Data management vs GDPR

Transkript

1 Data management vs GDPR Miroslav Dvořák Systems Engineer CZ/SK 2016 COMMVAULT SYSTEMS, INC. ALL RIGHTS RESERVED.

2 Agenda Ukázka Commvault Search Engine GDPR: co a proč Technologické aspekty GDPR Commvault jako technologický partner GDPR

3 GDPR: co a proč

4 Obecné nařízení na ochranu osobních údajů Ochrana fyzických osob při zpracování osobních údajů a pravidel o volném pohybu těchto údajů. Ochrana fyzických osob Osobní údaje Zpracování a pohyb

5 Potřeba regulace Zákon 101/2000 Sb. o ochraně os. údajů 1995 EU Directive 95/46/EC 1996 Research project in Standford (Google to be) 1998 Google index 60M web pages 2013 Google index 30x10 12 web pages 2016 EU Regulation 216/679 Rapid technological developments and globalisation have brought new challenges for the protection of personal data. The scale of the collection and sharing of personal data has increased significantly. Technology allows both private companies and public authorities to make use of personal data on an unprecedented scale in order to pursue their activities. Natural persons increasingly make personal information available publicly and globally. Technology has transformed both the economy and social life (6. Pag 2) 2004 Facebook launched 2006 Twitter launched 2006 Hadoop is born 2008 Dropbox launched 2010 First ipad 2014 IBM Watson open for business x10 9 gadgets Everything indexed on the web Universal access and generation of data Social Internet Big Data, Analytics, non-human access

6 Aspekty GDPR Právní aspekty GDPR Technologické aspekty Jedná se o obecné nařízení na rozdíl od směrnice nařízení platí v celém svém rozsahu v celé Evropské unii a je přímo použitelné Porušení zabezpeční osobních údajů (neoprávněné zničení, ztráta, úprava, neautorizovaný přístup) by měl správce ohlásit příslušnému dozorovému úřadu a subjektu údajů. Správci a zpracovatelé jsou za určitých podmínek pov inni jmenovat pověřence pro ochranu osobních údajů. Pověřenec poskytuje informace a poradenství správci či zpracovateli, včetně zaměstnancům, kteří se na zpracování podílejí. Vztahuje se i na organizace, které nemají sídlo v EU, ale poskytují služby a zboží na evropském trhu. Horní hranice správních pokut, které ukládá Úřad pro ochranu osobních údajů, je v současné době Kč. Nejvyšší dosud uložená pokuta za zjištěné a prokázané porušení povinností, za které se pokuty ukládají, nedosáhla ani polovinu sazby. Portabilita dat Záměrná a standardní ochrana dat Bezpečnost osobních dat Governance and odpovědnost Výmaz dat

7 Technologické aspekty GDPR

8 Portabilita dat Definice (68. str. 13 a Článek 20 str. 45) Aby měl subjekt údajů větší kontrolu nad svými údaji, měl by v případě, kdy se osobní údaje zpracovávají automatizovaně, mít též právo získat osobní údaje, které se ho týkají, a jež poskytl správci, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu a předat je jinému správci. Při výkonu svého práva na přenositelnost údajů podle odstavce 1 má subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné. Implikace Standardizace v oblasti systémů ukládání dat. Standardizace v oblasti sdílení a přenosu dat. Softwarově definované technologie.

9 Záměrná a standardní ochrana os. dat Definice (78. str. 15 a Článek 25 str. 48) Pokud jde o vývoj, koncepci, výběr a používání aplikací, služeb a produktů, které jsou založeny na zpracování osobních údajů nebo osobní údaje za účelem plnění svých funkcí zpracovávají, je třeba zhotovitele těchto produktů, služeb a aplikací vybízet k tomu, aby při vývoji a koncipování těchto produktů, služeb a aplikací zohledňovali právo na ochranu údajů a brali náležitý ohled na stav techniky s cílem zajistit, aby správci a zpracovatelé mohli plnit své povinnosti v oblasti ochrany údajů. Správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Implikace Dodavatelé řešení ochrany dat by měli investovat do inovací technologie tak, aby byl zajištěna ochrana dat na nejvyšší možné úrovni. Partneři a zákazníci musí začlenit principy ochrany dat již v ranné fázi návrhu řešení. Doba uložení os. dat, doba zpracování a přístupová práva musí být minimální.

10 Zabezpečení osobních dat Definice (Článek 32 str ) Implikace správce a zpracovatel provedou vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně: a) pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; Technologie šifrování a obnovy dat jsou klíčové. Požadavkem je garantované automatizované DR a granulární obnova dat. c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů; d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

11 Governance and zodpovědnost Definice (Článek 24 str. 47 a Článek 28 str. 49) S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována. Pokud má být zpracování provedeno pro správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů. Implikace Reporting and audit jsou klíčové funkce řešení ochrany dat. Zodpovědnost za dodržení standardů zpracování osobních dat musí být garantována v celém procesu zpracování dat.

12 Výmaz dat Definice (Článek 17 str ) Implikace Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud: osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány; Výše zmíněné se neuplatní, pokud je zpracování nezbytné pro určení, výkon nebo obhajobu právních nároků. Nastavení pravidel retence je klíčové pro primární i sekundární kopie dat Retence na úrovni objektů je klíčovou technologií Přechod ze zálohy s prodlouženou retencí na legal holds archiv

13 Commvault jako technologický partner

14 Jednotná platforma pro řízení dat a informací

15 Portabilita dat Content Store Otevřený přístup k datům přes standardizová APIs Export objektů s využitím funkcí vyhledávání obsahu

16 Záměrná a standardní ochrana Commvault je leadrem v inovativním přístupu k ochraně dat Osvědčené služby poradenství v oblasti technologií a businessu

17 Zabezpečení osobních dat Univerzální přístup k datům Automatizované DR a granulární obnova dat v on-premise či hybrid. cloudu Šifrovací algoritmy v komunikaci a uložení dat

18 Software Store Personalization Services Governance a zodpovědnost Analytika dat soub. systémů, ů, webů a logů Custom Reports Metrics Data Analytics Log Analytics. Interactive A nalytical Web Console / Web Server Operations / Reporting Server Customizable Pokročilé a customizovatelné reporty nad daty a procesy Podpora multitentnaního přístupu a zabezpečení pomocí rolí a oprávnění pro prostředí správců a zpracovatelů dat

19 Výmaz dat Pravidla prodloužené retence pro skupiny dat s využitím auxiliary kopií Kopie vybraných objektů a uložení do referenčních kopií Extrakce objektů pro compliance účely a vytvoření Legal Hold Smazání objektů v content store

20 GDPR Data Management Právo být zapomenut GDPR Princip Commvault Commvault umožňuje provádět indexaci obsahu záložních a archivních dat souborových systémů serverů, prac. stanic a ů. Umožňuje tak poměrně snadno a bez vysokých nákladů identifikovat úložiště osobních dat. Záměrná a standardní ochrana dat Commvault pokrývá širokou škálu systémů on-premise či cloudech. S využitím funkcí automatizace a schedulingu je možné nastavit zálohovací standardy pro celé prostředí infrastruktury u zákazníka. Přenos a ukládání dat lze zašifrovat pomocí jednoho z pěti šifr. Algoritmů. Standardně je přístup k datům v systému Commvault řízen pomocí systému oprávnění a rolí. State-of-the-art Commvault je velice flexibilně doplňován o podporu nových technologií, systémů a standard (kontejnery, open source standardy, flash, big data apod.). Samotná platforma Commvault je poměrně unikátní single index, podpora cloudů, podpora SaaS. Zajištění důvěrnosti, integrity, dostupnosti, odolnosti dat Commvaultu představuje podstatnou výhodu oproti rozdrobeným produktům, které nelze administrovat z jednoho místa. Centrální konzole Commvaultu, kde jsou nastavena centrální pravidla, umožňuje také centrálně řídit audit, reporting, oprávnění a role. Konzole pracuje stejným způsobem I v hybridním cloudu s kombinací on premise a cloudové infrastruktury (AWS, Azure, Oracle). 72 hodin na ohlášení porušení zabezpečení os. údajů Commvault umožňuje zálohovat a obsahově indexovat data serverů a laptopů umožňuje organizaci zjistit rozsah zasažení osobních dat, jejichž bezpečnost byla porušena. V případě laptopů Commvault umožňuje jejich vzdálenou lokalizaci a vzdálené smazání dat. Commvault standardně chrání zálohované systémy před ransomware. Princip minimalizace Commvault umožňuje díky centrálním pravidlům retence a replikace redukovat přenosy a ukládání osobních dat s ohledem na tento princip. Přenos dat S využitím nástrojů Commvault compliance lze lokalizovat, exportovat či odstranit nestrukturovaná data, která se vztahují k daným osobám. Portabilita dat Jakmile jsou přísl. data vyhledána, mohou být zpracována dle požadavků a exportována ve standardním formátu (např. pdf, pst). Copyright Commvault Systems 2017 GDPR Solution Guide:

21 Úspěšný deployment s podporou GDPR 21

22 GDPR představuje právní rámec pro všechny země EU, který je určen k ochraně práv občanů v oblasti přesunu a zpracování osobních dat. GDPR má konkrétní dopady na oblast informačních technologií. Commvault je vhodným technologickým partnerem s ohledem na naplnění násl. principů GDPR: Portabilita dat Záměrná a standardní ochrana dat Zabezpečení osobních dat Governance a zodpovědnost Výmaz dat

23 Děkuji!