GDPR - příklad z praxe

Podobné dokumenty
GDPR příklad z praxe MICHAL KOPECKÝ TAJEMNÍK ÚMČ P2

GDPR - příklad z praxe

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

GDPR. Požadavky na dokumentaci. Luděk Nezmar

JAK SE PŘIPRAVIT NA GDPR?

GDPR PRO VEŘEJNÝ SEKTOR. GDPR - Specifika státní správy a samosprávy

Systémová analýza a opatření v rámci GDPR

MATERIÁL PRO RADU MĚSTA č. 86

Ochrana osobních údajů Implementace GDPR

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

GDPR z pohledu ICT sekce MV. Ing.Robert Piffl

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Představení služeb Konica Minolta GDPR

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Implementace GDPR. Prioritní okruhy

General Data Protection Regulation (GDPR) Jak na to?

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

GDPR Obecný metodický pokyn pro školství

Kybernetická bezpečnost

Z K B V P R O S T Ř E D Í

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Příprava IS na příchod GDPR se zaměřením na ISP. Jan Zahradníček AK Velíšek & Podpěra

Směrnice č. 13/2018. Ochrana osobních údajů

GDPR v sociálních službách

Detailní specifikace předmětu zakázky

Povinnosti obce nebo města jako správce podle GDPR. Jarní celostátní odborný seminář STMOÚ Valeč Přednášející JUDr.

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

Zkušenosti z implementace GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

POVĚŘENEC OCHRANY OSOBNÍCH ÚDAJŮ, HROZBY A RIZIKA VE ŠKOLSTVÍ V PROBLEMATICE GDPR

Příloha č. 1 Kontrolní seznam o připravenosti na nařízení GDPR Checklist

GDPR Modelová Situace z pohledu IT

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

GDPR. (General Data Protection Regulation) Nařízení EU č. 679/2016 k ochraně osobních údajů. Mgr. Josef Botek tajemník

Pokyny k funkci pověřence pro ochranu osobních údajů (dokument WP 243, ze dne ) Příloha Často kladené otázky

GDPR obecně Svaz měst a obcí

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

GDPR a veřejná správa

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů aktuálně

Nová pravidla ochrany osobních údajů

INFORMACE O ZPRACOVÁVÁNÍ OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

GDPR compliance v Cloudu. Jiří Černý CELA

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

VNITŘNÍ PŘEDPIS SMĚRNICE PRO OCHRANU OSOBNÍCH ÚDAJŮ

Dopady GDPR a jejich vazby

Politika ochrany osobních údajů

Systémová analýza působnosti obcí z hlediska obecného nařízení o ochraně osobních údajů

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

GDPR: příležitosti k úsporám. Martin Hladík 30. listopadu 2017

SKUPINA 1. Lektor: Mgr. Ing. Bc. Jan Tomíšek ROWAN LEGAL Téma: GDPR a audit v oblasti ochrany osobních údajů

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Déle než rok se účastníme diskusí s předními odborníky v oboru a poskytujeme našim partnerům poradenství s přípravami na GDPR.

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

ORGANIZAČNÍ ŘÁD ŠKOLY

Dopady GDPR na elektronizaci zdravotnictví

Implementace GDPR v obcích. Benešov, Mgr. Miroslava Sobková

Změny v ochraně osobních údajů v souvislosti s novým nařízením GDPR. Mgr. Kristýna Delmar Barcamp Brno 2017

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

Shoda s GDPR do 4-6 měsíců! Sen či utopie?

Jak bojovat s GDPR? Martin 9. března 2017

SMĚRNICE O OCHRANĚ OSOBNÍCH ÚDAJŮ

APLIKACE GDPR V PROSTŘEDÍ OBCÍ PRAKTICKY. Konference MV ČR GDPR ve veřejné správě Mgr. Tereza Šamanová

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ. Tato směrnice je závazná pro všechny zaměstnance Jazykové školy Immer Vere.

2. setkání IA ze zdravotních pojišťoven. Rizikové oblasti zdravotních pojišťoven z pohledu externího auditora

JAK ZAČÍT S GDPR V PODMÍNKÁCH MALÉ OBCE. konference

Název organizace: SOŠ dopravy a cestovního ruchu v Krnově, p. o. Datum účinnosti: Verze: 1

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

Kybernetická bezpečnost ve veřejné správě. Jan Dienstbier Garant platformy KYBEZ

OBSAH Seznam zkratek...17 Kapitola 1 Ú vod... 21

APLIKACE GDPR V PROSTŘEDÍ OBCÍ. Tereza Šamanová GDPR školení pro obce Kraj Vysočina

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Pověřenec pro ochranu osobních údajů

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Jak chránit osobní data v elektronickém a digitalizovaném účetnictví? Stanislav Klika

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

Metodické doporučení MV k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

ÚVOD DO GDPR. Mgr. Jana Pattynová, LL.M

1. Certifikační postup. 1.1 Příprava auditu. 1.2 Audit 1. stupně

MINISTERSTVO VNITRA odbor interního auditu a kontroly Č. j.: MV /IAK-2015 Praha 18. prosince 2015 Počet listů: 5 Příloha: 1/2

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

MĚSTSKÁ ČÁST PRAHA 3 Rada městské části U S N E S E N Í

Výukový materiál zpracovaný v rámci projektu Výuka moderně

Současný stav spisové služby a její kontrola

Transkript:

GDPR - příklad z praxe M I C H A L KO P E C K Ý, TA J E M N Í K Ú M Č P 2

ICT PROCESY PRÁVNÍ VYUŽITÍ EXISTUJÍCÍCH SYSTÉMŮ 181/2014 Sb. ZKB 101/2000 Sb. novela nebo nový zákon ISO 27001:2014 ISMS Řízení přístupu Ukládání dat Logování IDS/IPS SIEM/SOC Kryptografie Sítě Mobilní zařízení Fyzická bezpečnost ICT Zálohování Antivirová ochrana Řízení kontinuity CCTV Pořizování OÚ Odstraňování OÚ Změny OÚ Přenos OÚ Hlášení incidentů Pověřenec pro ochranu osobních údajů Posouzení vlivu na ochranu OÚ Spolupráce s dozorovým úřadem Souhlas subjektů Zaměstnanecké smlouvy Smlouvy s dodavateli Smlouvy se zpracovateli OÚ NDA HLAVNÍ OBLASTI DOPADU GDPR

Klasický POSTUP DOSAŽENÍ SOULADU S GDPR Stanovení rozsahu Srovnávací analýza Analýza rizik Plán opatření Implementace opatření Kontrolní audit Legislativní rozsah Organizační rozsah ICT rozsah Fyzický rozsah Odpovědnost za GDPR projekt Odhad náročnosti Školení Analýza stavu plnění právních, procesních a technických požadavků GDPR Analýza rizik bezpečnosti informací/oú Prioritizace Posouzení vlivu Plán opatření Harmonogram Nároky na zdroje Interní/Externí Součinnost Změny dokumentace dle právních základů zpracování Obsazení rolí Změny procesů zpracování OÚ a procesů souvisejících Přijetí ICT opatření Školení Ověření plnění požadavků GDPR interním/exter ním auditem Úřad městské části Praha 2, náměstí Míru 20/600, 120 39, Praha 2

SROVNÁVACÍ ANALÝZA (graf budoucích požadavků) Úřad městské části Praha 2, náměstí Míru 20/600, 120 39, Praha 2

NEJČASTĚJŠÍ NESHODY Neznalost rozsahu zpracovávání osobních údajů Paušální časově nekonkrétní souhlasy Neschopnost adekvátně reagovat na požadavky subjektů údajů Nejednotná pravidla pro uzavírání smluv Neexistence záznamů Neexistující nebo zastaralá dokumentace

POSOUZENÍ VLIVU NA OCHRANU OSOBNÍCH ÚDAJŮ Jedním z klíčových požadavků GDPR je provádět posouzení nezbytnosti a přiměřenosti operací zpracování osobních údajů z hlediska účelů a posouzení rizik pro práva a svobody subjektů údajů. GDPR přímo stanoví i odpovědnosti za takové posouzení v rámci organizace a předpokládá se, že se bude jednat o jednu z nejvíce kontrolovaných povinností.

NÁVRH ICT OPATŘENÍ Změna infrastrukturu informačního systému organizace tak, aby byla schopna realizovat technická opatření nezbytná pro naplnění požadavků GDPR. Řízení přístupu Ukládání dat a zálohování dat Monitorování a logování IDS/IPS SIEM/SOC Kryptografie Sítě Mobilní zařízení Fyzická bezpečnost ICT infrastruktury Antivirová ochrana CCTV

ZMĚNY SMLUV A JINÝCH PRÁVNÍCH UJEDNÁNÍ GDPR se dotýká se vztahů s občany, dodavateli, kontrolními orgány a dalšími stranami. Změny ve smluvních a dalších právních vztazích prováděné v rámci dodažení shody s požadavky GDPR mohou zahrnovat například: Souhlas subjektů údajů Zaměstnanecké smlouvy Smlouvy se zpracovateli OÚ Smlouvy s dodavateli služeb a servisními organizacemi Smouvy o zachování důvěrnosti informací a další

ROLE POVĚŘENCE GDPR pro obsazení role Pověřence stanovuje, že musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39., což obnáší: znalost národního a unijního práva v oblasti ochrany dat a hluboké znalosti Obecného nařízení (GDPR) praktické zkušenosti aplikace požadavků ochrany dat znalost prováděných zpracovatelských operací znalost informačních technologií a bezpečnosti dat Výkon Pověřence je možno řešit plně dodavatelsky ale: Odpovědnost je nepřenositelná a zůstává vždy na organizaci znalost dané oblasti podnikání a organizace schopnost propagovat kulturu ochrany dat v organizaci

DOPADY PODLE STRUKTURY ORGANIZACE Vedení Právní Personální ICT Bezpečnost Ostatní odbory Umístění odpovědnost za GDPR Vytvoření pracovní skupiny Analýza právních základů Re-design smluvní dokumentace Změny v personálních procesech a dokumentaci Provedení datové analýzy Přijetí technických opatření Revize bezpečnostní dokumentace Proces řízení incidentů Provedení procesní analýzy Přidělení zdrojů Analýza rizik a posouzení vlivu Podpora projektu

Vstupní analýza Časová Finanční Personální Stanovení pověřence Interní audit Součást týmu pro analýzu Včetně příspěvkových organizací Procesní analýza Právní analýza Srovnávací analýza Analýza dat a bezpečnost Plán dosažení souladu s GDPR ISO 27 001 : 2014 Implementace nápravných opatření Nastavení identifikátorů pro GDPR

Finále Je chybou vyrábět teorie dřív, než jsou shromážděna všechna fakta. Sir Arthur Ignatius Conan Doyle ale i: Evansův zákon: jestliže zůstáváš klidný, zatímco ostatní ztrácejí hlavu, je to neklamná známka toho, že jsi problém nepochopil. Prakticky by však mělo platit: Nikdo z nás si nemůže dovolit investovat do řešení této směrnice více než je potřeba, někteří ji vidí jako bublinu, která je uměle živena těmi, kteří v tom vidí dobrý obchod, ale takhle to pro veřejnou správu myšleno nebylo. Předpoklad naplnění Nařízení EU k GDPR pro Prahu 2 je částka do velikosti malého rozsahu!

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář