Uchopitelná cesta k řešení GDPR

Podobné dokumenty
Jak může pomoci poskytovatel cloudových služeb

Jak cloudové technologie mohou usnadnit život DPO?

Jak urychlit soulad s GDPR využitím cloudových služeb

5 kroků, jak zvýšit bezpečnost uživatelů i dat ve vaší škole

Regulace, cloud a egovernment mohou jít ruku v ruce. Zdeněk Jiříček, National Technology Officer Microsoft CZ/SK

Dopady GDPR na design IT Martin Dobiáš, Digital Advisory Services

Jak urychlit soulad s GDPR s cloudovými službami Microsoft

Jak řešit zpracování osobních údajů v cloudu dle GDPR a nešlápnout vedle. Zdeněk Jiříček National Technology Officer Microsoft ČR

Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

Jak urychlit soulad s GDPR za pomoci využití cloudových služeb

Microsoft a nařízení GDPR. Ladka Poláková Partner Sales Executive Cloud

GDPR Tipy a triky v cloudu. Zdeněk Jiříček National Technology Officer Microsoft CZ & SK

GDPR a poskytovatelé cloudových služeb

Cloudové inovace a bezpečné služby ve veřejné správě

GDPR compliance v Cloudu. Jiří Černý CELA

Jak se poprat nejen s.. GDPR a egovernmentem

Obecné nařízení o ochraně osobních údajů

Digitální. transformace. Lubica Kršková, Partner Sales Executive - Disti. René Klčo, Cloud Sales Specialist. Microsoft

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Cloud a povinné osoby ze ZKB. Zdeněk Jiříček, Microsoft s.r.o. Aleš Špidla, PwC Czech s.r.o.

Komentáře CISO týkající se ochrany dat

Hybridní licencování Microsoft. Martin Albrecht & Jana Chrenová

Digital Dao, Jeffrey Carr

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

... abych mohl pracovat tak, jak mi to vyhovuje

Jak ůže stát e trál ě za ezpečit sdíle é služ pro veřej ou správu? Vá lav Koudele & )de ěk Jiříček - Microsoft

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

GDPR Projekt GDPR Compliance

Petr Vlk KPCS CZ. WUG Days října 2016

Zuzana Sobotková, DAQUAS Petr Vlk, KPCS CZ

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

Rizika výběru cloudového poskytovatele, využití Cloud Control Matrix

Zabezpečení infrastruktury

300B user authentications each month 1B Windows devices updated. 200B s analyzed for spam and malware. 18B web pages scanned by Bing each month

O365 GDPR v praxi. Pavel Salava, Conectio Dan Hejda, KPCS

Management System. Information Security Management System - Governance. Testy a audity

GDPR Modelová Situace z pohledu IT

Dopady GDPR a jejich vazby

DIGITÁLNÍ TRANSFORMACE SE STÁVÁ OTÁZKOU PRO CEO

Seznam vzorů, které naleznete v publikaci:

Dopady GDPR na elektronizaci zdravotnictví

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Modelová DPIA a analýza rizik pro zpracování osobních údajů v Microsoft Office 365. Studie zpracovaná na základě poptávky Microsoft s.r.o.

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

Systémová analýza a opatření v rámci GDPR

Licencování a přehled Cloud Suites

Sběr logů jako predikce bezpečnostních hrozeb v Operations Management Suite

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

Moderní IT - jak na Windows a zabezpečení PC. Petr Klement, divize Windows, Microsoft

Novinky v oblasti ochrany aktiv Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Protecting Data in Microsoft Online Services. Studie zpracovaná na základě poptávky Microsoft s.r.o. Zakázka: MICR Verze: 2.

