Zabezpečení osobních údajů

Podobné dokumenty
VÝNOS REKTORA Č. 6/2018 ŘEŠENÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

GDPR. Požadavky na dokumentaci. Luděk Nezmar

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

Sdělení ÚOOÚ k přístupu založenému na riziku

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Obecné nařízení o ochraně osobních údajů (GDPR) S přihlédnutím ke Smart Cities Petr Habarta, OBPPK MV

Povinnosti obce nebo města jako správce podle GDPR. Jarní celostátní odborný seminář STMOÚ Valeč Přednášející JUDr.

Škola ochrany osobních údajů

Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

NOVÉ PŘÍSTUPY A NÁSTROJE OCHRANY OSOBNÍCH ÚDAJŮ V OBECNÉM NAŘÍZENÍ A PRÁVA SUBJEKTU ÚDAJŮ

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

Seznam vzorů, které naleznete v publikaci:

Dopady GDPR na elektronizaci zdravotnictví

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Obecné nařízení o ochraně osobních údajů, Vy a dozor. PhDr. Miroslava Matoušová, Úřad pro ochranu osobních údajů

GDPR v sociálních službách

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

SPISOVÁ SLUŽBA A GDPR

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů Implementace GDPR

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Záznamy o činnostech zpracování

Farmakovigilance z pohledu ochrany osobních údajů

Pokyny k funkci pověřence pro ochranu osobních údajů (dokument WP 243, ze dne ) Příloha Často kladené otázky

Nová pravidla ochrany osobních údajů

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

GDPR evoluce v ochraně osobních údajů.

Co nového do ochrany osobních údajů přináší nařízení 2016/679

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

GDPR a veřejná správa

OCHRANA OSOBNÍCH ÚDAJŮ V RÁMCI ORAGANIZACE INFORMACE PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

Jak by se s tím měli vyrovnat podnikatelé v oboru elektro?

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

Zpracování a ochrana osobních údajů ve společnosti SCASERV a.s.

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ SPOLEČNOST RADIUM S.R.O.

INFORMACE O OCHRANĚ OSOBNÍCH ÚDAJŮ PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Příloha č. 1 Kontrolní seznam o připravenosti na nařízení GDPR Checklist

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Obecné nařízení o ochraně osobních údajů

Informace o zpracování osobních údajů společností FREE ARCHITECTS s.r.o.

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů GDPR

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ FIRMOU PK62 a.s.

1. ÚVODNÍ USTANOVENÍ. Politika zpracování a ochrany OÚ externích SÚ informační povinnost detailní 2018_05_22_OVANET_a.s. Strana č. 1 z počtu stran 18

INFORMAČNÍ MEMORANDUM

Ochrana osobních údajů a AML obsah

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

WP243 PŘÍLOHA ČASTO KLADENÉ OTÁZKY

Systémová analýza a opatření v rámci GDPR

GDPR - příklad z praxe

#gdpr #gastro #hotel. 16. února Janka Brezániová

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

Obecné nařízení o ochraně osobních údajů

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

Představení služeb Konica Minolta GDPR

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Zásady ochrany osobních údajů

DPO jako nový nástroj ochrany osobních údajů

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

GDPR a Pověřenec pro ochranu osobních údajů. JUDr. Jakub Morávek, Ph.D.

Záznam o zpracování osobních údajů

Informování veřejnosti o zpracování osobních údajů

Podmínky ochrany osobních údajů

Informace o zpracování osobních údajů. Úvodní informace

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Nakládání s osobními údaji

Informační memorandum ke zpracování osobních údajů Vyšší odborné školy zdravotnické Brno, příspěvková organizace

KAPITOLA IV SPRÁVCE A ZPRACOVATEL

GDPR PRO VEŘEJNÝ SEKTOR. GDPR - Specifika státní správy a samosprávy

Informace o zpracování osobních údajů

Informace o zpracování osobních údajů smluvních partnerů

Záznamy o činnostech zpracování

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Příloha Nezávislý pracovník

Zkušenosti z implementace GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

GDPR z pohledu ICT sekce MV. Ing.Robert Piffl

Transkript:

Pověřenec pro ochranu osobních údajů 12.-13. září 2017, Praha Zabezpečení osobních údajů PhDr. Hana Štěpánková Organizační a technické zabezpečení osobních údajů (dále jen ou) Důležité při rozhodování o zabezpečení ou Provést zhodnocení zpracování ou: Jaké představují riziko pro práva a svobody subjektů údajů - představují riziko či velké riziko? Jakého jsou rozsahu? Jaké jsou povahy? Nakolik jsou komplexní? Při velkých rizicích je žádoucí nastavení pseudonymizace nebo šifrování ou. Zohledit při posouzení zejména eventualitu fyzické, hmotné či nehmotné újmy subjektů; zpracovávání zvláštních údajů (citlivých) a odsouzení v trestních věcech. Zodpovědět otázky: Může zpracování vést k diskriminaci, krádeži či zneužití identity? K finanční ztrátě? Poškození pověsti? Ztrátě ou chráněných služebním tajemstvím? K neoprávněnému zrušení pseudonymizace? K hospodářskému nebo společenskému znevýhodnění? Dochází profilováním k vyhodnocování osobních aspektů - zejména zdravotního stavu, pracovních výsledků, ekonomické situace, osobních preferencí, chování, místa pobytu a pohybu? Týkají se zpracovávané ou zvlášť zranitelných osob zejm. dětí? Je zpracováván velký objem ou? 1

Předpoklady zabezpečení ou Nežádoucí jevy při zabezpečení: Náhodné či protiprávní zničení ou, ztráta ou, pozměnění ou, neoprávněné zpřístupnění při přenosu, uložení, jiném zpracování Povinnost zajistit trvale důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování Organizačně nastavit pravidla pro zpracování ou: Nastavení pravidel ochrany ou - např. v bezpečnostní politice a směrnici, jasná identifikace správce, zpracovatelů Dostatečně závazně informovat pracovníky o jejich kompetencích a hierarchii odpovědností (popis práce, školení periodicky nastavené) žádné operace nad rámec pověření správcem, zajištění segmentovaného přístupu k ou na základě oprávnění; zajištění identifikace osob přistupujícím k ou času, kdy k přístupu došlo; vytvoření pravidel k přístupu na pracoviště, kde probíhá zpracování ou pravidla a oprávnění předávání ou ( identifikace příjemce) závazky mlčenlivosti zpracovatelů zajišťujících určitou službu (př. údržba IT) Předpoklady zabezpečení ou Technické zabezpečení integrity systémů a služeb monitorování přístupu k ou (kdo, kdy, jaké změny provedl) vytváření verzí při jejich změně s následnou kontrolou rozdílů hashování zajištění dostupnosti systémů a služeb zpracování - v případě výpadku funkcionality systému či určité služby zajistit k dispozici záložní zdroje (př. rozprostření síťové služby a dat mezi více serverů) Zajištění odolnosti systémů a služeb zpracování zajištění odolnosti vůči selháním Organizačně a technicky učinit zabezpečení ou součástí bezpečnostní politiky - provádět periodicky testování, vytvořit pohotovostní plány pro případ fyzického či technického incidentu (penetrační testování, bezpečnostní audity) účelné a důležité pro případy data breaches a kontrol; školení pracovníků Provádět kontroly opatření a vést o nich dokumentaci (polehčující okolnost při kontrolách) Dokumentace každého z opatření k zabezpečení ou (závažné při kontrolách) Pro zavedení dostatečných bezpečnostních opatření lze využívat kodexy chování, osvědčení o ochraně osobních údajů 2

Ohlašování porušení zabezpečení ou Správce hlásí ÚOOU do 72 hodin, pokud je pravděpodobné riziko pro práva a svobody fyzických osob. Při zpoždění uvádí jeho důvody. Směrnicí 95/46/ES z.č 101/2000 Sb. ukládáno ohlašování veškerých narušení zabezpečení ou Obdobně činí povinné osoby dle zákona o elektronických komunikacích a povinné osoby dle zákona o kybernetické bezpečnosti, poskytovatelé platebních služeb dle zákona o platebním styku (uloženo transpozicí směrnice PSD2) - případy, kdy v rámci jednoho incidentu je třeba více notifikací Správce nastaví v rámci organizačních a technických opatření k zajištění ou kroky pro detekci porušení zabezpečení (kontroly záznamů přístupu k ou, prevence ztráty dat, systémy odhalující průnik do počítačových sítí) Správce dokumentuje veškeré případy porušení zabezpečení s uvedením charakteru porušení a přijatých nápravných opatření. Musí být průkazné pro kontrolu. Zpracovatel po zjištění bezodkladně hlásí porušení správci. Nikoli ÚOOÚ. Hlášením pomáhá správci, proto obsahově obdobné jako hlášení správce ÚOOÚ. Řešení bezpečnostních incidentů Dokumentace porušení Identifikace rozsahu porušení: Vyhodnocení, zda jde o porušení zabezpečení (organizačně by mělo být nastaveno předem, kdo tak učiní běží zde lhůta pro oznámení ovlivňuje rozhodnutí o ohlášení Mělo by se dít na základě relevantního upozornění důležité proškolení zaměstnanců Posouzení míry rizika rozhodné i pro povinnost ohlašovat subjektům údajů Pro kontrolu důležité, aby bylo zdokumentováno jak rozhodnutí o ohlášení, tak pouhé porušení, které není nutné ohlašovat ÚOOÚ 3

Vzor pro oznámení (dokumentování porušení zabezpečení) obsah ohlášení Účelný je Vzor hlášení porušení zabezpečení ou vytvořený v rámci organizačních opatření pro zabezpečení ou; obdobný Vzor dokumentace porušení zabezpečení ou ; Forma hlášení není a priori vyžadována v Nařízení má být co nejpřehlednější pro ev. kontrolu dozorového úřadu Minimální obsah hlášení Popis povahy porušení kategorie dotčených ou přibližný počet dotčených subjektů kategorie dotčených subjektů Kontaktní údaje pověřence, nebo jiné kompetentní osoby Popis pravděpodobných důsledků porušení zabezpečení - fyzická, hmotná, nehmotná újma? Popis přijatých navržených opatření k řešení porušení, zmírnění jeho nepříznivých následků podstatné z hlediska kontroly Informace do hlášení lze postupně doplňovat, nemusí podány všechny naráz (do 72 hodin) Oznamování porušení zabezpečení subjektu ou Pokud došlo k vysokému riziku pro práva a svobody fyzických osob Sdělení bezodkladné, jasné a srozumitelné povaha porušení, informace o možných důsledcích, doporučení ke zmírnění následků, informace o přijatých opatřeních pro odstranění porušení bezpečnosti, kontaktní údaje pověřence eventuálně kompetentní osoby správce. Prvořadě však správce přijímá opatření pro odstranění porušení zabezpečení Povinnost sdělení může uložit ÚOOÚ, pokud tak neučinil správce sám Hlášení subjektu ou není nutné: Byla přijata opatření, která činí údaje nesrozumitelnými pro neoprávněné osoby (šifrovány) Okamžitě přijata opatření, takže předpoklad, že negativní dopady se neprojeví Vyžadovalo by nepřiměřené úsilí tehdy ale povinná informace veřejným oznámením 4

Posouzení vlivu zpracování na soukromí a ochranu údajů ( Privacy Impact Assessment ) Zahrnuje popis a analýzu více různých aspektů zpracování, jeho rizik a možných opatření pro jejich zmírnění Pokud zpracování (např. použití nové technologie) bude mít za následek vysoké riziko pro subjekty ou Vyžádána konzultace pověřence Nutné a stanovené nařízením: Při systematickém a rozsáhlém vyhodnocování osobních aspektů subjektů ou, včetně profilování, zakládajích rozhodování o subjektu ou; rozsudků v trestních věcech a trestných činech Rozsáhlé systematické monitorování veřejně přístupných prostorů Rozsáhlé zpracování zvláštních údajů Zohledňuje se dodržování přijatých kodexů Získání postoje subjektů ou Pokud provedeno posouzení v rámci legislativního procesu neprovádí se znovu; je též proveditelné v rámci celé aplikace nebo platformy najednou (př. zpracování prováděná stejnou technologií za stejným účelem) Posouzení vlivu zpracování dle WP29 týká zpracování zahájených po účinnosti Nařízení (25:5: 2018) i těch přijatých před jeho účinností, došlo-li k zásadní změně (př. využití nové technologie) Obsah posouzení vlivu Systematický popis zamýšlených operací, účely zpracování, oprávněné zájmy správce Posouzení nezbytnosti a přiměřenosti operací z hlediska účelů Posouzení rizik pro práva a svobody subjektů ou Plánovaná opatření k řešení rizik, nastavení záruk, opatření a mechanismů k zajištění ochrany ou Toto předpokladem vytvoření dokumentace o zpracování ou ukládané Nařízením umožňující zmírnění rizik zpracování k prokázání souladu s Nařízením. Pokud zpracování pro posouzení rizik a jejich řešení má základ v právu státu nebo Unie a bylo provedeno jako součást obecného posouzení v souvislosti s přijetím právního základu není posouzení třeba vykonávat 5

Úloha pověřence při posouzení vlivu Pokud jmenován, má poskytnout posudek odpovědnost však trvale zůstává na správci; ten posouzení nemusí respektovat musí být dokumentováno Posouzení v otázkách Provádět vůbec posouzení? Jakou metodiku zvolit? Provést posouzení interně nebo vyžádat od externího specialisty? Jaká opatření ke zmírnění rizik? Je zpracování v souladu s Nařízením? Konzultace v případě porušení zabezpečení Předchozí konzultace Konzultace v případě, pokud z posouzení vlivu plyne, že by zpracování znamenalo vysoká rizika pro subjekty ou; z posouzení vlivu plyne, že rizika nelze snížit za využití existujících technologií, případně z hlediska nákladů na provedení ÚOOÚ poskytuje konzultaci na žádost správce obsahující informace o rozdělení odpovědnosti správce, společných správců a zpracovatelů zejména v rámci skupiny podniků o účelech a způsobech zamýšlených zpracování o opatřeních záruk ochrany ou subjektů kontaktních údajích pověřence (je-li jmenován) o posouzení vlivu na ochranu ou - systematického popisu zamýšlených operací zpracování a účelů, případně oprávněných zájmů správce (a další vyžádané ÚOOÚ) ÚOOÚ vyrozumí správce do 8 týdnů; může poskytnout poradenství; může uplatnit veškeré své pravomoci provést vyšetřování auditem ou, uložit uvedení do souladu s Nařízením, ev. pozastavit i trvale zakázat zpracování 6

Operace zpracování s vysokým rizikem Profilování, evaluace, hodnocení subjektů ou kde důsledkem je automatizované rozhodování s právními a podobnými účinky významnými pro subjekt (očekávána výkladová stanoviska WP29 Sboru, zásadní přístup ÚOOÚ) Automatizované rozhodování s právními či obdobně významnými účinky Systematické monitorování subjektů ou Zpracování zvláštních (citlivých) údajů Zpracování údajů ve velkém rozsahu Kombinování osobních údajů z různých datových sad Zpracování údajů týkajících se zvláště zranitelných subjektů Inovativní užití či aplikace technologických řešení Předávání ou mimo EU Bránění subjektům v uplatňování práv v používání nějaké služby nebo uzavření smlouvy Názor WP29: Pokud zpracování obsahuje alespoň dva z uvedených faktorů mělo by být dojít k posouzení vlivu na ochranu ou Nastavení interní a externí komunikace o úniku dat Závislost povinnosti ohlášení porušení zabezpečení a (na) zabezpečení ou Dokumentace o zabezpečení - zahrnout pokyn pro první kroky pro upozornění na porušení, indikátory závažnosti porušení Organizační řád - začlenění pověřence a/nebo odpovědné osoby za komunikaci s ÚOOÚ, vztah pověřence k vrcholovému managementu, osoby odpovědné za zveřejnění oznámení o úniku dat - začlenění pověřence a jeho úkolů při vytváření bezpečného prostředí podniku/instituce Bezpečnostní politika začlenění pověřence a jeho úkolů při vytváření bezpečného prostředí podniku/instituce; povinnost pověřence konzultovat při porušení zabezpečení; stanovit práva a povinnosti při zpracování ou, včetně např. provádění testování, penetračních testů, školení zaměstnanců, povinnosti sledování nových technologií ( privacy by design ); určit okruh pracovníků provádějících posouzení vlivu na ochranu ou; obsáhnout informaci o využívání kodexu, osvědčení o ochraně osobních údajů a charakteru předávání ou do zahraničí ( př. o závazných podnikových pravidlech pro předávání ou/ standardních smluvních doložkách, využívání Privacy Shield ) atd. 7

Směrnice o zabezpečení ou Není vyžadována Nařízením, ale je účelná ve vztahu k Nařízení požadujícímu dokumentování zpracování a zabezpečení ou; měla by být vytvořena správcem, který je v ní identifikován Směrnice o zpracování osobních údajů by měla obsahovat vyznačení pracovišť, kde dochází ke zpracování ou, a pozic, které je provádějí (mělo by být při nástupu zaměstnání zřejmé i v pracovní smlouvě) v příloze vzory dokumentace zpracování ou na každém pracovišti stanovení oprávnění přístupu ke zpracovávaným ou stanovení hierarchie odpovědnosti při zpracování ou, včetně stanovení návaznosti jednotlivých pracovníků provádějících zpracování ou na pověřence/odpovědného pracovníka pro zpracování ou stanovení charakteru a periodicitu školení o ochraně ou stanovení řetězce vztahů a kompetencí při zjištění porušení zabezpečení ou, stanovení formy a konzultačního přispění pověřence stanovení osoby, která provede a zformuluje rozhodnutí o nutnosti hlásit porušení zabezpečení ou, či nikoli a bude odpovídat za její předání na ÚOOÚ Obsahovat v příloze vzor hlášení o porušení zabezpečení ou ÚOOÚ subjektu údajů Oznámení porušení zabezpečení ÚOOÚ a spolupráce s ním Předchozí konzultace (viz snímek 9) Sledovat doporučení, názory a sdělení ÚOOÚ (www.uoou.cz): příprava kritérií pro osvědčení, konzultace při schvalování smluvních doložek ÚOOÚ členství ve Sboru EK, který nahradí WP29 dosud vydává doporučení k implementaci Nařízení přijaté dokumenty snadný přístup k zákonu o ochraně ou zpracovanému na základě Nařízení výsledky jednání v rámci procesu jednotnosti v EU judikatura týkající se ochrany ou česká, evropská sledování vývoje informačních a obchodních praktik Oznámení o porušení zabezpečení (viz vzor snímek 7) 8

Děkuji za pozornost Vaše dotazy? PhDr. Hana Štěpánková E-mail: handulka.step@seznam.cz 9

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář