O365 GDPR v praxi Pavel Salava, Conectio Dan Hejda, KPCS
O čem to dnes bude
3
GDPR v praxi General Data Protection Regulation GDPR a dopad do organizace Účely Stanovení, posouzení, zpracování se zohledněním kategorie dat Přístup k posouzení inherentního rizika zpracování Detailní posouzení rizik se zohledněním dotčených aktiv Daniel Hejda Data Protection Officer at KPCS CZ s.r.o. ATOM SOC/Dev Team member Microsoft Most Valuable Professional Vzorová opatření a jejich účinnost na zmírnění (mitigaci) rizik Výstupy, vytvoření a vyplnění DPIA Další povinné požadavky nařízení GDPR
Obecně o nařízení Nové nařízení na úrovni Evropské Unie Pro právnické osoby 679/2016 Pro veřejný sektor 680/2016 Nejucelenější soubor pravidel na ochranu dat na světě Zaměřeno na ochranu a soukromí fyzických osob Dopad na společnosti v rámci B2B/B2C Zamezení prodeje osobních údajů Náhrada současné směrnici 95/46/ES Upravuje související zákon č. 101/2000 Sb., o ochraně osobních údajů Spolupráce členských států na vyšetřování úniku dat
Principy nařízení Princip založený na stanovení odpovědnosti na: vlastníky procesů a zpracování vedení záznamů o činnosti Princip založený na riziku posouzení míry rizika na práva a svobody fyzických osob provedení mitigace rizik v případě, že je míra inherentního rizika vysoká nebo kritická Identifikace zpracování, údajů, osob, rizik, atd.. Minimalizace Provádění zpracování jen těch údajů, které jsou nutné pro výkon vaší činnosti Férovost zpracování Transparentnost O každém kroku, který by subjekt nemohl očekávat musí být informován
Role v nařízení GPDR Subjekt údajů Fyzická osoba s trvalým pobytem v rámci EU Nová práva v rámci nařízení Správce Odpovědný za zpracovatele Odpovědný za sub-zpracovatele Exekutivní role při zajištění práv subjektu údajů (bezplatně) Povinnost prokazováním Hlásí dozorovému úřadu, hlásí subjektům údajů Zpracovatel Podřízen správci Nutná úprava smlouvy se správcem (definice odpovědnosti) Povinný zajistit potřebné podklady na žádost správce (bezplatně) Povinný získat podklady pro správce I od svých zpracovatelů (sub-zpracovatelů)
Zpracovatelé Správce odpovídá za zpracovatele Správce vybírá pouze zpracovatele, kteří dodržují nařízení Řetězení zpracovatelů je možné jen s povoleném správce Povinnosti zpracovatele: Povinnost zavést bezpečnostní opatření Povinnost vést záznamy o zpracování Povinnost hlásit bezpečnostní incidenty správci Jmenování pověřence pro ochranu osobních údajů
Zpracovatelské smlouvy Písemná forma mezi správcem a zpracovatelem Předmět, doba trvání, povaha a účel zpracování, kategorie údajů Vázanost instrukcemi Zajištění mlčenlivosti (NDA smlouvy) Informace o přijatých opatření k zabezpečení Součinnost při výkonu požadavků od subjektů údajů Umožnění auditu ze strany správce
Klíčové body GDPR
Co jsou kategorie údajů Soubor využívaných osobních dat v rámci organizace Vždy seskupeno do globálnějších celků dle kontextu a citlivosti Může existovat vice kategorií údajů v jednom účelu Ke každé kategorii údajů je potřeba přistupovat jinak
Osobní údaje
Některé kategorie osobních údajů Čísla z národního rejstříku Členství v odborové organizaci Data týkající se zdraví, atd.. Filozofické nebo náboženské víry Finanční informace Fyzické údaje Identifikační údaje Obrazové záznamy Osobní údaje obecné Politické názory Psychické údaje Rasová nebo etnická data Složení rodiny Soudní informace týkající se... Spotřební návyky Školení a odbornost Údaje o sexuálním životě Vlastnosti pronájmů a podnájmů Volnočasové aktivity a zájmy Zaměstnání Zvukové nahrávky Životní zvyky
Citlivé osobní údaje Je zakázáno zpracování těchto údajů Rasový nebo etnický původ Politické názory Náboženská vyznání Filozofická přesvědčení Členství v odborech Zpracování genetických údajů Zpracování biometrických údajů za účelem jedinečné identifikace Údajů o zdravotním stavu Údajů o sexuálním životě Sexuální orientaci Zákaz se nepoužije, když Je získán výslovný souhlas Je vyžadováno zpracování za účelem výkonu zvláštních práv správce nebo subjektu v oblasti pracovního práva nebo sociálního zabezpečení a sociální ochrany Je nutné pro ochranu životně důležitých zájmů subjektů Je oprávněným zájemem neziskové organizace Netýká se údajů zveřejněných subjektem samotným Je nutné pro obhajobu právních nároků Je nutné z důvodu veřejného zájmu, pracovního lékařství, atd
Jak identifikovat osobní údaje Údaj, který může identifikovat fyzickou osobu nyní Údaj, který může identifikovat fyzickou osobu v budoucnu Údaj, jehož spojením s jiným údajem může dojít k ohrožení subjektu údajů Citlivost údaje je hlavním vodítkem ke stanovení míry Inherentního rizika (více si ukážeme později) Příklad: Soubor 1: Jméno, Příjmení a doručovací adresa + Soubor 2: Pokuta nebo sankce z pohledávkového systému + Soubor 3: Informace o nákupních preferencích z e-shopu + Soubor 4: Faktury z ERP systému = Velmi citlivé zpracování, Vysoké riziko pro subjekty
Zpracování Seřazení Zaznamenání Zpřístupnění přenosem Uložení Výmaz Jiné zpřístupnění Shromáždění Zkombinování Pozměnění Zničení Omezení Uspořádání Šíření Nahlédnutí Vyhledání Použití Přizpůsobení Strukturování
Účel zpracování Každé zpracování musí mít stanoven jasný účel Právní titul se vztahuje vždy pouze ke konkrétním účelům Zpracování je možné provádět pouze pro daný účel a kompatibilní účely Před zahájením nového účelu zpracování je nutné posoudit jeho rizikovost, mitigovat rizika a případně nechat zhodnit dozorový úřad
Minimalizace zpracování Údaje nesmí být zpracovávány preventivně Nesmíme uchovávat údaje, které by se nám mohly někdy hodit Každý účel musí mít jasně definovanou dobu, po kterou jsou údaje zpracovávány Doba je definována na účel, ale take na kategorii údajů Každý účel obsahuje jasně definované kategorie údajů Není možné požadovat a zpracovávat údaje, které Jsou nepřiměřené s ohledem na daný účel Nejsou relevantní k danému účelu Nejsou nezbytné k provedení daného účelu
Minimalizace zpracování Jméno Příjmení Doručovací adresa Fakturační adresa Záruka na zakoupené zboží 2 roky Prodej zboží z e-shopu Historie nákupů Nákupní preference Direct Mailing Faktura Zákon o účetnictví 10 let Provedení nákupu Mohu mít tyto informace jen přiměřeně dlouho Povinnost vést informace pro případnou reklamaci Povinnost ze zákona
Férovost a transparentnost V případě získání informací a očekávaného zpracování Musí být subjekt informován, případně musí udělit souhlas se zpracováním Nejpozději do 1 měsíce od získání těchto údajů od jiného správce a nebo z veřejných zdrojů Veškeré informace musí být přístupné a srozumitelné Mohou být publikovány například na internetových stránkách V případě zpracování informací o dětech musí být sepsány v jazyce, který je pro dítě snadno pochopitelným Důvěryhodnost dale zajistí platné(á) Osvědčení dokládající ochranu údajů Pečetě dokládající ochranu údajů Známky dokládající ochranu údajů
Právní titul Právní nebo zákonné požadavky Jiné zákony, nařízení, atd Plynutí ze smlouvy Použitelné pouze v případě, kdy není možno službu dodat bez těchto informací Oprávněné zájmy Vždy balanční test Souhlas Pozor na nadbytečnost Životní zájmy Ochrana života a zdraví subjektů údajů Nejčastěji z nemocnic a zdravotnických zařízení Veřejné zájmy Všeobecná ochrana veřejnosti Nejčastěji u policie, hasičů a státních služeb
Záznamy o činnostech zpracování Povinnosti se nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí pravděpodobně představuje riziko pro práva a svobody subjektů údajů zpracování není příležitostné zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v Článek 10.
Záznamy o činnostech zpracování Správce jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů; účely zpracování; popis kategorií subjektů údajů a kategorií osobních údajů; kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích; informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk; je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů; je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1. Zpracovatel jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, pro něhož zpracovatel jedná, a případného zástupce správce nebo zpracovatele a pověřence pro ochranu osobních údajů; kategorie zpracování prováděného pro každého ze správců; informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk; je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1.
Práva subjektu údajů Přístup Výmaz Omezení Námitka Přenositelnost Automatizované rozhodování
Práva subjektu údajů Jejich výkon má být usnadněn Má být stejně náročným jako získání údajů od subjektu údajů Mají být vyřízena do 1 měsíce od podání žádosti Je možné prodloužení o další 2 měsíce Odmítnutí je však nutné realizovat do 1 měsíce Je možné ověření totožnosti žadatele Výkon práv je bezplatný, pokud je přiměřený v čase
Privacy Notice (Transparentnost) Veřejně přístupný dokument zajišťující transparentnost organizace Povinnost informovat veřejnost o účelech, kde existuje oprávněný zájem, vyplývá ze smlouvy, případně probíhá ve veřejném zájmu, životních zájmech nebo plyne ze zákonné povinnosti Obsah Privacy Notice: Přesná definice zpracovávaných osobních údajů Zdroje osobních údajů Účely použití Způsob ochrany údajů Komu osobní údaje předáváte Možnosti subjektu údajů s vazbou na zpracování a předávání Práva subjektu údajů o nákladání s daty Kontaktní místo pro subjekt údajů Informace o zásadách a pravidlech zpracování
Data Protection Impact Assessment Vychází z příručky pro DPIA stanovené pracovní skupinou WP29 Musí být provedeno pokud: Hrozí, že míra rizika pro subjekty údajů bude vysoká nebo kritická Pokud nastanou 2 z 9 vlastností zpracování, které jsou posouzeny v rámci každého účelu Hodnocení nebo bodování, Automatizované rozhodování, které má právní nebo podobně závažný dopad Systematické monitorování Citlivé údaje nebo údaje vysoce osobní povahy Údaje zpracovávané v rozsáhlém měřítku Přiřazování nebo slučování datových souborů Údaje týkající se zranitelných subjektů údajů Nové použití nebo využití nových technologických nebo organizačních řešení Brání subjektům údajů v uplatňování některého z jejich práv nebo v používání některé služby či smlouvy
Pověřenec ochrany osobních údajů (DPO) Náplň Definovat opatření, nikoliv implementovat a provádět Provádět školení Provádět interní audity Poskytovat poradenstní správci a zpracovateli Vést záznamy o zpracování, pokud jsou vyžadovány a další agendy (registry) Komunikovat s dozorovým úřadem a subjekty údajů Být do funkce jmenován (pro školy dle MŠMT povinností) Znalec v oblasti bezpečnosti dat, ochrany soukromí s přesahem do znalosti čtení právních dokumentů a se schopností psaní směrnic a provádění školení. Doporučená je znalost kontextu/oboru organizace. Nesmí být ve střetu zájmů (nesmí provádět vlastní zpracování dat) Může být outsourcován Jmenovat musí společnost, když Zpracování osobních údajů provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů (v jakémkoli rozsahu) Hlavní činnosti správce nebo zpracovatele osobních údajů spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování osob Hlavní činnosti správce nebo zpracovatele osobních údajů spočívají v rozsáhlém zpracování zvláštních kategorií údajů
Interní školení zaměstnanců Poskytuje organizaci prokazatelnost (obdobně jako BOZP) Musí být jednoduché a pochopitelné Musí být prováděno pravidelně Postupná adaptace Management Vlastníci procesů Aktéři procesů Vhodné metody Interní marketing (plakáty, akce, firemní oběžníky) E-Learning (možnost proškolení ve volném čase) Face-to-Face školení
Oznámení o narušení bezpečnosti Narušení bezpečnosti osobních údajů je třeba ohlásit dozorovému úřadu ve lhůtě do 72 hodin V případě, že riziko pro subjekt údajů je nepravděpodobné, hlášení subjektu údajů není nutné V případě, že jsou osobní údaje šifrované není povinné hlásit subjektům údajů Pokud je riziko pro subjekt údajů vysoké, je nezbytné provést hlášení incidentu též subjektu údajů
46
Metodika implementace podle KPCS Pre-Assessment Personal Data Assessment Risk Analysis & Measures GDPR Effectiveness 25.5.2018 Implementation of Measures Mandatory Measures Continuous Data Privacy Management
Výstupy jednotlivých fází Pre-Assessment Personal Data Assessment Risk Analysis & Measures Implementation of Measures Základní školení a seznámení Primární aktiva obsahující Aplikační a systémová mapa Doba nutná k impelemtaci s problematikou GDPR osobní údaje Registr rizik včetně jejich opatření Pre-Assessment Report Registr účelů a způsobů posouzení Projektový plán pro každé Popis AS-IS stavu zpracování Systém pro vedení opatření Popis rolí v organizaci Registr podpůrných aktiv dokumentace Dokumentace ke každému Obecná doporučení prvního stupně Registr implementovatelných opatření s ohledem na (technická, organizační Popis a vyhodnocení účelů opatření vhodných ke snížení Privacy by Design & Default a procesní) zpracování, jejich rizikovost a míry rizika GDPR implementační další informace nutné pro Matice a metodika rizik framework vytvoření Privacy Term Specifická technická a Plán a postup další fáze dokumentu organizační opatření Privacy Term dokument DPIA vytvořená pro všechny Plán a postup další fáze posuzované účely v této fázi
Metodika pro analýzy rizik Velmi mnoho metodik pro analýzy rizik Není jasně definováno v nařízení GDPR Varianty: Použít existující Privacy: ENISA, NIST, ISO27018, CNIL, PIAF Project: TOGAS, SCRUM, atd Vytvořit vlastní Počkat na dozorový úřad Použít řešení třetích stran
Rozsah povinných agend I. Administrativní cíle ke splnění informační a ohlašovací povinnosti příprava interní směrnice pro klasifikaci dat dle článku 6 provedení posouzení vlivu na práva subjektů údajů pro riziková zpracování včetně analýzy rizik dle článku 5, 9, 25 oznámení o porušení zabezpečení, včetně interního předpisu dle článku 12, 33 veřejné oznámení o ochraně osobních údajů dle článku 12 oznámení o ochraně osobních údajů dle článku 13 a 14 Postup a formulář pro odpovídání na žádosti o přístup k osobním údajům dle článku 15 provedení analýzy rizik stanovení inherentních rizik dle článku 24 kontrola zpracovatelských smluv dle článku 28 záznamy o činnostech zpracování (registr účelů a rizik) dle článku 30 vyhodnocení, zda-li má být ustanovena funkce DPO nebo alespoň osoby zodpovědně za ochranu osobních údajů zavedení pravidel pro předávání OÚ do třetích zemí - závazná vnitropodniková pravidla, standardní smluvní ustanovení, atd. postupy pro uplatnění všech práv subjektů údajů, tj. nejenom na přístup, ale i na opravu, přenositelnost, výmaz, omezené zpracování a možnosti vznést námitku dle článku 15 až 21
Rozsah povinných agend II. Technicko-organizační opatření příprava systému pro evidenci požadavků od subjektů dle článku 15 až 21 Test nastavení směrnice a postupů pro zajištění práv subjektů příprava systému pro evidenci narušení bezpečnosti dle článku 12, 33 test nastavení směrnice a postupů pro zajištění narušení bezpečnosti registr zpracovatelských smluv dle článku 28 příprava nebo návrh úpravy stávajícího informačního systému dle článku 15 až 21 příprava registru souhlasů a jejich odvolání dle článku 7
Rozsah povinných agend III. Technická opatření na zmírnění míry rizika dle stanov Working Party WP29 řízení logického přístupu k osobním údajům (včetně datových nosičů) zajištění čitelnosti osobních údajů oprávněnými osobami logování a monitorování použití identifikace a autentizace použití hesel komunikační prostředí zajištění funkčnosti zálohování archivace kontinuita činnosti /obnova po mimořádné situaci likvidace dat a datových nosičů
Rozsah povinných agend IV. Organizačně procesní opatření dle stanov Working Party WP29 personální opatření bezpečnostní politika analýza rizik dokumentace opatření na ochranu dat dokumentace vývoje produktu inventarizace hardware, software, služeb, data a média media (CD, DVD, kazety, diskety a USB paměti apod.) ověření přijatých technických a organizačních opatření
Směrnice, normy, nařízení ISO 29134 Privacy Impact Assessment 27001 27005 Security Information (ISMS) 9001 Quality Management GDPR 679/2016 680/2016 ZkB, eidas, atd Německo (SDM Standard- Datenschutzmodell) a Francie (CNIL) GDPR nařízení National Institute of Standards and Technology (NIST) - Risk Analysis Methodology Privacy Impact Assessment Framework for the European Union (11/2012) WorkingParty29 Opinion 2/2017 on data processing at work (operace zpracování) Opinion 3/2013 on purpose limitation (limitování účelů zpracování) Opinion 03/2014 on Personal Data Breach Notification (notifikace dozorového úřadu) Guidelines on Data Protection Impact Assessment (DPIA) Guidelines on Data Protection Officers ( DPOs ) Statement on the role of a risk-based approach in data protection legal frameworks Guidelines for identifying a controller or processor s lead supervisory authority (Správci a Zpracovatelé) Guidelines on the right to data portability (přenositelnost dat)
55
Co udělat ve Fázi 0 Popište organizační strukturu společnosti Definujte klíčové uživatele (vlastníky business procesů) Zaevidujte zpracovatele v organizaci Zjistěte a zaevidujte, zda jste pro někoho zpracovatelem Určete a zaznamenejte aktiva, která mohou obsahovat osobní data Vyberte typizovaná aktiva a proveďte jejich detailní průzkum Soustřeďte se na aktiva, u kterých očekáváte, že zde probíhá pravidelné zpracování dat (SAP, SharePoint, HR systém, MS Dynamics NAV, MS Dynamics CRM, Office365, atd ) Excel na počítači uživatele, otevřený jen jednou nevyžaduje zvláštní pozornost, pokud není očekávaným zdrojem informací Excel s dovolenými na počítači uživatelky v HR oddělení, atd
Popis stávajícího stavu Vytvořte plán nasazení a postupu Projektový plan Definujte koho bude chtít oslovit a s čím Klíčoví uživatelé Připravte otázky pro klíčové uživatele Co budete chtít zjistit (obvykle počet procesů a hrubý odhad zpracovávaných dat, počet účelů, atd..) Zaevidujte existující smlouvy se zpracovateli Posuďte jaké systémy již máte a zda máte prostředí zmapováno Vytvořte závěrečné stanovisko k uvedení společnosti do souladu s nařízení GDPR
Klíčoví uživatelé Board of Directors Chief Information Security Officer (CISO) Chief Executive Officer (CEO) Compliance Manager Data Protection Officer Employees/Staff Finance Director (CFO) GDPR Owner Head of HR Head of Internal Audit Head of IT (CIO) Head of Marketing HR Department Information Security Manager IT Department IT Helpdesk Manager/Executive (generic/line) Procurement Manager Quality Manager Top Management Nemáte stanoveny dané role přiřaďte je virtuálně Přidejte další vlastníky procesů
Microsoft Detailed Assessment
Co obsahuje výstup pre-assessment fáze
Fáze 0: Co nás překvapilo u nás
62
Stanovení činností zpracování Stanovte všechny činnosti zpracování Nakreslete si mapu procesu pro každou činnost Proberte s klíčovým uživatelem každý krok a každého aktéra v procesu Interní role Externí role (zpracovatelé nebo další správci)
Činnosti zpracování vs OÚ Kategorie údajů 1 Osobní údaj 1 Osobní údaj 2 Respektování vzájemných vazeb Typový účel zpracování Činnost zpracování 1 Kategorie údajů 2 Osobní údaj 3 Uvědomění si závislostí Činnost zpracování 2 Osobní údaj 4 Osobní údaj 5 Jaká metadata opravdu potřebuji evidovat Kategorie údajů 3 Osobní údaj 6 Vlastnosti činností zpracování Definice činnosti zpracování Popis funkčního zpracování Použité údaje a zúčastněné strany Zpracovatel(é) Výměna dat do zahraničí Použité technologie Výstupní parametry GDPR Citlivost zpracování Rizika Opatření Metody a způsoby pro zajištění práv subjektů Stav zpracování
Offboarding Pravidelná HR agenda Preboarding Nábor Správa zaměstnanecké agendy Subjekt údajů Správce Zpracovatel Třetí strana Konec procesu Proces vyhledání kandidáta Vyhledání a oslovení kandidáta ANO Kandidát - žádost - odpověď na oslovení Životopis Motivační dopis Reference Pohovory - poznámky - znalostní test ANO Poznámky Znalostní testy Microsoft Neakceptovatelný Smazání CV a informací o subjektu Nabídka HR Manager - nabídka ANO Karototéka Podepsaná smlouva HR Manager - nabídka - smlouva Smlouva Zaměstnanec ANO Zaměstnanec Zdravotní prohlídka Přihlášení k dani Nástupní dotazník Preboarding - zdrav. Prohlídka - nástupní form. Přihlášení k dani Externí účetní Přihlášení zaměstnance Sociální a zdravotní pojištění Zdravotní prohlídka Nástupní dotazník Kartotéka Zdravotní prohlídka Nástupní dotazník Microsoft Podklady pro mzdy Report Podklady pro mzdy HR Manager Report Externí účetní Mzdové informace Sociální a zdravotní pojištění Zaměstnanec Výplatní pásky Odchod zaměstnance Výstupní dokumenty Protokoly HR Manager - výstupní dokumenty Podepsané výstupní dokumenty Podepsané protokoly Podepsané výstupní dokumenty Podepsané protokoly Kartotéka Microsoft Zaměstnanec Podepsané výstupní dokumenty Podepsané protokoly Výstupní dokumenty Informace o ukončení Externí účetní Informace o ukončení Sociální a Smazání informací zdravotní pojištění o subjektu Nastavení skartačních politik 65
66
Definice účelů zpracování Abstraktní, ale informované a transparentní vyjádření (důležité pro vyplnění v Privacy Notice) Popis daného zpracování Definice citlivost zpracování Hodnocení lidí včetně profilování a tvorby prognóz Automatizovaná rozhodnutí s právními důsledky nebo podobně významnými důsledky Systémové sledování (monitorování a sledování - záznam zvuku, obrazu nebo videa) Zpracování velkého rozsahu údajů, které ovlivňují mnoho zúčastněných stran Kombinace nebo propojení datových zdrojů, které nemůže subjekt údajů očekávat Zpracování údajů, které vede k omezení práv dotčených hospodářských subjektů, které nemohou využívat danou služby ani ukončit smlouvu Systematické a rozsáhlé sledování veřejně přístupných prostor
Typizace účelu zpracování NADŘAZENÁ KATEGORIE ÚČELU TYPOVÝ ÚČEL PŘÍKLADY Obecné cíle Správa zaměstnanců a zprostředkovatelů Nábor a výběr pracovníků a zprostředkovatelů (makléři, nezávislí zástupci,...). Správa platů, poplatků, provizí a mezd. Aplikace sociální legislativy. Obecné cíle Řízení personálu a zprostředkovatelů Hodnocení a sledování zaměstnanců a zprostředkovatelů. Plánování školení a kariéry. Obecné cíle Plánování práce Plánování a sledování úkolů, pracovní zátěže a výkonu. Obecné cíle Kontrola na pracovišti Kontrola odborné činnosti na pracovišti pomocí kamerových nebo počítačových systémů, jako je kontrola e-mailů, používání internetu, telefonů... Obecné cíle Řízení zákazníků Správa zákazníků, správa zakázek, dodávky, fakturace hmotných a nehmotných služeb. Sledování platební schopnosti. Personalizovaný marketing a reklama. Registrace klientely podniku a jeho profilování na základě nákupů. Obecné cíle Boj proti podvodům a porušování bezpečí zákazníků Jedná se o činnosti, které mohou těmto akcím předcházet a nebo je odhalovat. Obecné cíle Správa sporů Správa sporů, včetně splacení splatných částek, atd... Obecné cíle Řízení dodavatelů Správa dodavatelů. Řízení zadaných objednávek, platby dodavatelům. Perspektivy potenciálních dodavatelů a jejich hodnocení. Obecné cíle Shromažďování dárků Správa darů. Potencionální klienti k obdarování, atd.. Obecné cíle Vztahy s veřejností Příprava veřejných akcí, propagace společnosti, atd Obecné cíle Technické a obchodní informace Analýza konkurentů a potenciálních obchodních partnerů. Obecné cíle Registrace a správa akcionářů nebo společníků Vedení registru akcionářů nebo partnerů. Správa finančních a dalších výhod, které obdrží. Obecné cíle Členská správa Správa členů, dobrovolníků a sympatizantů sdružení. Obecné cíle Bezpečnost Zpracování osobních údajů k zajištění bezpečnosti osob nebo zboží. Vezměte prosím na vědomí, že dohledové kamery jsou v zásadě předmětem zákona ze dne 21. března 2007 upravujícího umístění a používání kamer pro dohled ("zákon o kamerách") a nemusí být označeny současným formulářem. Použijte prosím vlastní tématický formulář. Obecné cíle Řešení sporů Správa vlastních sporů s fyzickými, soukromými nebo veřejnoprávními subjekty
Právní tituly Veřejné oznámení o ochraně osobních údajů Plynutí ze smlouvy Souhlas se zpracováním osobních údajů Souhlas subjektu Zákonná povinnost Životní zájem Veřejný zájem Oprávněný zájem
Oprávněný zájem - Balanční testy Oprávněný zájem lze využít pouze za předpokladu, že zájmy správce převažují nad právy subjektu údajů Lze uplatnit, pokud neexistuje možnost Plynutí ze smlouvy Právní povinnost Pokud nelze uplatnit, pak je vyžadován souhlas subjektu Co je součástí balančního testu? Identifikace oprávněného zájmu Test nutnosti Balanční test
Navazující kroky k posouzení účelu I. Použité údaje a zúčastněné strany při zpracování Citlivost údajů Rozsah zpracovávaných dat Odkud byla data pořízena Určení zpracovatelů Jméno a ID zpracovatele Název smlouvy se zpracovatelem Výměna dat do třetích zemí Země(různé možnosti v/mimo EU)? Data? Existence právních či obdobných kodexů povolující dané datové přenosy?
Navazující kroky nutné k posouzení účelu II. Mám definovánu datovou citlivost Mám tuto citlivost vynucenu Šifruji data Umím zajistit práva subjektů u daného zpracování Stav zpracování Kdy bylo zahájeno zpracování Kdy bude ukončeno zpracování Existuje navazující zpracování po ukončení Datum poslední aktualizace dat
Jak správně zvolit přiměřené retence dat V případě, že je použit právní titul Souhlas Oprávněný zájem Uvědomit si jak dlouho a jak často probíhá zpracování HR proces výběru vhodného kandidáta a jeho zkušební doba + doba, po kterou může být nová nabídka očekávána Výběrové řízení a oslovení kandidátů Ukončení předchozího pracovního poměru a nový nástup Zkušební doba Ukončení poměru ve zkušební době Nový souhlas nebo oprávněný zájem Ponechání z důvodu nové nabídky 1 měsíc 3 měsíce 3 měsíce 5 měsíců
Jak jsme k retenci přistoupili my
Ukázka dokumentu a jeho obsahu 4 - Matice rizik - fiktivní firma.xlsx 5 - Personal data assessment
Co je to riziko Inherentní riziko - je úroveň rizika před jakýmikoliv kroky ke snižování rizika. Riziko, které nebere v úvahu již zavedená opatření snižující hrozbu, zranitelnost nebo dopad. Jako kdybychom všechnu obranu vypnuli a zrušili. Reziduální Riziko - je úroveň rizika poté, co se vezmou v úvahu kroky ke snižování rizik. Za residuální neboli zbytkové riziko je považováno takové riziko, které zbylo po implementaci opatření, a které již management odpovědný za zvládání rizik nechce dále snižovat - management s výší rizika seznámí a jasně vyjádří svůj záměr s tímto rizikem již nic nedělat. Mitigace rizika - Inherentní riziko mitigace rizika opatřením = zbytkové riziko, tj. pokud je inherentní riziko velmi vysoké, ale jsou zavedeny dobré kontroly, pak může být zbytkové riziko nízké, a nestojí tedy za to jej zkoumat.
Míra dopadu na práva subjektů Zanedbatelný Nízký Střední Vysoký Kritický Subjekty údajů buď Subjekty údajů se mohou Subjekty údajů se mohou Subjekty údajů se mohou Subjekty údajů se mohou nebudou postiženy, nebo setkat s významnými setkat s významnými setkat s významnými setkat s významnými se mohou setkat s nepříjemnostmi, které důsledky, které by měly důsledky, u kterých je nebo dokonce několika nepříjemnostmi, budou schopny překonat být schopny překonat, očekáváno dlouhodobé nezvratnými důsledky, které překonají bez navzdory několika i když s vážnými obtížemi překonávání (částečné které nemusí překonat jakéhokoliv problému obtížím (dodatečné (zneužití finančních postižení, dlouhodobé (odebrání majetku, (čas strávený opětovným náklady, odmítnutí prostředků, černá listina odmítnutí zaměstnání vyhlášení osobního zadáváním informací, přístupu k obchodním bankami, škody na ve specifickém oboru, bankrotu, trvalá pracovní obtěžování, podráždění službám, strach, majetku, ztráta finanční potíže nebo neschopnost, apod.). nedostatek porozumění, zaměstnání, předvolání, dlouhodobá pracovní dlouhodobé psychické stres, menší fyzické zhoršení zdravotního neschopnost). nebo fyzické nemoci, nemoci atd.). stavu atd.). smrt atd.).
Jak určit citlivost dat? Je nutné si uvědomit, jaký bude mít únik dané informace dopad na subjekty údajů Pozor: Zkombinování údajů z neprovázaných systémů může umocnit míru citlivosti zpracování Je nutné vždy reflektovat nejvyšší možnou citlivost dat v daném zpracování
Jak přistoupit k objemu dat (zatím není rozhodnuto)? Objem dat je reflektován populací v ČR (dle ČSU 31.12.2016) a lze přisuzovat toto tvrzení vodítkům pro DPIA strana 11 bod 5 (určení rozsáhlého zpracování) cca 10 500 000 obyvatel Do 18 let = 2 000 000 obyvatel Děti do 16 let = 1 830 000 obyvatel Od 63 let = 2 200 000 obyvatel Od 18 do 63 = 6 200 000 obyvatel https://www.czso.cz/csu/czso/vekove-slozeni-obyvatelstva-2016 Je možné reflektovat daný kraj, na který zpracovatel cílí nebo provést statistické posouzení obdobné společnosti Průměrné zpracování na jednu osobu bylo stanoveno KPCS na 20 údajů/osoba neexistuje statistický podklad a vycházíme ze zkušeností
Stupně datových objemů není rozhodnuto Zanedbatelný Nízký Střední Vysoký Kritický 0-100 000 údajů nebo 100 001-500 000 500 001-5 000 000 5 000 001-10 000 000 10 000 001 a více nebo počet osob do 5000 údajů nebo počet osob údajů nebo počet osob údajů nebo počet osob počet osob od 500 000 do 25 000 do 250 000 do 500 000
Analýza inherentních rizik Riziko maximální Citlivost Objem Pravděpodobnost Dopad Integrita Důvěrnost Dostupnost Aktivum
Inherentní riziko dle dopadu
Fáze 1: Co nás překvapilo u nás
86
Organizačně procesní opatření I.
Organizačně procesní opatření II.
Co nás překvapilo u nás
90
91
92
Registr smluv Je možné využít stávající informační systém Evidence ICO zpracovatele Název zpracovatele Plné znění nebo pdf smlouvy o zpracování Délka trvání zpracování a další povinné údaje zpracovatelské smlouvy
Registr dokumentací Dotčená aktiva Proces zpracování v rámci daného systému Definice vlastníků, disponentů a uživatelů (aktérů) Stanovení práv a oprávnění přístupu Metody a způsoby zálohování a obnovení Metody šifrování a zabezpečení přenosů
Registr souhlasů Dotčený subject Datum pořízení souhladu Účely, pro které byl souhlas udělen Retenční doba vůči danému účelu zpracování Datum poslední a následné aktualizace
Registr požadavků od subjektů
Registr incident a událostí
Přehledy požadavků a incidentů
Co nás překvapilo u nás
100
101
102
103
Trvalý log management
Azure Information Protection Označení a klasifikace dokumentů Možnost nastavení watermaků, hlaviček, patiček Sledování dokumentů Odepření přístupu (globálně) Ověření identity při otevření dokumentu Atd
OS Windows Bitlocker Šifrování úložišť koncových zařízení Šifrování úložišť serverů Ukládání šifrovacích klíčů do Active Directory nebo Azure AD Bezpečné a nejmodernější šifrovací algoritmy Credential Guard Ochrana proti zneužití Pass-The- Hash/Ticket, atd.. Ochrana oprávnění uložených v systému
Compliance Manager
Komunikační flow
Zjistěte zda umíte naplnit povinné minimum Microsoft Forms Povinné minimum
Co nás překvapilo u nás
Základní principy úspěšného GDPR projektu
Jak jsme řešili technologie I.
Jak jsme řešili technologie II.
116
Servery a úložiště Notebooky, stanice Mobil / tablet Cloudové služby Jinde v IT Mimo IT Kde mohou služby Microsoft pomoci? Aplikace Databáze Složky E-maily Kontakty Logy Dokume nty Zálohy Archivy Virtuály Weby Dokumen ty E-maily Kontakty Aplikace Cookies Windows 10 Office 365 E-maily Dokumen ty Cookies Aplikace Enterprise Mobility & Security Aplikace E-maily Dokument y Webshopy Sociální sítě Zálohy Archivy Externí disky Síťové prvky Kamery ky Kartoté ky Spisy Archivy Diáře Microsoft 365 Azure Azure
Úrovně dopadů = vstup pro posouzení rizik (Uvedené příklady je třeba posuzovat s ohledem na konkrétní obsah a možné dopady) Podráždění jednotlivce, likvidace nevyžádané pošty, potřeba znovu vyplnit formulář po ztrátě dat Potíže, které však lze poměrně snadno překonat: Zvýšené náklady, odmítnutí některé z komerčních služeb, obavy, nedorozumění Vážné potíže. Diskriminace: blacklisting většinou bank. Vznik vysokého finančního závazku. Ztráta zaměstnání. Vyloučení v rodině, v místě bydliště. Subjekt se setká s velikými, až nepřekonatelnými obtížemi. Osobní bankrot nesplatitelný dluh. Ohrožení života (nesprávná medikace). Dlouhodobé duševní nebo fyzické onemocnění. Zdroj: ISO/IEC 29134:2017 (PIA Guidelines), publikováno 1 Jun 2017
Čl. 28 odst.1: správce využije pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení GDPR a cloud Zabezpečení
GDPR a cloud Snížení nákladů Veškerou újmu, která může osobám vzniknout v důsledku zpracování, které porušuje toto nařízení, by měl nahradit správce nebo zpracovatel. S cílem posílit prosazování pravidel tohoto nařízení by za jakékoliv jeho porušení měly být uloženy sankce včetně správních pokut
REGIONAL INDUSTRY US GOV GLOBAL Certifikace a podklady: Microsoft Trust Center www.microsoft.com/trust; Repository: www.aka.ms/stp ISO 27001 ISO 27018 ISO 27017 ISO 22301 ISO 9001 SOC 1 Type 2 SOC 2 Type 2 SOC 3 CSA STAR Self-Assessment CSA STAR Certification CSA STAR Attestation Moderate JAB P-ATO High JAB P-ATO DoD DISA SRG Level 2 DoD DISA SRG Level 4 DoD DISA SRG Level 5 SP 800-171 FIPS 140-2 Section 508 VPAT ITAR CJIS IRS 1075 PCI DSS Shared CDSA MPAA FACT UK HIPAA / GxP Level 1 Assessments FISC Japan HITRUST HITECH 21 CFR Part 11 MARS-E IG Toolkit UK FERPA GLBA FFIEC Act Argentina PDPA EU Model Clauses UK G- Cloud Chin a DJC P China GB 18030 China TRUC S Singapo re MTCS Australia IRAP/CC SL New Zealand GCIO Japan My Number Act ENIS A IAF Japan CS Mark Gold Spain ENS Spai n DPA Indi a Mei ty Canada Privacy Laws Privac y Shield Germany IT Grundschut z workbook
Microsoft Office 365 Azure Information Protection Osobní informace E-maily a dokumenty
Microsoft Exchange Microsoft SharePoint Windows Server Windows + Office E-maily a dokumenty mimo Office 365
Windows 10 Professional Windows 10 Enterprise Ochrana koncových stanic V zájmu zachování bezpečnosti a zabránění zpracování, které by bylo v rozporu s tímto nařízením, by měl správce nebo zpracovatel posoudit rizika spojená se zpracováním a přijmout opatření ke zmírnění těchto rizik, například šifrování.
Office 365 Enterprise Mbility & Security Ochrana mobilů a tabletů Osobní údaje by měly být zpracovávány způsobem, který zaručí náležitou bezpečnost a důvěrnost těchto údajů, mimo jiné za účelem zabránění neoprávněnému přístupu k osobním údajům a k zařízení používanému k jejich zpracování nebo jejich neoprávněnému použití
Microsoft 365 Komplexní zajištění Office 365, Windows10 a EMS
Azure Enterprise Mbility & Security Zabezpečení provozní infrastruktury S přihlédnutím ke stavu techniky, nákladům provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně odnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování
Bezpečnost pro každého nejen kvůli GDPR
Threat Intelligence Audit Logs ediscovery Partner Procesy Intune Active Directory Partner Azure Analýzy Security Center Log Analytics Data Loss Prevention SAMSUNG ATOM Data Log Partner Školení Safetica Partner agendy Nina Cloud App Security Partner Bezpečnost Data Classification Key Vault XEELO Threat Detection Windows Hello Credential Guard Bitlocker Partner nasazení Partner DPO Information Protection Transparent Data Encryption Always Encrypted
Co si tedy mohu pořídit za služby - Office 365 Business Premium - Microsoft 365 Business Azure Information Protection - Office 365 E3, Microsoft 365 E3 - EMS - Microsoft 365 E5
Zdroje k GDPR: Microsoft Corp hlavní stránka microsoft.com/gdpr Online Services Terms Online Services Terms Download Microsoft Trust Center microsoft.com/trust Service Trust Platform podklady k certifikacím, audity aka.ms/stp (requires log-in, NDA level) Prezentace a zdroje v češtině: aka.ms/jaknagdpr Partnerské stránky Aka.ms/gdprpartners GDPR Compliance Demo http://www.microsoftgdprscenarios.com/en-us/databreach Office 365 Information Protection for GDPR https://docs.microsoft.com/en-us/office365/enterprise/office-365- information-protection-for-gdpr 131