GDPR - příklad z praxe

Podobné dokumenty
GDPR - příklad z praxe

GDPR příklad z praxe MICHAL KOPECKÝ TAJEMNÍK ÚMČ P2

JAK SE PŘIPRAVIT NA GDPR?

GDPR. Požadavky na dokumentaci. Luděk Nezmar

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

GDPR PRO VEŘEJNÝ SEKTOR. GDPR - Specifika státní správy a samosprávy

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

Představení služeb Konica Minolta GDPR

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

Nová pravidla ochrany osobních údajů

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

Povinnosti obce nebo města jako správce podle GDPR. Jarní celostátní odborný seminář STMOÚ Valeč Přednášející JUDr.

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

GDPR Obecný metodický pokyn pro školství

Pověřenec pro ochranu osobních údajů

Ochrana osobních údajů Implementace GDPR

Systémová analýza a opatření v rámci GDPR

Změny v ochraně osobních údajů v souvislosti s novým nařízením GDPR. Mgr. Kristýna Delmar Barcamp Brno 2017

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

GDPR v sociálních službách

Politika ochrany osobních údajů

Zkušenosti z implementace GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

ORGANIZAČNÍ ŘÁD ŠKOLY

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

GDPR z pohledu ICT sekce MV. Ing.Robert Piffl

Implementace GDPR. Prioritní okruhy

SROVNÁNÍ PRÁVNÍ ÚPRAVY DLE ZÁKONA O OCHRANĚ OSOBNÍCH ÚDAJŮ A NAŘÍZENÍ GDPR

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

Detailní specifikace předmětu zakázky

INFORMACE O ZPRACOVÁVÁNÍ OSOBNÍCH ÚDAJŮ

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

Ochrana osobních údajů aktuálně

Ochrana dat v pojišťovnictví

Očekávané dopady GDPR do pojišťovnictví

APLIKACE GDPR V PROSTŘEDÍ OBCÍ. Tereza Šamanová GDPR školení pro obce Kraj Vysočina

OBSAH Seznam zkratek...17 Kapitola 1 Ú vod... 21

GDPR obecně Svaz měst a obcí

Shoda s GDPR do 4-6 měsíců! Sen či utopie?

Směrnice č. 13/2018. Ochrana osobních údajů

Příloha č. 1 Kontrolní seznam o připravenosti na nařízení GDPR Checklist

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

General Data Protection Regulation (GDPR) Jak na to?

Pokyny k funkci pověřence pro ochranu osobních údajů (dokument WP 243, ze dne ) Příloha Často kladené otázky

GDPR compliance v Cloudu. Jiří Černý CELA

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

MATERIÁL PRO RADU MĚSTA č. 86

Jak chránit osobní data v elektronickém a digitalizovaném účetnictví? Stanislav Klika

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Obecné nařízení o ochraně osobních údajů

Informace o zpracování osobních údajů

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Zabezpečení osobních údajů

SPORTCENTRUM dům dětí a mládeže PROSTĚJOV

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Kybernetická bezpečnost

V Praze 4. dubna 2018

GDPR informace podle čl. 13 uvedeného nařízení

Dopady GDPR a jejich vazby

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

GDPR informace podle čl. 13 uvedeného nařízení

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Politika ochrany osobních údajů GJŠ Zlín

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

APLIKACE GDPR V PROSTŘEDÍ OBCÍ PRAKTICKY. Konference MV ČR GDPR ve veřejné správě Mgr. Tereza Šamanová

SKUPINA 1. Lektor: Mgr. Ing. Bc. Jan Tomíšek ROWAN LEGAL Téma: GDPR a audit v oblasti ochrany osobních údajů

GDPR informace podle čl. 13 uvedeného nařízení

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Ochrana osobních údajů v oblasti školství. Mgr. et Mgr. Dana Prudíková, Ph.D.

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

(Snad) praktický pohled na GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

Směrnice o ochraně osobních údajů

APLIKACE GDPR V PROSTŘEDÍ OBCÍ. Tereza Šamanová GDPR školení pro obce Pardubický kraj

Informace o zpracování osobních údajů ve škole

GDPR Modelová Situace z pohledu IT

I. Šatny se skříňkami při vstupu do školy II. 3. NP III. 4. NP. I. Základní ustanovení

GDPR a veřejná správa

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

GDPR evoluce v ochraně osobních údajů.

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Z K B V P R O S T Ř E D Í

GDPR: příležitosti k úsporám. Martin Hladík 30. listopadu 2017

Metodické doporučení MV k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

Základní škola, Ostrava-Poruba, Ukrajinská 1533, příspěvková organizace

INFORMAČNÍ MEMORANDUM zpracování osobních údajů obchodních zástupců a spolupracovníků v Raiffeisenbank a.s.

Transkript:

GDPR - příklad z praxe M I C H A L KO P E C K Ý, TA J E M N Í K Ú M Č P 2

ICT PROCESY PRÁVNÍ VYUŽITÍ EXISTUJÍCÍCH SYSTÉMŮ 181/2014 Sb. ZKB 101/2000 Sb. novela, adaptační zákon, nařízení evropské komise GDPR ISO 27001:2014 ISMS (icloud) Řízení přístupu Ukládání dat Logování IDS/IPS SIEM/SOC Kryptografie Sítě Mobilní zařízení Fyzická bezpečnost ICT Zálohování Antivirová ochrana Řízení kontinuity CCTV Pořizování OÚ Odstraňování OÚ Změny OÚ Přenos OÚ Hlášení incidentů Pověřenec pro ochranu osobních údajů Posouzení vlivu na ochranu OÚ Spolupráce s dozorovým úřadem Souhlas subjektů Zaměstnanecké smlouvy Smlouvy s dodavateli Smlouvy se zpracovateli OÚ NDA HLAVNÍ OBLASTI DOPADU GDPR

Klasický POSTUP DOSAŽENÍ SOULADU S GDPR Stanovení rozsahu Srovnávací analýza Analýza rizik Plán opatření Implementace opatření Kontrolní audit Legislativní rozsah Organizační rozsah ICT rozsah Fyzický rozsah Odpovědnost za GDPR projekt Odhad náročnosti Školení Analýza stavu plnění právních, procesních a technických požadavků GDPR Analýza rizik bezpečnosti informací/oú Prioritizace Posouzení vlivu Plán opatření Harmonogram Nároky na zdroje Interní/Externí Součinnost Změny dokumentace dle právních základů zpracování Obsazení rolí Změny procesů zpracování OÚ a procesů souvisejících Přijetí ICT opatření Školení Ověření plnění požadavků GDPR interním/exter ním auditem Úřad městské části Praha 2, náměstí Míru 20/600, 120 39, Praha 2

ANALÝZA RIZIK 40.474

SROVNÁVACÍ ANALÝZA (graf budoucích požadavků) Úřad městské části Praha 2, náměstí Míru 20/600, 120 39, Praha 2

NEJČASTĚJŠÍ NESHODY Neznalost rozsahu zpracovávání osobních údajů Paušální časově nekonkrétní souhlasy Neschopnost adekvátně reagovat na požadavky subjektů údajů Nejednotná pravidla pro uzavírání smluv Neexistence záznamů Neexistující nebo zastaralá dokumentace

POSOUZENÍ VLIVU NA OCHRANU OSOBNÍCH ÚDAJŮ Jedním z klíčových požadavků GDPR je provádět posouzení nezbytnosti a přiměřenosti operací zpracování osobních údajů z hlediska účelů a posouzení rizik pro práva a svobody subjektů údajů. GDPR přímo stanoví i odpovědnosti za takové posouzení v rámci organizace a předpokládá se, že se bude jednat o jednu z nejvíce kontrolovaných povinností. Nástroj pro řízení rizik pro práva subjektu údajů

NÁVRH ICT OPATŘENÍ Změna infrastrukturu informačního systému organizace tak, aby byla schopna realizovat technická opatření nezbytná pro naplnění požadavků GDPR. Řízení přístupu Ukládání dat a zálohování dat Monitorování a logování IDS/IPS SIEM/SOC Kryptografie Sítě Mobilní zařízení Fyzická bezpečnost ICT infrastruktury Antivirová ochrana CCTV

ZMĚNY SMLUV A JINÝCH PRÁVNÍCH UJEDNÁNÍ GDPR se dotýká se vztahů s občany, dodavateli, kontrolními orgány a dalšími stranami. Změny ve smluvních a dalších právních vztazích prováděné v rámci dodažení shody s požadavky GDPR mohou zahrnovat například: Souhlas subjektů údajů Zaměstnanecké smlouvy Smlouvy se zpracovateli OÚ Smlouvy s dodavateli služeb a servisními organizacemi Smouvy o zachování důvěrnosti informací a další

ROLE POVĚŘENCE Pověřenec musí být organizací jmenován, pokud: zpracování provádí orgán veřejné moci či veřejný subjekt (bez ohledu na to, jaká data jsou zpracovávána) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, rozsahu nebo účelu, vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

DOKUMENTY K GDPR interní směrnice pro soulad s GDPR souhlas se zpracováním osobních údajů /zrušením informace poskytované subjektu údajů potvrzení o zpracování osobních údajů oznámení o opravě, výmazu nebo omezení zpracování OÚ upozornění na zrušení omezení zpracování oznámení o porušení zabezpečení subjektu údajů informace o neschopnosti identifikovat subjekt údajů informace o důvodech nepřijetí opatření vyžádaných subjektem údajů předání osobních údajů subjektu údajů pro případ přenosu údajů jinému správci upozornění na právo vznést námitku souhlas s předáním osobních údajů do třetí země oznámení o porušení zabezpečení dozorovému úřadu balanční test dokumenty upravující vztah s třetími stranami zpracovatelská smlouva činnosti pro příspěvkové organizace. vypracování posouzení vlivu (DPIA).

ROLE POVĚŘENCE GDPR pro obsazení role Pověřence stanovuje, že musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39., což obnáší: znalost národního a unijního práva v oblasti ochrany dat a hluboké znalosti Obecného nařízení (GDPR) praktické zkušenosti aplikace požadavků ochrany dat znalost prováděných zpracovatelských operací znalost informačních technologií a bezpečnosti dat Výkon Pověřence je možno řešit plně dodavatelsky ale: Odpovědnost je nepřenositelná a zůstává vždy na organizaci znalost dané oblasti podnikání a organizace schopnost propagovat kulturu ochrany dat v organizaci

DOPADY PODLE STRUKTURY ORGANIZACE Vedení Právní Personální ICT Bezpečnost Ostatní odbory Umístění odpovědnost za GDPR Vytvoření pracovní skupiny Analýza právních základů Re-design smluvní dokumentace Změny v personálních procesech a dokumentaci Provedení datové analýzy Přijetí technických opatření Revize bezpečnostní dokumentace Proces řízení incidentů Provedení procesní analýzy Přidělení zdrojů Analýza rizik a posouzení vlivu Podpora projektu

Vstupní analýza Časová Finanční Personální Stanovení pověřence Interní audit Součást týmu pro analýzu Včetně příspěvkových organizací Procesní analýza Právní analýza Srovnávací analýza Analýza dat a bezpečnost Plán dosažení souladu s GDPR ISO 27 001 : 2014 Implementace nápravných opatření Nastavení identifikátorů pro GDPR

VZOROVÁ ANALÝZA připomínky Neúplnost popisů procesů jednotlivých typů obcí Formulace opatření na vysoké technické úrovni není možné realizovat bez bližších znalostí řízení bezpečnostních opatření - nutno přiblížit reálnému stavu v oblasti řízení obcí. Vše vztaženo na malé obce a to jak první nastavení, tak samotná revize v pravidelných cyklech Nepostihuje rozdílnost zákona č. 131/2000 Sb. o hlavním městě Praze a specifickém postavení jednotlivých typů MČ Zavádění nových činnosti spojených se zajištěním periodických prověřovacích činností, které nejsou v dokumentu uvedené a jsou nutné k řádnému zajištění složitějších operací nebo činností k definování a ověřování zpracování osobních údajů : stanovení projektového týmu pro ochranu OÚ stanovení klasifikaci aktiv definování a realizace balančních testů zpracování osobních údajů definování a realizace testů slučitelnosti zpracování osobních údajů tvorba a ověřování posouzení vlivu na ochranu osobních údajů Finanční zatížení úřadů, a to jak v oblasti mzdových tak i v oblasti nákladů na služby - pro malé obce likvidační Nutnost vytvoření celé řady nových směrnic (pokynů) pro oblast řízení zpracování OÚ V procesech kde jsou obce zpracovatelem pro jednotlivá ministerstva je nutno dát k dispozici aktuální dokumentaci k jednotlivým procesům zpracování. ( základní registry, evidence obyvatel, doklady )

Finále Je chybou vyrábět teorie dřív, než jsou shromážděna všechna fakta. Sir Arthur Ignatius Conan Doyle ale i: Evansův zákon: jestliže zůstáváš klidný, zatímco ostatní ztrácejí hlavu, je to neklamná známka toho, že jsi problém nepochopil. Prakticky by však mělo platit: Nikdo z nás si nemůže dovolit investovat do řešení této směrnice více než je potřeba, někteří ji vidí jako bublinu, která je uměle živena těmi, kteří v tom vidí dobrý obchod, ale takhle to pro veřejnou správu myšleno nebylo. Předpoklad naplnění Nařízení EU k GDPR pro Prahu 2 je částka do velikosti malého rozsahu!

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář