Představení 2012 CISM certifikovaný manažer informační bezpečnosti 2013 CISA certifikovaný auditor informační bezpečnosti Manažer bezpečnosti informací Zkušenosti s implementací a provozováním ISMS dle požadavků ISO/IEC 27001 Manažer kybernetické bezpečnosti Zkušenosti s implementací a provozováním ISMS dle požadavků ZoKB 5.4.2018, Olom ouc Ing. Mar tin Havel, MBA Pověřenec pro ochranu osobních údajů pro KrÚ JMK v Brně GDPR 2 Obsah 1. Vaše otázky k tématu. 2. Co je to GDPR? 3. Co je to osobní údaj? 4. Vybrané pojmy 5. Zásady zpracování 6. Zabezpečení osobních údajů 7. Úvod General Data Protection Regulation (zkráceně GDPR) Obecné nařízení o ochraně osobních údajů Vaše otázky k tématu. GDPR 3 GDPR 4 1. Co je GDPR? V ČR nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Zavádí celou řadu nových pravidel, jejichž dodržování bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit. Zavádí nové přístupy, a to princip odpovědnosti správce a přístup založený na riziku. Účinnost nastane až 25. května 2018 v celé EU. Jedním z cílů přijetí GDPR bylo zajistit větší jednost pravidel ochrany osobních údajů ve všech státech Evropské unie (a Islandu, Norska a Lichtenštejnska. Hlavním českým regulátorem je Úřad pro ochranu osobních údajů (ÚOOÚ). 2. Co je osobní údaj? Veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě. Jméno, pohlaví, věk a datum narození, osobní stav, ale také identifikační číslo, lokační údaje, síťový identifikátor, email a fotografický záznam,. Jakékoliv další údaje na jejichž základě je možno identifikovat osobu. Zvláštních kategorie osobních údajů (citlivé osobní údaje) jsou: údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Nařízení nově zahrnuje do citlivých údajů: genetické, biometrické údaje a osobní údaje dětí. GDPR 5 GDPR 6 1
3. Vybrané pojmy Subjekt osobních údajů je fyzická osoba, jíž se osobní údaje týkají (není to právnická osoba (firma), týká se pouze žijících fyzických osob). Správce je subjekt (nerozhoduje jaké právní formy právnická osoba nebo fyzická osoba), který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá (ten, kdo data k nějakému konkrétnímu účelu shromažďuje) Zpracovatel je subjekt, kterého si správce najímá, aby pro něj prováděl s osobními údaji zpracovatelské operace (zpracovatel zpracovává osobní údaje pro správce) (například, jen ukládá, zaznamenává, vyhledává, nahlíží, třídí či likviduje. Tedy i externí IT správce, účetní, právní kancelář, cloud ) Zpracovatel se od správce liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen ĠDPR 7 4. Zásady zpracování Obecné nařízení je postaveno na následujících zásadách: zákonnost, korektnost, transparentnost - správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně; omezení účelu - osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely; minimalizace údajů- osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány; přesnost - osobní údaje musí být přesné; omezení uložení- osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány; integrita a důvěrnost - technické a organizační zabezpečení osobních údajů. GDPR 8 Článek 24 5. Zabezpečení osobních údajů Odpovědnost správce Správce musí přijmout s ohledem na povahu, rozsah, účely a rizikovost zpracování technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s požadavky GDPR. Tato opatření musí být podle potřeby revidována a aktualizována. Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim. Článek 32 Zabezpečení zpracování (os. údajů) (1) S přihlédnutím kestavu techniky... povaze... rozsahu... a k různě závažným rizikům pro práva fyz. osob, zavedou správce a zpracovatel vhodná tech/org. bezp. opatření... odpovídající danému riziku,.. včetně: a) pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) obnovit dostupnost osobních údajů včas v případě technických incidentů; d) pravidelného testování a hodnocení účinnosti zavedených opatření (2) zohlednit rizika náhodného zničení, ztráty, pozměňování, neoprávněného zpřístupnění os obníc h údajů GDPR 9 GDPR 10 5. Zabezpečení osobních údajů Organizační opatření Pro zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti. Systém ochrany osobních údajů Cyklus: chránit dokumentovat kontrolovat prověřovat Technická opatření Organizační opatření 1. Bezpečnostní politika 2. Minimalizace osobních údajů 3. Bezpeč nostní směrnice - Podmínky zpracování osobních údajů způsob přístupu k osobním údajům 4. Školení - Hesla, obrazovka, stůl, přístupy - Hlášení bezpečnostních incidentů - nastavení klasifikace dat GDPR 11 GDPR 12 2
Řízení přístupů Vynutitelnost silných hesel Šifrování dat Pseudonymizace Vícefaktorová autentizace Technická opatření Omezení cest, kterými je možno data přenášet Implementace DLP řešení, které zabezpečí, že data neuniknou prostřednictvím chyby nebo nevědomosti zaměstnance Zálohování datových úložišť, aby nedošlo k jejich ztrátě Zabezpečení koncových zařízení Monitoring, SIEM Ochrana proti externím útočníkům, použitím kvalitního antivirového řešení a dalších technologií v oblasti síťové bezpečnosti, jako jsou IDS/IPS, aplikační firewally a další GDPR 13 Správce dle rizikovosti 1. Větší důraz na ochranu dat 2. Řízení přístupů 3. Vynutitelnost silných hesel 4. Šifrování dat 5. Vícefaktorová autentizace 6. Logování, Monitoring 7. Omezení cest, kterými je možno data přenášet 8. DLP řešení 9. Zálohování, kontinuita 10. Likvidace dat, nosičů Zpracovatel 1. Smluvní ošetření ochrany osobních dat 2. přijme všechna opatření požadovaná podle článku 32 3. osoby oprávněné zpracovávat osobní údaje zavázal k mlčenlivosti 4. umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem GDPR 14 Výrobce SW 1. Řízení přístupů 2. Nabídka silných hesel 3. Vícefaktorová autentizace 4. Logování činnosti 5. Pseudonymizace 6. Výmaz osobních údajů 7. GDPR certifikace Poskytovatel - cloud 1. Zásady zpracování osobních údajů 2. Technická opatření (logování) 3. Zajištění výmazu OÚ 4. Certifikace 5. Prokazování GDPR shody, plnění článku 32 GDPR 15 GDPR 16 Informační systémy musí být nápomocny s zajištění práv subjektů údajů. Právo na přístup k osobním údajům Pokud jako správce údajů dostanete od subjektu údajů informace, musíte mu dát vědět třeba to, že je zpracováváte, za jakým účelem údaje získáváte a kdo s nimi bude dále pracovat. Pomocí tiskových sestav vydáte zájemci souhrn informací, které o něm shromažďujete. Právo na opravu Pokud se zákazník domnívá, že o něm zpracováváte nepřesné údaje, může vás na to upozornit. Pak se musíte jeho žádosti věnovat a data opravit a to je vše. GDPR 17 GDPR 18 3
Právo na výmaz (známé také jako právo být zapomenut) Subjekt údajů může žádat smazání osobních údajů ze systému: - po uplynutí zákonných či smluvních lhůt - nebo při odvolání souhlasu ke zpracování osobních údajů. Právo na přenositelnost údajů Spočívá v povinnosti správce předat subjektu údajů všechny o něm zpracovávané informace ve strukturovaném, běžně používaném, strojově čitelném formátu jinému správci, je-li to technicky proveditelné. Právo na omezení zpracování Subjekt údajů může požádat o omezení zpracování osobních údajů. V tom případě se může hodit funkcionalita skrývání údajů. V praxi to znamená, že v systému se skryjí informace o osobě, která si stěžuje, a uživatelé s nimi nemohou pracovat. Záznamy v IS zůstávají, ale nikdo bez příslušných práv s nimi nemůže pracovat. GDPR 19 GDPR 20 7. Hlášení porušení zabezpečení osobních údajů Informační systémy můžou být nápomocny: archivací souhlasů práv subjektů údajů; registr bezpečnostních událostí; logování činností; šifrování dat; pseudonymizace; nastavení a kontrola oprávnění;. GDPR 21 Porušení zabezpečení osobních údajů je porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Pokud dojde k porušení zabezpečení osobních údajů, musí správce toto porušení bez zbytného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásit Úřadu pro ochranu osobních údajů. Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů. GDPR 22 Další otázky a odpovědi Děkuji za pozornost! martin.havel@grossocom.cz +420 721 672 440 Máme připraveno 6 kroků, jak s námi lehce a jednoduše zvládnout požadavky GDPR Jak zvládnout GDPR za 6 dní Na začát ku je to projekt, kt erý se postupně změní na proces. 1. Vstupní přehled (datová inventura, právní přehled). 2. Analýz a součas ného stavu tec hnických a organizač ních opatření. 3. Posouz ení riz ik, posouzení dopadu (DPIA Data Pr otection Impact Assesment). 4. Vytvoření systému ochr any os obních údajů. Organiz ační opatření (procesy, politiky, postupy, povědomí). Aktualizac e nebo vytvoření odpovídající dokumentace. 5. Zavedení organiz ačních opatření a technických opatř ení dle rizikovosti zpracování osobních údajů 6. Zvládání bezpeč nostníc h událostí (hlášení úniku dat), Prokazování souladu, kontrola opatření, testování. GDPR 23 24 4
1 krok 1 krok - Vstupní přehled Vstupní přehle d (datová inventura, práv ní přehled) k jakému účelu jsou osobní data sbírána kde a jaká data uchováváte a jak je chráníte na jakém právním základě je zpracováváte 25 26 1 krok 2 krok Příklady účelů zpracování Analýza současného stavu posouzení míry shody současného stavu organizace s požadavky GDPR (organizační a technická opatření); identifikace třetích stran, zpracovatelů; nutnost DPO? (Pově řenec pro ochranu osobních údajů) 27 28 3 krok 3 krok - Posouzení rizik, posouzení dopadu Posouzení rizik, posouzení dopadu (DPIA Data Protection ImpactAssesment) identifikovat rizika a dopady při nedodržení požadavku nařízení, přiřadit opatření (rizika - fi nanč ní, právní, reputační rizika) a posouzenídopadů; definovat finanční hranice dopadů. Článek 32 S přihlédnutím kestavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a úč el ům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technick á a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, 29 30 5
4 krok Vytvoření systému ochrany osobních údajů pro zajištění neustálé důvěrnosti, integr ity, dostupnosti a odolnosti. (chránit dokumentovat kontrolovat prověřovat) vedení záznamů o činnostech zpracování pravidelné testování a hodnoc ení účinnosti zavedených opatření Článek 24 S přihlédnutím k povaze, r ozsahu, kontextu a úč elům zpracov ání i k různě pravděpodobným a různě závaž ným rizikům pro práv a a sv obody fyzick ých osob zavede s právc e vhodná technick á a or ganizač ní opatření, aby zajistil a by l schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována. Systém ochrany osobních údajů Pro zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti. Cyklus: chránit dokumentovat kontrolovat prověřovat Technická opatření Organizační opatření 31 32 5 krok - Technická opatření 6 krok revize stávajících opatření; zajištění, že se s osobními daty zachází způsobem, který zajišťuje jejich bezpečnost, včetně ochrany před neauto rizovaným nebo nezákonným procesem, pro případ ztráty, zničení a poškození; nasazení potřebných opatření odpovídající rizikovosti vašeho zpracování; doporučené opat ření pseudonymizace a šifrování osobních dat. Princip přiměřenosti. Zvládání bezpečnostních událostí (hlášení úniku dat) nastavení procesu ohlašovací povinnosti; GDPR definuje únik dat jako narušení bezpečnosti, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně či neopráv něnému vyzrazení nebo zpřístupnění osobních údajů. při implementování odpov ídaj íc ích mechanismů pro ochranu dat, například šifrování, nemusíte informovat jednotlivéosoby. Článek 34 Pokud je pravděpodobné, že určitý případ poruš ení zabezpečení os obníc h údaj ů bude mít za následek vysoké ri zi ko pro práva a svobody fyz ic kýc h osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů. 33 34 6 krok Prokazování souladu schopnost doložit jak je nařízení GDPR dodržováno; pravidelná kontrola opatření; schopni prokázat, že existují jasná pravidla, která splňují nařízení GDPR; zajištění práv subjektů, zajištění práv, články 12,13,14,15, 32. 35 6