GDPR: příležitosti k úsporám Martin Hladík martinhladik@kpmg.cz 30. listopadu 2017
Obsah 1. Kvantifikace možností optimalizace řešení GDPR Náš cíl: 2. Kde hledat příležitosti k úsporám? 3. Příklady: Prioritizace požadavků na soulad s GDPR Synergické efekty v řešení GDPR IT řešení pro GDPR - Zvládnout implementaci GDPR do 5/2018 - Minimalizovat náklady na implementaci GDPR a související provozní náklady - Neohrozit další důležité projekty 2
Kvantifikace požadavků GDPR 100 300 specifických zpracování osobních údajů 200 500 nesouladů s GDPR 300 800 dílčích řešení 100 600 mil. Kč 3
Kvantifikace možností optimalizace požadavků GDPR Prioritizací snížíte rozsah až o 60 % Synergicky vyřešíte až 50 % požadavků IT řešení pro GDPR realizujte postupně Významné úspory! 4
Multidisciplinární tým Metodický postup KPMG Kde hledat příležitosti k úsporám? 1 3 měsíce 1 3 měsíce 4+ měsíců Etapa I analýza Co všechno bude potřeba řešit? Etapa II návrh Jak GDPR vyřešit? Etapa III Řešení Jak implementovat zvolené řešení? Právní analýza Analýza rizik a prioritizace Návrh řešení Mapování zpracování Plánování realizace řešení Realizace řešení Dopadová analýza Právní podpora Právní podpora Právní tým Byznysový tým Technologický tým 5
Náročnost implementace malá střední vysoká Prioritizace požadavků na soulad s GDPR M N O P Q R P4 P2 Dopady vnímané jako nekritické z pohledu jejich vyřešení do 05/2018. Dopady mohou být realizovány až v pozdějších fázích. G H I J K L Dopady je potřeba detailněji zanalyzovat a rozhodnout o variantách řešení. Big fish realizace, včetně případné detailní analýzy, musí začít co nejdříve. A B C D E F Quick wins dopady musí být vyřešeny do 05/2018, ale jejich realizace může začít později. P1 P3 Míra rizika dopadu 6
Synergické efekty v řešení GDPR Zpracování osobních údajů Záznamy o zpracování OÚ Určení titulů a účelů Balanční testy Informační povinnost Privacy Impact Assessment Řízení ochrany osobních údajů Nastavení odpovědnosti Interní předpisy a standardy Pověřenec pro ochranu OÚ Řízení incidentů Školení zaměstnanců Skupinový marketing a obchod Souhlasy se zpracováním OÚ Evidence souhlasů Pravidla zpracování OÚ (sběr, analýza potřeb, komunikace) Výkon práv subjektů údajů Zpracovatelé osobních údajů IT řešení pro podporu GDPR Žádosti o výkon práva Evidence žádostí Postupy a nástroje zpracování žádostí Pravidla a standardy Smlouva o zpracování OÚ Přesmluvnění Nastavení vztahů ve skupině Kontroly Nástroje pro analýzu OÚ Nástroje pro výmaz a/nebo anonymizaci dat Zabezpečení a kontrola Evidenční a procesní nástroje 7
IT řešení pro GDPR Úroveň řešení 1 2 3 4 Metodické řešení Omezená IT podpora Základní IT podpora Plná IT podpora IT řešení pro podporu GDPR Registr zpracování OÚ Registr souhlasů se zpracováním OÚ Nástroje pro analýzu OÚ Nástroje pro výmaz a/nebo anonymizaci dat Zabezpečení a kontrola Evidenční a procesní nástroje Registr subjektů údajů Evidence žádostí o výkon práv Řízení procesů výkonu práv Evidence a řízení incidentů Evidence výskytů osobních údajů IT řešení realizujte postupně Nástroje informační a kybernetické bezpečnosti Komunikační kanály Stav v květnu 2018 Požadovaný cílový stav 8
IT řešení pro GDPR podrobně 1/5 KPMG GDPR Framework Správa subjektů (osob) Konsolidovaná databáze Podpora pro ověření Zajištění aktualizace dat subjektů Registr zpracování OÚ Záznamy o zpracování OÚ Dokumentace (PIA, balanční testy) Podpora pro aktualizaci v organizaci Registr souhlasů Evidence souhlasů Dokumentace k prokázání Řízení výkonu práv subjektů Evidence žádostí Exekuce výkonu práv (case management) Informační povinnost Evidence a aktualizace Publikace napříč kanály Řízení incidentů Detekce a sběr incidentů Vyhodnocení incidentů Informování o incidentu Výmaz, anonymizace atd. Jednorázový úklid dat Pravidelný výmaz/anonymizace Pseudonymizace Přenos dat MDM atp. Zabezpečení OÚ Analýza rizik IT (vč. shadow IT) Analýza výskytu OÚ Řízení přístupů Testovací a vývojová prostředí Ost. zabezpečení (kontrola, ochrana) Agenda CPO/DPO Dokumentace k GDPR Provádění kontrol Evidence zpracovatelů 9
IT řešení pro GDPR podrobně 1/5 KPMG GDPR Framework Správa subjektů (osob) Konsolidovaná databáze Podpora pro ověření Zajištění aktualizace dat subjektů Registr zpracování OÚ Záznamy o zpracování OÚ Dokumentace (PIA, balanční testy) Podpora pro aktualizaci v organizaci Registr souhlasů Evidence souhlasů Dokumentace k prokázání Řízení výkonu práv subjektů Evidence žádostí Exekuce výkonu práv (case management) Informační povinnost Evidence a aktualizace Publikace napříč kanály Řízení incidentů Detekce a sběr incidentů Vyhodnocení incidentů Informování o incidentu Výmaz, anonymizace atd. Jednorázový úklid dat Pravidelný výmaz/anonymizace Pseudonymizace Přenos dat MDM atp. Zabezpečení OÚ Analýza rizik IT (vč. shadow IT) Analýza výskytu OÚ Řízení přístupů Testovací a vývojová prostředí Ost. zabezpečení (kontrola, ochrana) Agenda CPO/DPO Dokumentace k GDPR Provádění kontrol Evidence zpracovatelů 10
IT řešení pro GDPR podrobně 1/5 KPMG GDPR Framework Správa subjektů (osob) Konsolidovaná databáze Podpora pro ověření Zajištění aktualizace dat subjektů Registr zpracování OÚ Záznamy o zpracování OÚ Dokumentace (PIA, balanční testy) Podpora pro aktualizaci v organizaci Registr souhlasů Evidence souhlasů Dokumentace k prokázání Řízení výkonu práv subjektů Evidence žádostí Exekuce výkonu práv (case management) Informační povinnost Evidence a aktualizace Publikace napříč kanály Řízení incidentů Detekce a sběr incidentů Vyhodnocení incidentů Informování o incidentu Výmaz, anonymizace atd. Jednorázový úklid dat Pravidelný výmaz/anonymizace Pseudonymizace Přenos dat MDM atp. Zabezpečení OÚ Analýza rizik IT (vč. shadow IT) Analýza výskytu OÚ Řízení přístupů Testovací a vývojová prostředí Ost. zabezpečení (kontrola, ochrana) Agenda CPO/DPO Dokumentace k GDPR Provádění kontrol Evidence zpracovatelů 11
IT řešení pro GDPR podrobně 1/5 KPMG GDPR Framework Správa subjektů (osob) Konsolidovaná databáze Podpora pro ověření Zajištění aktualizace dat subjektů Registr zpracování OÚ Záznamy o zpracování OÚ Dokumentace (PIA, balanční testy) Podpora pro aktualizaci v organizaci Registr souhlasů Evidence souhlasů Dokumentace k prokázání Řízení výkonu práv subjektů Evidence žádostí Exekuce výkonu práv (case management) Informační povinnost Evidence a aktualizace Publikace napříč kanály Řízení incidentů Detekce a sběr incidentů Vyhodnocení incidentů Informování o incidentu Výmaz, anonymizace atd. Jednorázový úklid dat Pravidelný výmaz/anonymizace Pseudonymizace Přenos dat MDM atp. Zabezpečení OÚ Analýza rizik IT (vč. shadow IT) Analýza výskytu OÚ Řízení přístupů Testovací a vývojová prostředí Ost. zabezpečení (kontrola, ochrana) Agenda CPO/DPO Dokumentace k GDPR Provádění kontrol Evidence zpracovatelů 12
IT řešení pro GDPR podrobně 1/5 KPMG GDPR Framework Správa subjektů (osob) Konsolidovaná databáze Podpora pro ověření Zajištění aktualizace dat subjektů Registr zpracování OÚ Záznamy o zpracování OÚ Dokumentace (PIA, balanční testy) Podpora pro aktualizaci v organizaci Registr souhlasů Evidence souhlasů Dokumentace k prokázání Řízení výkonu práv subjektů Evidence žádostí Exekuce výkonu práv (case management) Informační povinnost Evidence a aktualizace Publikace napříč kanály Řízení incidentů Detekce a sběr incidentů Vyhodnocení incidentů Informování o incidentu Výmaz, anonymizace atd. Jednorázový úklid dat Pravidelný výmaz/anonymizace Pseudonymizace Přenos dat MDM atp. Zabezpečení OÚ Analýza rizik IT (vč. shadow IT) Analýza výskytu OÚ Řízení přístupů Testovací a vývojová prostředí Ost. zabezpečení (kontrola, ochrana) Agenda CPO/DPO Dokumentace k GDPR Provádění kontrol Evidence zpracovatelů 13
Jak můžeme pomoci Navrhneme nové procesy, souhlas se zpracováním osobních údajů, směrnice, úpravu vztahů s dodavateli, bezpečnostní koncepci, bezpečnostní technická a organizační opatření ad. Prověříme, zda navržená řešení jsou dostatečná, ale i přiměřená. Naplánujeme realizační kroky, případně je i zajistíme. 14
Martin Hladík martinhladik@kpmg.cz 222 123 111