Data v kleštích regulací

Podobné dokumenty
ČÍM TO VŠECHNO ZAČÍNÁ NA DATECH ZÁLEŽÍ, ALE NEJSOU DATA JAKO DATA

Řešení datové kvality prostřednictvím Master Data Managementu v prostředí České pošty s.p.

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

GDPR co nastane po květnovém dni D? Martin Hladík 8. března 2018

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

Outsourcing v podmínkách Statutárního města Ostravy

Nová pravidla ochrany osobních údajů

Projekt GDPR-CZ. innogy Přístup k projektu. Agenda. 12/09/2017 Page 1. Praha 13. září Úvod a cíle projektu. Kontext GDPR.

General Data Protection Regulation. EY přístup a řešení. SAS Business Breakfast

GORDIC a GDPR? Připraveno!

O2 a jeho komplexní řešení pro nařízení GDPR

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

10. setkání interních auditorů v oblasti průmyslu

Technická opatření pro plnění požadavků GDPR

Agenda DPO po implementaci GDPR Československá obchodní banka, a.s Interní

Jak chytře čistit data

GDPR compliance v Cloudu. Jiří Černý CELA

Záznam o zpracování osobních údajů

ÚVOD DO GDPR. Mgr. Jana Pattynová, LL.M

Moderní metody automatizace a hodnocení marketingových kampaní

GDPR ochrana osobních údajů

Dopady GDPR a jejich vazby

Krajská koncepce e-gov

Případová studie implementace GDPR. Eva Škorničková GDPR.CZ Martin Vogel OPENTEXT Martin Hanusek Šajn a.s.

Konvergovaná bezpečnost v infrastrukturních systémech

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

LETTER 5/2017 NEWSLETTER 5/2017. Nová právní úprava ochrany osobních údajů nařízení GDPR

1. Integrační koncept

Zkušenosti z nasazení a provozu systémů SIEM

Školení GDPR pro Cosmetics Atok International

General Data Protection Regulation (GDPR) Jak na to?

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Souhlas subjektů údajů NOVÁ, ZRANITELNÁ, INFORMAČNĚ CENNÁ, CENTRÁLNÍ DB 9/11/2017. seminář DPO. dle GDPR. Září 2017

Obecné nařízení o ochraně osobních údajů

2. setkání interních auditorů ze zdravotních pojišťoven

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Digitální mapa veřejné správy

Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

GDPR v sociálních službách

Představení služeb Konica Minolta GDPR

Bezpečnostní politika společnosti synlab czech s.r.o.

GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula

GDPR. (General Data Protection Regulation) Nařízení EU č. 679/2016 k ochraně osobních údajů. Mgr. Josef Botek tajemník

GDPR, eidas Procesní nebo technologický problém?

GDPR Mgr. Tomáš Černý, LL.M., MBA. Mgr. Gabriela Jiráková

Michal Kolařík ISZR - Brána k základním registrům

S požadavky GDPR musí pomoci informační technologie Štěpán Nadrchal, senior konzultant GDPR Ondřej Diviš, senior konzultant

Zhodnocení architektury podniku. Jiří Mach

SEMINÁŘ PRAKTICKÉ DOPADY GDPR NA ŽIVOT INTERNÍHO IT Ing. Jiří Slabý, Ph.D.

Cloud. Nebo zatím jen mlha? Workshop Day 2011 WG06 Jaromír Šlesinger, CA Technologies Bratislava, 13. október 2011

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Aktivní bezpečnost sítě

1. Webové služby. K čemu slouží? 2. RPC Web Service. 3. SOA Web Service. 4. RESTful Web services

DMS - řízená dokumentace, archiv a co dále? ICT ve zdravotnictví 2014

Nasazení CA Role & Compliance Manager

Katalog služeb a podmínky poskytování provozu

Sjednocení dohledových systémů a CMDB

PŘEDSTAVENÍ - KAREL HÁJEK Nasazení SD ve skupině ČEZ

PŘÍLOHA C Požadavky na Dokumentaci

Business Intelligence

Konsolidovaný reporting CZ/SK v Cognos případová studie sanofi-aventis

egovernment ready úřad

Příloha č. 2 ke smlouvě. Rozsah a podmínky provozní podpory

Základy Informační koncepce ČR. Pavel Hrabě a kolektiv OHA Říjen 2017

Datová kvalita základ úspěšného BI. RNDr. Ondřej Zýka, Profinit

RadioBase 3 Databázový subsystém pro správu dat vysílačů plošného pokrytí

Koncept centrálního monitoringu a IP správy sítě

Využití identity managementu v prostředí veřejné správy

Metodický pokyn k uvedení registru do produkčního provozu

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

Vnitřní integrace úřadu Středočeského kraje

Obsah. Kapitola 1. Kapitola 2. Kapitola 3. Úvod 9

Řízení správy rolí v rozsáhlých organizacích. Michal Opatřil Corinex Group

Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

Metadata. MI-DSP 2013/14 RNDr. Ondřej Zýka,

Informační systém pro vedení živnostenského rejstříku IS RŽP

Vazby mezi námi. Bisnode Petr Krejčí

Právní důvod zpracování: Oprávněné zájmy správce Článek 6 odst. 1 písm. c) GDPR - splnění právní povinnosti

CPM/BI a jeho návaznost na podnikové informační systémy. Martin Závodný

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.

Nasazení bezpečnostního monitoringu v praxi. Jan Svoboda AEC

Kvalitní data kvalitní agendy

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

12. Setkání IA z oblasti průmyslu, obchodu a služeb Dva pohledy na audit nákupu

Jan Horák. Pilíře řešení

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

v praxi Rizika a přínosy zavádění BI jako nástroje pro řízení podnikání

GDPR. Dopady na business procesy a IT. Eva Štumpfová, Radek Koudela KPMG Česká republika Praha, 28. února 2017

Dopady GDPR na design IT Martin Dobiáš, Digital Advisory Services

Podpora chytrého řízení změn nejen v oblasti geoinformatiky. Hexagon Safety & Infrastructure Jan Vaisar

Jak efektivně řídit životní cyklus dokumentů

GDPR: příležitosti k úsporám. Martin Hladík 30. listopadu 2017

Problémové domény a jejich charakteristiky

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

Dopad legislativních změn v informační bezpečnosti na interní audit Tomáš Pluhařík

Bezpečnostní monitoring v praxi. Watson solution market

#gdpr #gastro #hotel. 16. února Janka Brezániová

GDPR Projekt GDPR Compliance

Zvýšení efektivity a transparentnosti veřejné správy prostřednictvím rozvoje využití a kvality systému IKT EGORVERNMENT I.

Transkript:

Data v kleštích regulací Co přináší nová regulace do našeho života 20.3.2017 Snídáme

GDPR základní fakta General Data Protection Regulation Evropská směrnice pro ochranu osobních dat Zavádí nové přísnější požadavky Nadnárodní platnost Platí bez ohledu na národní normy I mimo EU všechny subjeky spravující data evropských občanů Sankce: Až 20 000 000 EUR nebo 4% celosvětového obratu ( vyšší bere ) Platnost: od 25.5.2018 301: 07 45: 38 37 36 35 34 33 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 09 08 07 06 05 Pracovních dnů Hodin Minut Sekund

GDPR základní fakta EU is watching you

1 Právní rámec Aplikace evropských a lokálních norem Prokázání právního základu pro nakládání s osobními daty Účel a rozsah zpracování osobních dat Co to je a o čem to je Hlavní oblasti GDPR 4 Nakládání s osobními daty Všechna data vč. dokumentů a nestrukturovaných dat Zacházení v souladu s GDPR Registrace, evidence, ochrana 7 Hlášení narušení bezpečnosti Povinnost hlásit dohledové instituci veškeré průniky do osobních dat. Incidenty je nutno hlásit bez zbytečného odkladu 2 Ochrana by default a by design Osobní data uchovávání a zpracování v minimálním nutném rozsahu. Všechny nově navrhované a zaváděné systémy musí splňovat podmínky GDPR pro ochranu dat. 5 Souhlasy Nutný explicitní platný souhlas pro sbírání dat a účely jejich použití. Různé druhy souhlasů, různá pravidla jejich ošetření pro různá data. Všechny datové operace musí souhlas kontrolovat. 8 Organisace Povinnost zřídit roli Pověřence pro ochranu dat (Data Protection Officer) a odpovídající organisační struktury a postupy 3 Zodpovědnost a odpovědnost Schopnost prokázat existenci a využívání procesů pro ochranu osobních dat, Schopnost dokumentovat a monitorovat využívaná osobní data a jejcich stav 6 Nová práva subjektů dat Právo být zapomenut Právo blokace: vyhodnocování automatisovanými procesy, Právo na portabilitu dat! Sankce 20 000 000 EUR nebo 4% z celosvětového obratu (platí vyšší hodnota)

Hlavní oblasti: Co zavedení GDPR zahrnuje Právní problematika Interní procesy a policies, organisace, role, zodpovědnosti Externí procesy, výstupy, zodpovědnosti vůči regulačním autoritám Správa a ochrana personálních dat, infrastruktura Interakce se subjekty osobních dat Povinnosti a zodpovědnosti Aplikace právních norem (GDPR, zákon 101/2000, ), běžný právní výklad a interpretace Zhodnocení dopadu na business Zhodnocení a výběr variant vzhledem k regulatorním a compliance rizikům Definice změn v produktech, procesech a IT Povinnosti vůči regulatorním autoritám Připravenost dokládat, reportovat, hlásit, dokumentovat stav ochrany dat a dalších požadavků GDPR Procesní a technická infrastruktura Registrace a evidence výskytů osobních dat Šifrování, anonymisace, pseudonymisace Kontrola a audit přístupů k datům Udělování a odebírání souhlasů Právo být vymazán a zapomenut Informace o uchovávaných osobních datech Právo na portabilitu osobních dat Rozdílová analýza a analýza rizik Průběžný monitoring vývoje požadavků na lokální úrovni Diskuse s regulátorem Dokumentace s požadavky na změny Business architektura Interní normy a standardy Workflow procesů Rozhraní a výstupy pro poskytování informací Správa a kontrola souhlasů Monitorování dat Identifikace a analysa průniků Kontrola transferů dat Možnost dočasně omezit přístup k datům (blokování)

25.5.2018 Hlavní fáze: Zavedení GDPR Příprava Operace Analysa Zhodnocení připravenosti Gap analysa Analysa procesů, policies, organisace, rolí, odpovědností Analysa datových toků a dat Vyhodnocení a prioritisace Návrh Detailní analysa a BRD Roadmapa implementace Hrubý procesní design Hrubý technický design Implementace Detailní procesní design Detailní technický design Vývoj/dodávka technických komponent Technická integrace Procesní integrace Prováděcí dokumentace Testování Rutinní provoz Infrastruktura Uvedení do provozu Funkce: registrace, evidence, ochrana, souhlasy, monitorování, audit, interakce se subjekty... Změny a údržba

Znalosti, kompetence, zkušenosti, kapacity: Právní rámec Procesní a organisační rámec Metodika pro ochranu osobních údajů Assessment, analysa, návrh Koncepce, architektura Koordinace, integrace Co je k tomu potřeba Technologie, nástroje, infrastruktura, know-how: Technologická podpora analytických činností Nástroje pro registraci a správu osobních dat Technologie zabezpečení dat Nástroje pro správu a sdílení informací Řešení pro spávu a kontrolu souhlasů Připravenost pro česká data (znalostní báze) Analytická a BI řešení GDPR ready EY + SAS společně: Zkušenosti ze spolupráce na projektech GDPR v EU

General Data Protection Regulation Přístup a řešení EY

Řešení pro podporu GDPR Představení nástrojů SAS

GDPR a pokročilé zpracování dat Statistika, souvislosti, vztahy, modely Bonita klienta Risika Detekce podvodů Lifetime value management Segmentace Optimalisace nabídky Oslovování a kampaně Retence Optimalisace komunikace Možnosti, tendence vývoj: Větší záběr: více informací, více dat více souvislostí Adresnost: přesnější, konkrétnější osobnější Lepší výsledek Větší efektivita Regulace Omezení Komplikace

Co se od nás chce? 1 Mít pod kontrolou: ovládnout a řídit, sledovat, orchestrovat 2 Vědět: identifikovat, vyhledat, dokumentovat, doložit 3 Fungovat: chránit, kontrolovat, poskytovat

Kde vidíme výzvy Externí výzvy Co musíme být připraveni splnit vůči autoritám Máme přehled o všech datových zdrojích? Jaká je úroveň risika pro jednotlivé datové zdroje? Můžeme reportovat kde všude jsou osobní data umístěna? Můžeme doložit, jaké procesy máme nastaveny? Máme vše zdokumentováno a auditováno? Interní výzvy Co musíme sami vyřešit Co všechno jsou osobní data? Jak identifikujeme osobní data? Dokážeme řídit a kontrolovat přístup datům? Dokážeme logovat veškerou aktivitu uživatelů pro každé datové úložiště? Jak obtížné je v důsledku duplicit a nízké kvality dat být smazán a zapomenut? Dokážeme evidovat, spravovat a kontrolovat souhlasy v potřebné struktuře a detailu?

Jak na to: Data Governance Lidské zdroje Role, organisace, odpovědnosti, pravomoce, motivace Procesy a policies Pravidla, standardy, procesy policies, Technologie Data, metadata, datové toky, infrastruktura, datová kvalita, monitorování, podpora řízení, assesment

Jak na to: Use cases Define Discover Secure Monitor Master Business Glossary Top-down Analysa CO Definice policies JAK Souvislosti, vazby, vztahy - Lineage Data Quality Bottom-up analysa Identifikace osobních dat Federalisace dat Šifrování: Ano/Pseudonymisace Granularita přístupu Data Governance Mapování metadat Monitorování přístupů Monitorování citlivých dat Monitorování retence dat Alerty remediace Souhlasy Master consent Agregace a konsolidace dat souhlas Správa souhlasů Unikátní individuální náhled Copyright 2016, SAS Institute Inc. All rights reserved.

Podpora nástrojů SAS pro úlohy GDPR Business Assessment Data Assesment Operations Právní aspekty Business procesy, business architektura Policies, pravidla, předpisy Organisace, role, zodpovědnosti Povinnosti vůči dohledovým autoritám Dokumentace, vykazování, dokazování Datové zdroje Identifikace a dohledání osobních dat Kvalita osobních dat, duplicity Datové toky Sdílení dat Analysa risik Evidence a správa výskytů osobních dat Správa s kontrola souhlasů Vymazání všech údajů o osobě Kvalita osobních dat Maskování, ano/pseudonymisace, Monitorování, audit, kontrola přístupu Risk Assessment Policy Management Business Glossary Incident Management Maskování dat, ano/pseudonymizace Data access control, logování, audit Data Lineage Personal Data Sniffer Consent Management & Check SAS EGRC SAS Fed Srv SAS DG SAS DQ Řešení SAS jsou GDPR-ready (i.e. podporují Data protection by design )

SAS EGRC: Charakteristika Visualisace interakcí různých elementů Aparát pro analysu risik Extensivní information management Procesy, workflow, role, audit Použití Data privacy impact assessment Monitorování, reporting, analysy

Privacy by design a by default Zákazníci / partneři Mobilní zařízení / IoT Cloud Sociální média

Privacy by design a by default Zákazníci / partneři Mobilní zařízení / IoT Souhrnná data Veřejná data Federalisovaná datová vrstva Osobní data Soukromá data Zákazníci Produkty Cloud Aktivity Poskytovatelé Sociální média Centrální administrace Řízení přístupu k datům Audit dat Monitorovaná a chráněná datová vrstva Maskování citlivých dat Regulatory compliance Logování Technologické řešení: SAS Federation Server

SAS Federation server: architektura

Znalostní báze SAS Data Quality: Kompletní sada funkcí a nástrojů Zjištění struktur dat Zkoumání obsahu dat Zkoumání vztahů v datech Analysa stavu dat Vytvoření profilu dat Identifikace, kvantifikace, klasifikace a analýza chyb a problémů v datech Automatické rozpoznání obsahu datových položek Automatické rozpoznání struktury dat Základní čištění dat, opravy, překlepy Převedení na požadované (standardisované) hodnoty Převedení na požadovaný formát a strukturu Doplnění chybějícch položek Rozpoznání typu entity (fysická/právnická osoba, pohlaví, typ subjeku ) Kontrola přípustných hodnot Kontrola vůči etalonům Porovnávání (párování záznamů) Fuzzy matching Vytváření skupin záznamů Výběr/vytvoření referenčního, zlatého/master záznamu Výběr nejlepších atributů záznamu Ověření existence v referenčncím zdroji (registru) Adresní registry (UIR-ADR, RUIAN, DDM) Registr ekonnomických subjektů (RES), Obchodní rejstřík, Specialisované registry (klienti, účty, vozidla, nemovitosti ) Informace z blacklistů, watchlistů Doplnění souřadnic Doplnění ratingu firem Analysa Parsing Standardisace Normalisace Identifikace Validace Matching Clustering Master záznam Verifikace Obohacení Monitoring Pro GDPR: Analysa dat Kvalita dat PD Sniffer Monitorování dat Master data management Master consent management + Rozšíření: Data Governance, Glossary, Registry, Lineage

SAS Personal Data Sniffer Co a k čemu to jeto je Specialisované řešení pro identifikaci a extrakci osobních dat Na platformě SAS data Quality Využívá otevřené znalostní báze Transparentnost, flexibilita, snadná přizpůsobitelnost a rozšiřitelnost Otevřenost: platformy, databáze, soubory, strukturovaná a nestrukturovaná data Způsob práce: Automatisované zpracování, batch i online, speciální interaktivní nástroje Použití pro celý životní cyklus GDPR: Přípravná fáze: Prohledání datových zdrojů identifikace a lokalisace dat, statistiky, analysa Operační fáze: Kontroly na přítomnost osobních dat (V/V kontroly ), Monitorování personálních dat

SAS Personal Data Sniffer jak funguje Znalostní báze QKB Identifikační definice 3. Exekuce kontrol Aplikace na data Úloha (Data Job) Data Glossary & Lineage BI aplikace Extrakčni definice 1. Vytvoření definic Pravidla pro rozpoznání osobních dat Komplexní logika Úrovně: Global Language - Local Business pravidlo Monitor task Uživatelsky definovaná metrika Uživatelsky definovaná funkce 2. Použití definic Busineness rule manager GUI pro design dataflow Editor výrazů Data Profiling Data Explorer Federation Server Jiná aplikace (API) Report Monitor Událost Akce Zpráva Jiné aplikace 4. Výstupy DBMS tabulky Datové extrakty Soubory Reporty Profily Explorace Monitory Události Akce Zprávy Podniková data: Databáze, soubory, dokumenty

Personal Data Sniffer použití (příklad) Process Job process flow Konfigurační soubor (txt) Příklad použití: Process Job Řídící logika úlohy (proces flow) Parametry v konfiguračním souboru Postupné načítání všech DB objektů Aplikace identifikační analysy na všechny atributy Výsledky ukládány do DBMS Automatické nahrání výsledků do BI platformy Příklady reportů/dashboardů

Citlivá a osobní data Osobními daty je jakákoliv informace spojená s identifikovanou nebo identifikovatelnou osobou. Demografická Data o Jméno o Pohlaví o Datum narození o Věk o Národnost Kanály o Telefonní čísla o Poštovní adresa o Město o Země o Emailová addresa Identifikátory o Národní ID (Rodné číslo) o Daňové ID o Číslo pasu o Social Security Number o Registrační číslo auta o Číslo řidičsekého prlkazu Organisace o Název o Identifikátory (IČO, DIČ) o Právní forma Bankovní a finanční účty o Bank Identifier Code (BIC) o IBAN o Číslo pojistky Číslo kreditní karty o American Express o VISA o MasterCard o Dinners Club o Discover o JCB Digitální identifikátory o IP adresa (V4, V6) o MAC addressa o X/Y Geggrafické souřadnice Sociální média o Twitter účet o URL FaceBook o URL Linkedin o URL Pinterest o URL Instagram Citlivá data o Stav o Zdraví, orientace o Politická aktivita o Náboženství o Členství v odborech o Genetická informace o Biometrické informace o Rasa o Pohlaví o Etnikum o Děti o

Správa souhlasů Master consent Dílčí souhlasy Časové omezení Omezení lokací Omezení operací Omezení na dílčí data Granularita souhlasů Kontrola souhlasu Kombinace souhlasů Konflikty souhlasů Historické souhlasy vs. historická data Pravidla, správa, role Dávkové zpracování On-line zpracování Přesuny dat Update/Insert/Delete/Select Technologické řešení: SAS Master Data Management/G

Master Consent Management Logické schema Identi fikace Vyhle dání Pohled 360 Při dání Páro vání Veri fikace Instanční záznam Instanční záznam Instanční záznam Instanční záznam Ode brání Lokali sace Instanční záznam Instanční záznam Služba n Master záznam Dimense: Čas Geografie Datová doména Produkt Kanál Operace Org. Jednotka Forma: Opt-in Opt-out Dim 1 Dim n Dim 2 Matice souhlasů Dim 5 Blokace Zákonný důvod Nový souhlas Synchro nisace Zruš souhlas Dim 3 Dim 4 Ze zákona Blok ace Dle účelu Resolve konflikt Přehled souhlasů Kont rola

SAS Data Governance: Business Data network Kolaborativní systém pro sdílení informací o datech Slovníky pojmů, glossary, datový slovník etc. Jednotné rozhraní a jazyk pro technické i business uživatele Definice business i technických pojmů Asociace požadavků a pravidel Definice a popisy datových elementů Zdrojové systémy Vlastnictví dat, přístupová práva Návaznosti: Asociované pojmy Data management services Data Workflows Aplikace

Evidence a správa osobních dat z jednoho místa Řízení osobních dat Koherentní pohled na osobní data přes všechny platformy Automatisované glossary osobních dat Definice, správa a konsolidace business a IT pojmů Přehled o rolích a zodpovědnostech Propojení na systémy, datové toky, business vlastníky Procesní podpora řízení, rolí a zodpovědností Technologické řešení: SAS Business Data Network

SAS Data Governance: Business Data Network

Co z toho? Může být zavedení GDPR také k něčemu dobré? Data Governance Jednotný pohled na party Důvěra Image

Shrnutí Přežijí silní a připravení

Data v kleštích regulací Co přináší nová regulace do našeho života 15.3.2017 SK CI Roadshow

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář