Ako dosiahnuť reálny súlad s GDPR, alebo stručný návod na projekt. Jaroslav Oster

Podobné dokumenty
NOVÉ NARIADENIE EÚ O OCHRANE OSOBNÝCH ÚDAJOV v kontexte kybernetickej bezpečnosti. Brno, 31. mája 2017

GDPR Nové Nariadenie EÚ o ochrane údajov

Čo pre nás bude znamenať GDPR z pohľadu praxe. Jaroslav Oster

Ochrana osobných údajov. Ochrana osobných údajov s účinnosťou od

OCHRANA OSOBNÝCH ÚDAJOV

Kybernetická bezpečnosť vo svetle novej právnej úpravy

BÁRDI AUTO SLOVAKIA, s.r.o. Gazdovský rad 41, Šamorín, spoločnosť zapísaná v Obchodnom registri OS Trnava, Oddiel: Sro, Vložka číslo: 12744/T

Ochrana osobných údajov v spoločnosti HYDAC, s.r.o.

Zabezpečenie priebehu volieb a ochrana osobných údajov dotknutých osôb. Prevádzkovateľ: Obec Beňuš Adresa: Beňuš 355 Beňuš, IČO:

Pravidlá ochrany osobných údajov

Analýza rizík a kontrolné opatrenia

Postupy na uplatnenie práv dotknutých osôb

Ochrana osobných údajov v samospráve v kontexte nového zákona o ochrane osobných údajov JUDr. Lucia Kopná

Záznam o spracovateľských činnostiach prevádzkovateľa HYDAC, s.r.o.

Pravidlá ochrany osobných údajov

Informácie o spracúvaní osobných údajov a súhlas so spracúvaním osobných údajov pre účely marketingu a reklamy

Energetický audit a systém manažérstva hospodárenia s energiami podľa EN / ISO 50001

ZÁSADY SPRACOVANIA OSOBNÝCH ÚDAJOV DODAVATEĽOV SPOLOČNOSTI 2people s.r.o.

ľudovej zábavy, zariadenia detských ihrísk a športovo-rekreačné zariadenia Ing. Monika Laurovičová odbor skúšobníctva

Obec Jablonov Obecný úrad Jablonov 165

Ochrana osobných údajov

Ako vyplniť elektronický formulár vo formáte PDF 16 b.

o používaní kamerového systému v zmysle zákona č. 122/2013 Z.z. o ochrane osobných údajov a Vyhlášky Úradu na ochranu osobných údajov č. 164/2013 Z.z.

Článok 1 Zmluvné strany

O B V O D N Ý Ú R A D Ž I L I N A Janka Kráľa 4, Žilina

Ako postupovať pri spracovaní súboru example_summary_procedure_tem plate_sk.xls

A. VÝCHODISKÁ SPRACOVANIA STANOVISKA :

Vlastník stavby (alebo jeho splnomocnený zástupca): meno (názov firmy):... adresa (sídlo):... PSČ:... kontakt (tel. č., ):...

Smernica pre výkon finančnej kontroly na Mestskom úrade v Lipanoch

Univerzita sv. Cyrila a Metoda v Trnave Smernica č. 1/2010

S T A N O V I S K O hlavného kontrolóra obce k návrhu rozpočtu Obce Staškovce na rok 2016, viacročného rozpočtu na roky

Informácia o výberovom konaní

Vzor PRÍDELOVÝ LÍSTOK KATEGÓRIE A

Katolícka univerzita v Ružomberku

Informácie o ochrane osobných údajov

GDPR 2016/679 ) 18/2018 Z.

ŽIADOSŤ O GRANT. Zaradenie projektu do oblasti. Názov projektu. Žiadateľ. Číslo projektu

Smernica Fondu na podporu umenia o vnútornej finančnej kontrole

ŽIADOSŤ. o registráciu autoškoly. Meno Priezvisko Titul pred menom DIČ. Kraj. Číslo. Meno Priezvisko Titul pred menom Titul za menom Typ štatutára

Oboznámenie so spracúvaním osobných údajov

Zásady manipulácie, zberu, prepravy a nakladania s VŽP. Vedľajší živočíšny produkt kuchynský odpad materiál kategórie 3

Vyhlásenie o dodržiavaní zásad Kódexu správy a riadenia spoločností na Slovensku

ZBIERKA ZÁKONOV SLOVENSKEJ REPUBLIKY. Ročník Vyhlásené: Časová verzia predpisu účinná od:

CHL a P Novinky v legislatíve. VOC, aerosóly, harmonizovaná klasifikácia

Bezpečnostný projekt egovernmentu

Základná škola Ul. 17. novembra 31, Sabinov

Čl. 1 Úvodné ustanovenie

S M E R N I C A o postupe pri povinnom zverejňovaní objednávok, faktúr a zmlúv

Princíp analýzy rizík a jej aplikácia na vodárenské systémy

I. Pramene práva. Právny stav do

ONLINE školenie. BRC Globálny štandard pre bezpečnosť potravín Verzia č. 8

2. Názov zákazky podľa verejného obstarávateľa Oprava vrátnice vestibulu ŠD

Osoba podľa 8 zákona finančné limity, pravidlá a postupy platné od

Legislatívny rámec. bezpečnej prevádzky civilného letectva (systém manažmentu bezpečnosti)

Expozičný scenár. Príloha KBU

VYHLÁSENIE O PARAMETROCH

PREHLÁSENIE SPRÁVCU O SPRACOVANÍ OSOBNÝCH ÚDAJOV

Ministerstvo školstva Slovenskej republiky

Implementácia v praxi

Enviroportál a jeho zmeny vyvolané novelou zákona č. 24/2006 Z. z. o posudzovaní vplyvov na životné prostredie

ZMENA ÚZEMNÉHO PLÁNU. Materiál pre zasadnutie Mestského zastupiteľstva Pripravil: Ing. Eugen Szabó Štúrovo,

Informačná podpora podnikania a firemné informačné strediská na Slovensku

Ochrana utajovaných skutočností a ochrana osobných údajov

Systémy manažérstva kvality podľa normy ISO 9001: 2015

Ponuka vzdelávacích aktivít na január - jún 2017

Podlimitná zákazka Verejný obstarávateľ

Výzva na predloženie ponuky ( 9 ods. 9 zákona č. 25/2006 Z. z. )

Manažment environmentálnych záťaži. Ing. Katarína Paluchová, SAŽP

U S M E R N E N I E č. 1/ k odbornej spôsobilosti a odbornej príprave v radiačnej ochrane podľa zákona č. 87/2018 Z. z. o radiačnej ochrane

Inovácie v sociálnych službách - elektronizácia

M R2454 SK

Spoločnosť Wüstenrot monitoruje všetky bezpečnostné informácie a udalosti v informačnom systéme

ZÁSADY OCHRANY OSOBNÝCH ÚDAJOV

Bakalárske projekty pre študentov v Bratislave ak. rok 2011/2012

Ministerstvo zdravotníctva SR

SOCIÁLNY ASPEKT VO VEREJNOM OBSTARÁVANÍ : SKÚSENOSTI ZO SLOVENSKA

Prevádzkový poriadok fitnes klubu/ obecnej posilňovne v Pucove.

ZÁKONNÁ POVINNOSŤ STANOVENÁ NARIADENÍM EURÓPSKEHO PARLAMENTU A RADY (EU) 2016/679

Zodpovednú osobu prevádzkovateľa možno kontaktovať na mailovej adrese alebo písomne na adresu sídla Auxerre.

SYSTÉM MANAŽMENTU KVALITY (SMK) podľa noriem ISO radu 9000 je SMK súbor činností riadenia organizácie zameraný na dosiahnutie spokojnosti zákazníka.

Požiadavky TESCO štandardu na výrobcov potravín verzia

GDPR. General Data Protection Regulation kybernetická bezpečnosť pre poskytovateľov zdravotnej starostlivosti GDPR

Článok I. Zmluvné strany

ORGANIZAČNÁ SMERNICA PRE SPRACÚVANIE A OCHRANU OSOBNÝCH ÚDAJOV V ORGANIZÁCII

Mobilná aplikácia pre zaznamenávanie údajov systému HACCP

Obec Sklené Sklené 97, IČO: , DIČ:

Externé zariadenia Používateľská príručka

Národný inšpektorát práce. nostno- technickými požiadavkami na výrobky -

Výzva na predloženie ponuky SLUŽBY Adaptačné opatrenia na klimatické zmeny školy pod Slanským hradom- Bioklimatické dažďové záhrady

Smernica primátora č. 2/2011 o vykonávaní kontroly požívania alkoholu, omamných látok alebo psychotropných látok

ISO NORMY PRIDANÁ HODNOTA PRE FIRMU, ČI NUTNÉ ZLO? BUSINESS VALUE ADDED OF ADOPTION OF ISO STANDARDS

Kontrola používania alkoholických nápojov, omamných a psychotropných látok

Smernica o používaní kamerového systému v objekte školy v zmysle zákona č. 428/2002 Z.z. o ochrane osobných údajov

PRVÁ ČASŤ ZÁKLADNÉ USTANOVENIA

Informácia o spracúvaní osobných údajov Tretie strany

ŽIADOSŤ O PRIDELENIE BYTU z výstavby postavenej s podporou štátu. Meno a priezvisko žiadateľa:... Adresa trvalého pobytu:...

Na rokovanie obecného zastupiteľstva dňa

Usmernenie pre administráciu osi 4 LEADER z Programu rozvoja vidieka SR

116 TP, aplikácia v praxi, aktívna a pasívna právna pomoc. Alica Kováčová PhD. riaditeľka medzinárodného odboru G P S R

VÝZVA NA PREDLOŽENIE CENOVEJ PONUKY V ZADÁVANÍ ZÁKAZKY S NÍZKOU HODNOTOU

Transkript:

Ako dosiahnuť reálny súlad s GDPR, alebo stručný návod na projekt Jaroslav Oster

Agenda...instantné a bezpracné riešenie neexistuje, zmierte sa s tým Platnosť 27.apríl 2016 oficiálne zverejnenie Analýza Plán/ Rozpočet Implementačné procesy 25. máj 2018 Nariadenie Európskeho parlamentu a Rady 2016/679

Pripomeňme si základné zásady spracovania osobných údajov zásada zákonnosti spracovanie len zákonným spôsobom zásada obmedzenia účelu spracovanie obmedzené len na konkrétny a oprávnený účel zásada minimalizácie údajov primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom zásada správnosti spracovanie správnych údajov zásada minimalizácie uchovávania len po dobu ktorú trvá účel (zákonný dôvod, súhlas) zásada integrity a dôvernosti zabezpečenie základných atribútov bezpečnosti zásada zákonnosti zodpovednosť za súlad, bezpečnosť a preukaznosť

Zákonnosť spracovania Spracovanie osobných údajov je neprípustné GDPR definuje výnimky: dotknutá osoba vyjadrila súhlas so spracúvaním OÚ na jeden alebo viaceré konkrétne účely spracúvanie je nevyhnutné pre plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba spracúvanie je nevyhnutné pre splnenie zákonnej povinnosti prevádzkovateľa spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi spracovanie je nevyhnutné na účel oprávneného záujmu prevádzkovateľa

Nové práva s dopadmi na procesy Právo na: informovanie o stave aj incidentoch obmedzenie spracovania zabudnutie (nie absolútne právo) opravu zmeny v politike súhlasu prenositeľnosť zmeny v spracovaní OÚ detí obmedzenie profilovania

Nové povinnosti s dopadmi na procesy zodpovednosť za spracovanie preukaznosť súladu spracovania s požiadavkami GDPR / zákona a ich pravidelnej aktualizácie priama zodpovednosť - zmena dôkazného bremena povinné zohľadňovanie rizík pre práva a slobody fyzických osôb povinné posudzovanie dopadu na ochranu údajov (tzv. Data Protection Impact Assessment) Data Protection Officer prijatie vhodných technických a organizačných opatrení Privacy by Design Privacy By Default notifikačné povinnosti zmeny cezhraničného prenosu vzťah so sprostredkovateľom

Bez znalosti čo kde máme a čo nám hrozí, to nepôjde

Analýza aktuálneho stavu Analýza súladu Porovnanie súčasného stavu s požiadavkami GDPR/ zákona Rozdielová analýza súladu s GDPR (GAP) Identifikácia informačných aktív Identifikácia osobných údajov Posúdenie aktuálneho stavu ISMS Analýza hrozieb a rizík Identifikácia procesov s potenciálnou väzbou na GDPR Zoznam informačných aktív súvisiacich so spracovateľskými operáciami Prehľad identifikovaných informačných systémov v kontexte spracovania OÚ Zhodnotenie vyspelosti procesov Identifikácia dátových tokov Zoznam osobných údajov v dátach a procesoch Prehľad identifikovaných kategórií osobných údajov Identifikácia zákonnosti spracovania Posúdenie úrovne riadenia informačnej bezpečnosti Identifikácia a posúdenie aktuálnych bezpečnostních opatrení Identifikácia zraniteľnosti Posúdenie hrozieb Kvantifikácia rizík

Diagramy spracovateľských činností 37 (1) Záznamy o spracovateľských činnostiach Prevádzkovateľ a zástupca prevádzkovateľa, ak bol poverený, je povinný viesť záznam o spracovateľských činnostiach, za ktoré je zodpovedný Notácia zápisu UML/BPML

Identifikácia osobných údajov a operácií Nové kategórie osobných údajov nutné zohľadniť: lokalizačné údaje, online identifikátor informácie o nákupoch, nákupných zvyklostiach, on-line správaní, metadáta z predošlého využívania služieb určené pre profilovanie, fotografie Spracovateľské operácie od vyhlásenia účelu cez získavanie až po archiváciu

Analýza súladu pripravenosť na GDPR Sprostredkovateľ 5 4 7 Spracúvanie osobitných kategórií osobných údajov 0 12 Právo dotknutej osoby na prístup k údajom 3 1 10 Posudzovanie rizík 4 3 4 Práva dotknutej osoby na zmeny v spracúvaní 2 4 16 Zodpovednosť prevádzkovateľa 0 12 Zásady a bezpečnosť spracúvania 3 2 11 Zákonnosť spracúvania 0 3 18 Podmienky vyjadrenia súhlasu 0 7 Oznámenie porušenia ochrany 5 0 Informovanosť a povedomie 6 2 23 Nesúlad Čiastočný súlad Súlad

Posúdenie vplyvu (Zdroj: WP29) Popis zamýšľaného spracovania Monitoring Posúdenie nevyhnutnosti a proporcionality 42 Posúdenie vplyvu na ochranu osobných údajov Dokumentácia Predpokladané opatrenia k preukázaniu súladu Plánované opatrenia k pokrytiu rizika Posúdenie rizík dopadov na práva a slobody

Potenciálne zdroje hrozieb Katalóg hrozieb ISO/IEC 27005 Deliberate (Úmyselné) Ľudské konanie Accidental (Náhodné) Environmental Vplyvy prostredia Úmyselné Náhodné Neautorizovaný používateľ (tzv. outsider) Autorizovaný používateľ (tzv. insider) Typicky fraudster, hacker, cracker Typicky - sklamaný zamestnanec Typicky - ignorujúci zamestnanec Záplavy, požiare, zemetrasenia, hurikány Porušenie práv dotknutých osôb

ISO 27005 Katalóg hrozieb Riziko Hrozba Zdroj Fyzické poškodenie Oheň A, D, E Poškodenie vodou A, D, E Znečistenie A, D, E Závažná havária A, D, E Zničenie zariadenia alebo médií A, D, E Prach, korózia, mráz A, D, E Prírodné udalosti Klimatický jav E Zemetrasenie E Sopečná činnosť E Meteorologický jav E Povodeň E Strata dôležitých služieb Porucha klimatizácie alebo vodovodu A, D Výpadok elektriky A, D, E Porucha telekomunikačných zariadení A, D Narušenie spôsobené žiarením Elektromagnetické žiarenie A, D, E Tepelné žiarenie A, D, E Elektromagnetické impulzy A, D, E

ISO 27005 Katalóg hrozieb Riziko Hrozba Zdroj Kompromitácia informácii Príjem kompromitujúceho rušivého signálu D Vzdialená špionáž D Odpočúvanie D Krádež médií alebo dokumentov D Krádež vybavenia D Získanie recyklovaných alebo poškodených médií D Odhalenie A, D Údaje získané z nedôveryhodných zdrojov A, D Manipulácia s HW D Manipulácia so SW A, D Zistenie polohy D Technické zlyhanie Zlyhanie vybavenia A Porucha vybavenia A Zahltenie informačného systému A, D Chyba SW A Zanedbanie údržby systému A, D Nepovolené aktivity Nepovolené použitie vybavenia D Podvodné kopírovanie softvéru D Použitie falošného alebo kopírovaného softwaru A, D Poškodenie dát D Nepovolené spracovanie dát D Kompromitácia funkcií Chyba používateľa A Zneužitie prístupových práv A, D Vynucovanie práv D Odmietnutie aktivity D Nedostupnosť osoby A, D, E

Generický postup analýzy rizík Hrozba Katalóg hrozieb Korekčné opatrenia Účinok hrozby Frekvencia hrozby Preventívne opatrenia Dopad incidentu Pravdepodobnosť incidentu Riziko

Spojený katalóg hrozieb ISO27005 & LINDDUN ISO 27005 LINDDUN Fyzické poškodenie Prírodné udalosti Strata dôležitých služieb Narušenie spôsobené žiarením Kompromitácia informácii Technické zlyhanie Nepovolené aktivity Kompromitácia funkcií Spojiteľnosť Identifikovateľnosť Nepopierateľnosť Detekovateľnosť Odtajnenie informácie Neznalosť obsahu Nesúlad s politikami a poskytnutým súhlasom Entita Úložisko Prenos Proces

Analýza hrozieb a rizík Kategória hrozby Hrozba P P D D Rating rizika Kvantifikácia rizika Neautorizované činnosti Nelegálny import / export softvéru (podvodné kopírovanie sw, použitie kopírovaného sw) 2 Veľmi malá 20 zanedbateľný vplyv, strata 4 Zanedbateľné Neautorizované činnosti Poškodenie dát 4 Malá 60 stredný vplyv, strata 24 Malé Neautorizované činnosti Prístup neoprávneného používateľa k sieti 2 Veľmi malá 40 malý vplyv, strata 8 Zanedbateľné Neautorizované činnosti Škodlivý softvér 7 Stredná 60 stredný vplyv, strata 42 Stredné Neautorizované činnosti Zmena obchodných dát zlomyseľným užívateľom 4 Malá 80 značný vplyv, strata 32 Malé Súkromie Detekovateľnosť 7 Stredná 60 stredný vplyv, strata 42 Stredné Súkromie Identifikovateľnosť 7 Stredná 80 značný vplyv, strata 56 Vysoké Súkromie Nepopierateľnosť 10 Vysoká 100 katastrofický vplyv, strata 100 Extrémne vysoké Súkromie Nesúlad systému s politikami a poskytnutým súhlasom 4 Malá 40 malý vplyv, strata 16 Zanedbateľné

Analýza hrozieb a rizík Výpadok základných služieb 8,40% Zlyhania techniky 11,02% Fyzické poškodenie 5,88% Zneužitie práv Chyby používateľov 60 50 40 Maskovanie identity Súkromie 37,80% Interferencia žiarením 3,67% 30 20 10 Kompromitácia funkcií 6,30% Zhoršovanie stavu pamäťových médií 0 Nedostupnosť personálu Kompromitácia informácií 6,94% Prírodné udalosti 3,67% Neautorizované činnosti 16,31% Používanie softvéru neoprávneným spôsobom Odmietnutie činností Zlyhania techniky Výpadok základných služieb Fyzické poškodenie 45 40 35 30 25 20 15 10 5 0 Interferencia žiarením Kompromitácia funkcií 60,00 35,00 Neautorizované činnosti Súkromie Súkromie Kompromitácia informácií Prírodné udalosti Fyzické poškodenie Kompromitácia informácií Výpadok základných služieb Zlyhania techniky Prírodné udalosti Neautorizované činnosti Interferencia žiarenímkompromitácia funkcií 10,00 1,00 2,00 3,00 4,00 5,00 6,00 7,00

Posúdenie aktuálneho stavu opatrení

Prieskum od susedov Zdroj: http://byznys.ihned.cz/ prieskum IPSOS pre AMSP ČR, 6/2017

Zvyšovanie bezpečnostného povedomia STN ISO/IEC 27001 Povedomie o informačnej bezpečnosti, vzdelávanie a školiaca činnosť Všetci zamestnanci organizácie a v prípade, že je to potrebné, aj zmluvní partneri by mali absolvovať vhodné školenie v oblasti bezpečnostného povedomia a mali by sa im pravidelne poskytovať aktualizované verzie politík a postupov organizácie, tak ako si to vyžaduje ich pracovné zaradenie. Spätná väzba Budovanie firemnej kultúry Odkomunikovanie interných štandardov GDPR Článok 47 "Záväzné vnútropodnikové pravidlá 49 zákona 18/2018 2. V záväzných vnútropodnikových pravidlách uvedených v odseku 1 sa uvedie aspoň: n) primeraná odborná príprava personálu, ktorý má stály alebo pravidelný prístup k osobným údajom, v oblasti ochrany údajov. Efektivizácia informovanosti Zjednotenie vstupných informácií a vedomostí

Incident manažment povaha incidentu kategórie dát predpokladaný počet osôb predpokladaný počet záznamov pravdepodobné dopady prijaté opatrenia plán oznamovania incidentov 72 hodín dozorovému úradu bez odkladu DO (ak povedie k vysokému riziku pre práva a slobody) plán riešenia incidentov povinné vedenie dokumentácie kontaktné údaje DPO

... myšlienky na záver Technické a organizačné opatrenia efektívne účinne primerane GDPR projekt je téma pre tím, nie pre jednotlivca instantné riešenia typu BP122 sú falošnou nádejou bez dokumentácie to nedáte na preukaznosť pamätajte v prvom rade

Info consult, s.r.o. Martina Rázusa 29 Lučenec 0905 272066 www.infoconsult.sk oster infoconsult.sk

Poučenie na záver

Kamerové systémy Zákonný dôvod režimová ochrana (legislatíva) Oprávnený záujem ochrana majetku bezpečnosť monitoring technológie Na čo radšej zabudnite kamery so zvukovou stopou (záznam) videoanalýzu (automatické profilovanie) monitoring správania, behaviorálnu analýzu monitorovanie dôverných zón Na čo nezabudnite preukázateľne informovať zamestnancov viditeľne označovať perimeter dodržiavať retenčné lehoty úschovy záznamov preukázateľne poučiť oprávnené osoby NAIH/2017/1961/18/H zo dňa 24.10.2017 18 miliónov HUF = 56.000

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář