Jak řešit zpracování osobních údajů v cloudu dle GDPR a nešlápnout vedle Zdeněk Jiříček National Technology Officer Microsoft ČR
GDPR = General Data Protection Regulation Nařízení nikoliv směrnice. Je přímo aplikovatelné ve všech zemích EU. Vstoupí v platnost 25. května 2018.
Jak se připravit na GDPR z pozice správce? 1 2 3 4 5 Mapovat Spravovat Chránit Dokumentovat Prověřovat Zjistit, jaké osobní údaje mají a kde se nacházejí. Rozhodovat o způsobech využití a přístupu k osobním údajům. Správa souhlasů se zpracováním. Zavést bezpečnostní opatření k předcházení, detekování hrozeb a řešení bezpečnostních incidentů. Vyřizovat žádosti týkající se osobních údajů a uchovávat požadovanou dokumentaci. Analyzovat data a systémy, udržovat soulad s požadavky a snižovat riziko.
Jak může zpracování v cloudu pomoci? Některé funkce spojené s výkonem práv subjektů dat (čl. 12 až 20) Nalezení osobních údajů, přístup, omezení, protokolární výmaz, přenositelnost Reflektovat smluvní požadavky na zpracovatele (čl. 28) Zabezpečení zpracování osobních údajů (čl. 32) Správa záložních kopií, řízení kontinuity Audity účinnosti zavedených opatření Implementace pseudonymizace a šifrování dat (čl. 25, 32) Šetření a ohlašování bezpečnostních incidentů (čl. 33, 34) Modelové posouzení vlivu na ochranu os. údajů DPIA (čl. 35) Kodexy chování zpracovatelů a certifikace služeb (čl. 40 až 43)
Reflektovat smluvní požadavky na zpracovatele (čl. 28) Čl. 28 odst.1: správce využije pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení Reflektovat smluvní požadavky čl. 28, 32 a 33 ve svých standardních smluvních podmínkách Informovat předem o zapojení dalších zpracovatelů Zpracování osobních údajů pouze na základě pokynů správce Vhodná sada opatření: ISO/IEC 27018: Code of practice for protection of Personally Identifiable Information (PII) in public clouds acting as PII processors Microsoft: nyní dodatek ke smlouvě, od léta 2017 součástí Podmínek
Článek 32 Zabezpečení zpracování (os. údajů) (1) S přihlédnutím ke stavu techniky... povaze... rozsahu... a k různě závažným rizikům pro práva fyz. osob, zavedou správce a zpracovatel vhodná tech/org. bezp. opatření... odpovídající danému riziku,.. včetně: a) pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) obnovit dostupnost osobních údajů včas v případě technických incidentů; d) pravidelného testování a hodnocení účinnosti zavedených opatření (2) zohlednit rizika náhodného zničení, ztráty, pozměňování, neoprávněného zpřístupnění osobních údajů
Privacy by Design (čl. 25, 32) Pseudonymizace, šifrování, minimalizace Další nebo citlivé osobní údaje v cloudu B Propojení oddělených záznamů subjektu dat jedinečným, bezvýznamovým identifikátorem Způsob zpracování dat v cloudu Základní identifikační údaje subjektu dat v cloudu A Key Vault Privátní cloud správce dat Řízení přístupu a logování událostí Ochrana šifrováním volby z pohledu zpracování v cloudu: 1) Klíče v perimetru správce (dešifrovaná data pouze uvnitř organizace) 2) Klíče využívá aplikace v cloudu, ale jsou pod výhradní kontrolou správce 3) Klíče ve správě zpracovatele; zákazník má auditovatelnost přístupu z logů
Od analýzy rizik k DPIA Čl. 35: nutné posouzení vlivu pro zpracování s vysokým rizikem (DPIA Data Protection Impact Assesment) Zpracovatel: jak nejlépe pomoci správci a vyhovět regulátorovi 1. Modelová analýza rizik určitého typu zpracování osobních údajů Hodnotíme rizika porušení důvěrnosti, integrity a dostupnosti osobních údajů Dále rizika souladu s regulatorními požadavky pro správce Souvislost se ZoKB: rozsah analýzy rizik dle VoKB č. 316/2014 Sb. 2. Nastavení adekvátních bezp. opatření 3. Charakteristika zbytkových rizik pro správce
Modelové analýzy rizik a scénáře pro DPIA K dispozici modelové analýzy rizik pro zákazníky (v češtině): 1) zdravotnická dokumentace: řešení ICZ a.s. PACS snímky v Azure 2) spisová služba: Gordic GINIS v Azure (RAC, Mainstream) 3) zpracování osobních údajů v Office 365 Osobní údaje v Exchange Online Citlivé osobní údaje v SharePoint Online Telemedicína / citlivé osobní údaje přes a upload přes Skype for Business Ve formátu posouzení vlivu (DPIA), testujeme s ÚOOÚ Soulad s požadavky GDPR ověřen právní kanceláří Pierstone s.r.o.
Přenesení části odpovědnosti na zpracovatele Nástroje k ochraně důvěrnosti, integrity a dostupnosti osobních údajů 5. Nástroje pro vysokou dostupnost a odolnost 2. Zabezpečení koncových zařízení 3. Řízení přístupu, zabezpečení identit Správa identit v cloudových službách s integrací do on-premise snižuje rizika slabých hesel 1. Ochrana dat (důvěrnost, integrita) 4. Nástroje pro kontrolu a auditovatelnost Kontrola pomocí certifikací a auditů třetích stran. Provozní logy a další kontrolní nástroje. 6. Zvládání bezp. incidentů Zabezpečení zařízení, informací, a uživatel. identit Ochrana dat v úložišti a při přenosu Brzká detekce bezpečnostních incidentů, Threat Intelligence
www.microsoft.com/trust protection.office.com
Government National Worldwide Certifikace a pokladová dokumentace nyní přístupné na Microsoft Trust Center www.microsoft.com/trust ISO ISO ISO Cloud Controls SOC 1 (SSAE 16) SOC 2 (AT101) 27001 27017 27018 Matrix Type II Type II PCI DSS Level 1 * Content Delivery and Security Association * HIPAA / HITECH European Union Model Clauses ENISA IAF EU-U.S. Privacy Shield Spain ENS Singapore MTCS Level 3 Australian Signals Directorate New Zealand GCIO Japan Financial Services China MLPS*, TRUCS*, GB 18030* Section 508 VPAT United Kingdom G-Cloud FedRAMP JAB P-ATO FIPS 140-2 21 CFR FERPA DISA Level 2 Part 11 CJIS IRS 1075 FISMA NIST 800-171
Alternativa ke zvážení: Přesuňte část odpovědnosti na poskytovatele cloudových služeb, který je k tomu náležitě vybaven!
2017 Microsoft Corporation. All rights reserved. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.