AGORA PLUS, a.s. Ing. Martin Havel, MBA General Data Protection Regulation (zkráceně GDPR) Obecné nařízení o ochraně osobních údajů Jak zvládnout GDPR v 9-ti krocích 22.9.2017, Brno
Představení 2012 CISM certifikovaný manažer informační bezpečnosti 2013 CISA certifikovaný auditor informační bezpečnosti Zkušenosti s implementací a provozováním ISMS dle požadavků ISO/IEC 27001= Manažer bezpečnosti informací Zkušenosti s implementací a provozováním ISMS dle požadavků ZoKB = Manažer kybernetické bezpečnosti
Obecné nařízení o ochraně osobních údajů Nařízení nikoliv směrnice, 88 stran. Je přímo aplikovatelné ve všech zemích EU. Vstoupí v platnost 25. května 2018.
GDPR - Přináší Principy zpracování dat - Zákonnost, korektnost / férovost a transparentnost - Účelové omezení (specifikovaný, výslovný a legitimní) - Minimalizace údajů (nezbytný rozsah relevantních údajů) - Přesnost (přesné údaje, s opravou či výmazem neaktuálních údajů) - Omezení uložení (doba zpracování nezbytná pro daný účel) - Integrita a důvěrnost (zajištění bezpečnosti dat, ochrana před neoprávněným a nezákonným zpracováním) - Odpovědnost ( a povinnost prokazování)
GDPR - Přináší Zakotveno mnoho nových práv - Právo na přístup - Právo na opravu - Právo na přenositelnost údajů ( portabilita ) - Právo vznést námitku - Právo na omezení zpracování - Právo na výmaz (právo být zapomenut )
GDPR - pojmy subjekt údajů identifikovaná fyzická osoba či fyzická osoba, kterou lze přímo či nepřímo identifikovat zejm. odkazem na určitý identifikátor (jméno, identifikační číslo, lokační údaje, síťový identifikátor, jeden či více zvláštních prvků fyzické, fyziologické, genetické psychické, ekonomické, kulturní nebo společenské identity) správce fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů (ten, kdo data k nějakému konkrétnímu účelu shromažďuje) zpracovatel fyzická nebo právnická osoba, orgán veřejné moc, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce (například, jen uskladňuje, vyhledává, třídí či likviduje. Tedy i IT firma, externí IT správce, )
Jaká osobní data musíte chránit? Osobní údaje zaměstnanců (jméno, bydliště, datum narození,...) Údaje o zákaznících, pacientech, občanech (marketingové databáze, zdravotní karty, seznamy občanů) Data předávané třetím stranám (mzdová účetní, přímý marketing, úvěrové registry) Obchodní partneři / Dodavatelé (neveřejné osobní údaje) Jakékoliv další údaje na jejichž základě je možno identifikovat osobu
Odpovědnost správce Článek 24 S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována.
9 kroků Na začátku je to projekt, který se postupně změní na proces. Vstupní přehled (umístění dat, právní přehled) Analýza současného stavu Posouzení rizik, posouzení dopadu (DPIA Data Protection Impact Assesment) Zavedení systému ochrany osobních údajů Organizační opatření (procesy, politiky, postupy, povědomí) Aktualizace nebo vytvoření odpovídající dokumentace Technická opatření Zvládání bezpečnostních událostí (hlášení úniku dat) Prokazování souladu
1 krok Vstupní přehled (umístění dat, právní přehled) k jakému účelu jsou osobní data sbírána kde a jaká data uchováváte a jak je chráníte na jakém právním základě je zpracováváte
2 krok Analýza současného stavu posouzení míry shody současného stavu organizace s požadavky GDPR (organizační a technická opatření); identifikace třetích strany, zpracovatelů; nutnost DPO?
3 krok Posouzení rizik, posouzení dopadu (DPIA Data Protection Impact Assesment) identifikovat rizika a dopady při nedodržení požadavku nařízení, přiřadit opatření (rizika - finanční, právní, reputační rizika) a posouzení dopadů; definovat finanční hranice dopadů. Článek 32 S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku,
Článek 32 Zabezpečení zpracování (os. údajů) (1) S přihlédnutím ke stavu techniky... povaze... rozsahu... a k různě závažným rizikům pro práva fyz. osob, zavedou správce a zpracovatel vhodná tech/org. bezp. opatření... odpovídající danému riziku,.. včetně: a) pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) obnovit dostupnost osobních údajů včas v případě technických incidentů; d) pravidelného testování a hodnocení účinnosti zavedených opatření (2) zohlednit rizika náhodného zničení, ztráty, pozměňování, neoprávněného zpřístupnění osobních údajů
4 krok Zavedení systému ochrany osobních údajů pro zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti. (chránit dokumentovat kontrolovat prověřovat) vedení záznamů o činnostech zpracování pravidelné testování a hodnocení účinnosti zavedených opatření Článek 24 S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována.
5 krok Organizační opatření (procesy, politiky, postupy, povědomí) Podmínky zpracování osobních údajů způsob přístupu k osobním údajům (princip minimalizace, klasifikace dat); zdokumentování procesů zpracování osobních dat dle jakého právního základu zajištění práv zákazníků (Přístup k subjektu, Právo být zapomenut, Přenositelnost dat, Právo na nesouhlas) proces výmazu kontrolovaná správa záložních kopií
6 krok Aktualizace nebo vytvoření odpovídající dokumentace revize smluv, mlčenlivost; aktualizace souhlasů se zpracováním osobních údajů; archivace souhlasů k prokázání souladu.
7 krok Technická opatření revize stávajících opatření; zajištění, že se s osobními daty zachází způsobem, který zajišťuje jejich bezpečnost, včetně ochrany před neautorizovaným nebo nezákonným procesem, pro případ ztráty, zničení a poškození; nasazení potřebných opatření odpovídající rizikovosti vašeho zpracování; doporučené opatření pseudonymizace a šifrování osobních dat.
8 krok Zvládání bezpečnostních událostí (hlášení úniku dat) nastavení procesu ohlašovací povinnosti; GDPR definuje únik dat jako narušení bezpečnosti, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně či neoprávněnému vyzrazení nebo zpřístupnění osobních údajů. při implementování odpovídajících mechanismů pro ochranu dat, například šifrování, nemusíte informovat jednotlivé osoby. Článek 34 Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů.
9 krok Prokazování souladu schopnost doložit jak je nařízení GDPR dodržováno; pravidelná kontrola opatření; schopni prokázat, že existují jasná pravidla, která splňují nařízení GDPR; zajištění práv subjektů.
Proč GDPR s námi? 1. Máme zkušenosti se systémy řízení bezpečnosti informací dle ISO 27001 2. Máme zkušenosti se systémy řízení bezpečnosti informací dle zákona o kybernetické bezpečnosti. 3. Známe vhodná organizační opatření. 4. Umíme poradit s technickými opatřeními. 5. Umíme navrhnout vhodné kroky pro naplnění požadavků GDPR. 6. Umíme zpracovat Analýzu rizik. 7. Umíme zpracovat Analýzu dopadů. 8. Umíme zavést potřebné procesy, model PDCA pro zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti. 9. Umíme zpracovat a udržovat dokumentaci, logy.
Děkuji za pozornost!