GDPR & Cloud Mgr. Jana Pattynová, LL.M. 30.5.2017
ÚVOD DO GDPR Úvod do GDPR GDPR jako příležitost pro cloud GDPR jako výzva pro cloud
ÚVOD DO GDPR
ÚVOD DO GDPR GDPR Obecný přehled Nařízení EU přímo aplikovatelné Vstoupí v účinnost 25. května 2018 Nový způsob vynucení soukromí a kybernetické bezpečnosti
ÚVOD DO GDPR Změny v produktech a službách Posílení práv subjektů údajů Širší informační povinnosti Privacyby design a privacyby default Jednoznačný souhlas k jakémukoli zpracování údajů Ochrana nezletilých Online identifikátory Přenositelnost údajů Odvolání souhlasu a právo být zapomenut
ÚVOD DO GDPR Interní změny Záznamy o činnostech zpracování (místo registrace) Vlastní vyhodnocení dopadů zpracování na ochranu údajů Notifikace neoprávněného přístupu k osobním údajům Pověřenec pro ochranu osobních údajů Vznik Evropského sboru pro ochranu osobních údajů Hlavní dozorový orgán jako jedno správní místo Nové požadavky na zpracovatelské smlouvy (vč. subdodavatelů) Specifická pravidla pro zpracovatele
ÚVOD DO GDPR Životní cyklus údajů Požádat Vytvořit Aktualizovat Odstranit Archivovat Bez souhlasu nebo zákonného titulu a splnění informační povinnosti technická nemožnost postoupit k dalšímu kroku Spojit údaje s: subjektem, účelem, časovým rámcem, nastaveno dle testu přiměřenosti (privacy by design) Implementace námitek vůči zpracování, zpřístupnění údaj subjektu údajů po vypršení časového rámce na žádost subjektu, u údajů získaných na základě souhlasu, pokud není oprávněný zájem si ponechat Ponechat si nezbytné údaje k doložení souladu s GDPR?
CLOUD JAKO NÁSTROJ SOULADU S GDPR
Může cloudová služba vyřešit GDPR? GDPR JAKO PŘÍLEŽITOST PRO CLOUD GDPR požadavky dopadají na produkty, procesy a informační systémy a jsou strukturovány dle datových toků: Osobní údaje Obchodní partneři, dodavatelé Přidaná hodnota cloudových služeb Data is at the heart of digital transformation Turnover based sanctions under GDPR 1. 2. 3. 4. Konsolidace informačních systémů Zajištění souladu s GDPR na úrovni infrastruktury (čl. 32 odst.) Nástroje pro zajištění souladu s GDPR na úrovni procesů (čl. 6, 7, 8, 12, 13, 16-21) One-stop-shop pro požadavky na dodavatele (čl. 28) Externí data Interní data 5. Zajištění udržitelnosti v čase (čl. 32 odst. 1 písm. d)
GDPR JAKO PŘÍLEŽITOST PRO CLOUD Možnosti zajistit soulad s GDPR záleží na typu coudu On-Premises Infrastruktura (jako služba) Platforma (jako služba) Software (jako služba) Aplikace Data Aplikace Data Klient Aplikace Data Aplikace Data Soulad procesů s GDPR Runtime Klient Runtime Runtime Runtime Klient Middleware O/S Virtualizace Servery Úložiště Práce v síti Middleware O/S Virtualizace Servery Úložiště Práce v síti Poskytovatel Cloudu Middleware O/S Virtualizace Servery Úložiště Práce v síti Poskytovatel Cloudu Middleware O/S Virtualizace Servery Úložiště Práce v síti Poskytovatel Cloudu Soulad infrastruktury s GDPR
GDPR JAKO PŘÍLEŽITOST PRO CLOUD Co jsou scénáře zpracování? Cloudová služba je relevantní jen pro scénáře zpracování, které na ní běží Příklady scénářů zpracování: Data is at the heart of digital transformation HR/personální údaje Produkty/zákaznické vztahy Dodavatelské vztahy Turnover based sanctions under GDPR Marketing Interní/externí komunikace Procesování plateb
GDPR JAKO PŘÍLEŽITOST PRO CLOUD Výzva 1: granularita scénářů zpracování Docházka Výplata mezd Povinné odvody Procesování plateb HR agenda Nábor nových zaměstnanců Uzavírání a životní cyklus pracovních smluv
POŽADAVKY GDPR NA POSKYTOVATELE CLOUDU
GDPR JAKO VÝZVA PRO CLOUD Tři typy požadavků Požadavky na smlouvu Data is at the heart of digital transformation Požadavky na infrastrukturu Turnover based sanctions under GDPR Požadavky na předávání dat do zahraničí
GDPR JAKO VÝZVA PRO CLOUD Požadavky na smlouvu Vymezení zpracovávaných údajů Vymezení účelu zpracování Vymezení zpracovávaných údajů Transparentnost subdodavatelů Závazky součinnosti Požadavky na vrácení dat při ukončení služby Závazek umožnit audit Hlášení incidentů
GDPR POŽADAVKY NA CLOUD Smlouva o zpracování údajů dle GDPR Úprava v čl. 28 GDPR v rámci povinností zpracovatele GDPR výslovně upravuje předávání údajů dalšímu zpracovateli (sub-zpracovateli) na základě písemného povolení správce Povinná písemná forma (i elektronická) Zpracovatel vázán pokyny správce Zaměstnanci zpracovatele vázáni mlčenlivostí Audity a inspekce
GDPR POŽADAVKY NA CLOUD Smlouva o zpracování údajů dle GDPR Povinnosti zpracovatele ve smlouvě o zpracování: Přijme veškerá nezbytná bezpečnostní opatření Dodržuje podmínky pro zapojení dalšího zpracovatele Zohledňuje povahu zpracování Povinen zajistit správci součinnost Na základě pokynů správce vymaže nebo předá zpět správci veškeré údaje Poskytuje správci veškeré informace Umožní vykonávat audity, vč. inspekcí Zpracovatel povinen poskytovat dostatečné záruky technických a organizačních zabezpečení
GDPR JAKO VÝZVA PRO CLOUD Požadavky na infrastrukturu Zabezpečení Důvěrnost, integrita, dostupnost a odolnost systémů Resilience Schopnost obnovit dostupnost a přístup v případě incidentů Testování Pravidelné testování a hodnocení účinnosti technických opatření Doložení souladu Certifikace (i.eiso/eic 27001, 27017, 27018, SOC, CSA STAR) DPIA Zpřístupnění zpráv z auditů třetích osob
GDPR JAKO VÝZVA PRO CLOUD Požadavky na předávání údajů mimo EU Předávání údajů v rámci EU se neliší od předávání v rámci ČR Předávání mimo EU: Rozhodnutí Komise o standardních smluvních doložkách Privacy Shield (dříve Safe Harbor) Regulovaný smluvní obsah s ohledem na údaje, které mohou být předávány mimo státy EHP Předávání do USA, na základě self-certifikace Standardní smluvní doložky Formulářový text smlouvy mezi správcem a příjemcem sídlícím mimo EHP, bez nutnosti schválení ÚOOÚ Typy standardních smluvních doložek: Správce (EU) Správce (mimo EHP) 2 sety doložek Správce (EU) Zpracovatel (mimo EHP)
TAKEAWAY POINTS Takeaway points Poskytovatelé cloudu mohou významně pomoci se zajištěním souladu GDPR Cloudové řešení může pokrýt požadavky na infrastrukturu pro relevantní scénář zpracování PAAS a SAAS řešení mohou poskytnout nástroje pro soulad procesů Turnover based sanctions under GDPR? Smlouva na cloudové řešení musí splňovat požadavky na zpracovatelské smlouvy a na předávání údajů do zahraničí
?
Spolu skancelářemi vlondýně, Bruselu a Moskvě jeden z největších specializovaných právních týmů zaměřených na právo technologií, médií a komunikací Hlavní oblasti praxe: Ochrana osobních údajů IT smlouvy, včetně smluv na cloudové produkty IoT M&A transakce v technologickém sektoru Podpora start-upůpři vstupu na zahraniční trhy Pracovní právo (včetně technologických aspektů smluv zaměstnanců, BYOD) IP právo Média Telekomunikační právo Více informací: www.pierstone.com Jana Pattynová Na Příkopě 9 110 00 Praha 1 +420 777 738 040 jana.pattynova@pierstone.com