GDPR Dopady GDPR a jejich vazby Algotech & Michal Medvecký 22. 7. 2017 Algotech Telefon: +420 225 006 555 Fax: +420 225 006 194 E-mail: Web: Adresa: info@algotech.cz www.algotech.cz FUTURAMA Business Park Sokolovská 668/136 D 186 00 Praha 8, Česká republika
O mě Petr Loužecký Petr je ředitelem úseku AlgoCloud společnosti Algotech, a.s.. V posledních 20 letech působí na různých pozicích v IT sektoru od menších firem až po mezinárodní banky. Má zkušenosti s řízením mnoha projektů a s nasazením systémů zejména jak z oblasti telekomunikačních systému, tak i podnikových ERP systémů. Je odborníkem v oblastech datových center a infrastruktury. Během své praxe nasbíral zkušenosti v bankovním sektoru a v provozování kritické infrastruktury. Petr působil mnoho let v oblasti bezpečných IT systémů a má zkušenosti s normami a metodikami, Prince2, PCI DSS, ISO, ITIL atd. Aktuálně se zabývá problematikou kybernetického zákona a nařízení GDPR v rámci denní praxe při provozu Cloudových služeb.
Harmonogram Algotech & Partneři Legislativa a její dopad Informační a kybernetická bezpečnost GDPR definice GDPR zásady zpracování DPO Reálné dopady Příklad Porušení, sankce a pokuty Možnosti řešení
Algotech v datech Vznik v České republice v roce 1997 Počet zaměstnanců: 85 Počet poboček v zahraničí: 6 Ø Slovensko Ø Polsko Ø Maďarsko Ø Srbsko Ø Rumunsko Ø Slovinsko
Algocloud Vlastní datové centrum Algotechu Jedno z nejmodernějších datových center v CEE Provoz 24 x 7 Dostupnost až 99,99% Striktní bezpečnostní politika Redundance všech systémů / georedundance
Algocloud ISO 2700x GDPR audit kybernetickým úřadem do začátku platnosti normy GDPR Ready certifikace zatím neexistuje!!!
Co děláme? Telco ERP Cloud
Proč Algotech? Partnerství Dlouhodobá spolupráce s klienty, rozvoj a servis Profesionalita Zkušenosti a reference v oblasti ICT Zkušenost Znalost technologického prostředí call center a jeho potřeb Připravenost Vlastní technologické zázemí (AlgoCloud) ServiceDesk a monitoring 24/7/365 Zkušenost s poptávanými činnostmi Standardizace Realizace servisních činností dle ITIL, expertní tým Certifikace a autorizace
REFERENCE ERP
REFERENCE TELCO
REFERENCE CLOUD
GDPR Nové výzvy
Nové výzvy GDPR (General Data Protection Regulation) je nařízení Evropské unie, které vstoupí v účinnost 25. 5. 2018. Jeho cílem je zvýšit úroveň ochrany osobních údajů a posílit práva občanů Evropské unie v této oblasti.
Komplexní pohled na legislativu ZOOÚ Zákon č 101/200 Sb. O ochraně osobních údaj GDPR Nařízení Parlamentu a Rady EU č. 016/679 ZKB Zákon číslo 181/2014 SB o kybernetické bezpečnosti ZKŘ - Zákon č 240/2000 Sb. o krizovém řízení a o změně některých zákonů eidas Nařízení Evropského Parlamentu a Rady EU č. 90/2014 o elektronické identifikaci a službách vytvářejících důvěru. ZEK Zákon č. 127/2015 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů NOZ Zákon číslo 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů TZ Zákon číslo 40/2009 Sb., trestní zákoník ZTOPO Zákon č. 418/2011 Sb. o trestní odpovědnosti právnických osob a řízení proti nim (ve znění novely č. 183/2016 SB)
Komplexní pohled na legislativu
Legislativa dopad na firmy Nařízení je platné pro všechny společnosti v EU, které manipulují s osobními údaji subjektů IT. Za ochranu dle směrnice je zodpovědný celý dodavatelský řetězec (od výrobce k dodavateli a zákazníkovi). Zavádí pozici Data Protection Officer ( DPO ).
Informační a kybernetická bezpečnost Informační bezpečnost Bezpečnost informací (integrita, dostupnost, důvěrnost) Týká se organizace (komunikační bezpečnost + fyzická, organizační) Obce/firmy/Nemocnice rozsáhlý zpracovatel OÚ (dodavatelský řetězec vazba na GDPR) Kybernetická bezpečnost Legislativní, organizační, technické prostředky k ochraně kyber prostoru V ČR Kybernetický zákon č. 181/2014 Sb. vč. vyhlášek č. 316 a 317 (probíhá novelizace vč. směrnice NIS 2016/1148)
GDPR General Data Protection Regulation Přímé a účinné nařízení EU č. 2016/679 (účinnost od 25. 5. 2018) Úzká vazba na Informační a Kybernetickou bezpečnost Zákon č. 101/2000 Sb. o ochraně osobních údajů
Subjekty
GDPR Zásady zpracování OÚ Transparentnost Informace o opatřeních Zákonnost a korektnost Zpracování v souladu souhlasem pro daný případ, smlouvou nebo právem nutného pro ochranu života a veřejném zájmu V souladu s kodexy Účelové omezení Minimalizace údajů Jen nezbytně nutné Přesnost Právo na opravu dat
Omezení uložení Právo být zapomenut Nový proces (mazání dat z archivů) Povinnost informovat druhou stranu o provedeném výmazu Integrita a důvěrnost Bezpečnostní opatření Odpovědnost Správce dat (i zpracovatel) odpovídá za data Bezpečnostní opatření GDPR Zásady zpracování OÚ
GDPR Definice (1/3)
GDPR Definice (2/3)
GDPR Definice (3/3)
GDPR Data Protection Officer DPO
GDPR DPO v organizaci
GDPR DPO náplň práce DPO = kolega CISO manažera právní a IT vědomosti a znalosti
GDPR DPO MUSÍ být jmenován nebo více jak 250 zaměstnanců
GDPR Reálné dopady Opatření Zajištění souladu zpracovatele OÚ (právní rozklad) Analýza (Asistované zhodnocení) zpracovávaných OÚ vč. kategorizace OÚ minimalizace rizik formou opatření Získání souhlasů se zpracováním OÚ (právní rovina) Zpracování posouzení vlivu na ochranu OÚ dle čl. 35 GDPR
GDPR Reálné dopady Opatření Dokumentační (ISMS) část procesu předávání OÚ uvnitř organizace rozšíření povinně bezpečnostní dokumentace Zavedení log managementu Zavedení procesu evidence a uložení záznamu o zpracování údajů (po dobu 18-ti měsíců) Zavedení pozice DPO a začlenění do org. struktury
GDPR Reálné dopady Opatření Anonymizace dat Pseudonymizace dat Šifrování dat Zavedení procesu kontroly Dodavatelského řetězce Auditní činnost pro oblast GDPR
GDPR Reálné dopady Opatření Zabezpečení komunikace dat OÚ s vnějším okolím (zabezpečená výměna dat) REALIZACE PŘIJATÝCH OPATŘENÍ (právní, technické, organizační, procesní ) AUDITNÍ ČINNOST z praxe definované minimum...
GDPR Ohlášení porušení OÚ
Souhlas se zpracováním osobních údajů Povinnosti správce
GDPR Sankce a pokuty POZOR Za porušení povinností podle GDPR dotčeným hrozí sankce až do výše 20 000 000 EUR nebo 4% z celosvětového obratu vaší firmy
J
S čím umíme pomoci?
Naše služby Audit GDPR Outsourcing DPO Dohled a auditing nad IT (GDRP) IT systémy (z cloudu)
Co řeší dobrý Cloud Dostupnost Zálohování a obnovu Dohled a auditovatelnost Autorizaci Bezpečnost
Flexibilita Cloud roste s vámi Technologický partner
Bezpečnost Procesní Elektronická Fyzická
Dostupnost Redundance Zálohy Profesionalita
Podpora Správa Monitoring
Co se nemění Individuální přístup
Produkty Bezpečná úložiště a komunikace Bezpečnost SOPHOS Virtuální servery CRM / ERP / BI Dohled a zálohy Georedundance vašich systém
Děkujeme za pozornost. Diskuze, dotazy