www.pwc.com/sk Ako pomáha svojim klientom naplniť požiadavky GDPR a prvé praktické skúsenosti z týchto projektov 25. mája 2017
Michal Bubák Risk Assurance Services Vzdelanie: Fakulta podnikového manažmentu, Ekonomická Univerzita v Bratislave Certifikácie: Certified Information Systems Auditor (CISA) Certified Information Security Manager (CISM) Certified in Risk and Information Systems Control (CRISC) Project Management Professional (PMP) Certified ISO/IEC 20000 Auditor Internal auditor of Information Security Management System according to BS 7799-2 Foundation Certificate in IT Service Management (ITIL) Michal Bubák je manažérom spoločnosti PricewaterhouseCoopers Slovensko na oddelení Risk Assurance Má viac ako 12 rokov skúseností s informačnou bezpečnosťou a problematikou ochrany osobných údajov. Podieľal sa na príprave bezpečnostných projektov na ochranu osobných údajov podľa slovenskej legislatívy v rámci finančného, telekomunikačného a výrobného sektora a v súčasnosti pomáha klientom s dosiahnutím súladu s požiadavkami GDPR. Michal je členom pracovnej skupiny na ochranu osobných údajov, ktorá sa zaoberá GDPR v rámci asociácie ISACA na Slovensku.
Náš prístup k dosiahnutiu súladu s požiadavkami GDPR
Náš prístup 02 Návrh cieľového stavu Naše výstupy: 04 Cieľový prevádzkový model Implementačný plán a harmonogram Prevádzka Dnes 25. 5. 2018 01 03 Analýza Voliteľná aktivita: Previerka stavu implementácie bezpečnostných opatrení Implementácia Multidisciplinárny tím Naše výstupy: Definovanie projektu a cieľov stanovenie rozsahu Mapovanie súčasného stavu Vyhodnotenie nedostatkov Naše výstupy: Priebežná podpora behom implementácie cieľového modelu Školenia, semináre, workshopy a ďalšie vzdelávanie Naše výstupy: Ad-hoc podpora podľa potreby
Podporné nástroje
Nástroj na hodnotenie pripravenosti (Readiness Assessment Tool - RAT) 70 kľúčových otázok, ktoré sú mapované na povinnosti súvisiace s GDPR Každá z otázok súvisí buď s architektúrou alebo so zásadami ochrany osobných údajov 4 možné odpovede na každú otázku Každá odpoveď zodpovedá úrovni zrelosti od 1-4 Úroveň zrelosti je odvodená od príkladov z praxe, súdnych prípadov, riešení sťažností zákazníkov.
Domény Otázky RAT nástroja sú rozdelené do dvoch domén architektúra a zásady architektúra Ohodnotenie prístupov a opatrení implementovaných naprieč organizáciou za účelom dosiahnutia súladu zásady Ohodnotenie prevádzkovej pripravenosti dosiahnutia súladu so zásadami spracúvania osobných údajov
Príklad - Architektúra Governance 4,1 Is your data protection programme sponsored by executive or board level management? 1 - No sponsorship 2 - Executive or board level awareness and support but little or no active sponsorship 3 - Executive or board level sponsorship in place 4 - Execuive or board level sponsorship, reporting lines and programme monitoring in place
Príklad - Zásady Storage limitation 20,2 Have disposal methods been assessed against GDPR? 1 - Data is generally retained forever. 2 - Data may be disposed, but disposal methods have not been assessed against GDPR. 3 - Data is routinely and consistently disposed. Disposal methods have been assessed against GDPR. 4 - Data is routinely and consistently disposed. Disposal methods have been assessed against GDPR. Disposal logs are maintained, and outcomes are monitored.
Nástroj na realizáciu gap analýzy Gap Analysis Tool Na základe našich skúseností s implementáciou GDPR sme vyvinuli komplexný nástroj šitý na mieru potrebám slovenských organizácií, ktorý uľahčuje uskutočnenie gap analýzy GDPR. Impact Assessment Risk Assessment Readiness Assessment No. Subject GDPR Source GDPR Current Regulation GDPR requirements Evaluation criteria Processes Organization IT Grade Note Grade Note Grade Note Grade Note Grade Note 5 ZoOOÚ i) Jakým postupem jsou doposud/aktuálně zpracovávány 13 21 ZoOOÚ osobní údaje? (dle oddělení / produktů ale i role správce / Zákonnost zpracování jen na základě souhlasu, zpracovatel (je-li nějaký pověřen) smluvního plnění či ze zákona, případně jiných zvláště důležitých důvodů (ochrana bezpečnosti, ii) Za jakým účelem jsou osobní veřejného zájmu, ochrany práv osob atd.) viz údaje zpracovávány? (dle také bod 2. níže. oddělení / produktů) i) Revize dosavadních zpracování a 5 odst. 1 d iii) Je vyžadován jen nezbytný 1) Zákonnost, korektnost, nastavení potřebných procesů minimální rozsah osobních transparentnost Správce je povinen shromažďovat osobní údaje údajů nutný k dosažení určitého 2) Účelové omezení ii) Ověřit legitimnost účelu, pro který odpovídající pouze stanovenému účelu a v účelu? 3) Minimalizace údajů jsou osobní údaje zpracovávány rozsahu nezbytném pro naplnění stanového 4) Přesnost a pravidelná účelu. iv) Jsou přijatá veškerá opatření k aktualizace údajů iii) Nastavení procesů pro automatické Povinnost tomu, aby veškeré nepřesné či 5) Omezení uložení (forma, vymazání nebo opravu osobních údajů, správce 5 odst. 1 b nadbytečné údaje vzhledem k doba) které jsou nepřesné či nadbytečné 1. dodržovat zásady Article 5 účelu zpracování byly HIGH MEDIUM HIGH LOW HIGH 6) Integrita a důvěrnost zpracování Správce je povinen zpracovat pouze přesné bezodkladně vymazány nebo (zabezpečení) iv) Nastavení opatření, které zajistí, že osobních údajů osobní údaje, které získal v souladu s tímto opraveny? 7) Odpovědnost (schopnost údaje budou uloženy jen po stanovenou zákonem. doložit plnění povinností) či potřebou dobu v) Jsou osobní údaje 5 odst. 1 e uloženy/zpracovávány jen po Outstanding issues: v) Nastavit dostatečná opatření, která dobu ne delší, než je nezbytně (none) zabrání neoprávněnému nakládání s Správce je povinen uchovávat osobní údaje pouze nutné vzhledem k účelu ukládání? osobními údaji po dobu, která je nezbytná k účelu jejich zpracování. vi) Jaká jsou přijata opatření, aby nedocházelo k delšímu než 5 odst. 1 f nezbytnému uložení osobních údajů? Správce je povinen zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly vii) Jsou přijata dostatečná shromážděny. technická a organizační opatření k tomu, aby byly údaje zajištěny 13 odst. 1 před neoprávněným či protiprávním zpracováním, 5 ZoOOÚ i) Kdy je vyžadován souhlas ii) Revize právního důvodu dosavadních subjekt údajů? Je vždy vyžadován 1) Souhlas subjektu se i) Správce může zpracovávat osobní údaje pouze zpracování a správné nastavení souhlas se zpracováním osobních zpracováním se souhlasem subjektu údajů. Bez tohoto (potřebných procesů) údajů, pokud se nejedná o 2) Zpracování je nezbytné souhlasu je může zpracovávat, zpracování na základě Povinnost pro splnění smlouvy - jestliže provádí zpracování nezbytné pro iii) Nastavit procesy, dle nichž mají být smluvního/zákonného titulu? správce 3) Zpracování je nezbytné dodržení právní povinnosti správce vyžadovány jen nezbytné osobní údaje 2. dodržovat pro splnění právní Article 6 - jestliže je zpracování nezbytné pro plnění nutné pro plnění daných smluv. LOW MEDIUM HIGH HIGH HIGH ii) Je v případě zpracování zákonnost povinnosti smlouvy, jejíž smluvní stranou je subjekt údajů osobních údajů z důvodů, že je to zpracování - pokud je to nezbytně třeba k ochraně životně iv) Vymezit zásady, dle nichž nesmí být nezbytné pro plnění smlouvy, Outstanding issues: důležitých zájmů subjektu údajů zpracovávány osobní údaje bez dodržován minimální rozsah (none) - pokud je to nezbytné pro ochranu práv a právem legitimního důvodu zákonného, poskytnutí osobních údajů chráněných zájmů správce, příjemce nebo jiné smluvního či na základě souhlasu. nezbytný pro plnění smlouvy? dotčené osoby; 5 odst. 1 f) ZoOOÚ Pokud zpracování pro jiný Správce je povinen zpracovávat osobní údaje účel, než pro který byly pouze v souladu s účelem, k němuž byly osobní údaje shromážděny, shromážděny. Zpracovávat k jinému účelu lze není založeno na souhlasu osobní údaje jen v mezích ustanovení 3 odst. 6, i) Revize dosavadních/aktuálních i) Je-li osobní údaj zpracováván z subjektu údajů nebo na nebo pokud k tomu dal subjekt údajů předem zpracovávání a nastavení jiných důvodů než na základě právu Unie či členského souhlas. správných/potřebných procesů souhlasu, smluvního plnění či státu, který v demokratické zákona (např. z důvodů společnosti představuje 3 odst. 6 ZoOOÚ ii) Vymezit ve vnitřních předpisech Povinnost vymáhání občanskoprávních nutné a přiměřené opatření podmínky, za kterých může správce správce nároků či ochrany subjektu údajů, k zajištění cílů uvedených v Zpracování pro zajištění zpracovávat osobní údaj z jiného 3. zohlednit Article 6 (4) vyšetřování porušování etických LOW HIGH HIGH HIGH HIGH čl. 23 odst. 1, zohlední - bezpečnosti České republiky, důvodu než zákonného, smluvního či na zpracování pro pravidel apod.) jakým způsobem správce v zájmu zjištění - obrany České republiky, základě souhlasu - vymáhání jiný účel správce osobních údajů toho, zda je zpracování pro - veřejného pořádku a vnitřní bezpečnosti, občanskoprávních nároků či ochrany zohledňuje, zda je toto zpracování jiný účel slučitelné s účely, - předcházení, vyhledávání, odhalování trestné subjektu údajů, vyšetřování porušování zákonné respektive slučitelné s pro něž byly osobní údaje činnosti a stíhání trestných činů, etických pravidel apod. viz. Článek 6 účely pro které byly údaje původně shromážděny - významného hospodářského zájmu České odst. 4 nařízení. zpracovány? republiky nebo Evropské unie, Outstanding issues: - významného finančního zájmu České republiky (none) nebo Evropské unie, - výkonu kontroly, dozoru, dohledu a regulace spojených s výkonem veřejné moci Mimo konkrétnych otázok na zodpovedné osoby náš Gap Analysis Tool obsahuje: Inventár ustanovení GDPR Porovnanie so súčasnou právnou úpravou (zákon č. 122/2013 Z.z.) Zoznam otázok k zisteniu prevádzkových dopadov jednotlivých ustanovení GDPR Hodnotenie súčasnej situácie Hodnotenie identifikovaných nedostatkov.
Prvé praktické skúsenosti s implementáciou GDPR
Pripravenosť klientov Základ: Súlad so súčasnou legislatívou Evidencia účelov, Právny základ Bezpečnostné opatrenia (Bezpečnostné projekty, Riadenie bezpečnosti) Sprostredko vatelia (zmluvy a ustanovenia) Cezhraničný prenos (v rámci skupiny, mimo EÚ)
Očakávania Povinnosť Minimum úsilia za minimum peňazí Komplexné riadenie bezpečnosti Klasifikácia údajov Data governance Príležitosť
Uvedomelosť Uvedomelí Priekopníci bežiace projekty, (takmer) dokončené analýzy hľadajú partnera, začínajú s analýzou Čakajúci Iné priority, Zákon, Usmernenie zo skupiny Nevedomí Január 2018
Prístup Všetko v jednom balíku Každá fáza zvlášť: Analýza Návrh Implementácia
Ďakujem za pozornosť Kontakt: Michal Bubák Manager, Slovakia Tel.: +421 903 324 413 E-mail: michal.bubak@sk.pwc.com firms provide industry-focused assurance, tax and advisory services to enhance value for their clients. More than 161,000 people in 154 countries in firms across the network share their thinking, experience and solutions to develop fresh perspectives and practical advice. See www.pwc.com for more information. 2017 PricewaterhouseCoopers Slovensko. All rights reserved. In this document, refers to PricewaterhouseCoopers Slovensko, s.r.o., which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity. is the brand under which member firms of PricewaterhouseCoopers International Limited (IL) operate and provide services. Together, these firms form the network. Each firm in the network is a separate legal entity and does not act as agent of IL or any other member firm. IL does not provide any services to clients. IL is not responsible or liable for the acts or omissions of any of its member fi ms nor can it control the exercise of their professional judgment or bind them in any way.