Olga Přikrylová IT Security konzultant / ITI Seminář k GDPR. Ochrana osobních údajů

Podobné dokumenty
Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Nová pravidla ochrany osobních údajů

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

Zásady ochrany osobních údajů

#gdpr #gastro #hotel. 16. února Janka Brezániová

OCHRANA OSOBNÍCH ÚDAJŮ V RÁMCI ORAGANIZACE INFORMACE PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

Prohlášení o ochraně osobních údajů

INFORMACE O OCHRANĚ OSOBNÍCH ÚDAJŮ PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

SMĚRNICE O OCHRANĚ A PRÁCI S OSOBNÍMI ÚDAJI Č. 01/2018

Obecné nařízení o ochraně osobních údajů

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

SPISOVÁ SLUŽBA A GDPR

ORGANIZAČNÍ ŘÁD ŠKOLY

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Změny v ochraně osobních údajů v souvislosti s novým nařízením GDPR. Mgr. Kristýna Delmar Barcamp Brno 2017

Jak by se s tím měli vyrovnat podnikatelé v oboru elektro?

Právní úprava ochrany osobních údajů. Václav Stupka

Záznam o zpracování osobních údajů

INFORMACE O OCHRANE OSOBNI CH Ú DAJÚ PRO POSKYTOVATELE OSOBNI CH Ú DAJÚ

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

Miloš Sarauer, Libenice 151, Kolín, IČ : , DIČ : CZ Směrnice pro práci s osobními údaji. Článek 1 Úvodní ustanovení

GDPR Obecné nařízení o ochraně osobních údajů

Představení služeb Konica Minolta GDPR

Legislativní hranice identifikovatelnosti pacienta. Mgr. Konstantin Lavrushin

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

GDPR ochrana osobních údajů

INFORMACE O OCHRANE OSOBNI CH Ú DAJÚ PRO POSKYTOVATELE OSOBNI CH Ú DAJÚ

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Ochrana osobních údajů Implementace GDPR

Co je to GDPR? Co je považováno za OÚ? Co je zpracování OÚ? Kdo je subjektem OÚ?

GDPR v sociálních službách

Příloha č. 1 Kontrolní seznam o připravenosti na nařízení GDPR Checklist

Jak chránit osobní data v elektronickém a digitalizovaném účetnictví? Stanislav Klika

Dopady GDPR a jejich vazby

INFORMACE O OCHRANE OSOBNI CH Ú DAJÚ PRO POSKYTOVATELE OSOBNI CH Ú DAJÚ

Obecné nařízení o ochraně osobních údajů (GDPR) ve veřejné správě Mgr. Michal Nulíček, LL.M. ROWAN LEGAL

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

GDPR obecně Svaz měst a obcí

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

Povinnosti obce nebo města jako správce podle GDPR. Jarní celostátní odborný seminář STMOÚ Valeč Přednášející JUDr.

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů aktuálně

INFORMACE O OCHRANE OSOBNI CH Ú DAJÚ PRO POSKYTOVATELE OSOBNI CH Ú DAJÚ

Právní ohledy využití dat o návštěvnících a zákaznících. JUDr. Pavel Pešek Legal Department Director

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

Politika ochrany osobních údajů

GDPR. Požadavky na dokumentaci. Luděk Nezmar

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

Směrnice pro nakládání s osobními údaji. Městský úřad Vamberk

Systémová analýza a opatření v rámci GDPR

(Snad) praktický pohled na GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

ALIS spol. s r.o., Česká Lípa říjen 2017

Seznam vzorů, které naleznete v publikaci:

Ochrana osobních údajů

Informace o zpracování osobních údajů

Nakládání s osobními údaji

POVĚŘENEC OCHRANY OSOBNÍCH ÚDAJŮ, HROZBY A RIZIKA VE ŠKOLSTVÍ V PROBLEMATICE GDPR

PROHLÁŠENÍ O ZPRACOVÁNÍ A OCHRANĚ OSOBNÍCH ÚDAJŮ

PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

1. Kdo je správcem Vašich osobních údajů

Základní škola Děčín II, Kamenická 1145 S M Ě R N I C E Č. 22

JAK SE PŘIPRAVIT NA GDPR?

Prohlášení o zpracování a ochraně osobních údajů společnosti SML AUTOCENTRUM, s.r.o.

Zabezpečení osobních údajů

Praktická implementace obecného nařízení o ochraně osobních údajů (GDPR) v resortu zdravotnictví Mgr. JUDr. Vladimíra Těšitelová 1.

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

GDPR v kostce 12 kroků k implementaci pro oblast cestovního ruchu

OCHRANA OSOBNÍCH ÚDAJŮ

Školení GDPR pro Cosmetics Atok International

Článek 13. Informace uvedené v tomto dokumentu jsou platné od data jejich zpracování správcem.

Přijatá opatření při zpracovávání osobních údajů. (Informace OÚ Hudlice)

Informace o zpracování osobních údajů

Co všechno je zpracování osobních údajů podle GDPR

GDPR. analýza. Název subjektu: Renospond s.r.o. IČ: Adresa: Zderaz 119, Proseč. Pověřenec pro ochranu osobních údajů: Sabina Shorná

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Praktické důsledky GDPR v e-learningu IS MU. Mgr. Veronika Smítková Právní odbor RMU 1

Směrnice č. 01/2018 Ochrana osobních údajů na Asociace pro vodu ČR z.s. Článek 1 Předmět úpravy. Článek 2 Základní pojmy

Informace k ochraně osobních údajů - GDPR

Projekt GDPR-CZ. innogy Přístup k projektu. Agenda. 12/09/2017 Page 1. Praha 13. září Úvod a cíle projektu. Kontext GDPR.

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Transkript:

Olga Přikrylová IT Security konzultant / ITI 7. 3. 2 0 1 7 Seminář k GDPR Ochrana osobních údajů

Program - co nás dnes čeká? Osobní údaje vs. ochrana fyzických osob GDPR Povinnosti (právnické osoby) Zákonné zpracování Práva (fyzické osoby) Procesy, smlouvy, dokumenty a záznamy DPO Životní cyklus osobních údajů vs. bezpečnost Příklady opatření (technických, organizačních) Dotazy/diskuze 2

Musíme osobní údaje nějak zvlášť chránit? 3 1950: 1981: 1993: Evropská úmluva o ochraně lidských Úmluva o ochraně osob se zřetelem Ústava (ČR) práv a základních svobod na automatizované zpracování osobních dat 1995: 2000: 2016: směrnice EU zákon o ochraně OÚ nařízení EU (mezinárodní úprava) (národní úprava ČR) (mezinárodní úprava) Mezinárodní významný den: 28. leden (2017) - Den ochrany osobních údajů

Jaké osobní údaje zpracováváte? 4 Osobní údaje (OÚ) Zvláštní kategorie osobních údajů (citlivé OÚ)

Co to vlastně je osobní údaj (OÚ)? 5 Dle GDPR: - informace o identifikované nebo identifikovatelné fyzické osobě, - lze přímo či nepřímo identifikovat na základě jména, identifikačního čísla, lokačních údajů, prvků fyzické, fyziologické (biometrické), genetické, psychické, ekonomické, kulturní nebo společenské identity, e-mail, on-line identifikátorů (IP adresa) nebo cookies Dle zákona č. 101/2000 Sb.: - informace týkající se určeného nebo určitelného subjektu údajů - lze přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu

Co to je citlivý údaj? 6 Dle GDPR: Zvláštní kategorie osobních údajů - např. o zdravotním stavu - podrobnější právní úprava ponechána na členských zemích Dle zákona č. 101/2000 Sb.: - o národnostním, rasovém nebo etnickém původu, - politických postojích, členství v odborových organizacích, - náboženství a filozofickém přesvědčení, - odsouzení za trestný čin, - zdravotním stavu (tělesném a duševním, vč. lék. záznamů) a sexuálním životě, - genetický a biometrický údaj umožňující přímou identifikaci nebo autentizaci SÚ

Kontrolní otázka: poznáte osobní/citlivé údaje? 7

Co znamená zkratka GDPR? 8 Nařízení EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES Nařízení X směrnice

GDPR - od kdy platí? 9 Nařízení nabývá účinnosti již 25. května 2018 Správce (a zpracovatel) má cca 1 rok na zavedení všech povinných opatření K datu účinnosti musí správci/zpracovatelé splňovat požadavky GDPR (přinejmenším v rozsahu, který je pro ně závazný) K datu účinnosti mohou být správcům/zpracovatelům OÚ uděleny sankce

GDPR - co hrozí? Při nedodržení nebo porušení požadavků GDPR sankce 10 až do: 20 000 000 Euro (540 000 000 Kč) nebo 4 % z ročního (celosvětového) obratu firmy Pro srovnání: dosavadní pokuty ÚOOÚ mohou dosáhnout max. 10 miliónů (Kč)

GDPR - pro koho platí? 11 Kdokoliv (i mimo EU), kdo zpracovává nebo shromažďuje OÚ občanů členských zemí EU veřejný sektor soukromý sektor, zejména pokud zpracování OÚ souvisí: s nabídkou zboží nebo služeb s monitorováním chování fyzických osob Výjimky: zpravodajské služby policie apod. Nařízení prakticky stírá rozdíl mezi správcem a zpracovatelem!

Jste správcem nebo zpracovatelem? Správce: osoba (práv.) určující účel a prostředky zpracování OÚ osoba (práv.) zodpovědná za jejich ochranu Např.: obchodní firma s vlastním e-shopem, zdravotnické zařízení, obecní úřad. 12 Zpracovatel: osoba (práv.) pověřená správcem zpracovávat OÚ nově stejná odpovědnost jako správce nově ustanovena povinná písemná smlouva mezi správcem a zpracovatelem Např.: dodavatelská firma provozující pro obchodní firmu e-shop, informační systém, cloudové služby, outsourcing, zpracování mezd (jakékoliv služby, při nichž dochází ke zpracování OÚ) Na velikosti nezáleží!!!

Správce vs. zpracovatel 13 Písemná smlouva

Povinnosti správců/zpracovatelů Odpovědnost DPO 14 Smluvní vztahy Původ OÚ Účel/y zpracování test kompatibility Minimalizace Omezení doby zpracování Pseudonymizace Vedení záznamů Hlášení incidentů Hodnocení vlivu Zákonnost Zabezpečení Přenositelnost

Co nařízení nařizuje správci i zpracovateli? 15 Musí být schopen prokázat, co je v jeho případě odpovídající prostředek na základě analýzy rizik!

Povinnosti vůči subjektům údajů 16 OÚ = majetek fyzické osoby Bezplatnost (výjimky) Informovanost o opatřeních Srozumitelné informace: rozsah místa uložení/zpracování doba zpracování příjemci třetí strany zabezpečení Hlášení incidentů Zajištění práv SÚ: právo na přístup k OÚ požadavek na opravu/úpravu omezení zpracování vznesení námitky (= zvláštní režim pro OÚ) nesouhlas se zpracováním výmaz (právo být zapomenut) přenositelnost + povinnost informovat o požadavku SÚ další správce/zpracovatele

Povinnosti vůči ÚOOÚ 17 Záznamy o činnostech zpracování OÚ Hlášení incidentů (do 72 hodin) Odpovídající opatření Analýza rizik OÚ Posouzení vlivu Komunikace s ÚOOÚ (schválení kodexu, závazných pravidel apod.)

Kdy je zpracování OÚ zákonné? 18 Pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu: subjekt OÚ udělil souhlas zpracování OÚ je nezbytné pro: splnění smlouvy splnění právní povinnosti ochranu životně důležitých zájmů subjektu OÚ nebo jiné fyzické osoby splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci účely oprávněných zájmů (netýká se zpracování prováděného OVM při plnění jejich úkolů)

Souhlas Schopnost správce (nebo zpracovatele) vždy: 19 doložit, že subjekt údajů udělil souhlas se zpracováním získat a po celou dobu zpracování uchovávat průkazný souhlas se zpracováním Souhlas musí být: svobodný určitý informovaný srozumitelný jednoznačný

ÚOOÚ a oblasti zákonného zpracování OÚ výčet zákonných agend a s nimi souvisejících postupů týkajících se zpracování OÚ 20

Přestávka na kafe

Novinka 22 Nařízení zavádí (a v konkrétních případech vyžaduje) novou roli: DPO Data Protection Officer (pověřenec pro ochranu OÚ)

Kdy musí být jmenován DPO? 23 Správce a zpracovatel jmenují pověřence pro ochranu OÚ vždy, když: zpracování provádí OVM či veřejný subjekt (s výjimkou soudů jednajících v rámci svých soudních pravomocí) hlavní činností správce nebo zpracovatele je: rozsáhlé pravidelné a systematické monitorování subjektů údajů rozsáhlé zpracování zvláštních kategorií údajů rozsáhlé zpracování OÚ týkajících se rozsudků v trestních věcech a trestných činů

K čemu je DPO? (dobře) radí poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům o jejich povinnostech v souvislosti se zpracováním OÚ poskytování poradenství na požádání při posouzení vlivu na ochranu OÚ, a monitorování jeho uplatňování monitoruje soulad s tímto nařízením, dalšími předpisy EU v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany OÚ, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů spolupracuje s ÚOOÚ působí jako kontaktní místo pro: ÚOOÚ v záležitostech týkajících se zpracování, včetně předchozí konzultace, případně vedení konzultací v jakékoli jiné věci pro subjekty zpracovávaných OÚ 24

Kvalifikační předpoklady DPO Obecná definice: 25 profesní kvality, zejména: odborné znalosti práva a praxe v oblasti ochrany OÚ schopnosti plnit úkoly DPO Zajištění role: vlastní zaměstnanec pracovní smlouva odpovědnost dle zákoníku práce externista smluvní ujednání s dodavatelem služby

Povinnosti DPO? Pověřenec může dostávat i jiné úkoly (kumulovaná funkce) 26 Nesmí: být ve střetu zájmů dostávat žádné pokyny týkající se výkonu jeho úkolů Může: mít tým více pracovníků pracujících jako tým může účinněji poskytovat služby svým klientům být pověřen úkolem vést záznamy o činnostech zpracování Musí: jasně rozdělit úkoly v pověřencově týmu určit jednoho pracovníka jako hlavní kontakt a osobu pověřenou péčí o zákazníka brát patřičný ohled na riziko spojené s operacemi zpracování a současně přihlíží k povaze, rozsahu, kontextu a účelům zpracování

Vedení záznamů o činnostech zpracování OÚ Povinný obsah: jméno a kontaktní údaje správce a zpracovatele + DPO účely zpracování + důsledky (je-li založeno na profilování) kategorie subjektů údajů kategorie osobních údajů kategorie příjemců informace o předávání osobních údajů (třetí země) lhůty pro výmaz jednotlivých kategorií údajů technická a organizační opatření 27

Dokumentace a záznamy: smlouvy se správci/zpracovateli/dodavateli služeb (vč. DPO) záznamy z analýzy rizik posouzení vlivu auditní záznamy (manipulace s OÚ) souhlasy SÚ informace pro subjekty 28 šablona pro hlášení incidentů (třem subjektům) šablony pro uplatnění práv SÚ dokumentovaná technická a organizační opatření...

Ohlašování bezpečnostních incidentů 29 Proces pro hlášení: evidence všech incidentů odpovědná osoba za hlášení co hlásit (vyhodnocení + metodika) doporučení, jak zmírnit nežádoucí účinky V případě: narušení ochrany OÚ -> ÚOOÚ (do 72 hodin) vznik bezprostředního rizika -> subjektu OÚ (jakmile je to proveditelné / neprodleně)

Posouzení vlivu v případě zamýšleného zpracování OÚ = předem! 30 na základě analýzy rizik pokud zůstávají významná rizika (nebo nebyla přijata opatření k jejich zmírnění), konzultace s ÚOOÚ! pozor na lhůty k vyjádření ÚOOÚ (v řádu týdnů!)

Prostředky zajištění bezpečnosti Správce (nebo zpracovatel) musí zajistit: 31 důvěrnost integritu dostupnost osobních údajů odpovídajícími prostředky

Požadavky na ochranu OÚ v jejich životním cyklu zákonnost při shromažďování a zpracování OÚ např. pořizování, získávání, shromažďování OÚ nejen v elektronické formě 32 ochrana OÚ ukládání, sdílení a zpracování OÚ např. e-maily, sdílená úložiště, lokální ukládání dat, třídění, profilování, změny a poskytování OÚ ochrana při přenosu OÚ např. v rámci interní komunikace, externí komunikace, předávání OÚ jiným subjektům, správcům/zpracovatelům, třetím stranám, zajištění práva na přenositelnost OÚ ochrana při zálohování (příp. archivaci) OÚ např. zajištění dostupnosti, zálohování, obnovitelnosti, bezpečného úložiště/zabezpečených médií pro ukládání záloh s OÚ, bezpečná archivace bezpečná likvidace OÚ např. zajištění bezpečné (neobnovitelné) skartace nosičů dat, práva subjektu OÚ na výmaz OÚ

Záměrná a standardní ochrana OÚ 33 Stanovení vhodných opatření: před zpracováním při zpracování samotném (pseudonymizace, minimalizace údajů, nezbytné záruky) Vhodná technická a organizační opatření k zajištění: standardně jsou zpracovávány pouze OÚ pro každý konkrétní účel nezbytné standardně bez zásahu člověka nejsou OÚ zpřístupněny neomezenému počtu fyzických osob (týká se množství shromážděných OÚ, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti)

Prostředky zajištění zákonnosti zpracování OÚ Audit procesů pořizování/získávání OÚ právní základ zpracování ukládání/zpracování (kde všude se OÚ vyskytují) přenosu předávání likvidace získávání souhlasu informovanosti subjektů (před a po) smluvních ujednání opatření 34 Určení rolí (DPO,...) vč. povinností a odpovědnosti

Prostředky ochrany OÚ při ukládání a zpracování 35 Audit opatření: úložiště (např. e-maily, sdílená úložiště, lokální ukládání dat) šifrování (transparentní, ad-hoc, řízení klíčů, hesel) přístupy (identifikace osoby provádějící zpracování) oprávnění manipulovat s OÚ auditní záznamy (logování, přístup k logům, ochrana proti změnám, lhůty) pravidla sdílení postupy v případě změny externí zpracovatelé (smluvní vztahy) Šifrování Řízení identit

Prostředky zajištění ochrany při přenosu OÚ 36 Audit opatření: interní komunikace, externí komunikace, přenos OÚ jiným subjektům, správcům/zpracovatelům, předávání třetím stranám, zajištění práva na přenositelnost OÚ Autentizace/autorizace Šifrování Elektronický podpis Pseudonymizace/anonymizace

Prostředky zajištění dostupnosti OÚ 37 Zálohování vč. obnovitelnosti v požadovaných intervalech (RTO, RPO) redundance, záložní systémy, replikace, datová centra, bezpečné úložiště záloh/zabezpečení médií Archivace integrita bezpečnost lhůty

Prostředky zajištění bezpečné likvidace OÚ 38 Audit procesu převzetí požadavku na výmaz OÚ posouzení oprávněnosti (vyjádření výsledku SÚ do 1. měsíce) informování příjemců (zpracovatelů, třetích stran) Implementace do IS/databáze zvláštní (omezený režim) zpracování OÚ příznak! výmaz části nebo všech OÚ příznak požadavku (na výmaz, nesouhlas s dalším zpracováním) Bezpečné, tzn. neobnovitelné smazání dat (shredder) v PC/IS Bezpečná skartace fyzických nosičů dat

Prokázání souladu Závazná podniková pravidla (schvaluje ÚOOÚ) 39 Kodexy chování (připravuje, příp. schvaluje ÚOOÚ) Osvědčení certifikace (v gesci ÚOOÚ)

Jak zajistíte soulad procesy, organizační opatření? 40 role, resp. outsourcing výkonu činností externího pověřence pro ochranu OÚ audit procesů, organizačních a technických bezpečnostních opatření, dokumentace analýza rizik OÚ (vč. využívání cloudu) audit shody nakládání s OÚ s požadavky GDPR posouzení vlivu návrh, schválení a uvedení procesů do souladu s nařízením EU tvorba dokumentace vč. organizačních a technických opatření změny, aktualizace a uvedení záznamů (ochrana OÚ, práva subjektů) do souladu vzdělávání (poučení, školení)

Jak zajistíte soulad technická opatření? ochrana OÚ před škodlivými kódy (anti-x) detekce a prevence průniku IDS/IPS testy zranitelnosti šifrování OÚ (dat, databází, PKI/CA) evidence přístupu a práce s OÚ (IdM, RMS) evidence manipulace s daty (DMS, DLP, MDM) monitoring/sledování chování (logování a vyhodnocování logů, WAF, SIEM) řízení přístupu (AAA) atd. 41

Přestávka na 2. kafe

Jak na to prakticky? Analýza rizik OÚ Inventura OÚ, tzn. (identifikace výskytu analyzovaných informačních aktiv) 43 Kategorizace (+ klasifikace OÚ) Hrozby Zranitelnost Rizika Návrh základních opatření na snížení rizik = podklad pro posouzení vlivu

Jak na to prakticky? Audit shody s GDPR Interview s odpovědnými fyzickými osobami: 44 Procesy Organizační opatření Technická opatření Posouzení shody (etalon GDPR, shoda/neshoda) Výsledná zpráva z auditu Návrh (doporučení) auditora

Jak na to prakticky? Outsourcing role 45 Smluvní ujednání: rozsah období četnost/frekvenci činností forma a způsob vedení záznamů/evidence forma a způsob reportingu kontaktní a zodpovědné osoby součinnost Odpovědnost: sledovat, kontrolovat, vyhodnocovat, navrhovat, doporučovat, reportovat a upozorňovat na anomálie, nedostatky, nesoulad, hrozby, zranitelná místa či vzniklá rizika ohrožující bezpečnost OÚ Kumulace rolí

Příklady technických opatření

Dotazy?

AutoCont CZ a.s. / Hornopolní 3322/34 702 00 Ostrava / www.autocont.cz Olga Přikrylová IT Security konzultant / ITI +420 723 320 815 olga.prikrylova@autocont.cz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář