GDPR, eidas Procesní nebo technologický problém?

Podobné dokumenty
Jak na GDPR? Petr Mayer, duben 2017

eidas 2015 Stav 12/2015 k nařízení EU č. 910/2014 ze dne

Aktuální stav implementace eidas. Filip Bílek

Důvěra napříč Evropou nařízení eidas. + návrh zákona o službách vytvářejících důvěru pro elektronické transakce

E-DOKUMENT. Změny v oblasti postavení e-dokumentů v EU Ing.Robert Piffl, robert.piffl@icloud.com

eidas stav k Ing.Robert Piffl poradce náměstka ministra

Nařízení eidas v souvislostech. Ing.Robert Piffl. Poradce náměstka ministra vnitra pro ICT

ELEKTRONICKÉ PODPISY A ELEKTRONICKÁ IDENTIFIKACE V PRAXI KATASTRÁLNÍCH ÚŘADŮ. Vladimíra Žufanová Katastrální úřad pro Středočeský kraj

ICT seminář GDPR, eidas, ZoKB. Nové legislativní povinnosti organizací a co s tím?

eidas... aneb co nám přináší nařízení EU č. 910/2014 ze dne

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS V PRAXI. Jan Tejchman Business Consultant

Nařízení eidas aneb elektronická identifikace nezná hranice

KLÍČ K e-identitě. PhDr. Radek Muška. STÁTNÍ TISKÁRNA CENIN, státní podnik

aneb k čemu vám ten eidasvlastně bude

Metodický pokyn k elektronickým podpisům a pečetím pro veřejnoprávní původce

Novinky v legislativě

Nařízení eidas a český právní řád. JUDr. Josef Donát, LLM Nové soukromé právo, , Praha

Realizace eidas u poskytovatele důvěryhodných služeb

eidas Mgr. Dagmar Bosáková Smart Cards & Devices Forum

STÁTNÍ TISKÁRNA CENIN, státní podnik. STC to s eidasem umí! Únor 2017

Předpoklady pro elektronické úřadování Michal Rada

eidas změny v 2016 Ing.Robert Piffl poradce náměstka ministra

Elektronické dokumenty ve vztahu k povinné elektronizaci zadávacích řízení

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS. Jan Tejchman Business Consultant

Elektronizace obchodních dokumentů Jak na to s využitím služeb I.CA

Sdílené služby českého egovernmentu. Ing. Ondřej Felix CSc Hlavní architekt egovernmentu MVČR

eid Kolokvium Kontext a východiska Ing. Zdeněk Jiříček AFCEA - Pracovní skupina Kybernetická bezpečnost

CASE MOBILE MOBIL JAKO AUTENTIZAČNÍ TOKEN

eidas elektronická identita, elektronický podpis - příprava, dopad do praxe

Elektronická identifikace jako součást řešení e-governmentu Ing.Robert Piffl Poradce náměstka ministra vnitra pro ICT

Zákon o elektronickém zdravotnictví. Řízení identitních prostředků zdravotnických pracovníků a důsledky pro práci se zdravotnickou dokumentací

eidas a jeho praktické využití v soukromém sektoru

Aktuality z elektronické identifikace. Jaromír Talíř

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

Rozdílová tabulka návrhu předpisu České republiky s předpisem EU

eobčan a egovernment ISSS 2013 Petr Mayer Atos IT Solutions and Services, s.r.o.

EIDAS A JEHO PRAKTICKÉ DOPADY DO VEŘEJNÉ SPRÁVY. Petr Dolejší Senior Solution Consultant

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí:

eidas Dopad na elektronický podpis v ČR

eidas a technologická neutralita

Průkaz státního zaměstnance jako komplexní bezpečnostní předmět

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

Role a možnosti ISDS při implementaci nařízení eidas

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS. Jan Tejchman Business Consultant

Rok informatiky 2016 SPRÁVA ZÁKLADNÍCH REGISTRŮ ČESKÉ REPUBLIKY SZR JE NYNÍ EIDENTITA READY

NÁRODNÍ IDENTITNÍ AUTORITA V PRAXI MICHAL PEŠEK ŘEDITEL SPRÁVY ZÁKLADNÍCH REGISTRŮ ROK INFORMATIKY SLAVKOV U BRNA 6. ČERVNA 2019

ÚŘAD BEZ PRAXI. Jan Tejchman Senior Solution Consultant

Služba vzdáleného pečetění I.CA RemoteSeal. Ing. Roman Kučera První certifikační autorita, a.s

eidentita 2019 NÁRODNÍ IDENTITNÍ AUTORITA V PRAXI MICHAL PEŠEK ŘEDITEL SPRÁVY ZÁKLADNÍCH REGISTRŮ PRAHA 24. DUBNA 2019

eid Kolokvium eid a EGON Ondřej Felix

Dopady GDPR a jejich vazby

Práce s el. dokumenty 2018 (správná tvorba el.dokumentu, podepisování, doručování )

Služba vzdáleného pečetění I.CA RemoteSeal. Ing. Roman Kučera První certifikační autorita, a.s

Účetnictví bez papíru

GDPR v praxi příprava a zavádění

JAK SE PŘIPRAVIT NA GDPR?

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

ISVS a sdílené služby v roce Petr Kuchař, hlavní architekt eg MV Michal Pešek, ředitel SZR

Obecné nařízení o ochraně osobních údajů

SPRÁVA ZÁKLADNÍCH REGISTRŮ ČESKÉ REPUBLIKY. Základní registry a eidas

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

General Data Protection Regulation (GDPR) Jak na to?

Důvěryhodný elektronický dokument optikou evropských nařízení. Jan Tejchman Senior Solution Consultant

Užít si eidas. Richard Kaucký, pracovní skupina eidas při ICT UNII

eidas a pozice ICT UNIE Představenstvo ICT UNIE

Dokumenty dle eidas v praxi Michal Vejvoda

Víc než kvalifikovaná služba. SecuSign.

Garantované uložení dat a GDPR nejčastější normativní požadavky dneška

Práce s el. dokumenty 2018 (správná tvorba el.dokumentu, podepisování, doručování )

LETEM SVĚTEM egovernmentem. Roman Vrba, ředitel odboru egovernmentu MV ČR

Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

GDPR ve Vaší organizaci. Nestrašíme, pomáháme. Jiří Stich Člen výkonného výboru CSCC

Jmenné Rejstříky. Novelizace zákona o archivnictví a spisové službě z zavádí novou povinnost pro určené původce vedení jmenných rejstříků

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Co děláme pro lepší egovernment

POZMĚŇOVACÍ NÁVRHY

GDPR. Požadavky na dokumentaci. Luděk Nezmar

eidas v praxi Aktuální témata

STORK Secure Identity Across Borders Linked

Elektronický podpis význam pro komunikaci. elektronickými prostředky

PEPS, NIA a mojeid. Budoucnost elektronické identity. Jaromír Talíř

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

10. funkční období. Návrh zákona o službách vytvářejících důvěru pro elektronické transakce

Principy Základních registrů. Ing. Ondřej Felix, CSc.

1.1. Základní informace o aplikacích pro pacienta

Systémová analýza a opatření v rámci GDPR

Představení služeb Konica Minolta GDPR

Plnění povinností eidas s využitím služeb I.CA. Ing. Petr Budiš. Ph.D., MBA První certifikační autorita, a.s

JARNÍ ŠKOLA Zdravých měst

Project:Úplné elektronické podání

GDPR. (General Data Protection Regulation) Nařízení EU č. 679/2016 k ochraně osobních údajů. Mgr. Josef Botek tajemník

Novinky v legislativě egovernmentu

Základní informace o zpracování osobních údajů školy

ÚVOD DO GDPR. Mgr. Jana Pattynová, LL.M

eldas a pozice ICT UNIE Představenstvo ICT UNIE

Parlament se usnesl na tomto zákoně České republiky:

Využití služeb egovernmentu poskytovateli zdravotních služeb

Datové schránky konec obálek s pruhy

Transkript:

GDPR, eidas Procesní nebo technologický problém?

Co znamená nařízení eidas?

Co znamená nařízení eidas Služby el. doporučeného doručení jedná se o přesně definované, účelově rozdělené a vzájemně se doplňující služby elektronické identifikace včetně služby vytvářejících důvěru Ověřování el. podpisů Uchovávání el. podpisů eidas eid Elektronické pečetě služby jsou děleny podle jejich účelu tak, jak by měly být státem nebo komerčními organizacemi poskytovány Autentizace webových stránek Správa el. dokumentů Časová razítka 03

eidas motivy a cíle Zvýšit důvěryhodnost a bezpečnost služeb poskytovaných na jednotném digitálním trhu EU. Mít státem garantovanou identitu občana a k ní zajistit technický prostředek pro bezpečnou autentizaci. Umožnit přístup občana ke službám státu i dalších subjektů. Vytvořit právní jistotu a použití certifikovaných prostředků pro přístup k online službám. Vzájemné uznávání prostředků pro online identifikaci a autentizaci napříč státy EU. 04

eidas služby vytvářející důvěru důvěryhodná elektronická identita fyzické osoby (uznávaný elektronický identitní prostředek) nové typy občanských průkazů elektronický podpis slouží k projevu vůle podepisující osoby (fyzické osoby) elektronická pečeť slouží k projevu vůle pečetící osoby (právnické osoby) elektronická časová značka elektronické doporučené doručování slouží k doručování el. dokumentů služby autentizace webových stránek prostředek, s jehož pomocí se návštěvník určitých internetových stránek může ujistit, že tyto stránky reprezentují skutečný a legitimní subjekt 05

eidas úrovně záruky Zavádí se tři úrovně záruk v souvislosti se systémem elektronické identifikace: nízká značná vysoká nová eop s kontaktním čipem splňuje požadavky eidas na autentizační prostředek s vysokou úrovní záruky + PIN = 06

eidas co se musí v rámci IS řešit Orgány veřejné moci musí v souvislosti s účinností nařízení eidas: umět ověřovat platnost zaručených el. podpisů a pečetí, které byly vydány v jiných členských státech EU umět ověřovat formáty zaruč. el. podpisů a pečetí podepisovat a pečetit dokumenty tak, aby byly ověřitelné v jiných státech EU vybavit se technickým a programovým vybavením pro používaní kvalif. el. podpisu a pečeti opatřovat podepsané, příp. zapečetěné el. dokumenty el. časovým razítkem rozpoznávat tzv. el. identifikaci z oznámených systémů el. identifikace Ověřování Ověřování el. podpisů a pečetí Vytváření Vytváření kvalifikovaných el. podpisů a pečetí Uznávání Uznávání prostředků pro el. identifikaci 07 Zavést nový způsob ověřování uznávaných el. podpisů a pečetí Zavedení kvalifikovaných prostředků nebo využití kvalifikované služby Napojení na uzel eidas a správa autentizovaných osob

Co znamená nařízení GDPR?

Co znamená GDPR práva fyzických osob General Data Protection Regulation nařízení EP a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů) automaticky nahrazuje zákon 101/2000 Sb., o ochraně osobních údajů Nová práva pro fyzické osoby právo být zapomenut (správce musí zajistit vymazání i u ostatních správců) portabilita (správce může na naši žádost poskytnout údaje jinému subjektu) 09

Co znamená GDPR povinnosti správců a zpracovatelů Nové povinnosti pro správce a nově i ZPRACOVATELE osobních údajů zajištění bezpečnosti osobních údajů nová role Pověřenec pro ochranu osobních údajů ( DPO ) oznámení o narušení bezpečnosti osobních údajů ÚOOÚ do 72 hodin oznámení o narušení bezpečnosti osobních údajů subjektu údajů (představuje-li riziko pro práva a svobody subjektů) posouzení, zda způsob zpracování neohrožuje práva a svobody jednotlivců Největší změna v ochraně osobních dat za posledních 20 let 010

Jak se s eidas a GDPR vypořádat?

GDPR čemu je nutné se věnovat je velmi vhodné provést co nejdříve datovou inventuru (co se děje s daty) datový audit revize a úprava vnitřních předpisů revize souhlasů a smluv povinnost šifrovat vnitřní předpisy revize smluv se zpracovateli Firmy nastavení nových procesů (incidenty, dokumentace, ) Státní správa Samospráva zajištění personálních kapacit pro plnění organizačních požadavků jmenovat Pověřence pro ochranu osobních údajů DPO (dále jen pověřenec ). veř. správa bude mít povinnost šifrovat personální kapacity procesy smlouvy a souhlasy 012

Atos k tématům eidas a GDPR Nemocnice Transakční bezpečnost Občan a organizace Školy Školky Procesní opatření v oblasti elektronické identifikace a ochrany osobních údajů Úřady Komerční sféra Bezpečná autentizace a autorizace Analýza dopadů obou nařízení na systémy a procesy Návrh nápravných opatření v procesní i IT oblasti Elektronická identita Státní správa a samospráva Zahraniční subjekty Ochrana osobních údajů Outsourcing Data Protection Officer Pověřenec pro ochranu osobních údajů dle nařízení GDPR Autentizace, elektronický podpis a elektronické pečetě Komerční sféra Implementace technologií řešící tato nařízení 013

Procesní schéma ověření dopadů GDPR do procesů a systémů 1. POROZUMĚNÍ 2. ANALÝZA 3. AKCE Pochopení business procesů a IT prostředí zákazníka Identifikace běžného chování Vyhodnocení rizik (podložené scénáři) BUILD Nastavení procesů Příprava DPO Definice potřeb GDPR Definice kritického chování, systémů a dat Definování kontroly (podložené scénáři) Konsolidace dat a implementace ochranných nástrojů 4. OPATŘENÍ Vyhodnotit bezpečnostní dopady Audit Posoudit chyby v zabezpečení Monitoring dat a systémů 5. PROVOZ Reakce na incident Monitoring abnormálního chování Použití nástrojů v reálném čase (Risk Management Technologie) 014

GDPR které oblasti řešit? Identifikační a autentizační prostředky PKI Řízení identit a uživatelských přístupů Řízení privilegovaných účtů Autentizace & Autorizace Ochrana osobních údajů dle GDPR Centra řízení bezpečnosti Monitoring sítí a infrastruktury Zabezpečení databází a úložišť DLP (Data Loss Prevention) 015

GDPR čím jednotlivé oblasti řešit? (příklady technologií) Atos Identifikační Trustcenter a Atos autentizační CardOS prostředky TrustWay /Thales PKI (HSM) Řízení DirX identit Identity a uživatelských DirX Audit přístupů Řízení privilegovaných CyberArk účtů Evidian Autentizace Web Access & Manager Evidian Autorizace SSO DirX Access Ochrana osobních údajů dle GDPR Centra Atos řízení SOC bezpečnosti IBM QRadar Monitoring (SIEM) Flowmon sítí a infrastruktury penetrační testy Zabezpečení databází IBM a úložišť Guardium DLP Digital (Data Guardian Loss Prevention) 016

GDPR spolupráce Atos a Marsh Společnosti Atos a Marsh (přední mezinárodní pojišťovací makléř a poradce v řízení rizik) rozšířili své partnerství a nabízení svým zákazníkům end-to-end řešení pro podporu zavádění GDPR. Analýza společností Atos a Marsh umožňuje: Ohodnocení rizik a jejich dopadů, umožnění plánovat a implementovat nezbytná měření pro snížení dopadů potenciálních ztrát vyplývajících ze ztráty ochrany osobních údajů. Implementace nové implicitní bezpečnostní" role, kterou potřebují všechny organizace, aby mohli provozovat bezpečné IT systémy. Revize procesů pro řízení správy osobních dat tak, aby odpovídala novým nařízením. Podpora pomocí konkrétních nástrojů na měření úrovně ochrany. 018

eidas čeho se týkají prováděcí akty procesní opatření v oblasti elektronické identifikace specifikace značky důvěry EU pro kvalif. služby vytvářející důvěru specifikace pro formáty zaručených el. podpisů a pečetí tech. specifikace a formáty důvěryhodných seznamů tech. specifikace a postupy pro úrovně záruky prostředků pro el. identifikaci prováděcí nařízení pro el. transakce na vnitřním trhu normy pro posuzování bezpečnosti kvalifikovaných prostředků pro vytváření elektronických podpisů a pečetí 019

eidas definice elektronického podpisu Elektronickému podpisu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické podpisy. eidas definuje 4 úrovně elektronického podpisu: prostý el. podpis zaručený el. podpis uznávaný el. podpis kvalifikovaný el. podpis Kvalifikovaný elektronický podpis: právní účinek rovnocenný vlastnoručnímu podpisu uznáván ve všech členských státech EU 020

eidas vazba na Úplné elektronické podání (UEP) Veřejná správa je povinná do 28.9.2018 připravit své systémy na přijímání UEP. Tzn. také povinné rozpoznávání identifikace osob z oznámených systémů. Principy UEP: automatizované strojové zpracování podání rovnocenné dostupné ze všech el. kanálů (samoobslužných i asistovaných) data se zadávají jen jednou (předvyplněné jíž známé údaje) (občan dokládá jen nové údaje) zrušení místní příslušnosti, i mezinárodně důvěryhodnost, bezpečnost, transparentnost Do 28.9.2018 má být podle Nařízení schopno umožnit UEP cca 508 inf. systémů veřejné správy. A to na 22 ministerstvech a ústředních správních úřadech. 021

eidas prostředek pro elektronickou identifikaci osob Bezpečnostní funkce Údaje Předměty Identifikace Jednoznačné rozlišení osoby (uživatele systému) Autentizace Ověření identity osoby pro přihlášení k systému Autorizace Udělení práva osoby použít funkci systému Jedinečný identifikátor Údaje specifikující osobu: Jméno, datum narození Název firmy, DIČ Tajný údaj pro ověření identity v systému: Heslo PIN Data pověření k funkcím systému: Registr práv uživatelů Typy uživatelů a akcí Předmět pro zjištění identity: Průkazy vydávané státem ID karty s fotografiemi Předmět pro ověření identity v systému: OTP Kryptografický token Prokázání odpovědnosti a vůle k provedení akce: SMS Elektronický podpis 022

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář