Představení služeb Konica Minolta GDPR Praha 28. 6. 2017 Mgr. Karin Beňková, Mgr. Jiří Císek
Co je to GDPR? Obecné nařízení o ochraně osobních údajů (General data protection regulation) 25. 5. 2018 přímá účinnost
Čeho se týká? Osobní údaje FYZICKÝCH OSOB: - Spotřebitel - Zákazník - OSVČ - Zaměstnanci Evidence a zpracovávání osobních údajů fyzických osob - Náhled - Úprava - Změna - Použití - Výmaz
Na koho GDPR nejvíce dopadá? GDPR dopadá na všechny, kdo zpracovávají údaje o fyzických osobách, tzn. údaje zaměstnanců, zákazníků, obchodních partnerů Nejvýznamnější zásah však představuje pro společnosti, které: - zpracovávají citlivé údaje (zdravotnictví, odbory, bezpečnostní agentury ) - vedou rozsáhlé databáze (telekomunikace, energie, marketing, dopravci ) - společnosti s počtem zaměstnanců nad 250
Best practice Vhodná technická a organizační opatření Pseudonymizace Účel zpracovávání Šifrování
DPO pověřenec ochrany osobních údajů POVINNOST: veřejná správa (vyjma soudy) rozsáhlé, pravidelné a systematické monitorování rozsáhlé zpracování citlivých údajů nebo rozsudků v trestních věcech možná pluralita zakázaný střet zájmu
Práva subjektu údajů Transparentní jazyk Přesné a úplné zpracování Informace (na začátku, v průběhu, na konci) Přenositelnost Omezení zpracování, oprava, výmaz (právo být zapomenut ) námitky v případě správy
Zpráva o posouzení vlivu DPIA odpovědnost organizace vysoké riziko pro práva a svobody fyzických osob Povinnost: - systematické a rozsáhlé vyhodnocování automatizované zpracování - citlivé údaje - systematické monitorování veřejně přístupných prostor - atp. vyhodnocení rizika (původ, povaha, zvláštnost, závažnost) výsledek posouzení
Jak správně identifikovat osobní údaje a provést dopadovou analýzu?
Jak začít? Jaké řešení zvolit? Holding x jednotlivé společnosti Právní x procesní x IT Identifikace klíčových oblastí Zaměstnanci B2B kontakty na obchodní partnery/ údaje zákazníků pokud jsme zpracovatelé B2C zákazníci Dodavatelé (OSVČ), externí zpracovatelé (účetní, marketing, dopravci..)
Jsme připraveni? Víme jaké údaje zpracováváme? Máme je rozděleny podle účelu? (vliv na délku a možnosti zpracování) Vedeme o zpracování záznamy? (záznam o zpracování logování!) Jsme připraveni na práva subjektů? (informace, přenos, výmaz) Máme odpovídající zabezpečení? (reakční doba, procesy, oznámení porušení) Známe naše povinnosti? (DPO, DPIA)
Dopadová analýza GAP rozdíl mezi as is a GDPR Správné otázky na klíčové osoby Nutné posoudit přínos x náklady x čas Výsledkem nástroje pro budoucí rozvoj organizace Není to samé jako DPIA
Best practice v organizaci a požadavky na procesy
Best practice Záměrně neukotvitelný pojem Privacy by design Možnosti organizace x zpracovávané údaje Nejnovější stav techniky
Uvnitř organizace Zpracované záznamy o zpracování (znalost účelu, retenčních dob...) Poskytování informací, souhlasy, privacy by design Nastavení vnitropodnikové kultury a kodexy chování Procesy při nakládání s osobními údaji Accountability příjmutí odpovědnosti DPO, DPIA
Vnitřní nastavení a ochrana perimetru Nutná podpora IT Nastavení zabezpečení Rizikové oblasti emaily, zálohy, BYO zařízení Logování přístupů, pomoc IT při realizaci procesů (zj. odpovědi na práva subjektů) Nejnovější stav techniky
Nabízené služby v oblasti GDPR
GDPR audit 1. Úvodní seznámení 2. Zaslání dotazníku 3. Vstupní pohovor 4. Cenová nabídka 5. Uzavření smlouvy pojištění odpovědnosti 6. Pracovní skupiny na jednotlivých odděleních 7. Analytická část 8. GAP analýza 9. Implementace 10. Reaudit a závěrečná zpráva 1 2 3 4 5 6 7 8 9 10
GDPR úvodní seznámení Schůzka s organizací, kde probereme obecné požadavky kladené GDPR na konkrétní subjekt. 1 2 3 4 Zjistit přístup organizace k GDPR Nabídnout konkrétní řešení na míru Podklad pro cenovou nabídku 5 6 7 8 9 10
Zaslání dotazníku Po úvodní schůzce Vám je zaslán dotazník, který slouží jako podklad pro vstupní pohovor. 1 2 3 4 Dotazník obsahuje zejména: základní informace o organizaci (počet zaměstnanců, zaměření, oddělení zpracovávající o.ú.) počet a typy IT systémů informace o vnitropodnikových směrnicích základní informace z relevantních oddělení 5 6 7 8 9 10
Vstupní pohovor Vstupní pohovor slouží jako podklad pro cenovou nabídku. Pomáhá nám pochopit kulturu organizace, procesy na jednotlivých odděleních a klíčovým pracovníkům dává obrázek o možné budoucí spolupráci. Vstupní pohovor je zdarma. HR IT Marketing Obchodní oddělení, vývojové oddělení 1 2 3 4 5 6 7 8 9 10
Cenová nabídka zahrnuje audit implementaci - reaudit řešení na klíč x spolupráce x samostatné řešení outsourcing DPO 1 2 3 4 5 6 7 8 9 10
Uzavření smlouvy Pojištění odpovědnosti v současnosti 250mil. CZK NDA Podrobný popis auditu Časový harmonogram 1 2 3 4 5 6 7 8 9 10
Pracovní skupiny na jednotlivých odděleních Procesy ve Vaší organizaci znáte nejlépe sami. Proto ve spolupráci s klíčovými osobami na každém oddělení popisujeme současný stav. Tito pracovníci by měli být následně zodpovědní za uvedení procesů do souladu s GDPR. Nutné zvážit využití vlastních zdrojů x outsourcing Řešení na klíč x spolupráce x samostatné řešení 1 2 3 4 5 6 7 8 9 10
Analytická část identifikace uchovávaných údajů a jejich uložení (servery, cloud) analýza právního základu pro zpracování a poskytovaných informací o zpracování kontrola procesu profilování a jeho dopadu na jednotlivce právní revize: procesů udržování kvality osobních údajů připravenosti reagovat na právo na přístup, opravu a výmaz osobních údajů, právo na omezení jejich zpracování a na přenositelnost údajů zhodnocení bezpečnostních opatření při zpracování analýza nastavení IT systémů s ohledem na best practice, logování přístupů a minimalizace zpracování osobních údajů vyhodnocení správnosti použití cookies a sledovacích mechanismů využívání CCTV pro monitoring zaměstnanců, kontroly pracovních e-mailů a geolokačních zařízení praxe přímého marketingu, e-mailového marketingu, telemarketingu a digitální reklamy ochrany osobních údajů při náborech, sociálních médií 1 2 3 4 5 6 7 8 9 10
GAP analýza Cílem je identifikovat rozdíly mezi stavem as is a GDPR. Rozdělení na oblasti, které jsou v pořádku, rizikové oblasti a oblasti, které jsou v přímém rozporu. Výstupem je podklad pro rozhodování o tom, jaké opatření a v jakém časovém harmonogramu organizace musí přijmout. Podklad pro časovou a finanční investici. zjištění stavu ochrany osobních údajů společnosti v porovnání s GDPR tvorba doporučených kroků v oblasti: bezpečnosti systému řízení ochrany osobních údajů činností při zpracování osobních údajů interních předpisů řízení rizik třetích stran 1 2 3 4 5 6 7 8 9 10
Implementace Implementace v souladu s plánem přijatým na základě GAP analýzy. Během celé implementační fáze plná podpora v rámci přijímaných opatření. 1 2 3 4 Zatím nejkratší implementační fáze byla 6 měsíců Vhodné vzít v úvahu změnu smluvní dokumentace, tendry na IT řešení Nutné aby navrhovaná opatření přijali zaměstnanci čas na seznámení a implementaci dovnitř 5 6 7 8 9 10
Reaudit a závěrečná zpráva Po skončení implementační fáze nutné provést reaudit, na základě kterého je vyhotovena závěrečná zpráva osvědčující soulad organizace s GDPR. 1 2 3 4 Závěrečná zpráva = paper trail Odpovědnost za poskytnuté rady Samostatnost organizace Podklad pro budoucí konzultace 5 6 7 8 9 10
Outsourcing DPO DPO v rámci organizace může být zaměstnanec ovšem musí splnit povinnosti kladené na kvalifikaci + nezávislost. V případě, že organizace nemá kapacity DPO insourcovat, je možné jako DPO ustanovit externistu. Přehled a zkušenosti z více organizací = širší přehled Šetří náklady na vzdělávání DPO nutné vzdělání v oblasti IT, práva a dalších Odhad časové náročnosti 1-5 mandays/měsíc podle velikosti organizace/zpracovávaných údajů Pojištění odpovědnosti 1 2 3 4 5 6 7 8 9 10
Dotazy?
Děkujeme za pozornost.