Představení služeb Konica Minolta GDPR

Transkript

1 Představení služeb Konica Minolta GDPR Praha Mgr. Karin Beňková, Mgr. Jiří Císek

2 Co je to GDPR? Obecné nařízení o ochraně osobních údajů (General data protection regulation) přímá účinnost

3 Čeho se týká? Osobní údaje FYZICKÝCH OSOB: - Spotřebitel - Zákazník - OSVČ - Zaměstnanci Evidence a zpracovávání osobních údajů fyzických osob - Náhled - Úprava - Změna - Použití - Výmaz

4 Na koho GDPR nejvíce dopadá? GDPR dopadá na všechny, kdo zpracovávají údaje o fyzických osobách, tzn. údaje zaměstnanců, zákazníků, obchodních partnerů Nejvýznamnější zásah však představuje pro společnosti, které: - zpracovávají citlivé údaje (zdravotnictví, odbory, bezpečnostní agentury ) - vedou rozsáhlé databáze (telekomunikace, energie, marketing, dopravci ) - společnosti s počtem zaměstnanců nad 250

5 Best practice Vhodná technická a organizační opatření Pseudonymizace Účel zpracovávání Šifrování

6 DPO pověřenec ochrany osobních údajů POVINNOST: veřejná správa (vyjma soudy) rozsáhlé, pravidelné a systematické monitorování rozsáhlé zpracování citlivých údajů nebo rozsudků v trestních věcech možná pluralita zakázaný střet zájmu

7 Práva subjektu údajů Transparentní jazyk Přesné a úplné zpracování Informace (na začátku, v průběhu, na konci) Přenositelnost Omezení zpracování, oprava, výmaz (právo být zapomenut ) námitky v případě správy

8 Zpráva o posouzení vlivu DPIA odpovědnost organizace vysoké riziko pro práva a svobody fyzických osob Povinnost: - systematické a rozsáhlé vyhodnocování automatizované zpracování - citlivé údaje - systematické monitorování veřejně přístupných prostor - atp. vyhodnocení rizika (původ, povaha, zvláštnost, závažnost) výsledek posouzení

9 Jak správně identifikovat osobní údaje a provést dopadovou analýzu?

10 Jak začít? Jaké řešení zvolit? Holding x jednotlivé společnosti Právní x procesní x IT Identifikace klíčových oblastí Zaměstnanci B2B kontakty na obchodní partnery/ údaje zákazníků pokud jsme zpracovatelé B2C zákazníci Dodavatelé (OSVČ), externí zpracovatelé (účetní, marketing, dopravci..)

11 Jsme připraveni? Víme jaké údaje zpracováváme? Máme je rozděleny podle účelu? (vliv na délku a možnosti zpracování) Vedeme o zpracování záznamy? (záznam o zpracování logování!) Jsme připraveni na práva subjektů? (informace, přenos, výmaz) Máme odpovídající zabezpečení? (reakční doba, procesy, oznámení porušení) Známe naše povinnosti? (DPO, DPIA)

12 Dopadová analýza GAP rozdíl mezi as is a GDPR Správné otázky na klíčové osoby Nutné posoudit přínos x náklady x čas Výsledkem nástroje pro budoucí rozvoj organizace Není to samé jako DPIA

13 Best practice v organizaci a požadavky na procesy

14 Best practice Záměrně neukotvitelný pojem Privacy by design Možnosti organizace x zpracovávané údaje Nejnovější stav techniky

15 Uvnitř organizace Zpracované záznamy o zpracování (znalost účelu, retenčních dob...) Poskytování informací, souhlasy, privacy by design Nastavení vnitropodnikové kultury a kodexy chování Procesy při nakládání s osobními údaji Accountability příjmutí odpovědnosti DPO, DPIA

16 Vnitřní nastavení a ochrana perimetru Nutná podpora IT Nastavení zabezpečení Rizikové oblasti y, zálohy, BYO zařízení Logování přístupů, pomoc IT při realizaci procesů (zj. odpovědi na práva subjektů) Nejnovější stav techniky

17 Nabízené služby v oblasti GDPR

18 GDPR audit 1. Úvodní seznámení 2. Zaslání dotazníku 3. Vstupní pohovor 4. Cenová nabídka 5. Uzavření smlouvy pojištění odpovědnosti 6. Pracovní skupiny na jednotlivých odděleních 7. Analytická část 8. GAP analýza 9. Implementace 10. Reaudit a závěrečná zpráva

19 GDPR úvodní seznámení Schůzka s organizací, kde probereme obecné požadavky kladené GDPR na konkrétní subjekt Zjistit přístup organizace k GDPR Nabídnout konkrétní řešení na míru Podklad pro cenovou nabídku

20 Zaslání dotazníku Po úvodní schůzce Vám je zaslán dotazník, který slouží jako podklad pro vstupní pohovor Dotazník obsahuje zejména: základní informace o organizaci (počet zaměstnanců, zaměření, oddělení zpracovávající o.ú.) počet a typy IT systémů informace o vnitropodnikových směrnicích základní informace z relevantních oddělení

21 Vstupní pohovor Vstupní pohovor slouží jako podklad pro cenovou nabídku. Pomáhá nám pochopit kulturu organizace, procesy na jednotlivých odděleních a klíčovým pracovníkům dává obrázek o možné budoucí spolupráci. Vstupní pohovor je zdarma. HR IT Marketing Obchodní oddělení, vývojové oddělení

22 Cenová nabídka zahrnuje audit implementaci - reaudit řešení na klíč x spolupráce x samostatné řešení outsourcing DPO

23 Uzavření smlouvy Pojištění odpovědnosti v současnosti 250mil. CZK NDA Podrobný popis auditu Časový harmonogram

24 Pracovní skupiny na jednotlivých odděleních Procesy ve Vaší organizaci znáte nejlépe sami. Proto ve spolupráci s klíčovými osobami na každém oddělení popisujeme současný stav. Tito pracovníci by měli být následně zodpovědní za uvedení procesů do souladu s GDPR. Nutné zvážit využití vlastních zdrojů x outsourcing Řešení na klíč x spolupráce x samostatné řešení

25 Analytická část identifikace uchovávaných údajů a jejich uložení (servery, cloud) analýza právního základu pro zpracování a poskytovaných informací o zpracování kontrola procesu profilování a jeho dopadu na jednotlivce právní revize: procesů udržování kvality osobních údajů připravenosti reagovat na právo na přístup, opravu a výmaz osobních údajů, právo na omezení jejich zpracování a na přenositelnost údajů zhodnocení bezpečnostních opatření při zpracování analýza nastavení IT systémů s ohledem na best practice, logování přístupů a minimalizace zpracování osobních údajů vyhodnocení správnosti použití cookies a sledovacích mechanismů využívání CCTV pro monitoring zaměstnanců, kontroly pracovních ů a geolokačních zařízení praxe přímého marketingu, ového marketingu, telemarketingu a digitální reklamy ochrany osobních údajů při náborech, sociálních médií

26 GAP analýza Cílem je identifikovat rozdíly mezi stavem as is a GDPR. Rozdělení na oblasti, které jsou v pořádku, rizikové oblasti a oblasti, které jsou v přímém rozporu. Výstupem je podklad pro rozhodování o tom, jaké opatření a v jakém časovém harmonogramu organizace musí přijmout. Podklad pro časovou a finanční investici. zjištění stavu ochrany osobních údajů společnosti v porovnání s GDPR tvorba doporučených kroků v oblasti: bezpečnosti systému řízení ochrany osobních údajů činností při zpracování osobních údajů interních předpisů řízení rizik třetích stran

27 Implementace Implementace v souladu s plánem přijatým na základě GAP analýzy. Během celé implementační fáze plná podpora v rámci přijímaných opatření Zatím nejkratší implementační fáze byla 6 měsíců Vhodné vzít v úvahu změnu smluvní dokumentace, tendry na IT řešení Nutné aby navrhovaná opatření přijali zaměstnanci čas na seznámení a implementaci dovnitř

28 Reaudit a závěrečná zpráva Po skončení implementační fáze nutné provést reaudit, na základě kterého je vyhotovena závěrečná zpráva osvědčující soulad organizace s GDPR Závěrečná zpráva = paper trail Odpovědnost za poskytnuté rady Samostatnost organizace Podklad pro budoucí konzultace

29 Outsourcing DPO DPO v rámci organizace může být zaměstnanec ovšem musí splnit povinnosti kladené na kvalifikaci + nezávislost. V případě, že organizace nemá kapacity DPO insourcovat, je možné jako DPO ustanovit externistu. Přehled a zkušenosti z více organizací = širší přehled Šetří náklady na vzdělávání DPO nutné vzdělání v oblasti IT, práva a dalších Odhad časové náročnosti 1-5 mandays/měsíc podle velikosti organizace/zpracovávaných údajů Pojištění odpovědnosti

30 Dotazy?

31 Děkujeme za pozornost.