Projekt GDPR-CZ innogy v oblasti HR Praha. listopadu 07 Agenda Strana 9//07 Page
Úvod do nařízení GDPR Správce je odpovědný za dodržení zásad GDPR a zároveň musí být schopen toto dodržení souladu doložit Zákonnost, korektnost a transparentnost Správce disponuje legálním a legitimním právním titulem pro zpracování OÚ Skutečný způsob zpracování je shodný s deklarovaným způsobem Zpřístupnění informací o zpracování OÚ Účelové omezení OÚ musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný Minimalizace údajů OÚ musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány Odpovědnost správce Přesnost OÚ musí být přesné a v případě potřeby aktualizované Integrita a důvěrnost OÚ musí být zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření Omezení uložení OÚ musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány Zdroj: GDPR OÚ = osobní údaj Standardní a záměrná ochrana OÚ (privacy by design & default) Přístup založený na hodnocení rizik (risk-based approach) Strana Úvod do nařízení GDPR GDPR zavádí nové přísnější požadavky na ochranu osobních údajů s platností od..08 Požadavky GDPR Práva subjektu údajů Souhlas se zpracováním OÚ Informační povinnost Zpracovatelé (zpracovatelské smlouvy) Ohlašovací povinnost (únik dat) Profilování a automatické zpracování Posuzování vlivu na ochranu OÚ Standardní a záměrná ochrana OÚ (zabezpečení OÚ) Pověřenec pro ochranu OÚ (DPO) Vysvětlení GDPR posilňuje práva subjektů údajů (na přístup k údajům, na přenositelnost, na výmaz, na opravu údajů, vznést námitku, na omezení zpracování) Každé zpracování OÚ musí být zákonné (na základe právního titulu). Souhlas je potřebný pro zpracování zvláštní kategorie OÚ (citlivých OÚ), nebo pro ty účely, pro které není k dispozici jiný právní titul Subjekty údajů musí být informovány o jejich právech, a účelu a rozsahu zpracování jejich OÚ Smlouvy s externími a interními zpracovateli musí být upraveny, aby splňovali nové požadavky na vztah zpracovatel správce V případě zjištění úniku OÚ musí být do 7h informován Úřad pro ochranu osobních údajů a subjekty uniklých OÚ Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky U nově vznikajících procesů zpracovávajících OÚ musí být provedena analýza možných rizik a dopadů na právaa slobody fyzických osob Musí být provedena revize a úpravy stávajících směrnic a metodik v souvislosti s ochranou OÚ Musí být zřízena role pověřence, který se stará o oblast ochrany OÚ ve společnosti Za nesoulad s požadavky GDPR hrozí správní pokuty, které jsou výrazné zvýšené. Současné maximum 0 mil. Kč je navýšené až na 0 mil. EUR nebo až % světového hrubého ročního obratu společnosti/skupiny. DPO = Data Protection Officer OÚ = osobní údaj Subjekt údajů = zaměstnanec Strana 9//07 Page
Úvod do nařízení GDPR Pro každý účel zpracování OÚ je potřebné určit rozsah zpracovávaných údajů a právní titul Životní cyklus zpracování osobních údajů Fáze Začátek zpracování OÚ Zpracování OÚ Konec zpracování OÚ Aktivita Relevantní požadavky GDPR OÚ = osobní údaj innogy získává OÚ subjektu údajů (zaměstnance) pro konkrétní účel zpracování na základe právního titulu (zákonnost zpracování) Standardní a záměrná ochrana OÚ Zákonnost (právní titul) Minimalizace dat Zvláštní kategorie OÚ = citlivé OÚ Souhlas se zpracováním OÚ Informační povinnost Zpracovatelské smlouvy Získaná OÚ innogy zpracovává innogy musí vymazat nebo dokud nezanikne původní účel anonymizovat OÚ, pro které zpracování. Další zpracování musí pominul zákonný účel zpracování být zákonné a slučitelné s účely, pro které byly OÚ původně shromážděny (např. pro účely archivace, statistické účely). Standardní a záměrná ochrana OÚ Práva subjektů údajů (výmaz, přenositelnost údajů, vznést námitku, atd.) Profilování a automatické zpracování Ohlašovací povinnost (únik dat) Zpracovatelské smlouvy Archivace (doba a rozsah archivovaných OÚ) Standardní a záměrná ochrana OÚ Zákonnost (právní titul) Zpracovatelské smlouvy Strana Cíle projektu nejsou jen o souladu s požadavky GDPR, ale také o příležitosti posílení jména innogy v ČR Navrhované cíle projektu Dosažení souladu s pravidly GDPR a eliminace / minimalizace rizika pokut Zvýšení důvěry u našich zákazníků a zaměstnanců Zavedení principů řízení dat (Data governance) do praxe Zvýšení vnímání významu a hodnoty dat ve společnosti. Posun od řízení aplikačního využití k samostatnému řízení dat Strana 9//07 Page
Agenda Strana 7 GDPR zpřísňuje zodpovědnost innogy za ochranu osobních údajů u všech subjektů napříč všemi zdroji dat Subjekty údajů v rámci innogy ČR Zdroje dat obsahující osobní údaje HR Zaměstnanci Uchazeči o práci Kontraktoři Retail Zákazníci Potenciální zákazníci Odchozí zákazníci Grid Vlastní zákazníci Třetí strany Datová úložiště innogy ČR PC, laptopy, USB disky Office Sdílené složky Obchodní databáze Vyřazené databáze Cloud Informační aktiva ve fyzické podobě Reporty Archivy Výtisky Komunikační technologie E-mail Telefon IT sítě Uvnitř innogy Mimo innogy Externí partneři Marketingové agentury Personální agentury Entity v innogy SE Strana 8 9//07 Page
Agenda Strana 9 Část dat z oblasti HR již byla analyzována v rámci malé pracovní skupiny Pro úvodní analýzu jsme vybrali data z HR neboť jsou objemově nejmenší a jsou nejlépe kontrolována Poznatky z této úvodní analýzy byly využity v rámci analýz dat v oblastech Grid a Retail, jejichž komplexita je podstatně vyšší Tyto oblasti (Grid a Retail) byly již předmětem předběžného průzkumu Strana 0 9//07 Page
Agenda Strana Soulad s požadavky GDPR budou v rámci projektu řešit pracovní skupiny podporované PMO a odborníky Schvalování a směřování projektu Řídící výbor (Steerco) Projektové řízení Core tým Projektový manažer PMO Pracovní skupiny HR Security & data governance Retail Grid Odborná podpora Interní odborníci na vybraná klíčová témata Externí odborníci na GDPR (provedení gap analýzy) Strana 9//07 Page
Systém a kaskáda schůzek zajistí rychlé a efektivní sdílení informací a řešení problémů Systém a kaskáda schůzek Popis Úroveň projektu Úroveň týmů Úroveň jednotlivců Shrnutí a hlášení klíčových (relevantních) rizik a problémů Schůzka w/s Security & data governance Poskytnutí vstupů dle RAID matice Rizika a problémy Schůzka w/s HR, Retail a Grid Reporting klíčových úspěchů a dalších kroků Rozhodnutí ohledně rizik a problémů Schůzka Core týmu Schůzka Steerco Kaskáda schůzek umožňuje zajištění efektivního toku informací Jednotlivé schůzky využívají a hodnotí výstupy schůzek na nižších úrovních kaskády a poskytují zpětnou vazbu K efektivnímu fungování tohoto systému je třeba před každou schůzkou včas dodat nezbytné informace (např. identifikovaná rizika) Jednou týdně Každé týdny Měsíčně Strana Základní e-learningový modul bude doplněn offline školeními, přičemž každé z nich bude zaměřeno na specifickou činnost Retail Grid HR/Korporátní Zákaznické služby oddělení Základní e-learningový modul (70%) - Majoritní část plánovaného e-learningového modulu pokryje základní informace o klíčových zásadách a výzvách, které jsou spojené s působením GDPR v innogy v České republice - Tato část e-learningu bude povinná pro všechny zaměstnance innogy ČR E-learningový modul přizpůsobený požadavkům (0%) Offline školení - Zdůraznění segmentu BC a práv Subjektu údajů Individuální školení - Odborná školení plánovaná na Q 07 ve spolupráci se Zákaz. službami - Zaměření na zákazníky v naší distribuční síti Individuální školení - Bude doplněno - Zaměření na HR, zejména údajů zaměstnanců innogy Individuální školení - Bude doplněno - Zaměření na zákazníky BC a příchozí požadavky Individuální školení - Odborná školení plánovaná na Q 07 ve spolupráci s Retailem Detaily Rozsah: 0 a více stran obsahujících základní informace, zásady (např. účel zpracování dat, povinnost informovat a dát souhlas atd.), a dopad GDPR + konkrétní náplň každé činnosti Dodání: Jakýkoliv výukový systém využívající SCORM nebo AICC; čas na přípravu cca - týdny Strana 9//07 Page 7
Agenda Strana Sdílení osobních údajů s externími partnery zvyšuje složitost jejich ochrany Externí partneři relevantní pro oblast HR innogy SE Sdílení dat napříč skupinou Personální agentury Státní správa (např. Český statistický úřad, Česká správa sociálního zabezpečení, Finanční správa) Zákonná povinnost sdílet osobní údaje s úřady Společnosti innogy v ČR innogy Business Services CZ Dodavatelé Dodavatelé psychodiagnostických testů Poskytovatelé zdravotních služeb Založeno jak na smluvních, tak zákonných povinnostech Dodavatelé ve smluvním vztahu s innogy CZ Dodavatelé ve smluvním vztahu s innogy ČR Strana 9//07 Page 8
GDPR zavádí nová práva subjektů osobních údajů Obecný průběh cesty požadavku Vstup požadavku Odpovědnost businessu Podání Komunikační kanál Řešení Vyřízení, vyrozumění, reporting Subjekt údajů podá požadavek Interní/externí ÚOOÚ Automatické Telefon E-mail/DS Zák. centrum Podatelna HelpDesk Case Management Validace v eventualitě sporných případů Informování zpracovatelů o potřebě součinnosti Informování subjektu o vyřízení žádosti Reporting na měsíční bázi Zalogování vyřízené žádosti DPO Otevřené otázky na business Žadatele je třeba ztotožnit jakou formou bude totožnost ověřena? Jak bude proces nastaven? Na koho budou žádosti směřovány? Kdo žádost vyřídí? Kdo zaručí kompletnost vyřízení žádosti? Bude subjekt informován stejnou formou, kterou zadal požadavek? Jakou formou se budou logovat vyřízené žádosti? Nutno archivovat historii dotazu a odpovědi Zdroj: PMO GDPR požadavek může přijít od zaměstnance (bývalého, současného), uchazeče o zaměstnání, či jiného subjektu Stránka 7 Agenda Strana 8 9//07 Page 9
. Souhrnná rizika Nejvyšší rizika představují nová práva subjektů OÚ a požadavky s rizikem sankce v případě nesouladu s GDPR Požadavek Co požadavek obnáší? Dopad do procesů Dopad do IT Riziko 7 8 9 0 Právo na výmaz Souhlas se zpracováním OÚ Informační povinnost Zpracovatelské smlouvy Únik dat Právo na přenositelnost Právo na blokaci Právo vznést námitku Právo na informaci/opravu Posouzení vlivu Standardizace principů ochrany DPO DPO = Data Protection Officer OÚ = osobní údaj Na žádost subjektu OÚ musí být vymazány údaje tohoto subjektu, které nevyžaduje jiná právní povinnost/zájem správce U zvláštních kategorií OÚ a u účelů bez jiného právního titulu musí být nastaven a posbírán souhlas se zpracováním OÚ Subjekty údajů musí být informovány o účelech a rozsahu zpracování svých OÚ Smlouvy s externími/interními zpracovateli musí být upraveny, aby splňovali nové požadavky na vztah zpracovatel správce V případě zjištění úniku OÚ musí být do 7h informován Úřad pro ochranu osobních údajů a subjekty uniklých OÚ Na žádost subjektu musí být předány OÚ subjektu třetí straně ve strojově čitelném formátu Po dobu zpracování námitky (viz. Další bod) musí být pozastavena veškerá zpracování OÚ daného subjektu Na námitku subjektu OÚ musí být prokázán právní titul zpracování OÚ nebo zastaveno zpracování těchto OÚ Na žádost subjektu musí být poskytnuty kompletní informace o zpracovávaných OÚ/musí být opraveny chyby U nově vznikajících procesů zpracovávajících OÚ musí být provedena analýza možných rizik a dopadů Musí být provedena revize a úpravy stávajících směrnic a metodik v souvislosti s ochranou OÚ Musí být zřízena role pověřence, který se stará o oblast ochrany OÚ ve společnosti Vysoké Střední Nízké Strana 9. Struktura organizace pro DPO Kancelář Pověřence organizačně zařazena pod Security oddělení v ČR s úzkým propojením na skupinu innogy Pověřenec vykonávajícího činnost pro všechny společnosti v rámci skupiny innogy v ČR bude nominován k..08 Pro zajištění zastupitelnosti se Kancelář Pověřence bude skládat z Pověřence a zástupce Pověřence Organizačně bude Kancelář Pověřence umístěna pod oddělení Security Role Pověřence pro ochranu osobních údajů (DPO) Informuje a radí v záležitostech ochrany dat interním správcům a zpracovatelům Zajišťuje informovanost a dodržování zásad GDPR Udržuje katalogový list zpracování osobních údajů Spolupracuje s dohlížejícími orgány Vystupuje jako první kontakt pro dohlížející orgány a jednotlivce, jejichž osobní údaje jsou zpracovávány Zajišťuje bezpečnostní politiky ve vztahu s nakládáním s OÚ (innogy Group Directive Data Protection; platná od..07) DPO = Data Protection Officer OÚ = osobní údaj Strana 0 9//07 Page 0
DOTAZY? Děkuji za pozornost Marcel Med innogy Česká republika a.s. Security Senior Specialist, Data protection M +0 07 78 E marcel.med@innogy.com 9//07 Page