IT-Sicherheit unter der Datenschutz- Grundverordnung

Podobné dokumenty
Cloud Computing: Datensicherheitsrechtliche Perspektive und Herausforderungen

Plánování a stavební činnost uzpůsobené povodním Hochwasserangepasstes Planen und Bauen

Umweltüberwachung / Monitoring

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

Obecné nařízení o ochraně osobních údajů

SCHUTZ VON BETRIEBS- UND GESCHÄFTSGEHEIMNISSEN IN DER INDUSTRIE 4.0 OCHRANA PODNIKOVÉHO A OBCHODNÍHO TAJEMSTVÍ V PRŮMYSLU 4.0

Politika ochrany osobních údajů

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů Implementace GDPR

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

INTERNATIONALE KOMMISSION ZUM SCHUTZ DER ELBE MEZINÁRODNÍ KOMISE PRO OCHRANU LABE

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

Iniciativa ERRAM CROSS BORDER. Dostupnost bez hranic

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Stříkací pistole. Striekacia pištoľ

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

INFORMACE O PRÁVECH A POVINNOSTECH V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Ochrana osobních údajů a AML obsah

Představení projektu. Projektvorstellung

Rozvoj vzdělávání žáků karvinských základních škol v oblasti cizích jazyků Registrační číslo projektu: CZ.1.07/1.1.07/

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

Politika ochrany osobních údajů Společenství vlastníků jednotek Bratislavská 1488, Praha

Zkušenosti z implementace GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

Jak by se s tím měli vyrovnat podnikatelé v oboru elektro?

Příloha č. 1 Kontrolní seznam o připravenosti na nařízení GDPR Checklist

ORGANIZAČNÍ ŘÁD ŠKOLY

Ochrana osobních údajů

ČESKÁ TECHNICKÁ NORMA

Zásady ochrany osobních údajů pro společnost KEMPCHEN s.r.o.

Easy-6 Pivottür mit Seitenwand / Otočné dveře s boční stěnou

Německý jazyk. Jaroslav Černý

Podmínky ochrany osobních údajů

Informace o zpracování osobních údajů

PLNĚNÍ INFORMAČNÍ POVINNOSTI DLE ČLÁNKU 13 GDPR ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V MT LEGAL

GDPR, osobní rozvoj a vzdělávání zaměstnanců

Informace k ochraně osobních údajů

Dopady GDPR a jejich vazby

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Informace o zpracování osobních údajů

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

OSOBNÍ ÚDAJE GDPR ROK POTÉ

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

Inteligentní možnosti preference městské hromadné dopravy. Intelligente Ansätze zum Beschleunigen des öffentlichen Stadtverkehrs

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

NOVÉ PŘÍSTUPY A NÁSTROJE OCHRANY OSOBNÍCH ÚDAJŮ V OBECNÉM NAŘÍZENÍ A PRÁVA SUBJEKTU ÚDAJŮ

Ochrana osobních údajů podle GDPR. (c) 2018 HÁJEK ZRZAVECKÝ advokátní kancelář, s.r.o.

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

PLNĚNÍ INFORMAČNÍ POVINNOSTI DLE ČLÁNKU 13 GDPR ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Implementace systému ISMS

Příprava IS na příchod GDPR se zaměřením na ISP. Jan Zahradníček AK Velíšek & Podpěra

Systémová analýza působnosti obcí z hlediska obecného nařízení o ochraně osobních údajů

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

GDPR Obecné nařízení o ochraně osobních údajů

Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o

1/ Memorandum o zpracování osobních údajů dle článku 13 a 14 GDPR.

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

ALIS spol. s r.o., Česká Lípa říjen 2017

Europaregion Donau-Moldau Evropský region Dunaj-Vltava

Sdělení ÚOOÚ k přístupu založenému na riziku

Workshop PEP Konzeption / Koncepce

Informační memorandum ke zpracování osobních údajů Vyšší odborné školy zdravotnické Brno, příspěvková organizace

Internetauftritt zu invasiven Arten, Frühwarnsystem. Web AOPK ČR o invazních druzích a systém včasného varování

Podmínky ochrany osobních údajů Obsah

Posuzování na základě rizika

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

Kooperační program Česká republika Svobodný Informace o stavu programování

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

GDPR Projekt GDPR Compliance

Grenzüberschreitendes Hochwasserrisikomanagement im Elbeeinzugsgebiet

Seminar / Seminář. Neue Medien e-learning in der Umweltbildung Nová média - e-learning v ekologické výchově

Wissensbasierte Bildverarbeitung Information aus Big Data lernen Znalostní zpracování obrazu Získávání informací z Big Data

V Brně dne 10. a

Prohlášení o ochraně osobních údajů

lství Diffuse Belastungen aus der Landwirtschaft

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

Informace o zpracování osobních údajů společností FREE ARCHITECTS s.r.o.

Příprava IS na příchod GDPR změny je potřeba nastartovat včas. Jan Zahradníček AK Velíšek & Podpěra

WORKSHOP: Máš nápad pro cyklostezku? WORKSHOP: Hast Du eine Idee für den Fahrradweg?

München. Autor: Mgr. Jana Zachrlová SOŠ a SOU Česká Lípa VY_32_INOVACE_94_München_PWP

Zabezpečení osobních údajů

Von klein auf Odmalička Deutsch-tschechische Zusammenarbeit im Vorschulbereich

INFORMAČNÍ MEMORANDUM O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PRO ZAMĚSTNANCE

GDPR v sociálních službách

Mohu vybrat peníze z bankomatu v [název země] bez placení poplatků? Fragen, ob Gebühren anfallen, wenn man in einem bestimmten Land Geld abhebt

E.ON Distribuce, a.s. Zpráva o plnění programu opatření v roce 2006

Mezinárodní závody Zpívající fontány

Informace společnosti ohledně ochrany osobních údajů

GDPR a veřejná správa

GRAND KANCELÁŘSKÉ STOLY DR * 900 DR * 900 DR * 800 DR * 800 DZ 1600 * 900 DZ 1600 * 900 SKLADEBNOST SYSTÉMU GRAND

Transkript:

/ IT-Sicherheit unter der Datenschutz- Grundverordnung Sicherheitsmanagement als Compliance-Baustein 20.09.2018 Dr. Korbinian Hartl Bezpečnost v IT a GDPR Management bezpečnosti v rámci souladu se zákony a předpisy Alicante Berlin Bratislava Brüssel Budapest Bukarest Dresden Düsseldorf Frankfurt/M. Hamburg London Moskau München New York Prag Warschau noerr.com

/Compliance als Schlagwort Soulad se zákony a předpisy jako klíčová slova

/ Compliance Rechtstreue und Risikovermeidung Soulad se zákony a předpisy a vyvarování s rizikům Compliance als Schlagwort: Bedeutung: Soulad se zákony a předpisy jako klíčová slova: Význam: Einhaltung rechtlicher Vorschriften Dodržování právních předpisů. Unternehmensperspektive: Begrenzte Zeit, Budgets etc. daher in der Praxis: Perspektiva podniků: Omezený čas, rozpočet etc., proto v praxi: Vermeidung von Haftungs-Risiken die aus der Nichtberücksichtigung gesetzlicher Vorgaben resultieren Vyhnutí se odpovědnostním rizikům vyplývajícím z nedodržení zákonných požadavků DSGVO: Schafft hohe Haftungsrisiken (insb. Bußgelder) GDPR: Vytváří vysoká odpovědnostní rizika (zejména peněžní pokuty) Positiv: Einheitlicher Rechtsrahmen Positivum: jednotný právní rámec 3

/IT-Sicherheit: Anforderungen der DSGVO IT bezpečnost: požadavky GDPR

/ Rechenschaft : Dokumentation als Compliance-Baustein Účetnictví: dokumentace v rámci souladu se zákony a předpisy Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 lit. A) zákonnost, korektnost a transparentnost (čl. 5 odst. 1 pís. a) Zweckbindung (Art. 5 Abs. 1 lit. b) účelové omezení (čl. 5 odst. 1 pís. b) Datenminimierung (Art. 5 Abs. 1 lit. c) minimalizace údajů (čl. 5 odst. 1 pís. c) Richtigkeit (Art. 5 Abs. 1 lit. d) přesnost (čl. 5 odst. 1 pís. d) Rechenschaftspflicht (Art. 5 Abs. 2) odpovědnost (čl. 5 odst. 2) Speicherbegrenzung (Art. 5 Abs. 1 lit. e) omezení uložení (čl. 5 odst. 1 pís. e) Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f) integrita a důvěrnost (čl. 5 odst. 1 pís. f) 5

/ Art. 32 DSGVO: Geeignete technische und organisatorische Maßnahmen Čl. 32 GDPR: vhodná technická a organizační opatření 1 Stand der Technik Stav techniky Kosten der Implementierung Náklady na provedení 2 3 Art, Umfang, Umstände und Zwecke der Verarbeitung Povaha, rozsah, kontext a účely zpracování Wahrscheinlichkeit und Schwere des Risikos Pravděpodobnost a různá závažnost rizik 4 6

/ Risikobasierter Ansatz Přístup založený na riziku Wahrscheinlichkeit und Schwere des Risikos Pravděpodobnost a různá závažnost rizik Keine Legaldefinition des Begriffs Risiko Übliche Formel: Risiko: [Höhe des Risikos für Rechte und Freiheiten natürlicher Personen] = [Eintrittswahrscheinlichkeit einer Bedrohung] x [Schadenspotential] Žádná legální definice pojmu riziko Běžná rovnice: riziko: [Výše rizika pro právní a fyzické osoby] = [Vstupní pravděpodobnost hrozby] x [potenciál škody] Gesetzliche Leitlinien? - Abstrakt und offen Unternehmer als Risiko-Manager für den Betroffenen Zákonné pokyny? - Abstraktní a otevřené Podnikatel jako rizikový manažer pro dotčené osoby 7

/ Identifizierung und Bewertung von Risiken Identifikace a zhodnocení rizik Tätigkeiten mit hohem Schadenspotential : Profilbildung / systematische Überwachung Großer Umfang der Verarbeitung Automatisierte Entscheidungsfindung Schutzbedürftiger Personenkreis Činnosti s vysokým potenciálem škody : Profilování/ systematický dohled Velký rozsah zpracování Automatizované rozhodování Zranitelná skupina lidí Was kann passieren? Co se může stát? Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten Zničení, ztráta nebo změna, neúmyslná nebo nezákonná, nebo neoprávněné zveřejnění respektive neoprávněný přístup k osobním datům 8

/ Verhältnismäßigkeit (Aufwand : Nutzen) Přiměřenost (náklady: užitek) Verhältnismäßigkeit keine absolute Bestimmung (z.b. keine numerische Abgrenzung) stattdessen relativer Ansatz: Einzelfallabwägung unter Berücksichtigung aller relevanten Umstände Přiměřenost Žádné absolutní určení (např. žádné numerické ohraničení) Místo toho relativní přístup: individuální posouzení s ohledem na všechny relevantní okolnosti Stand der Technik als ein wesentliches Kriterium Stav techniky jako zásadní kritérium Implementierungskosten wirtschaftliche Zumutbarkeit Náklady na provedení Ekonomicky únosné 9

/Umsetzung im Unternehmen Implementace v podnikání

/ Implementierung der Anforderungen Implementace požadavků Datenkategorien Bedrohungsszenarien Kategorie dat Scénáře ohrožení Risikobewertung Zhodnocení rizika Identifikation Bewertung Identifikace Hodnocení Überwachung Steuerung Checklisten Audits Checklisty Audity Kontrola Opatření technisch organisatorische Maßnahmen Technicko-organizační opatření 11

/ Umsetzungsmethodik Organisatorische Voraussetzungen Metodika implementace organizační předpoklady Lokalisierung von Verantwortung Einbindung des leitenden Managements Richtlinien zur operativen Verantwortlichkeit Ziel: Rechenschaftsfähigkeit Lokalizace odpovědnosti Zapojení top managementu Směrnice/předpisy k operativní odpovědnosti Cíl: Odpovědnost Einheitliche Technik der Risikobewertung + einheitliche Ablauforganisation Dokumentiert Nachvollziehbar Ziel: Rechenschaftsfähigkeit der Bewertung und Organisation Jednotná technika hodnocení rizika + jednotná organizace procesu zdokumentováno srozumitelně Cíl: Odpovědnost hodnocení a organizace Anlehnung an IT-Sicherheitsstandard Podpora IT bezpečnostního standardu 12

/ Methodik: Ermittlung / Evaluation / Entwurf Postup: určení/ evaluace / koncept Der Unternehmer als Risiko-Manager Unbestimmte Rechtsbegriffe Im Zweifel: Vorsichtige Bewertung Ermittlung des Risikopotentials der konkreten Verarbeitungstätigkeit Určení potenciálu rizika konkrétní činnosti zpracování Podnikatel jako rizikový manažer Nepřesné právní pojmy Na pochybách: opatrné hodnocení Ermittlung des Schutzbedarfes personenbezogener Daten Určení požadavků na ochranu osobních dat Erstellung eines Datenschutzkonzept Vypracování konceptu na ochranu dat 13

/ Bewältigung von Risiken Zvládnutí rizik Allgemein: Risiken können vermieden (Beendigung der Datenverarbeitung) transferiert (Übertragung an Dritte) akzeptiert oder minimiert werden Obecně: rizika mohou být vyloučena (ukončení zpracování dat) transferována (přenesena na třetí osobu) akceptována minimalizována Art. 32 Abs. 1 DSGVO setzt auf Minimierung; exemplarisch: Verschlüsselung Verfügbarkeit / Vertraulichkeit/ Belastbarkeit und Integrität Recovery Čl. 32 odst. 1 GDPR odkazuje na minimalizaci, exemplárně: šifrování dostupnost / důvěrnost / odolnost a integrita Recovery erneut: Rechenschaftsfähigkeit durch Dokumentation opět: odpovědnost prostřednictvím dokumentace 14

/ Verarbeitungsverzeichnis Záznamy o činnostech zpracování Verarbeitungsverzeichnis, Art. 30 DS-GVO Verzeichnis sämtlicher Verarbeitungstätigkeiten Záznamy o činnostech zpracování, čl. 30 GDPR Správce vede záznamy o činnostech zpracování, za něž odpovídá Ausgangspunkt des Compliance-Managements Identifikation und Bewertung von Risiken anhand der Dokumentation Výchozí bod managementu v souladu se zákony a předpisy Identifikace a zhodnocení rizik na základě dokumentace Verarbeitungsverzeichnis als Accountability- Backbone Záznamy o činnostech zpracování jako Accountability-Backbone 15

Vielen Dank. Děkuji.

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář