Revoluce jménem GDPR Eduard Pavlar Risk Assurance
Klíčové body v GDPR Definice osobních dat Online identifikátory (IP adresa, cookies) Email, telefonní číslo Číslo účtu Zpracovávání dat Privacy by design (pseudonymizace) Princip minima Přenositelnost dat Pověřenec pro ochranu osobních údajů Zaměstnanec nebo smlouva o poskytování služeb Ohlašování porušení zabezpečení Do 72 hodin od okamžiku, kdy se o něm dozvěděl Posílení práv jednotlivce Výslovný souhlas Profilování Právo být zapomenut Pokuty Až do 4% obratu nebo 20 milionů EUR
Rozšířený dosah Práva subjektů osobních údajů Profilování Přístup Oprava Výmaz a právo „být zapomenut“ Omezení zpracování Přenositelnost zpracování Vznést námitku Profilování Automatizované zpracování osobních dat Zejména analyzovat nebo předpovídat: Výkon v práci Ekonomickou situaci Zdraví Osobní preference Zájmy Spolehlivost Chování Polohu Pohyb
Kde osobní data hledat? IT Systémy Lokace: Chránit svá data (C-I-A) Databáze CRM / ERP systémy Webové aplikace Souborové složky, sdílená úložiště E-maily Uživatelské stanice Korelační systémy (např. SIEM) Síťová infrastruktura (Firewall, Behaviorální sondy apod.) + zálohovací a logovací zařízení IDM, AD, LDAP, CA Mobilní zařízení apod. Lokace: Listinné podoby v kancelářích Archívy Fyzické zálohy umístěné mimo IT Cloudové služby Operátoři služeb Chránit svá data (C-I-A) Výběr vhodného poskytovatele služeb Bezpečnostní opatření (organizace/IT)
Proč začít s GDPR již včera? Revize smluv a právních dokumentů Revize a změny v IT systémech, procesech, bezpečnostních opatření Privacy by design pro nové aplikace Zahájeny konzultace Červenec 2009 Koncepční přístup k GDPR GDPR vstupuje v platnost Duben 2016 Úvodní analýza Vyhodnocení nedostatků a jejich prioritizace Návrh nápravných opatření Implementace Provoz v souladu s požadavky GDPR GDPR nabývá účinnosti Květen 2018
Co následuje po 25. květnu 2018 Zajištění pro „provozu“ GDPR „Data Maintenance“ Pravidelná revize relevantní dokumentace, procesů, metodiky projektového řízení, bezpečnostních opatření a směrnic… Připravenost na zvýšenou četnost požadavků ze strany subjektu údajů Kontrola ze strany dozorového úřadu Prostředí organizace je dynamické, nikoliv statické. Stejně tak i bezpečnostní hrozby a kybernetické útoky mění svou podobu a vektor útoku, proto je potřeba identifikovat klíčové oblasti ochrany osobních údajů a zajistit jejich včasnou a pravidelnou aktualizaci.