Strategie Implementace GDPR Michal Zedníček michal.zednicek@alef.com ALEF NULA, a.s.
Co je obsahem GDPR Kdo/co/jak/proč Definice zpracování OÚ Organizační opatření Řízení bezpečnosti OÚ Pravidla ochrany OÚ Systémy zajištění ochrany OÚ Technická opatření Řízení provozu Detekce bezpečnostních událostí Kontrola bezpečnosti OÚ Testy bezpečnosti OÚ Zpětná vazba
Kdo řídí ochranu osobních údajů (kdo je DPO)?
Co je skutečně obsahem GDPR? LEGAL SECURITY
Jak se na GDPR připravit? Analýza připravenosti na GDPR Implementace ISMS podle GDPR Ochrana osobních údajů podle GDPR
LEGAL content
Security content ZKB Zákon 181/2014 Sb. ISO/IEC 27001:2013 Články normy GDPR Nařízení EU 2016/679 Vyhláška 316/2014 Sb. Příloha A?
Jak zhodnotit současný stav? Kde aplikovat technická opatření?
Kompromitace Výpadek Podpůrné aktivum Ohrožení dostupnosti integrity Zpracování, ukládání nebo přenos Primární aktivum
Analýza prostředí (automatizovaného)
Celé prostředí
303 základních otázek
Analýza rizik Kontrola přístupu schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů; pseudonymizace a šifrování osobních údajů; schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování Kategorizace dopadu Sankce Kodexy chování Vydávání osvědčení
Plán implementace GDPR Cíle opatření Potřebné zdroje Plán implementace GDPR Termíny implementace SECURITY LEGAL Garanti implementace Plán organizačních opatření Plán technických opatření Plán právních opatření
Implementace GDPR Zřízení funkce/role, zavedení agendy včetně dokumentace: Identifikace zpracování a vytvoření registru zpracování osobních údajů Návrh struktury a obsahu předpisů, registrů a evidencí Návrh rolí a odpovědností Návrh ošetření rizik Účast na provozování a změnách systémů Vyhodnocování a zpracování incidentů Plnění povinností k nadřízeným orgánům Příprava, případně provedení školení
Ochrana osobních údajů podle GDPR Pravidelná měsíční činnost Vedení registru (evidence) zpracování Vedení agendy předepsané vyhláškami k ZKB Identifikace nových zpracování a posouzení změn v systémech včetně spolupráce při určení právních souvislostí Školení nových zaměstnanců Běžná poradenská činnost zaměstnancům a vedení organizace Zajištění právního souladu (monitoring právních předpisů) Spolupráce s klienty a zajištění kontaktu s dozorovým úřadem Posuzování souhlasů, informací podávaných subjektům údajů a zpracovatelských smluv Vyhodnocování a zpracování incidentů Sledování souladu s legislativou Kontrolní činnost
Ochrana osobních údajů podle GDPR Pravidelná roční činnost Organizace pravidelného školení zaměstnanců v oblasti osobních údajů a kybernetické bezpečnosti Pravidelná revize systému řízení Interní audit plnění povinností Rozsah je určen povinnostmi z pohledu legislativy Oblast ochrany osobních údajů Oblast kybernetické bezpečnosti Spolupráce v případě, že přezkoumání bude prováděno jako součást externího auditu např. (dle ČSN ISO/IEC 27001)
Ochrana osobních údajů podle GDPR Nepravidelná činnost Mimo pravidelných činností bude pověřenec realizovat i činnosti, jejichž náročnost nelze předem určit: Posouzením vlivu na ochranu osobních údajů při nových zpracováních nebo jejich zásadní změně Konzultace změn architektury při realizaci rozsáhlých projektů Zastupování organizace vůči externí autoritě v případě externího auditu Vyhodnocování, zpracování a případné hlášení incidentů
Kdo řídí ochranu osobních údajů?
Děkuji za pozornost