Jak řešit zpracování osobních údajů v cloudu dle GDPR a nešlápnout vedle. Zdeněk Jiříček National Technology Officer Microsoft ČR

Podobné dokumenty
Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

Microsoft a nařízení GDPR. Ladka Poláková Partner Sales Executive Cloud

GDPR compliance v Cloudu. Jiří Černý CELA

Jak cloudové technologie mohou usnadnit život DPO?

Jak může pomoci poskytovatel cloudových služeb

Uchopitelná cesta k řešení GDPR

Regulace, cloud a egovernment mohou jít ruku v ruce. Zdeněk Jiříček, National Technology Officer Microsoft CZ/SK

Obecné nařízení o ochraně osobních údajů

5 kroků, jak zvýšit bezpečnost uživatelů i dat ve vaší škole

Jak urychlit soulad s GDPR využitím cloudových služeb

Windows - bezplatné služby pro školy. Jakub Vlček Specialist Microsoft Corporation

Komentáře CISO týkající se ochrany dat

Rizika výběru cloudového poskytovatele, využití Cloud Control Matrix

Efektivní provoz koncových stanic

Zabezpečení infrastruktury

Cloud a povinné osoby ze ZKB. Zdeněk Jiříček, Microsoft s.r.o. Aleš Špidla, PwC Czech s.r.o.

Windows na co se soustředit

GDPR Tipy a triky v cloudu. Zdeněk Jiříček National Technology Officer Microsoft CZ & SK

Jak urychlit soulad s GDPR s cloudovými službami Microsoft

Sdílíme, a co vy? Ing. Eliška Pečenková Plzeňský kraj. Ing. Václav Koudele Microsoft

Cloudové inovace a bezpečné služby ve veřejné správě

System Center Operations Manager

Jak Vám partnerské programy pomohou v rozvoji podnikání. Víte, že můžete získat software v hodnotě tisíců USD za zlomek ceny?

Digitální. transformace. Lubica Kršková, Partner Sales Executive - Disti. René Klčo, Cloud Sales Specialist. Microsoft

Dnešní program. Jak síť využít. Přínosy sítě. Nasazení sítě. Proč síť

Zajištění kybernetické bezpečnosti cloudových služeb. Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Lukáš Kubis. MSP pro VŠB-TU Ostrava

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

XNA Game Studio 3.1. Tomáš Herceg Microsoft Most Valuable Professional Microsoft Student Partner

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Skype for Business 2015

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

Jakub Čermák Microsoft Student Partner

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

Jak urychlit soulad s GDPR za pomoci využití cloudových služeb

Vývojář vs. správce IT

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Dopady GDPR na design IT Martin Dobiáš, Digital Advisory Services

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Dopady GDPR na IT 4/9/18. Vaše otázky k tématu. Představení. Obsah. Úvod. 1. Co je GDPR? 2. Co je osobní údaj?

... abych mohl pracovat tak, jak mi to vyhovuje

300B user authentications each month 1B Windows devices updated. 200B s analyzed for spam and malware. 18B web pages scanned by Bing each month

JAK ZAČÍT S GDPR V PODMÍNKÁCH MALÉ OBCE. konference

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

Můžeme mít důvěru v cloudové služby? Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Marketingová podpora pro partnery Microsoft

Využití identity managementu v prostředí veřejné správy

Digital Dao, Jeffrey Carr

Jakub Čermák Microsoft Student Partner

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Novinky v licencovaní a edíciách a ako to súvisí s System Center 2012

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

GDPR Modelová Situace z pohledu IT

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

Představení služeb Konica Minolta GDPR

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

GDPR Projekt GDPR Compliance

Jakub Čermák Microsoft Student Partner

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

Novinky v oblasti ochrany aktiv Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Dopady GDPR a jejich vazby

GDPR a poskytovatelé cloudových služeb

Optimalizace infrastruktury cesta ke kontrole IT. Pavel Salava Specialist Team Unit Lead Microsoft, s.r.o

Ochrana osobních údajů GDPR

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Od Czech POINTu k vnitřní integraci

Stav podnikové bezpečnosti, Globální zpráva Jakub Jiříček, Symantec ČR a SR

Potřebujete mít vaše IS ve shodě s legislativou? Bc. Stanislava Birnerová

Systémová analýza a opatření v rámci GDPR

Management System. Information Security Management System - Governance. Testy a audity

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

Nová pravidla ochrany osobních údajů

Dopady GDPR na elektronizaci zdravotnictví

SPISOVÁ SLUŽBA A GDPR

Posuzování na základě rizika

Příprava IS na příchod GDPR změny je potřeba nastartovat včas. Jan Zahradníček AK Velíšek & Podpěra

Jak udržet citlivé informace v bezpečí i v době cloudu a mobility. Jakub Jiříček, CISSP Praha, 27. listopadu 2012


Modelová DPIA a analýza rizik pro zpracování osobních údajů v Microsoft Office 365. Studie zpracovaná na základě poptávky Microsoft s.r.o.

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

Implementace GDPR v obcích. Benešov, Mgr. Miroslava Sobková

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

GDPR v sociálních službách

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Cloud nový směr v poskytování IT služeb

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

JAK SE PŘIPRAVIT NA GDPR?

Jak ůže stát e trál ě za ezpečit sdíle é služ pro veřej ou správu? Vá lav Koudele & )de ěk Jiříček - Microsoft

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

eid Kolokvium Kontext a východiska Ing. Zdeněk Jiříček AFCEA - Pracovní skupina Kybernetická bezpečnost

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Seznam vzorů, které naleznete v publikaci:

Transkript:

Jak řešit zpracování osobních údajů v cloudu dle GDPR a nešlápnout vedle Zdeněk Jiříček National Technology Officer Microsoft ČR

GDPR = General Data Protection Regulation Nařízení nikoliv směrnice. Je přímo aplikovatelné ve všech zemích EU. Vstoupí v platnost 25. května 2018.

Jak se připravit na GDPR z pozice správce? 1 2 3 4 5 Mapovat Spravovat Chránit Dokumentovat Prověřovat Zjistit, jaké osobní údaje mají a kde se nacházejí. Rozhodovat o způsobech využití a přístupu k osobním údajům. Správa souhlasů se zpracováním. Zavést bezpečnostní opatření k předcházení, detekování hrozeb a řešení bezpečnostních incidentů. Vyřizovat žádosti týkající se osobních údajů a uchovávat požadovanou dokumentaci. Analyzovat data a systémy, udržovat soulad s požadavky a snižovat riziko.

Jak může zpracování v cloudu pomoci? Některé funkce spojené s výkonem práv subjektů dat (čl. 12 až 20) Nalezení osobních údajů, přístup, omezení, protokolární výmaz, přenositelnost Reflektovat smluvní požadavky na zpracovatele (čl. 28) Zabezpečení zpracování osobních údajů (čl. 32) Správa záložních kopií, řízení kontinuity Audity účinnosti zavedených opatření Implementace pseudonymizace a šifrování dat (čl. 25, 32) Šetření a ohlašování bezpečnostních incidentů (čl. 33, 34) Modelové posouzení vlivu na ochranu os. údajů DPIA (čl. 35) Kodexy chování zpracovatelů a certifikace služeb (čl. 40 až 43)

Reflektovat smluvní požadavky na zpracovatele (čl. 28) Čl. 28 odst.1: správce využije pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení Reflektovat smluvní požadavky čl. 28, 32 a 33 ve svých standardních smluvních podmínkách Informovat předem o zapojení dalších zpracovatelů Zpracování osobních údajů pouze na základě pokynů správce Vhodná sada opatření: ISO/IEC 27018: Code of practice for protection of Personally Identifiable Information (PII) in public clouds acting as PII processors Microsoft: nyní dodatek ke smlouvě, od léta 2017 součástí Podmínek

Článek 32 Zabezpečení zpracování (os. údajů) (1) S přihlédnutím ke stavu techniky... povaze... rozsahu... a k různě závažným rizikům pro práva fyz. osob, zavedou správce a zpracovatel vhodná tech/org. bezp. opatření... odpovídající danému riziku,.. včetně: a) pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) obnovit dostupnost osobních údajů včas v případě technických incidentů; d) pravidelného testování a hodnocení účinnosti zavedených opatření (2) zohlednit rizika náhodného zničení, ztráty, pozměňování, neoprávněného zpřístupnění osobních údajů

Privacy by Design (čl. 25, 32) Pseudonymizace, šifrování, minimalizace Další nebo citlivé osobní údaje v cloudu B Propojení oddělených záznamů subjektu dat jedinečným, bezvýznamovým identifikátorem Způsob zpracování dat v cloudu Základní identifikační údaje subjektu dat v cloudu A Key Vault Privátní cloud správce dat Řízení přístupu a logování událostí Ochrana šifrováním volby z pohledu zpracování v cloudu: 1) Klíče v perimetru správce (dešifrovaná data pouze uvnitř organizace) 2) Klíče využívá aplikace v cloudu, ale jsou pod výhradní kontrolou správce 3) Klíče ve správě zpracovatele; zákazník má auditovatelnost přístupu z logů

Od analýzy rizik k DPIA Čl. 35: nutné posouzení vlivu pro zpracování s vysokým rizikem (DPIA Data Protection Impact Assesment) Zpracovatel: jak nejlépe pomoci správci a vyhovět regulátorovi 1. Modelová analýza rizik určitého typu zpracování osobních údajů Hodnotíme rizika porušení důvěrnosti, integrity a dostupnosti osobních údajů Dále rizika souladu s regulatorními požadavky pro správce Souvislost se ZoKB: rozsah analýzy rizik dle VoKB č. 316/2014 Sb. 2. Nastavení adekvátních bezp. opatření 3. Charakteristika zbytkových rizik pro správce

Modelové analýzy rizik a scénáře pro DPIA K dispozici modelové analýzy rizik pro zákazníky (v češtině): 1) zdravotnická dokumentace: řešení ICZ a.s. PACS snímky v Azure 2) spisová služba: Gordic GINIS v Azure (RAC, Mainstream) 3) zpracování osobních údajů v Office 365 Osobní údaje v Exchange Online Citlivé osobní údaje v SharePoint Online Telemedicína / citlivé osobní údaje přes a upload přes Skype for Business Ve formátu posouzení vlivu (DPIA), testujeme s ÚOOÚ Soulad s požadavky GDPR ověřen právní kanceláří Pierstone s.r.o.

Přenesení části odpovědnosti na zpracovatele Nástroje k ochraně důvěrnosti, integrity a dostupnosti osobních údajů 5. Nástroje pro vysokou dostupnost a odolnost 2. Zabezpečení koncových zařízení 3. Řízení přístupu, zabezpečení identit Správa identit v cloudových službách s integrací do on-premise snižuje rizika slabých hesel 1. Ochrana dat (důvěrnost, integrita) 4. Nástroje pro kontrolu a auditovatelnost Kontrola pomocí certifikací a auditů třetích stran. Provozní logy a další kontrolní nástroje. 6. Zvládání bezp. incidentů Zabezpečení zařízení, informací, a uživatel. identit Ochrana dat v úložišti a při přenosu Brzká detekce bezpečnostních incidentů, Threat Intelligence

www.microsoft.com/trust protection.office.com

Government National Worldwide Certifikace a pokladová dokumentace nyní přístupné na Microsoft Trust Center www.microsoft.com/trust ISO ISO ISO Cloud Controls SOC 1 (SSAE 16) SOC 2 (AT101) 27001 27017 27018 Matrix Type II Type II PCI DSS Level 1 * Content Delivery and Security Association * HIPAA / HITECH European Union Model Clauses ENISA IAF EU-U.S. Privacy Shield Spain ENS Singapore MTCS Level 3 Australian Signals Directorate New Zealand GCIO Japan Financial Services China MLPS*, TRUCS*, GB 18030* Section 508 VPAT United Kingdom G-Cloud FedRAMP JAB P-ATO FIPS 140-2 21 CFR FERPA DISA Level 2 Part 11 CJIS IRS 1075 FISMA NIST 800-171

Alternativa ke zvážení: Přesuňte část odpovědnosti na poskytovatele cloudových služeb, který je k tomu náležitě vybaven!

2017 Microsoft Corporation. All rights reserved. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář