Nařízení o ochraně osobních údajů - GDPR Mgr. Matej Zachar Project & Security Manager 1

SAFETICA TECHNOLOGIES česká společnost, vznik 2008 65 zaměstnanců ESET Technology Alliance Partner Bezpečnost dat Ochrana osobních údajů 2

GDPR 3

GDPR Schváleno 14.4.2016 po 4 letech vyjednávání Platnost od 25.5.2016, účinnost od 25.5.2018 Nahrazuje 95/46/ES a 101/2000 Sb. Harmonizace legislativy na úrovni EU a EFTA (1 regulace místo 31) Směrnice Národní implementace dle „šablony“ Regulace - nařízení Změny národní legislativy pro shodu 4

GDPR Article 29 Working Party – dosud 4 pokyny Novela zákona o ochraně osobních údajů Pravděpodobně do konce roku Úprava pouze parametrů typu věk nezletilých pro souhlas rodičů Není proč čekat Sankce až 10/20 mil. €, 2/4% ročního obratu Povinné hlášení porušení ochrany dat - 72 hodin od zjištění 5

Koho se týká gdpr? Každé organizace Zaměstnanci Zákazníci Marketing Občané Pacienti 6

Osobní údaje Jakýkoliv údaj, týkající se identifikované nebo identifikovatelné osoby. Je osobní údaj Je citlivý údaj Není osobní údaj Jméno, adresa Osobní údaje detí Anonymní údaj Tel. číslo, email Členství v odborech Údaj o zesnulém Číslo OP Zdravotní karta Data o právnické osobě IP adresa, log Trestní minulost Datum narození Sexuální orientace Občanství Biometrie 7

Rozsah GDPR Podniky v EU Nabídka zboží a služeb pro rezidenty EU Monitorování chování rezidentů EU GDPR – přímá odpovědnost zpracovatelů dat Fyzické nebo právnické osoby, které zpracovávají osobní data jménem správce 8

GDPR - povinnosti 9

Souhlas Pouze v případě, že neexistuje právní základ zpracování osobních dat Povinnost zpracovávat osobní údaje o zaměstnanci Nutnost adresy doručení pro objednávku v eshopu Musí být jednoznačný, daný svobodně a nepodmíněný sankcí (pokud nejste schopni službu poskytnout i bez něj) I když souhlas nepotřebujete, vztahuje se na vás řada dalších povinností GDPR, vč. bezpečnosti dat 10

Data Protection Officer Osoba, jmenovaná zpracovatelem i správcem Může být outsourcována Povinná pro veřejné orgány, rozsáhlé monitorování, v případě rozsáhlého zpracování citlivých dat Poradný orgán, dohlíží nad zpracováním osobních dat, řídí činnosti ochrany dat – odpovědnost nese však organizace sama Viz Guideline wp243 11

Posouzení dopadu Data Protection Impact Assesment Alternativa oznámení o zpracování osobních údajů Před začátkem zpracování Nutné například v případě zpracování citlivých údajů, systematického monitorování veřejně přístupných míst, profilování V případě, že zhodnotí zpracování za velice rizikové a tyto rizika nelze zmírnit, je organizace povinna konzultovat s ÚOOÚ Viz Guideline wp248 12

Vedení záznamů O zpracování osobních dat Jméno a kontakty správce Účely zpracování, rozsah dat Příjemci vč. přenosu do třetích zemích Lhůta uchování Přijatá opatření k zaručení bezpečnosti dat Výjimky pro malé podniky, ale ne pro takové, které provádějí rizikové zpracování dat 13

Práva jednotlivce 14

Práva subjektu údajů Právo na informace Právo na opravu, výmaz Právo být zapomenut Právo na přenositelnost Právo vznést námitku 15

Právo na informace Sepsané jasně a zrozumitelně pro subjekty údajů Můžeme očekávat doporučení z EU (piktogramy) V průběhu a po skončení zpracování Na žádost subjektu údajů V případě incidentu – automaticky (Články 12, 13, 14, 15) 16

Právo na informace Sepsané jasně a zrozumitelně pro subjekty údajů Na začátku zpracování Identifikace správce, DPO Účely, právní základ pro zpracování Komu budou údaje zpřístupněny, vč. přenosu mimo EU Rozsah a doba zpracování Poučení o právech Informace o automatizovaném zpracování Poučení o ne/dobrovolnosti poskytnutí údajů 17

Právo na opravu, výmaz Osobní údaje musí být zpracovávány v co nejpřesnější podobě Subjekt osobních údajů má právo požádat o doplnění nebo úpravu informací, když se zpracovávají nepřesná data Organizace musí zareagovat včasně a omezit zpracování do doby vyřešení 18

Právo být zapomenut V případě, že platí některá z nasledovných podmínek, osobní údaje nesmí být zpracovány: Osobní údaje již nejsou potřeba Subjekt údajů odvolal souhlas Byly vzneseny námitky a nebyl dokázán spravedlivý důvod Zpracování bylo protiprávní Online data dětí Následně je správce povinný informovat všechny entity, kterým údaje předal 19

Právo na přenositelnost V případě automatizovaného zpracování na základě souhlasu Subjekt údajů má právo vyžádat si informace ve strojově čitelném, standardizovaném formátu Následně je přenést k jinému správci Např. v případě přenosu k jinému mobilnímu operátorovi 20

Právo vznést námitku Pro veřejnou správu V případě zpracování k ochraně veřejného zájmu, při výkonu veřejné moci Subjekt údajů může vznést námitku, správce musí dokázat oprávněnost zpracování, jinak zpracování ukončit Pro přímý marketing Subjekt údajů může kdykoliv odmítnout přímý marketing 21

Bezpečnost dat dle GDPR 22

Osobní údaje – bezpečnost „S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně: (…) “ 23

Osobní údaje „ a) pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů; d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.“ 24

Osobní údaje „ Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.“ 25

Bezpečnost – požadavky analýza a řízení rizik implementace opatření důvěrnost integrita dostupnost minimalizace dat pseudonymizace šifrování (?) 26

Směrnice jasně definují očekávané chování co je citlivé a co ne čemu sa vyhýbat co naopak použít bezpečnostní / AUP 27

Školení na směrnice a pravidla jak se chovat na počítači cílem školení: ovlivnit chování prevence před chybou 28

Audit Odhalí problémy v bezpečnosti dat Najde rizika a ohodnotí je Pomůže určit priority Zjistí procesní nedostatky Uložení, přenos a práce s daty 29

Audit V 95 % případů – problém: občanské průkazy na uložto smlouvy na osobním cloudu výrobní plány na flash disku 30

Audit, audit... 31

Šifrování disky – pevné i externí: TPM BitLocker komunikační kanály samotná důležitá data 32

řešení pro perimetr omezení rizikových cest toku dat 33

Bezpečná výměna dAt šifrované e-maily šifrované zprávy šifrovaná úložiště privátní cloud FTP 34

Data Loss Prevention 35

Fyzická bezpečnost Uchování osobních dat Životopisy Osobní složky Trezory, zámky Zabezpečení areálu 36

síťová bezpečnost Penetrační testy / Vulnerability assesment Antivir, firewall, IDS/IPS Ochrana perimetru koncových bodů 37

Dostupnost Disaster recovery Redundance Zálohování Data Přístupy 38

Další opatření Řízení bezpečnosti / ISMS Organizační opatření Zaměstnanci Procesy 39

GDPR v kostce Datový audit GAP analýza Implementace Právní základy Procesy Technologie 40

Diskuze 41

Děkujeme za váš čas Mgr. Matej Zachar Project & Security Manager / matej.zachar@safetica.com 42