S požadavky GDPR musí pomoci informační technologie Štěpán Nadrchal, senior konzultant GDPR Ondřej Diviš, senior konzultant

Transkript

1 S požadavky GDPR musí pomoci informační technologie Štěpán Nadrchal, senior konzultant GDPR Ondřej Diviš, senior konzultant Page 1

2 MDS Advanced Program Tech MDSap je zkratka MDS Advanced Program Tech MDSap je součástí MiDiS Holding se sídlem v Dubai Jsme SAP partnerem pro oblast Database&Technology, Business Intelligence a pokročilé analýzy v regionech Střední Evropa, Střední východ a Turecko Gold partner SAPu jsme mezi 10 SAP partnery EMEA (6,7 mil EUR) MDSap v České republice zajišťuje: Prodej Sybase a SAP produktů z uvedených oblastí; Technickou podporu v českém jazyce; SAP autorizovaná školení; Konzultace související s produkty SAP a Sybase; BI projekty, analytické projekty, prediktivní modely, návrhy datových modelů, EA, datovou integraci, Podpora zavádění GDPR a implementace Data Governance a Data Quality Africa Central & Eastern Europe Middle Eas t MDSap Reference Komerční banka, Česká spořitelna, ČSOB Pojišťovna, Česká Pojišťovna, Raiffeisenbank, Home Credit, Commerzbank, GE Money Bank, Česká pošta, Letiště Praha, DHL Information Services, O2, Vodafone, KUPEG, etc. Page 2

3 Příprava na GDPR prakticky GDPR nezačne platit příští rok už rok platí! Někdo jsi a něco znáš, k tomu i dost vyděláš, ve slovníku najít zkus význam slova GDPR". na motivy písně M. Rejchrta Deadline: 25. května 2018 Page 3

4 Jak nejlépe využít čas přípravy Srovnat realitu s teorií Činnosti se dělají jinak, než je v procesních mapách Každý má svůj postup, který je tolerován Výjimek je tolik, že vytvářejí alternativní opakované postupy Doplnit prázdná místa na mapě enterprise architektury Procesy, které nejsou oficiálně stanoveny Přístupy k datům, které nikdo nehlídá Smlouvy o outsourcingu, které osobní údaje neřeší Uklidit staré smetí Skartace je často neznámým pojmem Data o zaměstnancích obsahují všechno možné mnoho let dozadu Informační systémy už léta neznají příkaz DELETE FROM. Kdyby se vážně bral už současný zákon 101 / 2000 moc práce by firmy neměly 13: Správce a zpracovatel jsou povinni, aby nemohlo dojít k nahodilému přístupu k osobním údajům Page 4

5 Jak si popsat organizaci pro potřeby analýzy o.ú. Procesní model Činnosti Role Přiřazení rolí pozicím Informační model [nejen] osobní údaje Umístění (včetně duplicit) Informační toky Životní cyklus Potřebnost Aplikační model Přístupová práva Zabezpečení dat Rozhraní a jejich používání Technologický model Ochrana dat na úrovni administrace Zálohování a archivace Page 5

6 Průběh analýzy Prodej vozu Obchodník s ojetými vozy Zákazník poptává ojetý vůz Specifikace poptávky klienta Prodej ojetého vozu Nabídka vozu na základě poptávky Nabídka vozu z aktuální nabídky ojetých vozů Zájmce ruší pptávku Poskytnutí předváděcí jízdy Odstranění poptávky klienta Krok 1: Poznat proces Krok 1a: Poznat i všechny jeho varianty Krok 2: Identifikovat data obsahující osobní údaje Krok 3: Určit jejich životní cyklus Krok 4: Definovat právní zdůvodnění údajů i životního cyklu čas Poptávka klienta na ojetý vůz životní cyklus Přehled předváděcích jízd ojetých vozů životní cyklus? Page 6

7 Průběh analýzy Prodej vozu Obchodník s ojetými vozy Zákazník poptává ojetý vůz Specifikace poptávky klienta Prodej ojetého vozu Nabídka vozu na základě poptávky Nabídka vozu z aktuální nabídky ojetých vozů Zájmce ruší pptávku Poskytnutí předváděcí jízdy Odstranění poptávky klienta Krok 1: Poznat proces Krok 1a: Poznat i všechny jeho varianty Krok 2: Identifikovat data obsahující osobní údaje Krok 3: Určit jejich životní cyklus Krok 4: Definovat právní zdůvodnění údajů i životního cyklu čas Poptávka klienta na ojetý vůz životní cyklus Přehled předváděcích jízd ojetých vozů životní cyklus? Page 7

8 Výstup analýzy Procesy a používané osobní údaje Zájemce navštíví salon značky Zájemce si vyžádá informace em Kontakt na zájmce poskytne importér Vůz zákazníkovi prodán Představení nabídky Poskytnutí předváděcí jízdy Zapůjčení předváděcího / náhradního vozu Evidence půjčení předváděcího / náhradního vozu Kopie osobních dokladů se souhlasem klienta Poptávka zájemce o nabídku / předváděcí jízdu u značky Záznam klienta o souhlasu s využíváním osobních údajů Kontakt osoby Vytvoření cenové kalkulace Adresná nabídka vozu Údaje značky o vlastníkovi vozidla Záznam o výpůjčce vozu Uzavření smlouvy o prodeji Písemné dokumenty k prodeji vozu Účetní doklad/záznam Prodej pojištění k vozidlu Poskytnutí leasingu k prodávaném vozu Písemná smlouva o pojištění Písemná smlouva o finančním leasingu Smlouva o financování Smlouva o pojištění Uzavření smlouvy a vstupu do Klokočka klubu Smlouva a členství v klubu Záznam o členství v klubu Úložiště informací Sdílený filesystem Značka Poskytovatel financování Poskytovatel pojištění IS CARIS Page 8

9 Problémy s IT systémy Koupený systém Dodavatel GDPR neřeší Použití podle návodu je nereálné Dodavatel není k mání Vlastní systém / implementace Chybí kapacity Chybí know-how Nejsou priority Page 9

10 Požadavky na IT systémy Zabezpečení Pseudonymizace Znepřístupnění Řízení životního cyklu Redukce údajů Odstraňování Uživatelům Administrátorům Podmínky outsourcingu Monitoring a hodnocení obchodu Obchodní síť - FE pro poskytovatele SÚ FE pro klentské pracoviště Řízení obchodní sítě Služby pro komunikaci s obchodní sítí FE pro poradenská místa Kontrola datových toků Správa produktů a smluv Produktový katalog Správa smluv Řízení smluvních dokumentů CRM Komunikace s klientem Produktová historie Page 10

11 Ochrana informací je věcí kultury organizace Nejvíce datových úniků je přes pracovníky Vágní přístup k procesům informace se nechrání Ochrana není na celý proces Neřešená administrace systémů Podceněný outsourcing Povalující se data, která vůbec neměla existovat nedodržování procesů Univerzální reporty Centrální databáze osoba se všemi podrobnostmi Pracovníci pro práci nemusí vidět všechno, jak byli dosud zvyklí Systémy vyvíjené obrazovkově, nikoli procesně Manažer má všechna práva podřízených Page 11

12 Cílová rovinka - diskuse Děkuji za pozornost, Štěpán P. Nadrchal Page 12

13 PowerDesigner pro GDPR? CASE nástroj Procesy Data Aplikace Enterprise architektura Požadavky, XML, Propojení různorodých oblastí Dokumentace a vývoj, Dopadové analýzy Snadná rozšiřitelnost pro specifické požadavky Page 13

14 GDPR osobní data Přímá Jméno, příjmení, pohlaví, věk, datum narození, , tel.číslo, další identifikátory přiřazené státem (rodné číslo, ) Nepřímá Jakákoliv data přiřaditelná k osobě skrze referenční integritu IP adresa, záznamy o prodejích, historie prohlížení, GPS sledování, Citlivá osobní data Rasa, etnický původ, politické názory, náboženství, členství v odborech, zdravodní a duševní stav, sexuální orientace, trestní záznamy, genetické informace, biometrické informace, Page 14

15 Ukázka Propojení procesních a datových modelů Kontext procesu (systémy, role, služby, ) Identifikace a označení osobních údajů Informace o formátu a úložišti dat Konfigurace a využití dopadové analýzy Page 15

16 Na závěr Propojení různých oblastí/modelů v PD Bohaté možnosti customizace Schopnost výrazně pomoci s GDPR Page 16

17 Page 17