Dopady GDPR a jejich vazby

Transkript

1 GDPR Dopady GDPR a jejich vazby Algotech & Michal Medvecký Algotech Telefon: Fax: Web: Adresa: info@algotech.cz FUTURAMA Business Park Sokolovská 668/136 D Praha 8, Česká republika

2 O mě Petr Loužecký Petr je ředitelem úseku AlgoCloud společnosti Algotech, a.s.. V posledních 20 letech působí na různých pozicích v IT sektoru od menších firem až po mezinárodní banky. Má zkušenosti s řízením mnoha projektů a s nasazením systémů zejména jak z oblasti telekomunikačních systému, tak i podnikových ERP systémů. Je odborníkem v oblastech datových center a infrastruktury. Během své praxe nasbíral zkušenosti v bankovním sektoru a v provozování kritické infrastruktury. Petr působil mnoho let v oblasti bezpečných IT systémů a má zkušenosti s normami a metodikami, Prince2, PCI DSS, ISO, ITIL atd. Aktuálně se zabývá problematikou kybernetického zákona a nařízení GDPR v rámci denní praxe při provozu Cloudových služeb.

3 Harmonogram Algotech & Partneři Legislativa a její dopad Informační a kybernetická bezpečnost GDPR definice GDPR zásady zpracování DPO Reálné dopady Příklad Porušení, sankce a pokuty Možnosti řešení

4

5 Algotech v datech Vznik v České republice v roce 1997 Počet zaměstnanců: 85 Počet poboček v zahraničí: 6 Ø Slovensko Ø Polsko Ø Maďarsko Ø Srbsko Ø Rumunsko Ø Slovinsko

6 Algocloud Vlastní datové centrum Algotechu Jedno z nejmodernějších datových center v CEE Provoz 24 x 7 Dostupnost až 99,99% Striktní bezpečnostní politika Redundance všech systémů / georedundance

7 Algocloud ISO 2700x GDPR audit kybernetickým úřadem do začátku platnosti normy GDPR Ready certifikace zatím neexistuje!!!

8 Co děláme? Telco ERP Cloud

9 Proč Algotech? Partnerství Dlouhodobá spolupráce s klienty, rozvoj a servis Profesionalita Zkušenosti a reference v oblasti ICT Zkušenost Znalost technologického prostředí call center a jeho potřeb Připravenost Vlastní technologické zázemí (AlgoCloud) ServiceDesk a monitoring 24/7/365 Zkušenost s poptávanými činnostmi Standardizace Realizace servisních činností dle ITIL, expertní tým Certifikace a autorizace

10 REFERENCE ERP

11 REFERENCE TELCO

12 REFERENCE CLOUD

13 GDPR Nové výzvy

14 Nové výzvy GDPR (General Data Protection Regulation) je nařízení Evropské unie, které vstoupí v účinnost Jeho cílem je zvýšit úroveň ochrany osobních údajů a posílit práva občanů Evropské unie v této oblasti.

15 Komplexní pohled na legislativu ZOOÚ Zákon č 101/200 Sb. O ochraně osobních údaj GDPR Nařízení Parlamentu a Rady EU č. 016/679 ZKB Zákon číslo 181/2014 SB o kybernetické bezpečnosti ZKŘ - Zákon č 240/2000 Sb. o krizovém řízení a o změně některých zákonů eidas Nařízení Evropského Parlamentu a Rady EU č. 90/2014 o elektronické identifikaci a službách vytvářejících důvěru. ZEK Zákon č. 127/2015 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů NOZ Zákon číslo 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů TZ Zákon číslo 40/2009 Sb., trestní zákoník ZTOPO Zákon č. 418/2011 Sb. o trestní odpovědnosti právnických osob a řízení proti nim (ve znění novely č. 183/2016 SB)

16 Komplexní pohled na legislativu

17 Legislativa dopad na firmy Nařízení je platné pro všechny společnosti v EU, které manipulují s osobními údaji subjektů IT. Za ochranu dle směrnice je zodpovědný celý dodavatelský řetězec (od výrobce k dodavateli a zákazníkovi). Zavádí pozici Data Protection Officer ( DPO ).

18 Informační a kybernetická bezpečnost Informační bezpečnost Bezpečnost informací (integrita, dostupnost, důvěrnost) Týká se organizace (komunikační bezpečnost + fyzická, organizační) Obce/firmy/Nemocnice rozsáhlý zpracovatel OÚ (dodavatelský řetězec vazba na GDPR) Kybernetická bezpečnost Legislativní, organizační, technické prostředky k ochraně kyber prostoru V ČR Kybernetický zákon č. 181/2014 Sb. vč. vyhlášek č. 316 a 317 (probíhá novelizace vč. směrnice NIS 2016/1148)

19 GDPR General Data Protection Regulation Přímé a účinné nařízení EU č. 2016/679 (účinnost od ) Úzká vazba na Informační a Kybernetickou bezpečnost Zákon č. 101/2000 Sb. o ochraně osobních údajů

20 Subjekty

21 GDPR Zásady zpracování OÚ Transparentnost Informace o opatřeních Zákonnost a korektnost Zpracování v souladu souhlasem pro daný případ, smlouvou nebo právem nutného pro ochranu života a veřejném zájmu V souladu s kodexy Účelové omezení Minimalizace údajů Jen nezbytně nutné Přesnost Právo na opravu dat

22 Omezení uložení Právo být zapomenut Nový proces (mazání dat z archivů) Povinnost informovat druhou stranu o provedeném výmazu Integrita a důvěrnost Bezpečnostní opatření Odpovědnost Správce dat (i zpracovatel) odpovídá za data Bezpečnostní opatření GDPR Zásady zpracování OÚ

23 GDPR Definice (1/3)

24 GDPR Definice (2/3)

25 GDPR Definice (3/3)

26 GDPR Data Protection Officer DPO

27 GDPR DPO v organizaci

28 GDPR DPO náplň práce DPO = kolega CISO manažera právní a IT vědomosti a znalosti

29 GDPR DPO MUSÍ být jmenován nebo více jak 250 zaměstnanců

30 GDPR Reálné dopady Opatření Zajištění souladu zpracovatele OÚ (právní rozklad) Analýza (Asistované zhodnocení) zpracovávaných OÚ vč. kategorizace OÚ minimalizace rizik formou opatření Získání souhlasů se zpracováním OÚ (právní rovina) Zpracování posouzení vlivu na ochranu OÚ dle čl. 35 GDPR

31 GDPR Reálné dopady Opatření Dokumentační (ISMS) část procesu předávání OÚ uvnitř organizace rozšíření povinně bezpečnostní dokumentace Zavedení log managementu Zavedení procesu evidence a uložení záznamu o zpracování údajů (po dobu 18-ti měsíců) Zavedení pozice DPO a začlenění do org. struktury

32 GDPR Reálné dopady Opatření Anonymizace dat Pseudonymizace dat Šifrování dat Zavedení procesu kontroly Dodavatelského řetězce Auditní činnost pro oblast GDPR

33 GDPR Reálné dopady Opatření Zabezpečení komunikace dat OÚ s vnějším okolím (zabezpečená výměna dat) REALIZACE PŘIJATÝCH OPATŘENÍ (právní, technické, organizační, procesní ) AUDITNÍ ČINNOST z praxe definované minimum...

34 GDPR Ohlášení porušení OÚ

35 Souhlas se zpracováním osobních údajů Povinnosti správce

36 GDPR Sankce a pokuty POZOR Za porušení povinností podle GDPR dotčeným hrozí sankce až do výše EUR nebo 4% z celosvětového obratu vaší firmy

37 J

38 S čím umíme pomoci?

39 Naše služby Audit GDPR Outsourcing DPO Dohled a auditing nad IT (GDRP) IT systémy (z cloudu)

40 Co řeší dobrý Cloud Dostupnost Zálohování a obnovu Dohled a auditovatelnost Autorizaci Bezpečnost

41 Flexibilita Cloud roste s vámi Technologický partner

42 Bezpečnost Procesní Elektronická Fyzická

43 Dostupnost Redundance Zálohy Profesionalita

44 Podpora Správa Monitoring

45 Co se nemění Individuální přístup

46 Produkty Bezpečná úložiště a komunikace Bezpečnost SOPHOS Virtuální servery CRM / ERP / BI Dohled a zálohy Georedundance vašich systém

47 Děkujeme za pozornost. Diskuze, dotazy