Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Transkript

1 Strategie Implementace GDPR Michal Zedníček ALEF NULA, a.s.

2 Co je obsahem GDPR Kdo/co/jak/proč Definice zpracování OÚ Organizační opatření Řízení bezpečnosti OÚ Pravidla ochrany OÚ Systémy zajištění ochrany OÚ Technická opatření Řízení provozu Detekce bezpečnostních událostí Kontrola bezpečnosti OÚ Testy bezpečnosti OÚ Zpětná vazba

3 Kdo řídí ochranu osobních údajů (kdo je DPO)?

4 Co je skutečně obsahem GDPR? LEGAL SECURITY

5 Jak se na GDPR připravit? Analýza připravenosti na GDPR Implementace ISMS podle GDPR Ochrana osobních údajů podle GDPR

6 LEGAL content

7 Security content ZKB Zákon 181/2014 Sb. ISO/IEC 27001:2013 Články normy GDPR Nařízení EU 2016/679 Vyhláška 316/2014 Sb. Příloha A?

8 Jak zhodnotit současný stav? Kde aplikovat technická opatření?

9 Kompromitace Výpadek Podpůrné aktivum Ohrožení dostupnosti integrity Zpracování, ukládání nebo přenos Primární aktivum

10 Analýza prostředí (automatizovaného)

11

12

13

14

15

16

17

18

19

20 Celé prostředí

21

22 303 základních otázek

23 Analýza rizik Kontrola přístupu schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů; pseudonymizace a šifrování osobních údajů; schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování Kategorizace dopadu Sankce Kodexy chování Vydávání osvědčení

24 Plán implementace GDPR Cíle opatření Potřebné zdroje Plán implementace GDPR Termíny implementace SECURITY LEGAL Garanti implementace Plán organizačních opatření Plán technických opatření Plán právních opatření

25 Implementace GDPR Zřízení funkce/role, zavedení agendy včetně dokumentace: Identifikace zpracování a vytvoření registru zpracování osobních údajů Návrh struktury a obsahu předpisů, registrů a evidencí Návrh rolí a odpovědností Návrh ošetření rizik Účast na provozování a změnách systémů Vyhodnocování a zpracování incidentů Plnění povinností k nadřízeným orgánům Příprava, případně provedení školení

26 Ochrana osobních údajů podle GDPR Pravidelná měsíční činnost Vedení registru (evidence) zpracování Vedení agendy předepsané vyhláškami k ZKB Identifikace nových zpracování a posouzení změn v systémech včetně spolupráce při určení právních souvislostí Školení nových zaměstnanců Běžná poradenská činnost zaměstnancům a vedení organizace Zajištění právního souladu (monitoring právních předpisů) Spolupráce s klienty a zajištění kontaktu s dozorovým úřadem Posuzování souhlasů, informací podávaných subjektům údajů a zpracovatelských smluv Vyhodnocování a zpracování incidentů Sledování souladu s legislativou Kontrolní činnost

27 Ochrana osobních údajů podle GDPR Pravidelná roční činnost Organizace pravidelného školení zaměstnanců v oblasti osobních údajů a kybernetické bezpečnosti Pravidelná revize systému řízení Interní audit plnění povinností Rozsah je určen povinnostmi z pohledu legislativy Oblast ochrany osobních údajů Oblast kybernetické bezpečnosti Spolupráce v případě, že přezkoumání bude prováděno jako součást externího auditu např. (dle ČSN ISO/IEC 27001)

28 Ochrana osobních údajů podle GDPR Nepravidelná činnost Mimo pravidelných činností bude pověřenec realizovat i činnosti, jejichž náročnost nelze předem určit: Posouzením vlivu na ochranu osobních údajů při nových zpracováních nebo jejich zásadní změně Konzultace změn architektury při realizaci rozsáhlých projektů Zastupování organizace vůči externí autoritě v případě externího auditu Vyhodnocování, zpracování a případné hlášení incidentů

29 Kdo řídí ochranu osobních údajů?

30 Děkuji za pozornost