Data v kleštích regulací

Transkript

1 Data v kleštích regulací Co přináší nová regulace do našeho života Snídáme

2 GDPR základní fakta General Data Protection Regulation Evropská směrnice pro ochranu osobních dat Zavádí nové přísnější požadavky Nadnárodní platnost Platí bez ohledu na národní normy I mimo EU všechny subjeky spravující data evropských občanů Sankce: Až EUR nebo 4% celosvětového obratu ( vyšší bere ) Platnost: od : 07 45: Pracovních dnů Hodin Minut Sekund

3 GDPR základní fakta EU is watching you

4 1 Právní rámec Aplikace evropských a lokálních norem Prokázání právního základu pro nakládání s osobními daty Účel a rozsah zpracování osobních dat Co to je a o čem to je Hlavní oblasti GDPR 4 Nakládání s osobními daty Všechna data vč. dokumentů a nestrukturovaných dat Zacházení v souladu s GDPR Registrace, evidence, ochrana 7 Hlášení narušení bezpečnosti Povinnost hlásit dohledové instituci veškeré průniky do osobních dat. Incidenty je nutno hlásit bez zbytečného odkladu 2 Ochrana by default a by design Osobní data uchovávání a zpracování v minimálním nutném rozsahu. Všechny nově navrhované a zaváděné systémy musí splňovat podmínky GDPR pro ochranu dat. 5 Souhlasy Nutný explicitní platný souhlas pro sbírání dat a účely jejich použití. Různé druhy souhlasů, různá pravidla jejich ošetření pro různá data. Všechny datové operace musí souhlas kontrolovat. 8 Organisace Povinnost zřídit roli Pověřence pro ochranu dat (Data Protection Officer) a odpovídající organisační struktury a postupy 3 Zodpovědnost a odpovědnost Schopnost prokázat existenci a využívání procesů pro ochranu osobních dat, Schopnost dokumentovat a monitorovat využívaná osobní data a jejcich stav 6 Nová práva subjektů dat Právo být zapomenut Právo blokace: vyhodnocování automatisovanými procesy, Právo na portabilitu dat! Sankce EUR nebo 4% z celosvětového obratu (platí vyšší hodnota)

5 Hlavní oblasti: Co zavedení GDPR zahrnuje Právní problematika Interní procesy a policies, organisace, role, zodpovědnosti Externí procesy, výstupy, zodpovědnosti vůči regulačním autoritám Správa a ochrana personálních dat, infrastruktura Interakce se subjekty osobních dat Povinnosti a zodpovědnosti Aplikace právních norem (GDPR, zákon 101/2000, ), běžný právní výklad a interpretace Zhodnocení dopadu na business Zhodnocení a výběr variant vzhledem k regulatorním a compliance rizikům Definice změn v produktech, procesech a IT Povinnosti vůči regulatorním autoritám Připravenost dokládat, reportovat, hlásit, dokumentovat stav ochrany dat a dalších požadavků GDPR Procesní a technická infrastruktura Registrace a evidence výskytů osobních dat Šifrování, anonymisace, pseudonymisace Kontrola a audit přístupů k datům Udělování a odebírání souhlasů Právo být vymazán a zapomenut Informace o uchovávaných osobních datech Právo na portabilitu osobních dat Rozdílová analýza a analýza rizik Průběžný monitoring vývoje požadavků na lokální úrovni Diskuse s regulátorem Dokumentace s požadavky na změny Business architektura Interní normy a standardy Workflow procesů Rozhraní a výstupy pro poskytování informací Správa a kontrola souhlasů Monitorování dat Identifikace a analysa průniků Kontrola transferů dat Možnost dočasně omezit přístup k datům (blokování)

6 Hlavní fáze: Zavedení GDPR Příprava Operace Analysa Zhodnocení připravenosti Gap analysa Analysa procesů, policies, organisace, rolí, odpovědností Analysa datových toků a dat Vyhodnocení a prioritisace Návrh Detailní analysa a BRD Roadmapa implementace Hrubý procesní design Hrubý technický design Implementace Detailní procesní design Detailní technický design Vývoj/dodávka technických komponent Technická integrace Procesní integrace Prováděcí dokumentace Testování Rutinní provoz Infrastruktura Uvedení do provozu Funkce: registrace, evidence, ochrana, souhlasy, monitorování, audit, interakce se subjekty... Změny a údržba

7 Znalosti, kompetence, zkušenosti, kapacity: Právní rámec Procesní a organisační rámec Metodika pro ochranu osobních údajů Assessment, analysa, návrh Koncepce, architektura Koordinace, integrace Co je k tomu potřeba Technologie, nástroje, infrastruktura, know-how: Technologická podpora analytických činností Nástroje pro registraci a správu osobních dat Technologie zabezpečení dat Nástroje pro správu a sdílení informací Řešení pro spávu a kontrolu souhlasů Připravenost pro česká data (znalostní báze) Analytická a BI řešení GDPR ready EY + SAS společně: Zkušenosti ze spolupráce na projektech GDPR v EU

8 General Data Protection Regulation Přístup a řešení EY

9 Řešení pro podporu GDPR Představení nástrojů SAS

10 GDPR a pokročilé zpracování dat Statistika, souvislosti, vztahy, modely Bonita klienta Risika Detekce podvodů Lifetime value management Segmentace Optimalisace nabídky Oslovování a kampaně Retence Optimalisace komunikace Možnosti, tendence vývoj: Větší záběr: více informací, více dat více souvislostí Adresnost: přesnější, konkrétnější osobnější Lepší výsledek Větší efektivita Regulace Omezení Komplikace

11 Co se od nás chce? 1 Mít pod kontrolou: ovládnout a řídit, sledovat, orchestrovat 2 Vědět: identifikovat, vyhledat, dokumentovat, doložit 3 Fungovat: chránit, kontrolovat, poskytovat

12 Kde vidíme výzvy Externí výzvy Co musíme být připraveni splnit vůči autoritám Máme přehled o všech datových zdrojích? Jaká je úroveň risika pro jednotlivé datové zdroje? Můžeme reportovat kde všude jsou osobní data umístěna? Můžeme doložit, jaké procesy máme nastaveny? Máme vše zdokumentováno a auditováno? Interní výzvy Co musíme sami vyřešit Co všechno jsou osobní data? Jak identifikujeme osobní data? Dokážeme řídit a kontrolovat přístup datům? Dokážeme logovat veškerou aktivitu uživatelů pro každé datové úložiště? Jak obtížné je v důsledku duplicit a nízké kvality dat být smazán a zapomenut? Dokážeme evidovat, spravovat a kontrolovat souhlasy v potřebné struktuře a detailu?

13 Jak na to: Data Governance Lidské zdroje Role, organisace, odpovědnosti, pravomoce, motivace Procesy a policies Pravidla, standardy, procesy policies, Technologie Data, metadata, datové toky, infrastruktura, datová kvalita, monitorování, podpora řízení, assesment

14 Jak na to: Use cases Define Discover Secure Monitor Master Business Glossary Top-down Analysa CO Definice policies JAK Souvislosti, vazby, vztahy - Lineage Data Quality Bottom-up analysa Identifikace osobních dat Federalisace dat Šifrování: Ano/Pseudonymisace Granularita přístupu Data Governance Mapování metadat Monitorování přístupů Monitorování citlivých dat Monitorování retence dat Alerty remediace Souhlasy Master consent Agregace a konsolidace dat souhlas Správa souhlasů Unikátní individuální náhled Copyright 2016, SAS Institute Inc. All rights reserved.

15 Podpora nástrojů SAS pro úlohy GDPR Business Assessment Data Assesment Operations Právní aspekty Business procesy, business architektura Policies, pravidla, předpisy Organisace, role, zodpovědnosti Povinnosti vůči dohledovým autoritám Dokumentace, vykazování, dokazování Datové zdroje Identifikace a dohledání osobních dat Kvalita osobních dat, duplicity Datové toky Sdílení dat Analysa risik Evidence a správa výskytů osobních dat Správa s kontrola souhlasů Vymazání všech údajů o osobě Kvalita osobních dat Maskování, ano/pseudonymisace, Monitorování, audit, kontrola přístupu Risk Assessment Policy Management Business Glossary Incident Management Maskování dat, ano/pseudonymizace Data access control, logování, audit Data Lineage Personal Data Sniffer Consent Management & Check SAS EGRC SAS Fed Srv SAS DG SAS DQ Řešení SAS jsou GDPR-ready (i.e. podporují Data protection by design )

16 SAS EGRC: Charakteristika Visualisace interakcí různých elementů Aparát pro analysu risik Extensivní information management Procesy, workflow, role, audit Použití Data privacy impact assessment Monitorování, reporting, analysy

17 Privacy by design a by default Zákazníci / partneři Mobilní zařízení / IoT Cloud Sociální média

18 Privacy by design a by default Zákazníci / partneři Mobilní zařízení / IoT Souhrnná data Veřejná data Federalisovaná datová vrstva Osobní data Soukromá data Zákazníci Produkty Cloud Aktivity Poskytovatelé Sociální média Centrální administrace Řízení přístupu k datům Audit dat Monitorovaná a chráněná datová vrstva Maskování citlivých dat Regulatory compliance Logování Technologické řešení: SAS Federation Server

19 SAS Federation server: architektura

20 Znalostní báze SAS Data Quality: Kompletní sada funkcí a nástrojů Zjištění struktur dat Zkoumání obsahu dat Zkoumání vztahů v datech Analysa stavu dat Vytvoření profilu dat Identifikace, kvantifikace, klasifikace a analýza chyb a problémů v datech Automatické rozpoznání obsahu datových položek Automatické rozpoznání struktury dat Základní čištění dat, opravy, překlepy Převedení na požadované (standardisované) hodnoty Převedení na požadovaný formát a strukturu Doplnění chybějícch položek Rozpoznání typu entity (fysická/právnická osoba, pohlaví, typ subjeku ) Kontrola přípustných hodnot Kontrola vůči etalonům Porovnávání (párování záznamů) Fuzzy matching Vytváření skupin záznamů Výběr/vytvoření referenčního, zlatého/master záznamu Výběr nejlepších atributů záznamu Ověření existence v referenčncím zdroji (registru) Adresní registry (UIR-ADR, RUIAN, DDM) Registr ekonnomických subjektů (RES), Obchodní rejstřík, Specialisované registry (klienti, účty, vozidla, nemovitosti ) Informace z blacklistů, watchlistů Doplnění souřadnic Doplnění ratingu firem Analysa Parsing Standardisace Normalisace Identifikace Validace Matching Clustering Master záznam Verifikace Obohacení Monitoring Pro GDPR: Analysa dat Kvalita dat PD Sniffer Monitorování dat Master data management Master consent management + Rozšíření: Data Governance, Glossary, Registry, Lineage

21 SAS Personal Data Sniffer Co a k čemu to jeto je Specialisované řešení pro identifikaci a extrakci osobních dat Na platformě SAS data Quality Využívá otevřené znalostní báze Transparentnost, flexibilita, snadná přizpůsobitelnost a rozšiřitelnost Otevřenost: platformy, databáze, soubory, strukturovaná a nestrukturovaná data Způsob práce: Automatisované zpracování, batch i online, speciální interaktivní nástroje Použití pro celý životní cyklus GDPR: Přípravná fáze: Prohledání datových zdrojů identifikace a lokalisace dat, statistiky, analysa Operační fáze: Kontroly na přítomnost osobních dat (V/V kontroly ), Monitorování personálních dat

22 SAS Personal Data Sniffer jak funguje Znalostní báze QKB Identifikační definice 3. Exekuce kontrol Aplikace na data Úloha (Data Job) Data Glossary & Lineage BI aplikace Extrakčni definice 1. Vytvoření definic Pravidla pro rozpoznání osobních dat Komplexní logika Úrovně: Global Language - Local Business pravidlo Monitor task Uživatelsky definovaná metrika Uživatelsky definovaná funkce 2. Použití definic Busineness rule manager GUI pro design dataflow Editor výrazů Data Profiling Data Explorer Federation Server Jiná aplikace (API) Report Monitor Událost Akce Zpráva Jiné aplikace 4. Výstupy DBMS tabulky Datové extrakty Soubory Reporty Profily Explorace Monitory Události Akce Zprávy Podniková data: Databáze, soubory, dokumenty

23 Personal Data Sniffer použití (příklad) Process Job process flow Konfigurační soubor (txt) Příklad použití: Process Job Řídící logika úlohy (proces flow) Parametry v konfiguračním souboru Postupné načítání všech DB objektů Aplikace identifikační analysy na všechny atributy Výsledky ukládány do DBMS Automatické nahrání výsledků do BI platformy Příklady reportů/dashboardů

24 Citlivá a osobní data Osobními daty je jakákoliv informace spojená s identifikovanou nebo identifikovatelnou osobou. Demografická Data o Jméno o Pohlaví o Datum narození o Věk o Národnost Kanály o Telefonní čísla o Poštovní adresa o Město o Země o ová addresa Identifikátory o Národní ID (Rodné číslo) o Daňové ID o Číslo pasu o Social Security Number o Registrační číslo auta o Číslo řidičsekého prlkazu Organisace o Název o Identifikátory (IČO, DIČ) o Právní forma Bankovní a finanční účty o Bank Identifier Code (BIC) o IBAN o Číslo pojistky Číslo kreditní karty o American Express o VISA o MasterCard o Dinners Club o Discover o JCB Digitální identifikátory o IP adresa (V4, V6) o MAC addressa o X/Y Geggrafické souřadnice Sociální média o Twitter účet o URL FaceBook o URL Linkedin o URL Pinterest o URL Instagram Citlivá data o Stav o Zdraví, orientace o Politická aktivita o Náboženství o Členství v odborech o Genetická informace o Biometrické informace o Rasa o Pohlaví o Etnikum o Děti o

25 Správa souhlasů Master consent Dílčí souhlasy Časové omezení Omezení lokací Omezení operací Omezení na dílčí data Granularita souhlasů Kontrola souhlasu Kombinace souhlasů Konflikty souhlasů Historické souhlasy vs. historická data Pravidla, správa, role Dávkové zpracování On-line zpracování Přesuny dat Update/Insert/Delete/Select Technologické řešení: SAS Master Data Management/G

26 Master Consent Management Logické schema Identi fikace Vyhle dání Pohled 360 Při dání Páro vání Veri fikace Instanční záznam Instanční záznam Instanční záznam Instanční záznam Ode brání Lokali sace Instanční záznam Instanční záznam Služba n Master záznam Dimense: Čas Geografie Datová doména Produkt Kanál Operace Org. Jednotka Forma: Opt-in Opt-out Dim 1 Dim n Dim 2 Matice souhlasů Dim 5 Blokace Zákonný důvod Nový souhlas Synchro nisace Zruš souhlas Dim 3 Dim 4 Ze zákona Blok ace Dle účelu Resolve konflikt Přehled souhlasů Kont rola

27 SAS Data Governance: Business Data network Kolaborativní systém pro sdílení informací o datech Slovníky pojmů, glossary, datový slovník etc. Jednotné rozhraní a jazyk pro technické i business uživatele Definice business i technických pojmů Asociace požadavků a pravidel Definice a popisy datových elementů Zdrojové systémy Vlastnictví dat, přístupová práva Návaznosti: Asociované pojmy Data management services Data Workflows Aplikace

28 Evidence a správa osobních dat z jednoho místa Řízení osobních dat Koherentní pohled na osobní data přes všechny platformy Automatisované glossary osobních dat Definice, správa a konsolidace business a IT pojmů Přehled o rolích a zodpovědnostech Propojení na systémy, datové toky, business vlastníky Procesní podpora řízení, rolí a zodpovědností Technologické řešení: SAS Business Data Network

29 SAS Data Governance: Business Data Network

30 Co z toho? Může být zavedení GDPR také k něčemu dobré? Data Governance Jednotný pohled na party Důvěra Image

31 Shrnutí Přežijí silní a připravení

32 Data v kleštích regulací Co přináší nová regulace do našeho života SK CI Roadshow