Projekt GDPR-CZ. innogy DPO/Pověřenec. Agenda. 06/03/2018 Page 1. Praha 13. března Úvod. Představení kanceláře DPO/pověřence v innogy

Transkript

1 Projekt -CZ innogy DPO/Pověřenec Praha. března 08 Strana 0/0/08 Page

2 Cíle projektu nejsou jen o souladu s požadavky, ale také o příležitosti posílení jména innogy v ČR Navrhované cíle projektu Dosažení souladu s pravidly a eliminace / minimalizace rizika pokut Zvýšení důvěry u našich zákazníků a zaměstnanců Zavedení principů řízení dat (Data governance) do praxe Zvýšení vnímání významu a hodnoty dat ve společnosti. Posun od řízení aplikačního využití k samostatnému řízení dat Strana Strana 0/0/08 Page

3 Navrhovaná struktura DPO- Navrhovaná struktura spočívá v jednom v každé společnosti, což umožní dostatečnou podporu DPO Postupy navrhovaného modelu Kancelář Data Protection Officer (DPO) centrálně řídí a koordinuje všechny činnosti týkající se Kancelář DPO definuje odpovědnosti týkající se požadavků pro každou společnost Každá společnost má svého Data Protection Partner (). se ve spolupráci s Kanceláří DPO zaměřuje na implementaci opatření je v jednotlivých společnostech primárním kontaktním místem pro Správce a Zpracovatele osobních Data Protection Officer Podpůrný personál FTE specialist FTE Exec. support Kancelář DPO Data Protection Officer Podpůrný personál FTE specialist FTE Exec. support Zdroj: PMO Strana Strana 0/0/08 Page

4 Postavení a odpovědnost DP0 Data Protection Officer/Pověřenec Navrhované činnosti a odpovědnosti Oblast Činnosti Požadované schopnosti a ochrana Mezi hlavní svěřené úkoly patří sledování souladu vnitřní praxe podniku (vnitřní procesy) s právní úpravou ochrany osobních. Základním úkolem pověřence je poskytovat poradenství jaksprávci a zpracovateli, tedy nejvyššímu vedení těchto subjektů, tak i jednotlivýmzaměstnancům,kteří osobníúdaje zpracovávají Kontroluje, zda jsou osobní údaje používány v souladu s, zda jsou aktuální a zda jsou platné souhlasysubjektů se zpracovánímosobníchdat Ověřuje, zda je funkční proces řešící práva subjektů dané a zda je proces i v souladu s právním nárokem na zpracování osobních. Je odborným poradcem při řešení sporných požadavků subjektů na uplatněnípráv daných DPO se podílí na tvorbě vnitřních předpisů, procesů a technologií, které zabezpečí práci s osobními údaji Operujesamostatně, je nezávislýa nemůžebýt postižen, pokud plníúkolyvyplývajícíz jeho role Mák dispozicidostatečné zdroje, aby mohlsledovata monitorovatprocesy, kterépoužívajíosobníúdaje Úkoly plněné v rámci pozice DPO nesmí být v rozporu s jinými úkoly a obráceně (DPO by tedy neměl vykonávat administrátor databáze, kde jsou uloženy osobní údaje, protože pak by dohlížel sám na svou práci) DPO nepřijímá rozhodnutí, ale doporučuje případné úpravy procesů tak aby byly v souladu s Pověřenec po celou dobu monitoruje, zda je činnost správce či zpracovatele v souladu s nařízením a další legislativou, přičemž musí spolupracovat s dozorovým orgánem Vede záznamy o případných změnách a vnitřních kontrolách problematiky jednotlivých společností Schopnost řídit projekt DPO není odpovědný za dodržování souladu s právními předpisy, tato odpovědnost zůstává na správci nebo zpracovateli Je kontakt pro kontroly práce s osobními údaje orgány státní moci Je kontakt pro subjekty (fyzické osoby) při uplatnění některých práv, definovaných Reportuje nejvyššímu managementu o procesech zpracování osobních dat a použitých bezpečnostních pravidlech Zdroj: PMO Strana 7 Postavení a odpovědnost Data Protection Partner/ Navrhované činnosti a odpovědnosti Oblast Činnosti Požadované schopnosti a ochrana Zajišťuje propojení mezi jednotlivými společnostmi a Kanceláří DPO Koordinuje a implementuje opatření pro naplnění požadavků Řeší dotazy týkající se problematiky ochrany ; třídí požadavky na DPO Poskytuje podporu přidělenému DPO prostřednictvím analýz, reportů a udržování souladu s požadavky problematiky jednotlivých společností Schopnost řídit projekt Ostatní agenda ochrany Data for Business Řídí agendu ochrany a zajišťuje její soulad s požadavky EU, národními požadavky a požadavky společnosti (např: eprivacy} Udržuje přehled o všech dostupných údajích a poskytuje jednotlivým businessům pravidelné aktualizace Zkoumá příležitosti, jak využít údaje innogy Specializuje se na problematiku správy dat a podporuje v odvětví osvědčené postupy tématu ochrany businessu a obchodního zaměření innogy Zdroj: PMO Strana 8 0/0/08 Page

5 Strana 9 Návrh modelu Základní činnosti nástroje pro DPO Oblast a ochrana Činnosti Cílem je dodat jednoduchý systém pro evidenci žádostí subjektů, funkci HD pro interní zaměstnancea nástroj pro evidencikomunikacekanceláředpos externímisubjekty. Řešení žádostí subjektu integrováno jednosměrnou integrací ve formě strukturovaného mailu na určenou adresu. Jedná se o zajištění základního komunikačního kanálu, tak aby byla zajištěna informovanost DPO kanceláře Budou řešeny standardní požadavky ze strany subjektu. Budou použity standardní nástroje, které si kancelář DPO nakonfiguruje dle svých potřeb na základě reálných dat. Standardní požadavek bude řešen do 0 dnů. U nestandardního požadavku bude lhůta k řešení prodloužena o dalších 0 dnů. Do budoucna je plánováno s rozšíření oblastí, které jsou definovány v Zdroj: PMO Strana 0 0/0/08 Page

6 Strana zavádí nová práva subjektů osobních Obecný průběh cesty požadavku Vstup požadavku Odpovědnost businessu Podání Komunikační kanál Řešení Vyřízení, vyrozumění, reporting Subjekt podá požadavek Interní/externí ÚOOÚ Automatické Telefon /DS Zák. centrum Podatelna HelpDesk Case Management Validace v eventualitě sporných případů Informování zpracovatelů o potřebě součinnosti Informování subjektu o vyřízení žádosti Reporting na měsíční bázi Zalogování vyřízené žádosti DPO Otevřené otázky na business Žadatele je třeba ztotožnit jakou formou bude totožnost ověřena? Jak bude proces nastaven? Na koho budou žádosti směřovány? Kdo žádost vyřídí? Kdo zaručí kompletnost vyřízení žádosti? Bude subjekt informován stejnou formou, kterou zadal požadavek? Jakou formou se budou logovat vyřízené žádosti? Nutno archivovat historii dotazu a odpovědi Zdroj: PMO požadavek může přijít od zaměstnance (bývalého, současného), uchazeče o zaměstnání, či jiného subjektu Stránka 0/0/08 Page

7 Ukázka možně nastavených procesů v souvislosti se zpracováním práv SÚ Strana DOTAZY? Děkuji za pozornost Marcel Med innogy Česká republika a.s. Security DPO/Pověřenec M E marcel.med@innogy.com 0/0/08 Page 7