seminář DPO dle GDPR Září 2017 Souhlas subjektů údajů Multidimenzionální problém: Jednotný souhlas pro více společností ve skupině versus separátní pro každou společnost Povinně možnost snadno odvolat souhlas pro konkrétní subjekt, způsob zpracování a kanál Přesné doby platnosti souhlasů Uchovávání časové historie Potřeba jednotného ID subjektů (napříč lokální systémy, ale i v rámci skupiny) nejednoznačné spárování entit Souhlas možný i pro jiný subjekt (dítě do 16 (13) let) nové vazby mezi subjekty Nutná on-line aktualizace odvolání on-line kanálem je okamžité Přístupová práva k DB souhlasů - přímo i přes systémy typu CRM V případě námitky okamžité zastavení zpracování po dobu řešení označování záznamů? NOVÁ, ZRANITELNÁ, INFORMAČNĚ CENNÁ, CENTRÁLNÍ DB 2 1
Právo být zapomenut Spouštěcí faktor manuální žádost o výmaz od subjektu údajů ale také automatický pozbyl účel zpracování vypršel čas souhlasu Konflikt s ostatní legislativou účetní zákon a úschova 10 let AML skartační řád Problém, jak se s vymazáním záznamů vyrovnají stávající (a především staré) systémy často jde o primární klíče konzistence výmazu napříč systémy ovlivnění reportů, ETL, DWH batch zpracování může způsobit porušení omezení přístupových práv Povinnost oznámit příjemcům výmaz vytvořit report s důkazem provedení fyzická kontrola provedení ZÁSAH DO VŠECH SYSTÉMŮ, MOŽNÁ NOVÁ MASTER DATA MANAGEMENT VRSTVA 3 Právo na přenositelnost údajů Strukturovaný, běžně používaný a strojově čitelný formát Povinnost předat data přímo jinému zpracovateli a nebránit takovému přenosu Nové API - formát, validace, rozšiřitelnost Zabezpečení a omezení přístupu k datům kdo bude taková data vidět Problém autentizace subjektu elektronická identita NOVÁ POTENCIÁLNĚ ZRANITELNÁ SLUŽBA, PŘÍSTUPNÁ ZVENČÍ 4 2
Pseudonymizace Zpracování OU tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto uchovávány odděleně [ ], aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě. Jak moc oddělené je oddělené stejná síť? jiná databáze na stejném stroji? práva přístupu DŮSLEDNÉ APLIKOVÁNÍ V MNOHA OBLASTECH Testovací data pro vývojové prostředí Zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely 5 GDPR a nové požadavky na IT aneb příprava na těžko řešitelné požadavky Aktuálně palčivé otázky ne/jen pro IT: - Umíme vést záznamy o všech zpracování osobních údajů? - Pod který účel které zpracování náleží a po jakou dobu? - Jaká množina osobních údajů je pro účel aktuálně potřebná? - Známe obsažené typy subjektů údajů u zdrojů zpracování? - Víme které zdroje obsahují aktuálně které kategorie údajů? - Máme přehled nad aktuálním rizikem pro subjekty údajů? - Jsme schopni veškeré naše úvahy, kroky a návaznosti doložit? - Jak jsme schopni implementovat případné kodexy? - Jaké bezpečnostní incidenty umíme vyhodnotit a jak je zabezpečen postup jejich analýzy, případného forenzního zajištění a eskalace k vyhodnocení hlášení do 72hod.? A co DPO? - Umíme zabezpečit všechna práva subjektů údajů? - Umíme pracovat nad všemi zdroji osobních údajů (šedá zóna) 6 3
Bezpečnostní incidenty nasazení a provoz systému řízení bezpečnostních incidentů 7 GDPR a bezpečnostní incidenty doporučené rozšíření systému řízení bezpečnostních incidentů 8 4
GDPR a DPO a s čím se setkávám v praxi Návrhy k řešení problematiky DPO: - Návrh podmínek pro výběr DPO (vzdělání, znalost legislativy, zkušenost právní, ochrana OÚ, technická, projektové řízení, hodnocení kvality, řízení rizik, jednání s lidmi) - Návrh interní směrnice pro OOÚ a výkon funkce DPO (monitorování souladu, rozdělení odpovědnosti, zvyšování povědomí, odborná příprava, komunikace mezi zainteresovanými stranami a zaměstnavatelem, výkon jednotného kontaktního bodu pro externí i interní potřeby v oblasti osobních údajů, tajemství a důvěrnost, rozvoj kultury, dohled nad zásadami, vedení záznamů o své činnosti, možné pověření o vedení všech záznamů zpracování, zastupitelnost, důvěrnost záznamů DPO, kontrola střetu zájmů při výkonu více úkolů, prioritizace činností, dohled nad časovým průběhem zpracování rozšíření týmu DPO, nezávislost a loajalita, konzultace s dozorovým úřadem a zájmy zaměstnavatele, podjatost v konkrétních případech, dočasný / stálý zástupce, ). - Povinnosti zaměstnavatele k DPO (jasné vymezení působnosti DPO organizace či skupina apod., doba určitá / neurčitá, potřeba vymezení pravidel restrikce, jednotlivec či skupina, oficiální oznámení v organizaci, zřídit přímý komunikační kanál, možnost anonymního kontaktování, samostatnost a zdroje, důvěrnost uchovávání záznamů: účely zpracování, vazby účelů, komunikační kanály a jejich obsah, seznam vedených souhlasů, přístup k interním směrnicím, seznam odpovědných osob za jednotlivé oblasti, přístup ke kontrole vedených záznamů či bezpečnostních incidentů, systém vedení schůzek a obsahu např. s TomManagementem, zaměstnavatel zapojí DPO do všech aktivit souvisejících s ochranou osobních údajů, zajištění přítomnosti DPO kde je potřeba vč. potřeby názoru DPO, zajištění veškerého potřebného materiálu a podkladů, evidence a kanál pro doporučení DPO směrem k organizaci, evidence zda se organizace řídí popř. proč se neřídí radou DPO, evidence žádostí o posouzení vlivu, evidence výsledků posouzení vlivu, zajištění nezbytného přístupu do všech dotčených útvarů a dokumentaci, konzultace ve stádiu příprav, vyřešení jazykových bariér DPO, průběžná školení, úroveň znalostí a dovedností korespondující s vývojem organizace, vyloučení zaměstnavatelovo řízení / ovlivnění DPO v názorech, ). 9 Děkuji za pozornost Radek Beneš Senior Consultant, soudní znalec ICT Tel: +420 725 37 37 37 E-mail: rbenes@deloittece.com 10 5
Mobilní aplikace Deloitte CZ Zpravodaje l Studie l Semináře l Novinky l Videa Deloitte označuje jednu či více společností Deloitte Touche Tohmatsu Limited, britské privátní společnosti s ručením omezeným zárukou ( DTTL ), síť jejích členských firem a jejich spřízněných subjektů. Společnost DTTL a každá z jejích členských firem představuje samostatný a nezávislý právní subjekt. Společnost DTTL (rovněž označovaná jako Deloitte Global ) služby klientům neposkytuje. Podrobné informace o společnosti Deloitte Touche Tohmatsu Limited a jejích členských firmách jsou uvedeny na adrese www.deloitte.com/cz/onas. Společnost Deloitte poskytuje služby v oblasti auditu, poradenství, právního a finančního poradenství, poradenství v oblasti rizik a daní a související služby klientům v celé řadě odvětví veřejného a soukromého sektoru. Díky globálně propojené síti členských firem ve více než 150 zemích a teritoriích má společnost Deloitte světové možnosti a poznatky a poskytuje svým klientům, mezi něž patří čtyři z pěti společností figurujících v žebříčku Fortune Global 500, vysoce kvalitní služby v oblastech, ve kterých klienti řeší své nejkomplexnější podnikatelské výzvy. Chcete-li se dozvědět více o způsobu, jakým zhruba 244 000 odborníků dělá to, co má pro klienty smysl, kontaktujte nás prostřednictvím sociálních sítí Facebook, LinkedIn či Twitter. Společnost Deloitte ve střední Evropě je regionální organizací subjektů sdružených ve společnosti Deloitte Central Europe Holdings Limited, která je členskou firmou sdružení Deloitte Touche Tohmatsu Limited ve střední Evropě. Odborné služby poskytují dceřiné a přidružené podniky společnosti Deloitte Central Europe Holdings Limited, které jsou samostatnými a nezávislými právními subjekty. Dceřiné a přidružené podniky společnosti Deloitte Central Europe Holdings Limited patří ve středoevropském regionu k předním firmám poskytujícím služby prostřednictvím téměř 6 000 zaměstnanců ze 41 pracovišť v 18 zemích. 2017 Pro více informací kontaktujte Deloitte Česká republika. 6