Jak cloudové technologie mohou usnadnit život DPO?

Podobné dokumenty
Jak řešit zpracování osobních údajů v cloudu dle GDPR a nešlápnout vedle. Zdeněk Jiříček National Technology Officer Microsoft ČR

5 kroků, jak zvýšit bezpečnost uživatelů i dat ve vaší škole

Jak může pomoci poskytovatel cloudových služeb

Uchopitelná cesta k řešení GDPR

Microsoft a nařízení GDPR. Ladka Poláková Partner Sales Executive Cloud

Regulace, cloud a egovernment mohou jít ruku v ruce. Zdeněk Jiříček, National Technology Officer Microsoft CZ/SK

Jak urychlit soulad s GDPR využitím cloudových služeb

Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

Jak urychlit soulad s GDPR s cloudovými službami Microsoft

GDPR Tipy a triky v cloudu. Zdeněk Jiříček National Technology Officer Microsoft CZ & SK

GDPR compliance v Cloudu. Jiří Černý CELA

Dopady GDPR na design IT Martin Dobiáš, Digital Advisory Services

Cloudové inovace a bezpečné služby ve veřejné správě

Jak urychlit soulad s GDPR za pomoci využití cloudových služeb

GDPR a poskytovatelé cloudových služeb

Obecné nařízení o ochraně osobních údajů

Digitální. transformace. Lubica Kršková, Partner Sales Executive - Disti. René Klčo, Cloud Sales Specialist. Microsoft

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Jak se poprat nejen s.. GDPR a egovernmentem

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

Digital Dao, Jeffrey Carr

... abych mohl pracovat tak, jak mi to vyhovuje

GDPR Modelová Situace z pohledu IT

O365 GDPR v praxi. Pavel Salava, Conectio Dan Hejda, KPCS

Cloud a povinné osoby ze ZKB. Zdeněk Jiříček, Microsoft s.r.o. Aleš Špidla, PwC Czech s.r.o.

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

Dopady GDPR na IT 4/9/18. Vaše otázky k tématu. Představení. Obsah. Úvod. 1. Co je GDPR? 2. Co je osobní údaj?

SPISOVÁ SLUŽBA A GDPR

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

GDPR Projekt GDPR Compliance

JAK ZAČÍT S GDPR V PODMÍNKÁCH MALÉ OBCE. konference

Management System. Information Security Management System - Governance. Testy a audity

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Zajištění kybernetické bezpečnosti cloudových služeb. Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

Rizika výběru cloudového poskytovatele, využití Cloud Control Matrix

Dopady GDPR a jejich vazby

Představení služeb Konica Minolta GDPR

Seznam vzorů, které naleznete v publikaci:

Komentáře CISO týkající se ochrany dat

Ochrana osobních údajů GDPR

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

Jak ůže stát e trál ě za ezpečit sdíle é služ pro veřej ou správu? Vá lav Koudele & )de ěk Jiříček - Microsoft

GORDIC a GDPR? Připraveno!

Dopady GDPR na elektronizaci zdravotnictví

JAK SE PŘIPRAVIT NA GDPR?

Zabezpečení infrastruktury

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

egc snadno a rychle Ing. Zdeněk Jiříček, Ing. Václav Koudele

Systémová analýza a opatření v rámci GDPR

GDPR v sociálních službách

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

Protecting Data in Microsoft Online Services. Studie zpracovaná na základě poptávky Microsoft s.r.o. Zakázka: MICR Verze: 2.

Modelová DPIA a analýza rizik pro zpracování osobních údajů v Microsoft Office 365. Studie zpracovaná na základě poptávky Microsoft s.r.o.

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

DIGITÁLNÍ TRANSFORMACE SE STÁVÁ OTÁZKOU PRO CEO

S C A D A S Y S T É M Y

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Posuzování na základě rizika

Obecné nařízení o ochraně osobních údajů (GDPR) S přihlédnutím ke Smart Cities Petr Habarta, OBPPK MV

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Zuzana Sobotková, DAQUAS Petr Vlk, KPCS CZ

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Směr, jak změnit pohledu na IT Petr Suchánek Solution Sales - Azure

Sběr logů jako predikce bezpečnostních hrozeb v Operations Management Suite

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Zabezpečení osobních údajů

Nová pravidla ochrany osobních údajů

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

Olga Přikrylová IT Security konzultant / ITI Seminář k GDPR. Ochrana osobních údajů

Analýza rizik a DPIA zdravotnických IS v cloudu. Studie zpracovaná na základě poptávky Microsoft s.r.o.

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

Můžeme mít důvěru v cloudové služby? Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Dalibor Kačmář Ředitel serverové divize, Microsoft. Unicorn College Open,

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Hybridní licencování Microsoft. Martin Albrecht & Jana Chrenová

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

Příloha č. 1 Kontrolní seznam o připravenosti na nařízení GDPR Checklist

Očekávané dopady GDPR do pojišťovnictví

VÝNOS REKTORA Č. 6/2018 ŘEŠENÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Transkript:

Jak cloudové technologie mohou usnadnit život DPO? Zdeněk Jiříček, National Technology Officerđ This presentation is intended to provide an overview of GDPR and is not a definitive statement of the law.

GDPR - procesy 1 Mapujte Zjistěte, jaké osobní údaje máte a kde se nacházejí 2 Spravujte Rozhodujte o způsobech využití a udělení přístupu k osobním údajům 3 Chraňte Zaveďte bezpečnostní opatření k předcházení, detekování a zvládání bezpečnostních incidentů 4 Dokumentujte Uchovávejte požadovanou dokumentaci, vč. žádostí týkajících se správy osobních údajů či případů porušení zabezpečení

Jak může zpracování v cloudu pomoci? Některé funkce spojené s výkonem práv subjektů dat (čl. 12 až 20) Nalezení osobních údajů, přístup, omezení, protokolární výmaz, přenositelnost Reflektovat smluvní požadavky na zpracovatele (čl. 28) Zabezpečení zpracování osobních údajů (čl. 32) Správa záložních kopií, řízení kontinuity Audity účinnosti zavedených opatření Implementace pseudonymizace a šifrování dat (čl. 25, 32) Šetření a ohlašování bezpečnostních incidentů (čl. 33, 34) Modelové posouzení vlivu na ochranu os. údajů DPIA (čl. 35) Kodexy chování zpracovatelů a certifikace služeb (čl. 40 až 43)

Reflektovat smluvní požadavky na zpracovatele (čl. 28) Čl. 28 odst.1: správce využije pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení Reflektovat smluvní požadavky čl. 28, 32 a 33 ve svých standardních smluvních podmínkách, např.: Informovat předem o zapojení dalších zpracovatelů Zpracování osobních údajů pouze na základě pokynů správce Vhodná sada opatření: ISO/IEC 27018: Code of practice for protection of Personally Identifiable Information (PII) in public clouds acting as PII processors Microsoft: nyní dodatek ke smlouvě, od léta 2017 součástí Podmínek

Článek 32 Zabezpečení zpracování (os. údajů) (1) S přihlédnutím ke stavu techniky... povaze... rozsahu... a k různě závažným rizikům pro práva fyz. osob, zavedou správce a zpracovatel vhodná tech/org. bezp. opatření... odpovídající danému riziku,.. včetně: a) pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) obnovit dostupnost osobních údajů včas v případě technických incidentů; d) pravidelného testování a hodnocení účinnosti zavedených opatření (2) zohlednit rizika náhodného zničení, ztráty, pozměňování, neoprávněného zpřístupnění osobních údajů

Od analýzy rizik k DPIA Čl. 35: nutné posouzení vlivu pro zpracování s vysokým rizikem (DPIA Data Protection Impact Assesment) Zpracovatel: jak nejlépe pomoci správci a vyhovět regulátorovi 1. Vzorová analýza rizik určitého typu zpracování osobních údajů Hodnotíme rizika porušení důvěrnosti, integrity, dostupnosti a ztráty os. údajů Dále rizika souladu s regulatorními požadavky pro správce Souvislost se ZoKB: rozsah analýzy rizik dle VoKB č. 316/2014 Sb. 2. Nastavení adekvátních bezp. opatření 3. Charakteristika zbytkových rizik pro správce

Modelové analýzy rizik a scénáře pro DPIA K dispozici modelové analýzy rizik pro zákazníky (v češtině): 1) Zdravotnická dokumentace: řešení ICZ a.s. PACS snímky v Azure Znalecký posudek ústavu CETAG: adekvátní úroveň zabezpečení dle GDPR 2) Spisová služba: Gordic GINIS v Azure (autoři RAC, Mainstream) 3) Formát DPIA pro zpracování osobních údajů v Office 365 (od S.ICZ) Osobní údaje v Exchange Online Citlivé osobní údaje v SharePoint Online Telemedicína / citlivé osobní údaje přes a upload přes Skype for Business Ve formátu posouzení vlivu (DPIA), testujeme s ÚOOÚ Soulad s požadavky GDPR ověřen právní kanceláří Pierstone s.r.o.

Prvky Privacy by Design : Pseudonymizace, šifrování, minimalizace Propojení oddělených záznamů subjektu dat jedinečným, bezvýznamovým identifikátorem Další nebo citlivé osobní údaje v cloudu B Způsob zpracování dat v cloudu Základní identifikační údaje subjektu dat v cloudu A Key Vault Řízení přístupu a logování událostí Privátní cloud správce dat Ochrana šifrováním volby z pohledu zpracování v cloudu: 1) Klíče v perimetru správce (dešifrovaná data pouze uvnitř organizace) 2) Klíče využívá aplikace v cloudu, ale jsou pod výhradní kontrolou správce 3) Klíče ve správě zpracovatele; zákazník má auditovatelnost přístupu z logů

Administrátor cloudu žádá přístup Office 365 / Azure Datacenter Network Udělení dočasného přístupu: Jen metadata? (poštovní obálka) Obsah dat? Microsoft firemní síť Smluvní nastavení podmínek, za kterých může administrátor cloudu dostat přístup na zákaznická data. Lock Box udělí nutné zvýšení práv administrátora k provedení úkonu. Auditovatelné logováním. Prověrky administrátorů: 1. Kontrola trestního rejstříku 2. Kontrola zadlužení a referencí ze zaměstnání 3. Musí projít bezpečnostním školením

Přenesení části odpovědnosti na zpracovatele Nástroje k ochraně důvěrnosti, integrity a dostupnosti osobních údajů 5. Nástroje pro vysokou dostupnost a odolnost 2. Zabezpečení koncových zařízení 3. Řízení přístupu, zabezpečení identit Správa identit v cloudových službách s integrací do on-premise snižuje rizika slabých hesel 1. Ochrana dat (důvěrnost, integrita) 4. Nástroje pro kontrolu a auditovatelnost Kontrola pomocí certifikací a auditů třetích stran. Provozní logy a další kontrolní nástroje. 6. Zvládání bezp. incidentů Zabezpečení zařízení, informací, a uživatel. identit Ochrana dat v úložišti a při přenosu Brzká detekce bezpečnostních incidentů, Threat Intelligence

Threat Intelligence Audit Logs Intune Active Directory Log Analytics ediscovery Azure Security Center Data Log Data Loss Prevention Cloud App Security Key Vault Data Classification Threat Detection Windows Hello Bitlocker Credential Guard Information Protection Transparent Data Encryption Always Encrypted

REGIONAL INDUSTRY US GOV GLOBAL Certifikace a pokladová dokumentace nyní přístupné na Microsoft Trust Center www.microsoft.com/trust ISO 27001 ISO 27018 ISO 27017 ISO 22301 ISO 9001 SOC 1 Type 2 SOC 2 Type 2 SOC 3 CSA STAR Self-Assessment CSA STAR Certification CSA STAR Attestation Moderate JAB P-ATO High JAB P-ATO DoD DISA SRG Level 2 DoD DISA SRG Level 4 DoD DISA SRG Level 5 SP 800-171 FIPS 140-2 Section 508 VPAT ITAR CJIS IRS 1075 PCI DSS Level 1 CDSA MPAA FACT UK Shared Assessments FISC Japan HIPAA / HITECH Act HITRUST GxP 21 CFR Part 11 MARS-E IG Toolkit UK FERPA GLBA FFIEC Argentina PDPA EU Model Clauses UK G-Cloud China DJCP China GB 18030 China TRUCS Singapore MTCS Australia IRAP/CCSL New Zealand GCIO Japan My Number Act ENISA IAF Japan CS Mark Gold Spain ENS Spain DPA India MeitY Canada Privacy Laws Privacy Shield Germany IT Grundschutz workbook

Alternativa ke zvážení: Přesuňte část odpovědnosti na poskytovatele cloudových služeb, který je k tomu náležitě vybaven!

Microsoft.com/GDPR Microsoft.com/TRUST

GDPR Compliance Zjednodušení cesty k souladu Identifikace rizik a realizace opatření Využití expertních znalostí

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář