PROCES ŘEŠENÍ PROBLEMATIKY GDPR

Transkript

1

2 PROCES ŘEŠENÍ PROBLEMATIKY GDPR SEZNÁMENÍ S PROBLEMATIKOU GDPR ŠKOLENÍ KLIENTA AJEHO PARTNERŮ S PROJEKTEM ROZBOR ROZSAHU GDPR U KLIENTA DETAILNÍ ROZBOR GDPR U KLIENTA NÁVRH MODELŮ ŘEŠENÍ GDPR DOZOR NAD REALIZACÍ OPATŘENÍ VYHODNOCENÍ REALIZOVANÝCH OPATŘENÍ NEZBYTNÉ - KONTINUÁLNÍ GDPR SLUŽBY

3 JAK IDEÁLNĚ POSTUPOVAT PŘI ŘEŠENÍ PROBLEMATIKY SPOJENÉ S GDPR? ROZBOR STAVU PRVNÍM KROKEM K ŘEŠENÍ PROBLEMATIKY GDPR JE IDEN- TIFIKOVAT SKUTEČNÝ STAV A ROZSAH GDPR V RÁMCI SUBJEKTU. SOUČÁSTÍ TĚCHTO ČINNOSTÍ JE I DETAILNÍ ROZBOR DAT, VČETNĚ PROBLEMATIKY SOU- HLASŮ PRO ZPRACOVÁNÍ OÚ. NA ZÁVĚR JE POTŘEBA REALIZOVAT VYHODNOCENÍ HROZEB A PŘÍLEŽITOSTÍ. REALIZACE OPATŘENÍ NA ZÁKLADĚ ZÍSKANÝCH IN- FORMACÍ VYPRACOVAT OPTI- MÁLNÍ PLÁN OPATŘENÍ, KTERÝ POVEDE JAK K ELIMINACI IDENTIFIKOVANÝCH HROZEB, TAK K VYUŽITÍ PŘÍLEŽITOSTÍ. DÁLE VYPRACOVAT AKČNÍ PLÁN S OHLEDEM NA ČAS A K TOMU PŘÍSLUŠNÝCH ZDROJŮ. REALIZOVAT OPATŘENÍ DLE ODSOUHLASENÉHO PLÁNU. KONTINUÁLNÍ SLUŽBY PRO ZAJIŠTĚNÍ POTŘEBNÉ ÚROVNĚ BEZPEČNOSTI A S OHLEDEM NA POŽADAVKY STA- NOVENÉ GDPR, JE POTŘEBA REALIZOVAT URČITÉ KONTI- NUÁLNÍ SLUŽBY. V RÁMCI TĚCHTO SLUŽEB JSOU I SLUŽBY DPO, PORADEN- SKÉ, ŠKOLÍCÍ, PODPŮRNÉ ČI SLUŽBY SPOJENÉ S DOZOREM NAD GDPR ČINNOSTMI TŘETÍCH STRAN.

4 KLÍČOVÉ ROLE POTŘEBNÉ K REALIZACI? ZÁSTUPCE STATUTÁRNÍHO ORGÁNU SLOŽENÍ EXPERTNÍHO TÝMU LÍDR IT PROCESY SPONZOR BEZPEČNOST BUSINESS PRÁVO

5 3. LEVEL SLUŽEB 2. LEVEL SLUŽEB 1. LEVEL SLUŽEB ROZBOR A ŘEŠENÍ PROBLEMATIKY ŠKOLENÍ WORKSHOPY ROZSAH SLUŽEB SPOJENÝCH S PROBLEMATIKOU GDPR JE ROZDĚLEN DO TŘÍ ZÁKLADNÍCH ÚROVNÍ. TYTO SLUŽBY POKRÝVAJÍ DRTIVOU VĚTŠINU POŽADAVKŮ PLYNOUCÍCH PŘÍMO ČI NEPŘÍMO Z PROBLEMATIKY GDPR. KOMPLEXNOST A PROVÁZANOST TĚCHTO SLUŽEB UMOŽŇUJE ZAJIŠTĚNÍ VYŠŠÍ ÚROVNĚ OCHRANY, NEŽ JEN DÍLČÍ SLUŽBY ČI JEJICH FRAGMENTY. I. LEVEL SLUŽEB SLOUŽÍ K OBEZNÁMENÍ S PROBLEMATIKOU. BÝVÁ REALIZOVÁNA OBVYKLE ŠKOLENÍMI ČI WORKSHOPY. ROZBOR STAVU GDPR V SUBJEKTU NÁVRHY MODELŮ ŘEŠENÍ GDPR II. LEVEL SLUŽEB JE ZAMĚŘENA NA REALIZACI ROZBORU STAVU GDPR U KLIENTA. PO IDENTIFIKACI STAVU ROZSAHU GDPR U KLIENTA NÁSLEDUJE VYTVOŘENÍ NÁVRHŮ MODELŮ ŘEŠENÍ GDPR. III. LEVEL SLUŽEB VÝKON ČINNOSTÍ D P O PROJEKTOVÝ DOZOR PORADENSTVÍ KONZULTING JE POSKYTOVÁNÍ DOPROVODNÝCH ČI KONTINUÁLNÍCH SLUŽEB, ZA ÚČELEM ZAJIŠTĚNÍ POŽADAVKŮ NA GDPR, PŘÍPADNĚ KE ZVÝŠENÍ ÚROVNĚ BEZPEČNOSTÍ.

6 I. ROZBOR A ŘEŠENÍ PROBLEMATIKY II. PORADENSKÉ SLUŽBY ROZBOR ROZSAHU GDPR V SUBJEKTU DETAILNÍ ROZBOR GDPR V SUBJEKTU NÁVRH MODELŮ ŘEŠENÍ GDPR SLUŽBY D - P - O PREZENTACE PROBLEMATIKY GDPR PORADENSTVÍ K GDPR SLUŽBY SPOJENÉ S REALIZACÍ ROZBORU STAVU SUBJEKTU A NÁVRHU MODELŮ, JAK SE S PROBLEMATIKOU GDPR VYPOŘÁDAT. - PRVNÍ SLUŽBA SI KLADE ZA CÍL PROVÉST DÍLČÍ ŠETŘENÍ, JAK BUDE SUBJEKT GDPR POSTIŽEN A NÁROČNOST NA ROZBOR. - DRUHÁ SLUŽBA JE VLASTNÍM ROZBOREM, KTERÝ NA ZÁKLADĚ DOHODNUTÉ HLOUBKY DETAILU, ROZEBERE SUBJEKT NA PROBLEMATIKU SPOJENÉ S RIZIKY ČI PŘÍLEŽITOSTMI GDPR. - TŘETÍ SLUŽBA MÁ ZA CÍL NA ZÁKLADĚ PŘEDCHOZÍHO ROZBORU NAVRHNOUT MOŽNÉ VARIANTY ŘEŠENÍ, JAK SE S PROBLEMATIKOU VYPOŘÁDAT. SLUŽBY SPOJENÉ S PORADENSTVÍM OKOLO GDPR A BEZPEČNOSTI. - PRVNÍ SLUŽBA NABÍZÍ POSKYTOVÁNÍ SLUŽEB POVĚŘENCE PRO SPRÁVU OÚ, TZV. DATA PROTECTION OFFICERA. - DRUHÁ SLUŽBA NABÍZÍ REALIZACI PREZENTACÍ, WORKSHOPŮ, KONFERENCÍ ČI JINÝCH SETKÁNÍ PRO KLIENTA, JEHO ZAMĚSTNANCE, ČI PARTNERY, OHLEDNĚ PROBLEMATIKY GDPR. - TŘETÍ SLUŽBA NABÍZÍ REALIZACI PORADENSKÝCH SLUŽEB V OBLASTI GDPR ČI BEZPEČNOSTI. AKTIVNÍ ÚČAST PŘI PŘÍPRAVÁCH PROJEKTŮ, STRATEGIÍ ČI KONTROLY SAMOTNÉ REALIZACE OPATŘENÍ SPOJENÝCH S ŘEŠENÍM PROBLEMATIK.

7 I. ROZBOR A ŘEŠENÍ PROBLEMATIKY

8 PROČ JE TATO SLUŽBA DŮLEŽITÁ? 1. DŮLEŽITOST SLUŽBY SPOČÍVÁ VE DVOU ROVINÁCH: IDENTIFIKACE, ZDA SE BUDE GDPR SUBJEKTU TÝKAT. 2. V PŘÍPADĚ, ŽE ANO, PAK V JAKÉM ROZSAHU. TYTO INFORMACE BUDOU POTŘEBNÉ PRO STANOVENÍ ČASU, FINANČNÍHO ROZPOČTU, ROZSAHU NUTNÉ SOUČINNOSTI, SEZNAMU DOPADŮ NA JEDNOTLIVÉ ORGANIZAČNÍ SLOŽKY SUBJEKTU. DÁLE TYTO INFORMACE BUDOU SLOUŽIT JAKO ZDROJE DAT PRO PŘÍPADNÉ DALŠÍ SLUŽBY SPOJENÉ S PROBLEMATIKOU GDPR. VÝSLEDKY TÉTO SLUŽBY JSOU NEZBYTNÉ PRO ZÍSKÁNÍ ZÁKLADNÍHO POHLEDU NA DANOU PROBLEMATIKU. TATO SLUŽBA SI KLADE ZA CÍL PROVÉST POUZE ZÁKLADNÍ ROZBOR SUBJEKTU. NA ZÁKLADĚ POSKYTNUTÝCH ŠABLON A SOUBORŮ OTÁZEK, NA KTERÉ BUDE NUTNÉ POSKYTNOUT ODPOVĚDI. KTERÉ BUDOU ZAPRACOVÁNY DO ŠABLON.

9 ZDROJOVÉ DOTAZNÍKY SUBJEKT POČET INFORMAČNÍCH SYSTÉMŮ (NEBO INSTANCÍ) VYUŽÍVAJÍCÍ OSOBNÍ ÚDAJE POČET ZDROJŮ DAT OBSAHUJÍCÍCH OSOBNÍ ÚDAJE POČET VSTUPNÍCH BODŮ, KDE DOCHÁZÍ K POŘIZOVÁNÍ/MODIFIKACI OSOBNÍCH ÚDAJŮ. POČET TYPŮ A DRUHŮ POLOŽEK REPREZENTUJÍCÍ OSOBNÍ ÚDAJE POČET ZDROJŮ SOUHLASŮ A POČET SOUHLASŮ

10 VÝSTUPY VYPLNĚNÉ FORMULÁŘE ROZBOR INFORMACÍ LÍDR IT PROCESY SEZNAM OBLASTÍ PŘÍMO ČI NEPŘÍMO DOTČENÝCH GDPR. ROZSAH A PARAMETRY POTŘEBNÉ SOUČINNOSTI. SEZNAM ORGANIZAČNÍCH SLOŽEK A TŘETÍCH STRAN. BEZPEČNOST BUSINESS PRÁVO SEZNAM TYPU DOKUMENTŮ, INFORMACÍ ČI DAT. ČASOVÝ SCÉNÁŘ A ZÁKLADNÍ PROJEKTOVÝ ZÁMĚR.

11 I. ROZBOR A ŘEŠENÍ PROBLEMATIKY

12 CO JE OBSAHEM DANÉ SLUŽBY? ROZBOR PŘIPRAVENOSTI SUBJEKTU NA GDPR CÍLEM TÉTO SLUŽBY JE PROVEDENÍ ŠETŘENÍ ROZBORU STAVU PŘIPRAVENOSTI SUBJEKTU NA GDPR, PŘÍPADNÉ DALŠÍCH BEZPEČNOSTNÍCH HROZEB, KTERÉ PŘÍMO ČI NEPŘÍMO S GDPR SOUVISÍ. REALIZACE ROZBORU SOUVISEJÍCÍCH HROZEB, SANKCÍ ČI NÁKLADŮ, KTERÉ MOHOU BÝT S GDPR NASTAT. VÝSLEDKEM ROZBORU BUDE (MIMO ROZBORU RIZIK) TAKÉ PODROBNÁ ZPRÁVA, KTERÁ DETAILNĚ VYOBRAZÍ IDENTIFIKOVANÝ STAV, VČETNĚ VŠECH RELEVANTNÍCH POZNATKŮ. ZPRÁVA BUDE ZPRACOVÁNA NA ZÁKLADĚ KLIENTEM POSKYTNUTÝCH INFORMACÍ A MATERIÁLŮ. NÁLEZY BUDOU SESKUPENY DO LOGICKÝCH CELKŮ. ZPRÁVA BUDE ZPRACOVÁNA S OHLEDEM NA BEST PRACTICIES V OBLASTI BEZPEČNOSTI A GDPR.

13 ZÁKLADEM JE POZNÁNÍ DETAILNÍ ROZBOR SUBJEKTU CÍLEM JE DETAILNĚ POZNAT PROSTŘEDÍ KLIENTA. PŘIČEMŽ ZÁKLAD SPOČÍVÁ V IDENTIFIKACI VŠECH OSOBNÍCH ÚDAJŮ A TO VE VŠECH MOŽNÝCH FORMÁCH A PODOBÁCH. NÁSLEDNĚ JSOU K JEDNOTLIVÝM ÚDAJŮM PŘIŘAZENY TECHNOLOGIE, NOSIČE DAT ČI JEJICH FORMA. NÁSLEDUJÍ ROLE A OPRÁVNĚNÍ PŘÍSTUPU K JEDNOTLIVÝM TECHNOLOGIÍM A DATŮM, ČÍMŽ SE IDENTIFIKUJÍ PRÁVA OSOB, SKUPIN ČI SOFTWARE, KTERÉ MOHOU K JEDNOTLIVÝM TECHNOLOGIÍM, KTERÉ ZPRACOVÁVAJÍ DATA, PŘISTOUPIT. PRO IDENTIFIKACI, JAK SE K PŘISTUPUJE K DANÝM POLOŽKÁM, JE POTŘEBA ZÍSKAT PROCESY, KTERÉ PŘÍSTUP K DATŮM UMOŽŇUJÍ. V NEPOSLEDNÍ ŘADĚ JE POTŘEBA K PROCESŮM PŘIŘADIT UŽIVATELE, ČI PARTNERY, TAK ABY BYLY IDENTIFIKOVÁNY VŠECHNY MOŽNÉ SUBJEKTY, KTERÉ MOHOU PŘISTUPOVAT K DATŮM. JEDNOTLIVÉ DATA, TECHNOLOGIE, PROCESY ČI ROLE PODLÉHAJÍ SMLUVNÍM KONTRAKTŮM ČI LEGISLATIVĚ. DATA TECHNOLOGIE OPRÁVNĚNÍ / ROLE PROCESY UŽIVATELÉ / PARTNEŘI SMLUVNÍ KONTRAKTY LEGISLATIVA

14 SCHÉMA KLÍČOVÝCH OBLASTÍ ROZBOR NÁSTROJE SOUHLASY ÚVODNÍ SCHŮZKA STANOVENÍ ROZSAHU INFORMAČNÍ SYSTÉM SBĚR POTŘEBNÉ DOKUMENTACE KONZULTACE A WORKSHOPY ZPRACOVÁNÍ ZÍSKANÝCH INFORMACÍ FINÁLNÍ KONZULTACE POSTUPY ZAPRACOVÁNÍ VÝSLEDKŮ NA ZÁKLADĚ KONZULTACÍ OSOBNÍ DATA VYTVOŘENÍ FINÁLNÍ ZPRÁVY

15 I. FÁZE ROZBORU SBĚR INFORMACÍ A DAT II. FÁZE ROZBORU ZPRACOVÁNÍ III. VYHODNOCENÍ RIZIK A FINALIZACE ROZBORU INFORMAČNÍ SYSTÉMY DATA PROCESY POVINNOSTI POTŘEBY ROLE PRÁVA

16 ZPRACOVANÉ OBLASTI ROZBOR INFORMACÍ LÍDR IT PROCESY BEZPEČNOST BUSINESS PRÁVO

17 SEZNAM RIZIK FINÁLNÍ ZPRÁVA MANAŽERSKÉ SHRNUTÍ ROZBOR NÁLEZŮ ZPRACOVANÉ INFORMACE ROZBOR RIZIK ROZBOR DAT VYHODNOCENÍ HROZEB VYHODNOCENÍ PŘÍLEŽITOSTÍ DOPORUČENÍ

18 I. ROZBOR A ŘEŠENÍ PROBLEMATIKY

19 TÝM EXPERTŮ GDPR NÁSTROJE & SLUŽBY LÍDR IT PROCESY ZÍSKANÉ INFORMACE DATA LOSS PREVENTION THREAT GUARD INFORMATION SECURITY MANAGEMENT SYSTEM BEZPEČNOST BUSINESS PRÁVO SIEM MANAGING PRIVILEG ACCOUNTS

20 ANALÝZA RIZIK FINÁLNÍ MODELOVÁNÍ VARIANT NÁVRHY VARIANT MODELŮ LÍDR IT PROCESY MUST HAVE VARIANTA NEJNUTNĚJŠÍHO MINIMA S OHLEDEM NA VÝŠI NÁKLADŮ BEZPEČNOST BUSINESS PRÁVO ZPRACOVANÉ INFO NICE TO HAVE VARIANTA MAXIMÁLNÍ ELIMINACE RIZIK SPONZOR KOMPROMIS OPTIMÁLNÍ VARIANTA S OHLEDEM NA RIZIKO VS NÁKLADY

21 II. PORADENSKÉ SLUŽBY

22 VÝKON ČINNOSTÍ POVĚŘENCE PRO OCHRANU OSOBNÍCH ÚDAJŮ, RESPEKTIVE DATA PROTECTION OFFICERA (DPO) D P O ROZBRAZENÍ NÁPLNĚ ČINNOSTÍ

23 Aplikace výkladu GDPR na procesy a činnosti Hlášení případů porušení zabezpečení OÚ Identifikování vysoce rizikových oblastí Kontrola a nastavení zodpovědností, dat a procesů Kontrola procesů a metodik Mediace ve vztahu k OOÚ Nastavení pravidel ochrany OÚ Nezávislý audit ohledně dodržování GDPR Příprava kodexu pro OOÚ Shoda s GDPR Soupis typů OÚ a účely ke zpracování Transparentní systém práce s OÚ Tvorba návrhů a opatření Zmapování vnitřního prostředí subjektu Zpracování analýzy rizik a její vyhodnocování Zpracovaný seznam OÚ Apod.

24 II. PORADENSKÉ SLUŽBY

25 CÍLEM TÉTO SLUŽBY JE POSKYTOVÁNÍ PODPORY PRO ZABEZPEČENÍ PŘÍPRAVY, REALIZACE, KOORDINACE ČI DOZORU PRŮBĚHU ZMĚN V PROSTŘEDÍ SUBJEKTU, KTERÉ VYVSTALY S OHLEDEM NA POŽADAVKY PROBLEMATIKY GDPR.

26