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Zabezpečení osobních údajů


Microsoft 365. Petr Vlk

Dalibor Kačmář Ředitel serverové divize, Microsoft. Unicorn College Open,

Posuzování na základě rizika

GDPR v sociálních službách

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Garantované uložení dat a GDPR nejčastější normativní požadavky dneška

Enterprise Mobility Management & GDPR AirWatch - představení řešení

Agenda DPO po implementaci GDPR Československá obchodní banka, a.s Interní

Enterprise Mobility Management AirWatch - představení řešení. Ondřej Kubeček březen 2017

Využití identity managementu v prostředí veřejné správy

Petr Vlk KPCS CZ. WUG Days října 2016

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Řídíme mobilní produktivitu s Enterprise Mobility Suite. Dalibor Kačmář

Windows 10 & nové prvky zabezpečení proti novým hrozbám v IT

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Zajištění kybernetické bezpečnosti cloudových služeb. Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Ochrana osobních údajů GDPR

Dopady GDPR na IT 4/9/18. Vaše otázky k tématu. Představení. Obsah. Úvod. 1. Co je GDPR? 2. Co je osobní údaj?

Enterprise Mobility Management AirWatch & ios v businessu

ANECT & SOCA ANECT Security Day

Petr Vlk KPCS CZ. WUG Days října 2016

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

S GDPR nepřijde konec světa

JAK SE PŘIPRAVIT NA GDPR?

egc snadno a rychle Ing. Zdeněk Jiříček, Ing. Václav Koudele

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

Příloha č. 1 Kontrolní seznam o připravenosti na nařízení GDPR Checklist

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

Možnosti využití cloudových služeb pro provoz IT

Informační bezpečnost. Dana Pochmanová, Boris Šimák

LOGmanager a soulad s požadavky GDPR

GDPR co nastane po květnovém dni D? Martin Hladík 8. března 2018

Technická bezpečnostní opatření nejen ve smyslu ZKB. Jan Zdvořáček ASKON International s.r.o.

Firemní strategie pro správu mobilních zařízení, bezpečný přístup a ochranu informací. Praha 15. dubna 2015

Moderní kancelář současnosti

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele


JAK ZAČÍT S GDPR V PODMÍNKÁCH MALÉ OBCE. konference

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Obecné nařízení o ochraně osobních údajů (GDPR) S přihlédnutím ke Smart Cities Petr Habarta, OBPPK MV

Analýza rizik a DPIA zdravotnických IS v cloudu. Studie zpracovaná na základě poptávky Microsoft s.r.o.

Transkript:

Uchopitelná cesta k řešení GDPR Zdeněk Jiříček, National Technology Officer Microsoft CZ/SK This presentation is intended to provide an overview of GDPR and is not a definitive statement of the law.

Cloud, kterému můžete věřit V Microsoftu nepovažujeme vaši důvěru za samozřejmost Velice vážně bereme náš závazek chránit naše zákazníky ve světě cloudu. Žijeme ve standardech a postupech vedoucí k získání vaší důvěry. Spolupracujeme s průmyslem a regulátory, abychom vybudovali důvěru v cloud ekosystém. Firmy a uživatelé začnou používat technologie pouze pokud jim mohou věřit. Satya Nadella

Jak může zpracování v cloudu pomoci? Některé funkce spojené s výkonem práv subjektů dat (čl. 12 až 20) Nalezení osobních údajů, přístup, omezení, protokolární výmaz, přenositelnost Reflektovat smluvní požadavky na zpracovatele (čl. 28) Pořizování záznamů o činnostech zpracování (čl. 30 bod 2.) Zabezpečení zpracování osobních údajů (čl. 32) Implementace pseudonymizace a šifrování dat (čl. 25, 32) Pomoc při šetření a ohlašování bezpečnostních incidentů (čl. 33, 34) Modelové posouzení vlivu na ochranu os. údajů DPIA (čl. 35) Kodexy chování zpracovatelů a certifikace služeb (čl. 40 až 43)

Článek 32 Zabezpečení zpracování (os. údajů) (1) S přihlédnutím ke stavu techniky... povaze... rozsahu... a k různě závažným rizikům pro práva fyz. osob, zavedou správce a zpracovatel vhodná tech/org. bezp. opatření... odpovídající danému riziku,.. včetně: a) případné pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) obnovit dostupnost osobních údajů včas v případě technických incidentů; d) pravidelného testování a hodnocení účinnosti zavedených opatření (2) zohlednit rizika náhodného zničení, ztráty, pozměňování, neoprávněného zpřístupnění osobních údajů

Co může zaručit Microsoft Abychom usnadnili vaši cestu k dodržení požadavků GDPR, zaručujeme vám, že naše cloudové služby budou s GDPR zcela v souladu, a to nejpozději 25. května 2018, kdy toto nařízení vstoupí v účinnost. Sdílíme naše zkušenosti při implementaci a dodržování komplexních právních předpisů. Ve spolupráci s našimi partnery jsme připraveni pomoci se zajišťováním souladu s GDPR ať už v oblasti přípravy či aktualizace interních dokumentů, procesů, technologií či školení zaměstnanců.

Požadavek Smluvní podmínky dle čl. 28 Zabezpečení zpracování čl. 32 Místo uložení dat Místo zpracování dat Použití a zpřístupnění zákaznických dat Řešení OST - Podmínky pro služby online od září 2017 má standardně novou přílohu č. 4 řeší explicitně soulad s články 28, 32 a 33 GDPR. Obsahuje Podmínky ochrany osobních údajů a zabezpečení (str. 7 a dále) OST Příloha 4 GDPR, dále část zabezpečení Bezp. opatření, průmyslové certifikace / standardy a auditní zprávy vše zahrnuto v OST Rozcestník: Trust Center www.microsoft.com/trust Celé auditní zprávy a dokumenty jsou na Service Trust Platform (www.aka.ms/stp ) OST odst. Umístění pro uchování neaktivních zákaznických dat Může nastat v jistých případech i mimo EU. Řešení GDPR čl. 46 Standardní smluvní doložky o ochraně údajů přijaté EC (viz potvrzení EC a vyjádření ÚOOÚ). Zahrnuty jako příloha č. 3 OST. Podrobnosti viz www.microsoft.com/trust, oblast Privacy, Where your data is located, Who can access your data OST Příloha 4 GDPR, OST str. 7, Použití zákaznických dat, Zveřejnění (zpřístupnění) zákaznických dat

Požadavek Smluvní podmínky dle čl. 28 Zabezpečení zpracování čl. 32 Místo uložení dat Místo zpracování dat Použití a zpřístupnění zákaznických dat Řešení OST - Podmínky pro služby online od září 2017 má standardně novou přílohu č. 4 řeší explicitně soulad s články 28, 32 a 33 GDPR. Obsahuje Podmínky ochrany osobních údajů a zabezpečení (str. 7 a dále) OST Příloha 4 GDPR, dále část zabezpečení Bezp. opatření, průmyslové certifikace / standardy a auditní zprávy vše zahrnuto v OST Rozcestník: Trust Center www.microsoft.com/trust Celé auditní zprávy a dokumenty jsou na Service Trust Platform (www.aka.ms/stp ) OST odst. Umístění pro uchování neaktivních zákaznických dat Může nastat v jistých případech i mimo EU. Řešení GDPR čl. 46 Standardní smluvní doložky o ochraně údajů přijaté EC (viz potvrzení EC a vyjádření ÚOOÚ). Zahrnuty jako příloha č. 3 OST. Podrobnosti viz www.microsoft.com/trust, oblast Privacy, Where your data is located, Who can access your data OST Příloha 4 GDPR, OST str. 7, Použití zákaznických dat, Zveřejnění (zpřístupnění) zákaznických dat

Jak uchopit GDPR 1 Mapujte Zjistěte, jaké osobní údaje máte a kde se nacházejí 2 Spravujte Rozhodujte o způsobech využití a udělení přístupu k osobním údajům 3 Chraňte Zaveďte bezpečnostní opatření k předcházení, detekování a zvládání bezpečnostních incidentů 4 Dokumentujte Uchovávejte požadovanou dokumentaci, vč. žádostí týkajících se správy osobních údajů či případů porušení zabezpečení

1 Mapujte: Co všechno hledat: Inventarizace: Příklady řešení Microsoft Azure Microsoft Azure Data Catalog Enterprise Mobility + Security (EMS) Microsoft Cloud App Security Dynamics 365 Audit Data & User Activity Reporting & Analytics Office & Office 365 Data Loss Prevention Advanced Data Governance Office 365 ediscovery SQL Server and Azure SQL Database SQL Query Language Windows & Windows Server Windows Search, Windows PowerShell

2 Spravujte: Správa dat: Kategorizace dat: Příklady řešení Microsoft Azure Azure Active Directory Rights Management Services Azure Role-Based Access Control (RBAC) Enterprise Mobility + Security (EMS) Azure Information Protection Dynamics 365 Security Concepts Office & Office 365 Advanced Data Governance Journaling (Exchange Online) Windows & Windows Server Microsoft Data Classification Toolkit

3 Chraňte: Příklady řešení Prevence proti hrozbám: Detekce a zvládání bezpečnostních incidentů: Microsoft Azure Azure Key Vault, Azure Security Center Azure Storage Service Encryption Enterprise Mobility + Security (EMS) Azure Active Directory Premium Microsoft Intune Office & Office 365 Advanced Threat Protection Threat Intelligence SQL Server and Azure SQL Database Transparent data encryption Always Encrypted Windows & Windows Server Windows Defender Advanced Threat Protection Windows Hello Device Guard / Credential Guard

4 Dokumentujte: Příklady řešení Microsoft Trust Center Service Trust Portal Provozní záznamy Dokumentace Microsoft Azure Azure Auditing & Logging Microsoft Azure Monitor Enterprise Mobility + Security (EMS) Azure Information Protection Dynamics 365 Reporting & Analytics Office & Office 365 Service Assurance Office 365 Audit Logs Customer Lockbox Windows & Windows Server Windows Defender Advanced Threat Protection

www.microsoft.com/gdpr Beginning your General Data Protection Regulation (GDPR) journey whitepaper 31 stran, i v češtině Shared responsibility rozdělení rolí mezi správcem a zpracovatelem obecně === Accelerate your GDPR compliance with the Microsoft Cloud 4 kroky rozděleny na 20 schopností, mapují na otázky v GDPR Assessment

www.aka.ms/gdprpartners...získat pozornost zákazníka...posouzení příležitosti...příklad vyšetřování úniku os. údajů...vzorové agendy na SharePointu...>200 stran - servisní příležitosti

www.aka.ms/gdprpartners www.microsoft.com/gdpr

https://aka.ms/gdprebook

Od analýzy rizik k DPIA Čl. 35: nutné posouzení vlivu pro zpracování s vysokým rizikem (DPIA Data Protection Impact Assesment) Jak může pomoci Zpracovatel osobních údajů: 1. Hodnocení rizik určitého typu zpracování osobních údajů Metodika dle VoKB, ISO 27005, ISO 29134 - rizika porušení důvěrnosti, integrity, dostupnosti a ztráty os. údajů Dále rizika ztráty kontroly a nesouladu s regulatorními požadavky pro správce Pro ZoKB: rozsah analýzy rizik pokrývá požadavky VoKB č. 316/2014 Sb. 2. Nastavení adekvátních technických a organiz. bezp. opatření 3. Charakteristika zbytkových rizik pro Správce

Minimální obsah Posouzení vlivu (DPIA) Viz GDPR čl. 35 odst. 7, a dok. WP29 Vodítka k DPIA (web ÚOOÚ) a) systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce; b) posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů; c) posouzení rizik pro práva a svobody subjektů údajů d) plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením. Dopracují správci osobních údajů včetně bezp. opatření u sebe Podklad: Vzorová analýza rizik zpracování osobních údajů v Azure / Office 365

Modelové analýzy rizik a scénáře pro DPIA GDPR prezentace a zdroje v CZ: www.aka.ms/jaknagdpr k dispozici modelové analýzy rizik pro zákazníky (v češtině): 1) Analýza rizik: Zdravotnická dokumentace v cloudu Azure (ICZ a.s.) Znalecký posudek ústavu CETAG: adekvátní úroveň zabezpečení dle GDPR 2) Analýza rizik: Spisová služba Gordic GINIS v cloudu Azure (RAC s.r.o.) 3) Formát DPIA pro zpracování osobních údajů v Office 365 (ICZ a.s.) Osobní údaje v Exchange Online Citlivé osobní údaje v SharePoint Online Telemedicína / citlivé osobní údaje přes a upload přes Skype for Business Soulad s požadavky GDPR ověřen právní kanceláří Pierstone s.r.o.

Ukázka z procesu hodnocení rizik C I A T (důvěrnost, integrita, dostupnost, ztráta aktiv) 23. února 20I7

Znalecký posudek ústavu CETAG:.. splňuje požadavky na vhodná opatření a záruky, včetně bezpečnostních opatření a mechanismů, které je správce osobních údajů povinen přijmout v souladu s čl. 32 a čl. 35 odst. 7 nařízení,... pro zpracování zvláštních kategorií osobních údajů

Přenesení části odpovědnosti na zpracovatele Nástroje k ochraně důvěrnosti, integrity a dostupnosti osobních údajů 5. Nástroje pro vysokou dostupnost a odolnost 2. Zabezpečení koncových zařízení 3. Řízení přístupu, zabezpečení identit Správa identit v cloudových službách s integrací do on-premise snižuje rizika slabých hesel 1. Ochrana dat (důvěrnost, integrita) 4. Nástroje pro kontrolu a auditovatelnost Kontrola pomocí certifikací a auditů třetích stran. Provozní logy a další kontrolní nástroje. 6. Zvládání bezp. incidentů Zabezpečení zařízení, informací, a uživatel. identit Ochrana dat v úložišti a při přenosu Brzká detekce bezpečnostních incidentů, Threat Intelligence

REGIONAL INDUSTRY US GOV GLOBAL Certifikace a podklady: Microsoft Trust Center www.microsoft.com/trust; Repository: www.aka.ms/stp ISO 27001 ISO 27018 ISO 27017 ISO 22301 ISO 9001 SOC 1 Type 2 SOC 2 Type 2 SOC 3 CSA STAR Self-Assessment CSA STAR Certification CSA STAR Attestation Moderate JAB P-ATO High JAB P-ATO DoD DISA SRG Level 2 DoD DISA SRG Level 4 DoD DISA SRG Level 5 SP 800-171 FIPS 140-2 Section 508 VPAT ITAR CJIS IRS 1075 PCI DSS Level 1 CDSA MPAA FACT UK Shared Assessments FISC Japan HIPAA / HITECH Act HITRUST GxP 21 CFR Part 11 MARS-E IG Toolkit UK FERPA GLBA FFIEC Argentina PDPA EU Model Clauses UK G-Cloud China DJCP China GB 18030 China TRUCS Singapore MTCS Australia IRAP/CCSL New Zealand GCIO Japan My Number Act ENISA IAF Japan CS Mark Gold Spain ENS Spain DPA India MeitY Canada Privacy Laws Privacy Shield Germany IT Grundschutz workbook

GDPR Compliance Zjednodušení cesty k souladu Posouzení rizik a realizace opatření Využití expertních znalostí

Zdroje k GDPR: Microsoft Corp hlavní stránka: microsoft.com/gdpr Prezentace a zdroje v češtině: aka.ms/jaknagdpr Microsoft Trust Center microsoft.com/trust Service Trust Platform podklady k certifikacím, auditní zprávy: aka.ms/stp (vyžaduje log-in, NDA level)

Děkuji Vám za pozornost Zdeněk Jiříček zdenekj@microsoft.com This presentation is intended to provide an overview of GDPR and is not a definitive statement of the law.

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář