GDPR. Zbyněk Malý. Pro zveřejnění

Podobné dokumenty
ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

ANECT & SOCA ANECT Security Day

Obecné nařízení o ochraně osobních údajů

VÝNOS REKTORA Č. 6/2018 ŘEŠENÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

& GDPR & ŘÍZENÍ PŘÍSTUPU

Nová pravidla ochrany osobních údajů

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

Co je to GDPR? Co je považováno za OÚ? Co je zpracování OÚ? Kdo je subjektem OÚ?

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

SPISOVÁ SLUŽBA A GDPR

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

GDPR ochrana osobních údajů

Dopady GDPR a jejich vazby

#gdpr #gastro #hotel. 16. února Janka Brezániová

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

Představení služeb Konica Minolta GDPR

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

GDPR. analýza. Název subjektu: Renospond s.r.o. IČ: Adresa: Zderaz 119, Proseč. Pověřenec pro ochranu osobních údajů: Sabina Shorná

SMĚRNICE O OCHRANĚ OSOBNÍCH ÚDAJŮ OBCHODNÍ SPOLEČNOSTI ARC-H HRADEC KRÁLOVÉ S.R.O.

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Informace o zpracování osobních údajů smluvních partnerů

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

Olga Přikrylová IT Security konzultant / ITI Seminář k GDPR. Ochrana osobních údajů

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

Kybernetická bezpečnost ve veřejné správě. Jan Dienstbier Garant platformy KYBEZ

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Povinnosti obce nebo města jako správce podle GDPR. Jarní celostátní odborný seminář STMOÚ Valeč Přednášející JUDr.

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

Zabezpečení osobních údajů

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Podmínky ochrany osobních údajů

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ SPOLEČNOST RADIUM S.R.O.

INFORMAČNÍ POVINNOSTI SPRÁVCŮ VŮČI DOTČENÝM SUBJEKTŮM ÚDAJŮ

Zásady zpracování osobních údajů.

Zásady ochrany osobních údajů

Ochrana osobních údajů GDPR

Systémová analýza a opatření v rámci GDPR

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

Příloha č. 1 Kontrolní seznam o připravenosti na nařízení GDPR Checklist

Projekt GDPR-CZ. innogy Přístup k projektu. Agenda. 12/09/2017 Page 1. Praha 13. září Úvod a cíle projektu. Kontext GDPR.

Zásady zpracování osobních údajů

ANECT, SOCA a bezpečnost aplikací

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

GDPR compliance v Cloudu. Jiří Černý CELA

ÚVOD DO GDPR. Mgr. Jana Pattynová, LL.M

Záznam o zpracování osobních údajů

Posuzování na základě rizika

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Implementace GDPR. Prioritní okruhy

A. OBECNÁ ČÁST ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ FYZICKÝCH OSOB

Informace o ochraně osobních údajů zpracovávaných společností PROFIZOO s.r.o. k jejím zákazníkům.

LETTER 5/2017 NEWSLETTER 5/2017. Nová právní úprava ochrany osobních údajů nařízení GDPR

Seznam vzorů, které naleznete v publikaci:

JAK SE PŘIPRAVIT NA GDPR?

GDPR PRO VEŘEJNÝ SEKTOR. GDPR - Specifika státní správy a samosprávy

GDPR Obecné nařízení o ochraně osobních údajů

Ochrana osobních údajů Implementace GDPR

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Informace o zpracování osobních údajů bytovým družstvem (správcem osobních údajů)

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ HOTELU OLŠANKA

Právní posouzení principů GDPR v rámci organizace

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

Praktická implementace obecného nařízení o ochraně osobních údajů (GDPR) v resortu zdravotnictví Mgr. JUDr. Vladimíra Těšitelová 1.

ORGANIZAČNÍ ŘÁD ŠKOLY

vnitřní směrnici: Správce osobních údajů (osoba odpovědná za správu domu podle občanského zákoníku) :

Obecné nařízení o ochraně osobních údajů (GDPR) S přihlédnutím ke Smart Cities Petr Habarta, OBPPK MV

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V ANKETĚ STROM ROKU I. SPRÁVCE OSOBNÍCH ÚDAJŮ A SUBJEKT OSOBNÍCH ÚDAJŮ

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

Obecné nařízení o ochraně osobních údajů, Vy a dozor. PhDr. Miroslava Matoušová, Úřad pro ochranu osobních údajů

1. Kdo je správcem Vašich osobních údajů

Metodický pokyn ČMKOS

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Škola ochrany osobních údajů

Směrnice č. 01/2018 Ochrana osobních údajů na Asociace pro vodu ČR z.s. Článek 1 Předmět úpravy. Článek 2 Základní pojmy

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Transkript:

Pro zveřejnění

GDPR Zbyněk Malý Pro zveřejnění

Proč řešit ochranu informací? Pud sebezáchovy ZoKB (zákon č. 181/2014 Sb.) EU NIS (Network & Information Security 2016) ZoOOÚ (zákon č. 101/2000 Sb.) EU GDPR (Data Protection 2016)

Ochrana dat požadavky DŮVĚRNOST Úniky dat DOSTUPNOST Ztráty dat, Havárie, DDOS INTEGRITA Zneužití dat, Modifikace KONTROLA Řízení přístupu, Dohled, Incident response

Typy citlivých dat KNOW-HOW PROVOZNÍ DATA INTERNÍ ÚDAJE OSOBNÍ ÚDAJE

Jak na bezpečnost informací? Pomůže legislativa (ZoKB, GDPR)? Nejlepší praxe (ČSN ISO/IEC 2700x) Systém řízení bezpečnosti informací (SŘBI - ISMS Information Security Management System) je soubor pravidel a opatření, po jejichž zavedení má správné a úplné informace (princip integrity) včas k dispozici ten, kdo je potřebuje (princip dostupnosti) a pouze ten, kdo je k přístupu k nim oprávněn (princip důvěrnosti). Legislativa vs ISO VoKB - 29 (v novele 3 odst. 2) - Pokud je orgán nebo osoba, která je povinna zavést bezpečnostní opatření podle zákona, certifikována podle ISO/IEC 27001 akreditovaným certifikačním orgánem a zároveň je v rozsahu certifikace zahrnut informační a komunikační systém, pak se předpokládá soulad s požadavky této vyhlášky. GDPR požadavky? - S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením.

GDPR je Nařízení EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů

Osobní údaje mají vysokou hodnotu Pojem osobní údaj Pro účely tohoto nařízení se rozumí: osobními údaji veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen subjekt údajů ); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby ÚČTY MAJETEK ZVYKY / ZÁJMY RODINA / PŘÁTELÉ IP ADRESY JMÉNA ADRESY FOTKY KARTY EMAILY

Osobní údaje mají vysokou hodnotu CENA? DOPADY? RIZIKA? Subjekt údajů Finanční ztráty Správce & zpracovatel Poškození značky Útočník Narušení provozu Pokuty

Typy osobních údajů CENA? DOPADY? RIZIKA? MAJETEK PRÁCE / VIP POHYBY POHYBY NÁKUPY GENY CREDENTIALS ÚČTY RODINA / PŘÁTELÉ LÉKY IP ADRESY KARTY ZVYKY / ZÁJMY NEMOCI EMAILY FINANČNÍ SOCIÁLNÍ ZDRAVOTNÍ ICT JMÉNA ADRESY FOTKY BIOMETRIKA ZÁKLADNÍ

Incidenty - příklady

Incidenty s osobními daty zdravotnictví - Anthem ÚNIK DAT: 79 M subjektů!! VÝSLEDKY VYŠETŘOVÁNÍ LEDEN 2017 18.2. 2014: phishingový email, download malwaru, laterální pohyb po síti, eskalace privilegií, 27.1. 2015: detekce úniku, start IR plánu 30.1. 2015: poslední známky škodlivých aktivit

Incidenty s osobními daty zdravotnictví - Anthem Výsledky vyšetřování/nálezy: 1. Pre-Breach Cybersecurity: - Opatření byla přiměřená typu a velikosti firmy - Nicméně, útočníci mohli využít určitých zranitelností 2. Pre-Breach Response Preparation: - Anthem měl připravený detailní IR plán, vč. rolí, zodpovědností a procesů - IR plán byl několikrát testován 3. Response Adequacy - Po detekci byly okamžitě zahájeny akce podle IR plánu, vč. top-managementu, - Vyšetřování, omezení a zastavení úniku - Externí komunikace: FBI, regulátor, veřejnost, klienti - Reakce byla adekvátní, rychlá, a během 3 dnů byl přístup útočníků zastaven 4. Post-Breach Cybersecurity: - Zlepšení: autentizace, Privileged Account Management, monitoring, SIEM, - Projekty dalších zlepšení

Incidenty s osobními daty zdravotnictví - Anthem Výsledky vyšetřování/nálezy: 5. Corrective Actions: - Spolupráce s FBI a s regulátory - Oznámení veřejnosti a dotčeným klientům - Dopisy, emaily, noviny, web, - Spolupráce s firmou na ochranu kreditu klientů Dopady pro Anthem - Zatím celkem: 260 M $ - Pokuta: - 2,5 M: expertní konzultanti - 115 M: zlepšení cybersecurity - 31 M: notifikace veřejnosti a klientů - 112 M: ochrana kreditu klientů

Incidenty s osobními daty Yahoo ÚNIKY DAT: 3 miliardy subjektů!! 2013 2014 Dopady pro YAHOO! - Tržní hodnota: - 350 M $ - CISO: rezignoval již 2015 - CEO Marissa Mayer: odměny za 2016 - Hlavní právník rezignoval 2017

Incidenty s osobními daty

Incidenty s osobními daty platby managementu

Incidenty s osobními daty platby managementu co se stalo Z e-mailu členky středního managementu ČS, která pracovala na projektu slučování dceřiných společností z důvodu úspor ČS, byl 31. 12. 2013 v ranních hodinách odeslán hromadný e-mail, který začínal slovy: Vážené dámy a pánové, mrzí mě, že vás musím zatahovat do této záležitosti, ale ráda bych nasměřovala vaši pozornost k sexuálnímu obtěžování, střetu zájmů a možnému zneužití finančních prostředků Zpráva se dostala k mnoha příjemcům z řad ČS včetně samotných vlastníků skupiny Erste Group i k pracovníkům České národní banky. Jenže za autorstvím zprávy, která pokazila zaměstnancům České spořitelny nejen oslavy Nového roku, nestála ona pracovnice. Došlo zde ke zneužití její identity pravděpodobně za účelem vyřizování osobních účtů a pokusu o ztrátu důvěry její osoby ve firmě. Byl tu totiž vcelku jasný motiv tohoto zákeřného činu poněkud divoké rozvodové řízení, kterým si v tu dobu manažerka procházela.

Incidenty s osobními daty

Incidenty s osobními daty a pokuty GDPR CZK Pokuta od ÚOOÚ (T-Mobile CZ 2016) 4 M Pokuta GDPR (20 M EUR) 540 M Pokuta GDPR (4% z obratu TMCZ) 1,040 M Pokuta GDPR (4% z obratu DT) 78,840 M

Equifax Equifax je společnost ve Spojených státech amerických fungující jako registr dlužníků, tedy poskytující odhad úvěrových rizik u jednotlivých osob. Byla založena v roce 1899 je nejstarší na území USA, přičemž dnes spravuje informace o zhruba 400 miliónech zákazníků Útok probíhal od května do července 2017. Společnost přitom únik dat odhalila již 29. července, jenže více než měsíc to veřejnosti tajila. Odcizeny byly adresy, čísla řidičských průkazů i čísla účtů u cca 143 milonů uživatelů USA a Kanady. Equifax se potýká i s interním problémem, jelikož tři vysoce postavení zaměstnanci těsně před oficiálním oznámením útoku prodali své akcie ve společnosti za zhruba dva miliony dolarů. Firma nabízí možnost zmrazit soubory s informacemi o hodnocení kreditního rizika a k jejich zpřístupnění poskytne uživateli desetimístný pin. To by bylo v pořádku, pokud by tento pin neodpovídal datu a času, kdy jsme o zmrazení požádali. Pokud tak někdo zažádal 10. září 2017 v 11:45, získal pin 0910171145.

Incidenty s osobními daty - ransomware

WannaCry Útok od 12. května 2017 do teď je považován za nejničivější a nejagresivnější útok svého druhu Po nakažení počítače zašifruje data na pevném disku a žádá platbu ve velikosti 300 USD (7 186 korun) v Bitcoinech na odblokování souborů (po skončení konečného termínu se cena zvýší až do 2000 USD / 1800 EUR).

Mall.cz Internetovému obchodu Mall.cz odcizili hackeři údaje uživatelských účtů. Celkem 766 421 hesel v čitelné podobě, 735 956 unikátních e-mailových adres a obdobný počet telefonních čísel. Takový je obsah souboru s přihlašovacími údaji který byl dočasně k dispozici na úložišti Uloz.to. Uniklé údaje se v souboru nacházejí ve formátu EMAIL:PASSWORD:NAME:SURNAME:PHONE.

Kovářova kobyla V roce 2012 byla společnost Deloitte zařazena mezi nejlepší poradce v oblasti počítačové bezpečnosti na světě. Při útoku firmě unikly důvěrné e-maily a také informace o některých z jejich největších klientů. Útok zřejmě trval několik měsíců a odhalen byl v březnu 2017. Útok??? Hackeři se do něho dostali prostřednictvím globálního e-mailového serveru s využitím účtu administrátora, který teoreticky umožňuje privilegovaný a neomezený přístup do všech oblastí.

ICT / KYBERNETICKÁ BEZPEČNOST: INCIDENTY PwC, The Global State of Information Security Survey (2015)

GDPR - RIZIKA Umíte přesně identifikovat všechna osobní data, která zpracováváte? Můžete s jistotou uvést, jak a proč zpracováváte uvedená data? Můžete s jistotou uvést, kde ukládáte tato osobní data a kdo k nim přistupuje? Jakou máte jistotu, že znáte všechna rizika? Umíte na ně reagovat?

GDPR struktura a změny

CO JE TO GDPR? ČR EU ZoKB (Zákon o kybernetické bezpečnosti, č. 181/2014 Sb.) Směrnice NIS (Network & Information Security, 2016/1148) ZoOOÚ (Zákon o ochraně osobních údajů, č. 101/2000 Sb.) Nařízení GDPR (General Data Protection Regulation, 2016/679) XX směrnice 95/46/ES XX

CÍLE GDPR? Modernizovat soulad s technologiemi Sjednotit pro celou EU (i mimo EU) Zvýšit ochranu, zlepšit kontrolu, zrychlit reakci

HLAVNÍ ZMĚNY Regulovaná data (osobní údaje, citlivé OÚ, pseudonymizace) technické údaje: IP adresy, cookies genetická, biometrická data pseudonymizace vs. šifrování profilování

HLAVNÍ ZMĚNY Regulovaná data (osobní údaj, citlivý údaj, pseudonymizace) Transparentnost a souhlas - Přísnější požadavky - Snadné odvolání souhlasu

HLAVNÍ ZMĚNY Regulovaná data (osobní údaj, citlivý údaj, pseudonymizace) Transparentnost a souhlas Posílená práva subjektů dat - Právo na opravu - Právo na výmaz - Právo na přenositelnost - Právo přístupu

HLAVNÍ ZMĚNY Regulovaná data (osobní údaj, citlivý údaj, pseudonymizace) Transparentnost a souhlas Posílená práva subjektů dat Požadavky na ochranu dat ( Privacy by design ) DŮVĚRNOST DOSTUPNOST - Záměrná a standardní ochrana OÚ - S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům - zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování - proces pravidelného testování, posuzování a hodnocení účinnosti INTEGRITA

HLAVNÍ ZMĚNY Regulovaná data (osobní údaj, citlivý údaj, pseudonymizace) Transparentnost a souhlas Posílená práva subjektů dat Požadavky na ochranu dat Odpovědnost, řízení rizik a reporting DPIA - Posouzení vlivu na ochranu OÚ - Pověřenec pro ochranu OÚ - Záznamy o činnostech zpracování DPO

HLAVNÍ ZMĚNY Regulovaná data (osobní údaj, citlivý údaj, pseudonymizace) Transparentnost a souhlas Posílená práva subjektů dat Požadavky na ochranu dat Zodpovědnost, řízení rizik a reporting Hlášení bezpečnostních incidentů - Jakékoli porušení zabezpečení OÚ, - Bez odkladu, do 72 hodin

PRINCIPY A FÁZE OCHRANY OSOBNÍCH ŮDAJŮ Posuzovat (citlivost, kontext, rizika) Chránit (zajistit neustálou ochranu) Odhalovat (detekovat odchylky a porušení) Hlásit (analyzovat a ohlásit) PREDIKCE PREDIKCE PREVENCE PREVENCE DETEKCE REAKCE DETEKCE REAKCE Pro zveřejnění

INCIDENT MANAGEMENT Incident Management

INCIDENT MANAGEMENT & GDPR Ohlašování případů porušení zabezpečení 1.Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu příslušnému podle článku 55 3.Ohlášení podle odstavce 1 musí přinejmenším obsahovat: a) popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů; b) jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace; c) popis pravděpodobných důsledků porušení zabezpečení osobních údajů; d) popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů. 5.Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.

INCIDENT MANAGEMENT & GDPR ÚTOK DETEKCE INCIDENTU OHLÁŠENÍ INCIDENTU ÚŘAD SUBJEKTY??? ANALÝZA 72 HOD ANALÝZA IR PLAN DETEKCE KATEGORIZACE ZASTAVENÍ KOMUNIKACE OBNOVA INTERNĚ EXTERNĚ PONAUČENÍ

INCIDENT RESPONSE PLAN

INCIDENT MANAGEMENT & GDPR ÚTOK DETEKCE INCIDENTU OHLÁŠENÍ INCIDENTU ÚŘAD SUBJEKTY??? ANALÝZA 72 HOD ANALÝZA IR PLAN DETEKCE LOG MNGMT DETEKCE SIEM FORENSICS KATEGORIZACE RISK MNGMT INCIDENT MNGMT ZASTAVENÍ KOMUNIKACE OBNOVA INTERNĚ EXTERNĚ PONAUČENÍ

INCIDENT MANAGEMENT & GDPR Procesy, směrnice: IR PLAN KLASIFIKACE Incident Response Plan, DR Plán DPIA INCIDENT MNGMT PROCESSES Směrnice pro klasifikaci dat (aktiv) Analýza rizik (DPIA) Směrnice pro detekci a zvládání událostí a incidentů TECHNOLOGIES PEOPLE Lidé DPO DPO SOC Ostatní (uživatelé, gestoři, spolupracovníci) Technologie DETEKCE SIEM RISK MNGMT LOG MNGMT FORENSICS INCIDENT MNGMT

GDPR vybrané požadavky

NEJSLOŽITĚJŠÍ POŽADAVKY GDPR Právo výmazu Právo přenositelnosti Získávání souhlasu subjektů Předávání údajů do třetích zemí Ohlašování incidentů Provádění analýz rizik (DPIA) Pověřenec (DPO) IAPP-EY Annual Privacy Governance Report 2016

GDPR a neziskové organizace Nové povinnosti: povinnost vést záznamy o činnostech zpracování - týká se organizací zaměstnávajících více než 250 zaměstnanců posouzení vlivu na ochranu osobních údajů - Jak je zpracování osobních údajů rizikové pro fyzické osoby předchozí konzultace - pouze v případech velmi vysoké rizikovosti (nepovinná) ohlašování případu porušení zabezpečení osobních údajů dozorovému úřadu - musí řešit i NNO (do 72 hodin) oznamování případu porušení zabezpečení osobních údajů subjektu údajů - musí řešit i NNO (v případě velkých incidentů) ustavení pověřence pro ochranu osobních údajů - jen když hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií osobních údajů a osobních údajů týkajících se rozsudků v trestních věcech (rasový původ, zdravotní stav, politická příslušnost, )

Projekt GDPR

GDPR čím začít? Zahájení projektu GDPR Analýza dat, stavu a nedostatků Implementace

Otázky pro přípravu GDPR Znáte všechna svá data? Datová inventura Víte, kde všude jsou? Víte, proč je zpracováváte? Víte, kdo a co s nimi dělá? Znáte všechna rizika? Mapování dat a procesů Hodnocení a řízení rizik IT Security nástroje Umíte je vyřešit? Incident management

GDPR FÁZE PROJEKTU: ANALÝZA Analýza stavu, souladu a nedostatků Inventura dat - Jaká data vlastně zpracováváme? - Kde jsou uložena? - Co s nimi děláme? (uživatelé, procesy, toky dat) Procesní inventura - Podle jakých pravidel je zpracováváme? Byznysová analýza - Byznys důvody zpracování? - (vlastník, přínosy, rizika, ) Gap analýza (stav souladu) - Souhlasy, smlouvy, účelnost, přiměřenost, uživatelé, procesy, rizika Návrh opatření (roadmapa) - Seznam opatření, harmonogram, priority

Neziskové organizace a fyzické osoby Zaměstnanci organizace zpracování je na základě zákonných požadavků (Nový občanský zákoník, zákoník práce, ) Členové na základě Nového občanského zákoníku Další spolupracující osoby pouze souhlas Organizace jsou povinny zajistit souhlas spolupracující osoby ke zpracování osobních údajů pro účely činnosti spolku. Nařízení definuje, že souhlas musí být svobodný (dobrovolný, nevázaný na přijetí nabídky), konkrétní (jasně a srozumitelně popsaný účel, pro který se souhlas uděluje), informovaný (ten kdo souhlas uděluje, dostal předem všechny informace a jednoznačný a musí být udělen prohlášením nebo zjevným potvrzením (subjekt musí učinit nějakou akci, nestačí například ukrytí souhlasu do členských podmínek). Souhlas bez těchto náležitostí bude neplatný. Organizace jsou rovněž povinny splnit informační povinnost vůči svým členům, tj. informovat členy zejména o tom, že jsou shromažďovány jejich osobní údaje pro účely činnosti spolku, v jakém rozsahu (jméno, příjmení, rodné číslo atd.) a komu mohou být zpřístupněny (např. hlavnímu spolku v případě pobočného spolku, nadřízené organizaci apod.).

Konec poštovních (mailových a telefonních) výzev Dnes mohou organizace poštou oslovovat občany s žádostí o příspěvky na svou činnost v zásadě bez omezení. Z veřejných databází si mohou vytáhnout jména, příjmení a poštovní adresy lidí. GDPR toto nepovoluje - bude nutné získat souhlas oslovovaných lidí, kterým organizace rozesílá žádosti o příspěvky Neziskovky, pro něž by bylo shánění souhlasů příliš komplikované, budou mít na výběr ze dvou cest. Některé způsoby oslovování potenciálních dárců nevyžadují zpracování osobních údajů. Mezi ně řadíme neadresné reklamy, oslovení prostřednictvím dobrovolníků na ulici nebo plošnou letákovou reklamu. Neziskové organizace mohou i nadále bez omezení oslovovat obchodní společnosti a jiné právnické osoby s žádostí o příspěvek na chod své organizace

GDPR FÁZE PROJEKTU Implementace ADAPTIVE SECURITY ARCHITECTURE Procesní a smluvní opatření: - Zrušit sběr/zpracování, - Získat souhlasy, - Změnit procesy, směrnice, - Upravit smlouvy (zavést nové). PROCESSES Technická a organizační opatření, vč. např.: TECHNOLOGIES PEOPLE - šifrování a/nebo pseudonymizace dat, - zálohování PREDIKCE REAKCE PREVENCE DETEKCE USERS Security Intelligence DATA APPS Perimeter Data Center Endpoint High Availability - školení, analýzy rizik, testy, - kontrola pomocí DLP, - řízení přístupu, - monitoring a detekce incidentů Physical Security

Pro zveřejnění

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář