopni veškeré naše úvahy, kroky a návaznosti doložit a čím? Jak jsme schopni implementovat případné kodexy? Jaké bezpečnostní incidenty umíme vyhodnotit a jak je zabezpečen postup jejich analýzy, případného forenzního zajištění a eskalace k vyhodnocení hlášení do 72 hodin? A co DPO? Umíme zabezpečit všechna práva subjektů údajů? 21

22 To je vše hezké, ale co máme tedy teď dělat? Zjistit: jaké osobní údaje/citlivé údaje vlastně zpracováváme jak osobní údaje/citlivé údaje zpracováváme (resp. co všechno s nimi dělám) zda jsem v pozici správce či zpracovatele kde všude je mám uložené (elektronicky, v papírové formě) zda mám ke všem osobním/citlivým údajům titul ke zpracování pokud je titulem souhlas, jestli byl udělen v souladu s GDPR zda osobní údaje/citlivé údaje zpřístupňuji/poskytuji někomu dalšímu/třetím osobám zda mám potřebné dokumenty zda jsou osobní údaje/citlivé údaje dostatečně zabezpečeny co dělat, když dojde k narušení bezpečnosti/úniku údajů zda jsem schopen zajistit osobám jejich práva (výmaz, aktualizace, atd.) 22

23 Vaše povinnosti Příprava dokumentace informace, souhlasy zpracovatelská smlouva, smlouva společných správců záznamy o činnostech zpracování školení zaměstnanců, úprava procesů ve firmě posouzení vlivu: profilování systematický monitoring citlivé údaje údaje ve velkém rozsahu předávání mimo EU automatické rozhodování o právech údaje zranitelných osob, inovativní technologie Zdroj: defeatdiabetes.org bránění přístupu ke službě STAČÍ 2 ASPEKTY 23

24 Přístup k implementaci GDPR Organizace musí zejména: Upravit procesy a systémy tak, aby byly dodržovány principy zpracování Zajistit zpracování osobních údajů v souladu s GDPR, zejména se zásadami zpracování Upravit procesy umožňující výkon nových práv subjektů údajů a informační povinnosti Upravit procesy a technologie v souladu s požadovanou bezpečností Nastavit procesy zjišťování a oznamování porušení zabezpečení osobních údajů a další povinnosti typu compliance Zřízení (po analýze) pozice DPO a nastavení jeho úkolů, resp. zajištění výkonu funkce Připravit dokumentaci k doložení souladu s GDPR 24

25 Doporučený přístup k zajištění shody s GDPR Komplexní přístup: na sebe navazující fáze výrazný dopad na řadu interních činností a procesů zapojení expertů (spolupráce s managementem) 1. Definice rozsahu posuzování 2. Analýza stávajícího stavu zpracování osobních údajů 3. Příprava projektových záměrů a harmonogramu implementace 4. Realizace projektových záměrů 25

26 Kde mohou hoteliéři/gastro získat metodickou pomoc?

27 DĚKUJI ZA POZORNOST Zdroj: memecreator.org 27

28 Kontakt Janka Brezániová Ovocný trh 12, Prague 1, Czech Republic Tel.: