Projekt GDPR-CZ innogy Praha. září 07 Agenda Strana /09/07 Page
Shrnutí: Počáteční výsledky vzešly ze spolupráce v menší pracovní skupině, avšak plné řešení GDPR vyžaduje strukturovaný přístup v rámci projektu Nařízení GDPR zavádí striktní požadavky v oblasti ochrany osobních údajů (zákazníků, zaměstnanců, kontraktorů, smluvních stran atd.) GDPR nabývá účinnosti. května 08 V případě závažného porušení nařízení GDPR se innogy SE vystavuje riziku postihu až do výše 0.000.000,- Eur, nebo % celkového ročního obratu skupiny Data v oblasti HR byla analyzována v rámci menší pracovní skupiny Tato předběžná analýza identifikovala výrazná rizika spojená s GDPR Byla navržena první opatření ošetřující tato rizika (např. minimalizace dat či uchovávání záznamu o činnostech zpracování dat) Také byla zahájena analýza dat v oblastech Retail a Grid, která jsou komplexnější a objemnější Nejprve je nezbytné provést analýzu dopadů GDPR (gap analýza) Následovat bude implementace řešení napříč všemi společnostmi innogy v ČR Z důvodu složitosti problematiky GDPR bude velmi obtížné splnit všechny požadavky k termínu. května 08 Rozhodnutí a další kroky Potřebná rozhodnutí: Cíle projektu Organizace a zdroje Struktura schůzek a jejich kaskáda Projektový plán Strana Cíle projektu nejsou jen o souladu s požadavky GDPR, ale také o příležitosti posílení jména innogy v ČR Navrhované cíle projektu Dosažení souladu s pravidly GDPR a eliminace / minimalizace rizika pokut Zvýšení důvěry u našich zákazníků a zaměstnanců Zavedení principů řízení dat (Data governance) do praxe Zvýšení vnímání významu a hodnoty dat ve společnosti. Posun od řízení aplikačního využití k samostatnému řízení dat Strana /09/07 Page
Agenda Strana GDPR zavádí nové přísnější požadavky na ochranu osobních údajů s platností od..08 Klíčové požadavky GDPR Záměrná a standardní ochrana osobních údajů Dokumentace o zpracování osobních údajů Posouzení vlivu na ochranu osobních údajů Pověřenec pro ochranu osobních údajů (DPO) Ohlášení případů porušení zabezpečení osobních údajů Práva subjektů údajů Souhlas (ke zpracování) Vysvětlení Bezpečnostní opatření musí být zakomponována do procesů, produktů a služeb; základní normou a výchozím principem musí být ochrana soukromí Uchovávaní zápisů o zpracování údajů (např. důvod pro zpracování, popis kategorií subjektů údajů a jejich osobních informací) Provedení posouzení rizika ohledně zpracování osobních údajů, která mohou ohrozit práva a svobody subjektů údajů Povinnost jmenovat nezávislého DPO, který bude mít na starosti zajištění souladu s požadavky GDPR Porušení zabezpečení osobních údajů je nezbytné ohlásit dozorovému úřadu pokud možno do 7 hodin a subjektům údajů bez zbytečného prodlení Práva subjektů údajů jsou posílena (např. právo být zapomenut, možnost přenosu dat, ohlášení o zpracování) Subjekty údajů dávají své svolení ke zpracování osobních údajů prohlášením či jiným transparentním způsobem Správní pokuty Subjekty údajů = identifikované fyzické či právnické osoby Odstupňovaný přístup k finančním postihům, které mohou dosáhnout buď až 0 mil. EUR nebo až % hrubého ročního obratu společnosti / skupiny Strana /09/07 Page
GDPR zpřísňuje zodpovědnost innogy za ochranu osobních údajů u všech subjektů napříč všemi zdroji dat Subjekty údajů v rámci innogy ČR Zdroje dat obsahující osobní údaje HR Zaměstnanci Uchazeči o práci Kontraktoři Retail Zákazníci Potenciální zákazníci Odchozí zákazníci Grid Vlastní zákazníci Třetí strany Datová úložiště innogy ČR PC, laptopy, USB disky Office Sdílené složky Obchodní databáze Vyřazené databáze Cloud Informační aktiva ve fyzické podobě Reporty Archivy Výtisky Komunikační technologie E-mail Telefon IT sítě Uvnitř innogy Mimo innogy Externí partneři Marketingové agentury Personální agentury Entity v innogy SE Strana 7 Agenda Strana 8 /09/07 Page
Část dat z oblasti HR již byla analyzována v rámci malé pracovní skupiny Pro úvodní analýzu jsme vybrali data z HR neboť jsou objemově nejmenší a jsou nejlépe kontrolována Poznatky z této úvodní analýzy byly využity v rámci analýz dat v oblastech Grid a Retail, jejichž komplexita je podstatně vyšší Tyto oblasti (Grid a Retail) byly již předmětem předběžného průzkumu Strana 9 Agenda Strana 0 /09/07 Page
Soulad s požadavky GDPR budou v rámci projektu řešit pracovní skupiny podporované PMO a odborníky Schvalování a směřování projektu Řídící výbor (Steerco) Projektové řízení Core tým Projektový manažer PMO Pracovní skupiny HR Security & data governance Retail Grid Odborná podpora Interní odborníci na vybraná klíčová témata Externí odborníci na GDPR (provedení gap analýzy) Strana Systém a kaskáda schůzek zajistí rychlé a efektivní sdílení informací a řešení problémů Systém a kaskáda schůzek Popis Úroveň projektu Úroveň týmů Úroveň jednotlivců Shrnutí a hlášení klíčových (relevantních) rizik a problémů Schůzka w/s Security & data governance Poskytnutí vstupů dle RAID matice Rizika a problémy Schůzka w/s HR, Retail a Grid Reporting klíčových úspěchů a dalších kroků Rozhodnutí ohledně rizik a problémů Schůzka Core týmu Schůzka Steerco Kaskáda schůzek umožňuje zajištění efektivního toku informací Jednotlivé schůzky využívají a hodnotí výstupy schůzek na nižších úrovních kaskády a poskytují zpětnou vazbu K efektivnímu fungování tohoto systému je třeba před každou schůzkou včas dodat nezbytné informace (např. identifikovaná rizika) Jednou týdně Každé týdny Měsíčně Strana /09/07 Page
Agenda Strana s externími partnery zvyšuje složitost jejich ochrany Externí partneři relevantní pro oblast HR innogy SE Sdílení dat napříč skupinou Personální agentury Státní správa (např. Český statistický úřad, Česká správa sociálního zabezpečení, Finanční správa) Zákonná povinnost sdílet osobní údaje s úřady Společnosti innogy v ČR innogy Business Services CZ Dodavatelé Dodavatelé psychodiagnostických testů Poskytovatelé zdravotních služeb Založeno jak na smluvních, tak zákonných povinnostech Dodavatelé ve smluvním vztahu s innogy CZ Dodavatelé ve smluvním vztahu s ibs CZ Strana /09/07 Page 7
Agenda Strana. Souhrnná rizika Nejvyšší rizika představují nová práva subjektů OÚ a požadavky s rizikem sankce v případě nesouladu s GDPR Požadavek Co požadavek obnáší? Dopad do procesů Dopad do IT Riziko 7 8 9 0 Právo na výmaz Souhlas se zpracováním OÚ Informační povinnost Zpracovatelské smlouvy Únik dat Právo na přenositelnost Právo na blokaci Právo vznést námitku Právo na informaci/opravu Posouzení vlivu Standardizace principů ochrany DPO DPO = Data Protection Officer OÚ = osobní údaj Na žádost subjektu OÚ musí být vymazány údaje tohoto subjektu, které nevyžaduje jiná právní povinnost/zájem správce U zvláštních kategorií OÚ a u účelů bez jiného právního titulu musí být nastaven a posbírán souhlas se zpracováním OÚ Subjekty údajů musí být informovány o účelech a rozsahu zpracování svých OÚ Smlouvy s externími/interními zpracovateli musí být upraveny, aby splňovali nové požadavky na vztah zpracovatel správce V případě zjištění úniku OÚ musí být do 7h informován Úřad pro ochranu osobních údajů a subjekty uniklých OÚ Na žádost subjektu musí být předány OÚ subjektu třetí straně ve strojově čitelném formátu Po dobu zpracování námitky (viz. Další bod) musí být pozastavena veškerá zpracování OÚ daného subjektu Na námitku subjektu OÚ musí být prokázán právní titul zpracování OÚ nebo zastaveno zpracování těchto OÚ Na žádost subjektu musí být poskytnuty kompletní informace o zpracovávaných OÚ/musí být opraveny chyby U nově vznikajících procesů zpracovávajících OÚ musí být provedena analýza možných rizik a dopadů Musí být provedena revize a úpravy stávajících směrnic a metodik v souvislosti s ochranou OÚ Musí být zřízena role pověřence, který se stará o oblast ochrany OÚ ve společnosti Vysoké Střední Nízké Strana /09/07 Page 8
. Struktura organizace pro DPO Kancelář Pověřence organizačně zařazena pod Security oddělení v ČR s úzkým propojením na skupinu innogy Pověřenec vykonávajícího činnost pro všechny společnosti v rámci skupiny innogy v ČR bude nominován k..08 Pro zajištění zastupitelnosti se Kancelář Pověřence bude skládat z Pověřence a zástupce Pověřence Organizačně bude Kancelář Pověřence umístěna pod oddělení Security Role Pověřence pro ochranu osobních údajů (DPO) Informuje a radí v záležitostech ochrany dat interním správcům a zpracovatelům Zajišťuje informovanost a dodržování zásad GDPR Udržuje katalogový list zpracování osobních údajů Spolupracuje s dohlížejícími orgány Vystupuje jako první kontakt pro dohlížející orgány a jednotlivce, jejichž osobní údaje jsou zpracovávány Zajišťuje bezpečnostní politiky ve vztahu s nakládáním s OÚ (innogy Group Directive Data Protection; platná od..07) DPO = Data Protection Officer OÚ = osobní údaj Strana 7 DOTAZY? Děkuji za pozornost Marcel Med innogy Česká republika a.s. Security Senior Specialist, Data protection M +0 07 78 E marcel.med@innogy.com /09/07 Page 9