GDPR & CLOUD. Mgr. Jana Pattynová, LL.M

Podobné dokumenty
GDPR & Cloud. Mgr. Jana Pattynová, LL.M

ÚVOD DO GDPR. Mgr. Jana Pattynová, LL.M

GDPR A KRAJSKÉ ÚŘADY. Mgr. Jana Pattynová, LL.M

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Kybernetická bezpečnost

GDPR ve zdravotnictví - dopad nových pravidel ochrany soukromí na zdravotnická zařízení

ICT ve školství ročník konference. Mgr. Jana Pattynová, LL.M

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Ochrana osobních údajů a bezpečnost dat novinky v GDPR

GDPR compliance v Cloudu. Jiří Černý CELA

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

Ochrana osobních údajů a bezpečnost dat - novinky v GDPR

Nová pravidla ochrany osobních údajů

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Kybernetická bezpečnost ve veřejné správě. Jan Dienstbier Garant platformy KYBEZ

Ochrana osobních údajů a kybernetické bezpečnosti s GINIS. Jan Dienstbier Garant platformy KYBEZ

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Představení služeb Konica Minolta GDPR

Systémová analýza a opatření v rámci GDPR

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Seznam vzorů, které naleznete v publikaci:

Dopady GDPR a jejich vazby

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

Obecné nařízení o ochraně osobních údajů

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

GDPR Modelová Situace z pohledu IT

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Jak chránit osobní data v elektronickém a digitalizovaném účetnictví? Stanislav Klika

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

GDPR. Požadavky na dokumentaci. Luděk Nezmar

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

SKUPINA 1. Lektor: Mgr. Ing. Bc. Jan Tomíšek ROWAN LEGAL Téma: GDPR a audit v oblasti ochrany osobních údajů

Zabezpečení osobních údajů

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

Změny v ochraně osobních údajů v souvislosti s novým nařízením GDPR. Mgr. Kristýna Delmar Barcamp Brno 2017

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

#gdpr #gastro #hotel. 16. února Janka Brezániová

GDPR v sociálních službách

JAK SE PŘIPRAVIT NA GDPR?

Zkušenosti z implementace GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

GDPR RYCHLE A ZBĚSILE

GDPR. (General Data Protection Regulation) Nařízení EU č. 679/2016 k ochraně osobních údajů. Mgr. Josef Botek tajemník

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

GDPR - příklad z praxe

GDPR a veřejná správa

SPISOVÁ SLUŽBA A GDPR

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

Implementace GDPR v obcích. Benešov, Mgr. Miroslava Sobková

GDPR v kostce 12 kroků k implementaci pro oblast cestovního ruchu

(Snad) praktický pohled na GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

PRÁVNÍ ASPEKTY CLOUD COMPUTINGU. Nová technologie nová regulace? Business & Information Forum 2011

ALIS spol. s r.o., Česká Lípa říjen 2017

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

Co je to GDPR? Co je považováno za OÚ? Co je zpracování OÚ? Kdo je subjektem OÚ?

Školení GDPR pro Cosmetics Atok International

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

GDPR Aneb co se nedá stihnout včas

APLIKACE GDPR V PROSTŘEDÍ OBCÍ. Tereza Šamanová GDPR školení pro obce Kraj Vysočina

V Praze 4. dubna 2018

OBSAH Seznam zkratek...17 Kapitola 1 Ú vod... 21

GDPR Obecné nařízení o ochraně osobních údajů

POVĚŘENEC OCHRANY OSOBNÍCH ÚDAJŮ, HROZBY A RIZIKA VE ŠKOLSTVÍ V PROBLEMATICE GDPR

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

Právní posouzení principů GDPR v rámci organizace

Projekt GDPR-CZ. innogy Přístup k projektu. Agenda. 12/09/2017 Page 1. Praha 13. září Úvod a cíle projektu. Kontext GDPR.

APLIKACE GDPR V PROSTŘEDÍ OBCÍ. Tereza Šamanová GDPR školení pro obce Pardubický kraj

GDPR a Pověřenec pro ochranu osobních údajů. JUDr. Jakub Morávek, Ph.D.

Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o

GDPR PRO VEŘEJNÝ SEKTOR. GDPR - Specifika státní správy a samosprávy

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Harmonogram implementace GDPR

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

Právní výzvy v oblasti kybernetické bezpečnosti. Mgr. Petra Vrábliková advokát

Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

GDPR evoluce v ochraně osobních údajů.

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

Ochrana osobních údajů podle GDPR. (c) 2018 HÁJEK ZRZAVECKÝ advokátní kancelář, s.r.o.

GDPR z pohledu ICT sekce MV. Ing.Robert Piffl

Ochrana osobních údajů Implementace GDPR

GDPR příklad z praxe MICHAL KOPECKÝ TAJEMNÍK ÚMČ P2

INTEGROVANÉ PRÁVNÍ, DAŇOVÉ, ÚČETNÍ A AUDITORSKÉ SLUŽBY

Ochrana osobních údajů v oblasti školství. Mgr. et Mgr. Dana Prudíková, Ph.D.

OCHRANA OSOBNÍCH ÚDAJŮ V RÁMCI ORAGANIZACE INFORMACE PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

Transkript:

GDPR & CLOUD Mgr. Jana Pattynová, LL.M. 31.8.2017

GDPR A CLOUD GDPR a cloudové služby GDPR proč, co a jak implementovat Cloud jako nástroj souladu s GDPR Požadavky GDPR na poskytovatele cloudu

ÚVOD K GDPR

PRÁVNÍ TITULY Výzva 2: jak kalkulovat rizika? Předvídatelnost sankcí Předpoklad předchozí žádosti o nápravu Předpoklad stávající praxe Úřadu přenesené na novou škálu sankcí Rozdílné sankce v jednotlivých zemích (i pro nadnárodní korporace?) Evropská či národní metodika pro ukládáni sankcí Standard pro nedbalost v oblasti kybernetické bezpečnosti ( state of the art )? Analogie soutěžně-právních sankcí? Residuální rizika dle DPIA Pokud materializují, nemělo by být sankcionováno?

ÚVOD DO GDPR GDPR Obecný přehled Nařízení EU přímo aplikovatelné Vstoupí v účinnost 25. května 2018 Nový způsob vynucení soukromí a kybernetické bezpečnosti

ÚVOD DO GDPR GDPR v kontextu širší právní úpravy dat PRÁVO EU GDPR eprivacy NIS ČESKÉ PRÁVO Implementační zákon o ochraně osobních údajů X Novela zákona o kybernetické bezpečnosti Vertikální regulace Vertikální regulace Finanční instituce Telekomunikační operátoři Poskytovatelé zdr. služeb Veřejný sektor Energetika X Poskytovatelé cloudu X Poskytovatelé služeb X X Výrobní společnosti X X Maloobchodní řetězce X X

ÚVOD DO GDPR České právo a GDPR Návrh zákona o zpracování osobních údajů Nahrazuje stávající zákon o ochraně osobních údajů Souhlas nezletilých do 13 let Sankce pro subjekty veřejné správy do 10.000.000 Kč Definice subjektu veřejné správy Návrh implementačního zákona Dopad GDPR na výkon některých pravomocí veřejné správy GDPR a zákon o svobodném přístupu k informacím

ÚVOD DO GDPR Dozorový orgán a sankce GDPR Zákon o kybernetické bezpečnosti NIS Novela zákona o kyber. bezpečnosti Dozorový úřad Vnitrostátní dozorový úřad (ÚOOÚ) Vedoucí dozorový úřad Evropský sbor pro ochranu osobních údajů (EDPB) Národní bezpečnostní úřad (NBÚ) Národní CERT Národní bezpečnostní úřad (NBÚ) Národní úřad kybernetické bezpečnosti (NÚKIB) Národní CERT Maximální výše pokut 20.000.000 Eur nebo až 4 % celkového světového ročního obratu 100.000 Kč 5 mil. Kč Účinnost 25. května 2018 1. ledna 2015 do května 2018

ÚVOD DO GDPR Trestněprávní odpovědnost Neoprávněné nakládání s osobními údaji (nedbalost, sazba až 3 roky / 8 let u kvalif. skutkové podstaty) Porušení tajemství dopravovaných zpráv (sazba až 2 roky / 5 let u kvalif. skutkové podstaty) Nebezpečné pronásledování (sazba až 3 roky) Porušení tajemství listin a jiných dokumentů uchovávaných v soukromí (sazba až 8 let) Trestní odpovědnost právnických osob - Trestný čin spáchaný statutárním orgánem, zaměstnancem - Tresty: peněžité tresty až 1,46 mld. Kč, zrušení PO

ÚVOD DO GDPR Co je regulováno jako osobní údaje? údaje identifikující fyzickou osobu Zřejmé: jméno, číslo dokladu totožností, kreditní karta, kontaktní údaje, informace o zdraví, lokalizační údaje, IP adresa, atd. Ale také: jakékoli informace o nákupech, užívaných službách či vlastněných zařízeních, (meta) data týkající se předchozího chování při užívání služby, fotografie

ÚVOD DO GDPR Co je regulováno jako osobní údaje Identifikátory vs. osobní údaje SPZ IP adresy Jedinečné identifikátory zařízení: ID, MAC adresa apod. Výrobní čísla

ÚVOD DO GDPR Co je regulováno jako osobní údaje Údaje, které o sobě osoba poskytne Údaje o chování osoby (např. při využívání služeb) Údaje vzniklé činností správce Turnover based sanctions under GDPR Metadata k osobním údajům

NOVINKY V GDPR

NOVINKY V GDPR Změny v produktech a službách Posílení práv subjektů údajů Širší informační povinnosti Privacy by design a privacy by default Jednoznačný souhlas k jakémukoli zpracování údajů Ochrana nezletilých Souhlas i k historickým datům Přenositelnost údajů Odvolání souhlasu a právo být zapomenut

NOVINKY V GDPR Interní změny Záznamy o činnostech zpracování (místo registrace) Vlastní vyhodnocení dopadů zpracování na ochranu údajů Notifikace neoprávněného přístupu k osobním údajům Pověřenec pro ochranu osobních údajů Vznik Evropského sboru pro ochranu osobních údajů Hlavní dozorový orgán jako jedno správní místo Pseudonymizace Specifická pravidla pro zpracovatele

NOVINKY V GDPR Životní cyklus údajů Požádat Vytvořit Aktualizovat Odstranit Archivovat Bez souhlasu nebo jiného titulu a splnění informační povinnosti technická nemožnost postoupit k dalšímu kroku Spojit údaje se subjektem, účelem, časovým rámcem, nastaveno dle testu přiměřenosti (privacy by design) Implementace námitek vůči zpracování, zpřístupnění údajů subjektu údajů a žádost o opravu po vypršení časového rámce na žádost subjektu, u údajů získaných na základě souhlasu, pokud není oprávněný zájem si ponechat Ponechat si nezbytné údaje k doložení souladu s GDPR?

NOVINKY V GDPR Anonymizované a pseudonymizované údaje Anonymizované údaje (nevratně oddělené od osoby) Informace, které nesouvisejí s identifikovanou nebo identifikovatelnou osobou, nebo osobní údaje poskytnuté anonymně takovým způsobem, že subjekt údajů již není identifikovatelný Pseudonymizované údaje (dočasně oddělené od osoby) Nemohou být přičitatelné konkrétní osobě bez použití dodatečných informací Dodatečné informace jsou uchovávány odděleně Technická a organizační opatření zajišťují, že osoba nebude identifikována Pouze správce může určit identifikaci

PSEUDONYMIZACE A ANONYMIZACE Výhody pseudonymizovaných údajů Mohou být zpracovány nad rámec původně definovaného účelu Výjimky z notifikace, dalších povinností Pseudonymizace splňuje požadavek privacy by design Pseudonymizace jako bezpečnostní opatření

NOVINKY V GDPR DPO - pověřenec ochrany osobních údajů Povinný pro správce i zpracovatele v případech: Dle subjektu Orgán veřejné moci či veřejný subjekt (s výjimkou soudů) Skupina podniků může jmenovat 1 pověřence, je-li snadno dosažitelný Orgán veřejné moci: rovněž může jmenovat jen 1 pověřence pro několik orgánu/subjektů Dle typu zpracování: operace zpracování, které kvůli své povaze, rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů Zaměstnanec/externí poskytovatel smlouva o poskytování služeb (role, nezávislost, zdroje, ochrana) Odbornost, jmenování, přezkušování, evidence?

JAK PŘISTOUPIT K IMPLEMENTACI GDPR?

IMPLEMENTACE GDPR Fáze implementace GDPR Rozdílová analýza Implementace požadavků Posouzení vlivu na ochranu osobních údajů (DPIA) Turnover based sanctions under GDPR Zajištění udržitelnost v čase

IMPLEMENTACE GDPR Co jsou scénáře zpracování? Činnosti, při nichž dochází ke zpracování údajů Příklady scénářů zpracování: Data is at the heart of digital transformation HR/personální údaje Produkty/zákaznické vztahy Dodavatelské vztahy Turnover based sanctions under GDPR Marketing Interní/externí komunikace Procesování plateb

IMPLEMENTACE GDPR Granularita scénářů zpracování Docházka Výplata mezd Povinné odvody Procesování plateb HR agenda Nábor nových zaměstnanců Uzavírání a životní cyklus pracovních smluv

IMPLEMENTACE GDPR Průběh rozdílové analýzy Definice relevantních scénářů zpracování pro danou společnost Data is at the heart of digital transformation Mapování skutečného nakládání s údaji v rámci scénáře Turnover based sanctions under GDPR Identifikace rozdílů skutečného a požadovaného stavu

IMPLEMENTACE GDPR Implementace výsledků rozdílové analýzy Quick wins Data is at the heart of digital transformation Prioritizované projekty (náklady vs. pokrytá rizika) Turnover based sanctions under GDPR Residuální rizika

IMPLEMENTACE GDPR Harmonogram implementace GDPR (1 právnická osoba) Rozdílová analýza 2 4 měsíce Paralelní Implementace požadavků 3 měsíce na dokumentaci postup Turnover based sanctions under GDPR DPIA 2 měsíce 5 7 měsíců

IMPLEMENTACE GDPR Projektové výzvy a rizika Multidisciplinární projekt Velké množství stakeholderů Distribuovaná odpovědnost Data is at the heart of digital transformation Interní kapacita klientů Podcenění časové náročnosti implementační fáze Turnover based sanctions under GDPR Vytváření nových databází Zásahy do architektury stávající infrastruktury Dopady do produktů

DPIA A UDRŽITELNOST V ČASE

DPIA ROZDÍLOVÁ ANALÝZA vs DPIA Rozdílová analýza Předběžné hodnocení DPIA Uvede produkty, procesy a datové toky do souladu s GDPR, upraví dokumentaci, doplní chybějící instituty Posoudí, zda je vysoká pravděpodobnost rizika zpracování pro práva a svobody fyzických osob Vyhodnocení rizik zpracování pro práva a svobody subjektů údajů a stanovení opatření záruk a mechanismů pro eliminaci rizika

DPIA Udržitelnost v čase Aktualizace DPIA Proces testování zabezpečení Přezkum DPIA při změně rizika, jež představují konkrétní operace WP 29: Posouzení by se mělo provádět pravidelně každé tři roky Zavést proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

CLOUD JAKO NÁSTROJ SOULADU S GDPR

Obchodní partneři, dodavatelé CLOUD Může cloudová služba vyřešit GDPR? GDPR požadavky dopadají na produkty, procesy a informační systémy Osobní údaje Přidaná hodnota cloudových služeb Data is at the heart of digital transformation Zajištění souladu s GDPR na úrovni Turnover based sanctions under GDPR 1. 2. 3. 4. Konsolidace informačních systémů infrastruktury (čl. 32 odst. 1) Nástroje pro zajištění souladu s GDPR na úrovni procesů (čl. 6, 7, 8, 12, 13, 16-21) One-stop-shop pro požadavky na dodavatele (čl. 28) Externí data Interní data 5. Zajištění udržitelnosti v čase (čl. 32 odst. 1 písm. d)

Klient Klient Klient GDPR JAKO PŘÍLEŽITOST PRO CLOUD Možnosti zajistit soulad s GDPR záleží na typu coudu On-Premises Infrastruktura Platforma Software (jako služba) (jako služba) (jako služba) Aplikace Data Aplikace Data Aplikace Data Aplikace Data Soulad procesů s GDPR Runtime Runtime Runtime Runtime Middleware O/S Virtualizace Servery Úložiště Práce v síti Middleware O/S Virtualizace Servery Úložiště Práce v síti Poskytovatel Cloudu Middleware O/S Virtualizace Servery Úložiště Práce v síti Poskytovatel Cloudu Middleware O/S Virtualizace Servery Úložiště Práce v síti Poskytovatel Cloudu Soulad infrastruktury s GDPR

POŽADAVKY GDPR CLOUD

GDPR POŽADAVKY NA CLOUD Tři typy požadavků Požadavky na smlouvu Data is at the heart of digital transformation Požadavky na infrastrukturu Turnover based sanctions under GDPR Požadavky na předávání dat do zahraničí

GDPR POŽADAVKY NA CLOUD Požadavky na smlouvu Vymezení zpracovávaných údajů Vymezení účelu zpracování Vymezení doby zpracování Transparentnost subdodavatelů Dostatečné záruky zabezpečení Závazky součinnosti Požadavky na vrácení dat při ukončení služby Závazek umožnit audit Hlášení incidentů

GDPR POŽADAVKY NA CLOUD Požadavky na infrastrukturu Zabezpečení Důvěrnost, integrita, dostupnost a odolnost systémů Resilience Schopnost obnovit dostupnost a přístup v případě incidentů Testování Pravidelné testování a hodnocení účinnosti technických opatření Doložení souladu Certifikace (i.e ISO/EIC 27001, 27017, 27018, SOC, CSA STAR) DPIA Zpřístupnění zpráv z auditů třetích osob

GDPR POŽADAVKY NA CLOUD Požadavky na předávání do zahraničí Rozhodnutí Komise o standardních smluvních doložkách Úmluva 108 Rozhodnutí Komise (adequacy decision) Regulovaný smluvní obsah s ohledem na údaje, které mohou být předávány mimo státy EHP EU + Uruguay, Maroko, (http://goo.gl/pqqir1) Kanada, Švýcarsko, Izrael, (https://goo.gl/bqm4fs) Závazná podniková pravidla (BCR) Jednotlivě udělený souhlas Privacy Shield Předávání do USA, na základě self-certifikace

TAKEAWAY POINTS Takeaway points Poskytovatelé cloudu mohou významně pomoci se zajištěním souladu GDPR Cloudové řešení může pokrýt požadavky na infrastrukturu pro relevantní scénář zpracování PAAS a SAAS řešení mohou poskytnout nástroje pro soulad procesů Turnover based sanctions under GDPR? Cloudové řešení musí splňovat požadavky na smlouvy, na zabezpečení a na předávání údajů do zahraničí

?

Spolu s kancelářemi v Londýně, Bruselu a Moskvě jeden z největších specializovaných právních týmů zaměřených na právo technologií, médií a komunikací Hlavní oblasti praxe: Ochrana osobních údajů IT smlouvy, včetně smluv na cloudové produkty IoT M&A transakce v technologickém sektoru Podpora start-upů při vstupu na zahraniční trhy Pracovní právo (včetně technologických aspektů smluv zaměstnanců, BYOD) IP právo Média Telekomunikační právo Více informací: www.pierstone.com Partneři odpovědní za GDPR projekty: Jana Pattynová jana.pattynova@pierstone.com +420 777 738 040 12 let nejvyšší nezávislá hodnocení pro oblast technologie Lenka Suchánková lenka.suchankova@pierstone.com +420 777 738 046

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář