Aktivity AMSP ČR v souvislosti s GDPR

Slides:



Advertisements
Podobné prezentace
Personální řízení v malých podnicích
Advertisements

Studie: Data retention v ČR v praxi Petr Kučera Iuridicum Remedium, o. s.
Harmonogram implementace IS v běžné praxi - informatika ZMVS.
DIRECT MAIL – LEGISLATIVNÍ OMEZENÍ
Projekt Svazu na podporu meziobecní spolupráce v ČR Projektový tým Svaz měst a obcí ČR Ostrava, 04. listopadu 2013.
Reklamní právo v prax Oi Mgr. Libor Štajer, advokát CALL CENTRA NA PRAHU ROKU 2014 Petr Kůta
Informační systémy podnikové systémy CRM
Audit IT procesů ve FNOL
7. zasedání pracovní skupiny interních auditorů kraje Vysočina
Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR
Registr dlužníků státu
Informační strategie. řešíte otázku kde získat konkurenční výhodu hledáte jistotu při realizaci projektů ICT Nejste si jisti ekonomickou efektivností.
Územního plánování na obcích v roce 2007 setkání tajemníků obcí Karlovarského kraje KÚKK, ORR, odd. územního plánování, Jana Kaválková.
Platební systém eBanky 2 Co je to Platební systém eBanky? Po platbě dobírkou nejrozšířenější platební systém na českém internetu Doposud jej aktivovalo.
Osobní údaje při registraci domén Praha září 2007 Mgr. Martina Šnajderová, DiS. Úřad pro ochranu osobních údajů.
Otázky a odpovědi k zákonu č. 300/2008 Sb. Zpracoval: Mgr. René Pleva Datum:
DMVS Zpracoval: Ing. Ivan Ivanov 1 Typové projekty DMVS -Účelová katastrální mapa realizace 2011, investice cca 9 mil. -Nástroje pro tvorbu a údržbu ÚAP.
KONFERENCE PROTIPOVODŇOVÁ OCHRANA – PREZENTACE VÝSLEDKŮ PILOTNÍHO PROJEKTU „ATLAS LABE NA ÚZEMÍ KRÁLOVÉHRADECKÉHO KRAJE“ Projekt je spolufinancován Evropskou.
Program zahájení - Petr Pavlinec, KÚ role systémového integrátora - Martin Vimr, PH organizace projektu - Vladimír Kvarda, PH obsazení projektového týmu.
Realizační tým ICZ duben 2005
Znáte fondy a programy EU? - výsledky on-line ankety - Praha, 3. prosince 2007.
Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.
Prof. Molnár1 Podnikové informační systémy Outsourcing IS/IT a ASP Prof. Ing. Zdeněk Molnár, CSc Ústav řízení a ekonomiky podniku
ICHNOS Plus – INTERREG 4C Ing. Petr Pavlinec – kraj Vysočina.
Technické řešení PostSignum QCA
1 14.Postakviziční integrace-jaké kroky se mají učinit po podpisu kupní smlouvy Kateřina Čepeláková, E-72 Šk.rok:2009/2010.
Právní procesy.
Elektronické podatelny právo a praxe ISSS Hradec Králové Jan Hobza
Dokumentace k zajištění BOZP
Konference Městské kamerové dohlížecí systémy a ochrana osobních údajů, Praha 18. února 2011 PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů.
Nakládání s daty v prostředí internetu Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.
SIKP – Státní informační a komunikační politika Prezentace 2. část aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková.
Sjednocení technologické platformy Policie ČR CZ.1.06/1.1.00/ Sjednocení technologické platformy Policie ČR CZ.1.06/1.1.00/ Projekt je.
CZ.NIC a jeho aktivity na poli počítačové bezpečnosti Konference Internet&komunikace 2015 Martin Peterka
SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.
Publicita v projektů financovaných z ESF v rámci Operačního programu Lidské zdroje a zaměstnanost Seminář pro žadatele.
PREZENTUJÍCÍ Registry ve veřejné správě Mgr. David Marek
SAFETY 2017 Význam a zásady fyzické bezpečnosti při ochraně (nejen) utajovaných informací. Hradec Králové duben
Cloud computing v praxi
Elektronický obchod z pohledu České republiky
Podpora podnikání z pohledu bankovního sektoru
BEZPEČNOST NA KONTAKTNÍCH MÍSTECH Czech POINT
Systém elektronické podpory obchodování (SEPO)
Jak jsou podnikatelé připraveni na GDPR?
Obecné nařízení o ochraně osobních údajů (GDPR)
GDPR General Data Protection Regulation
Webové portály LDS/MDS
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27
Městská část Praha 6 Postup příprav GDPR Ing. Jan Holický, MBA
Aktivity AMSP ČR v souvislosti s GDPR
Seminář ,,Právo a podnikání v digitálním věku” - Ostrava,
Seminář ,,Právo a podnikání v digitálním věku” - Ostrava,
Vybrané právní aspekty podnikání v digitálním věku
Obce a implementace GDPR
Jak se připravit na GDPR ?
GDPR ve školství Pavel Škarban Tábor,
GDPR a obec Praha Mgr. Jan Vobořil, Ph.D. 1.
SPISOVÁ SLUŽBA A GDPR Mgr. Pavel Šrámek, Ph.D.
územního plánování na obcích v roce 2007
Informace Krajského úřadu Zlínského kraje
GDPR a Smlouva o zpracování osobních údajů
Obecné nařízení o ochraně osobních údajů
Ing. Pavel Vinkler, Ph.D., ředitel odboru podnikatelského prostředí
GDPR Detective Jste připraveni na novou právní úpravu v oblasti ochrany osobních údajů?
Elektronická komunikace při zadávání veřejných zakázek Mgr. Jakub Váňa
GDPR pro knihovny JUDr. Tomáš Doležal advokát
GDPR JUDR. Mgr. Barbora Vlachová
V. Setkání se starosty obcí
česká asociace sdílené ekonomiky
farmakovigilanční audit
Transkript prezentace:

Aktivity AMSP ČR v souvislosti s GDPR Právo a podnikání v digitálním věku Aktivity AMSP ČR v souvislosti s GDPR Příprava podnikatelů na GDPR Průzkum AMSP ČR www.GDPRbezobav.cz bezplatný portál s informacemi a poradnou pro MSP

Jak jsou podnikatelé připraveni na GDPR? Průzkum, jak malé a střední firmy přistupují ke změně v ochraně osobních dat a jak se vyrovnávají s kybernetickými útoky. Srpen 2017

Aktualizace interních směrnic 42 % Hlavní zjištění ANALÝZU FIRMY PLÁNUJÍ S NOVÝM NAŘÍZENÍM 24 % Provedlo Školení zaměstnanců Aktualizace interních směrnic 42 % FIRMY ZPRACOVÁVAJÍ DATA Plánuje provést Zaměstnanců 93 % Klientů/zákazníků Obchodních partnerů 67 % 61 % KYBERNETICKÉ ÚTOKY 41 % Má zkušenost 88 % využívá interní datové sklady, 15 % externí řešení 82 % Má nastavené procesy minimalizující rizika 13 % využívá cloudy

S JAKÝMI DATY FIRMY PRACUJÍ? NEJVÍCE FIRMY POCHOPITELNĚ PRACUJÍ S DATY SVÝCH ZAMĚSTNANCŮ. DVĚ TŘETINY ALE ZPRACOVÁVAJÍ I DATA KLIENTŮ A OBCHODNÍCH PARTNERŮ. S JAKÝMI DATY FIRMY PRACUJÍ? n=450 Q1. S jakými osobními údaji ve firmě pracujete? Komentář AMSP ČR: To, že prakticky 2/3 malých a středních firem pracuje s cizími daty, je klíčové sdělení, ze kterého vyplývá, že ochrana dat se bude týkat mimořádného množství podnikatelů. Zaměstnanců Klientů/ zákazníků Obchodních partnerů Uživatelů webových stránek Jiné Nevím Ipsos pro AMSP_Ochrana osobních dat

TO, JAKÁ DATA FIRMY ZPRACOVÁVAJÍ, SOUVISÍ VELMI ÚZCE I S ÚČELEM JEJICH ZPRACOVÁVÁNÍ. ZA JAKÝM ÚČELEM JSOU DATA ZPRACOVÁVÁNA? n=450 Q2. Za jakým účelem osobní údaje zpracováváte? Komentář AMSP ČR: Je zřejmé, že práce se zákaznickými nebo partnerskými daty je pro malé a střední firmy dnes běžným marketingovým nástrojem. Povinnosti zaměstnavatele vůči zaměstnancům Obchodní nabídky Vyhodnocení spolupráce s obchodními partnery Zlepšování nabídky produktů/služeb na webových stránkách Jiné Nevím Povinnosti vůči úřadům a jiným institucím Ipsos pro AMSP_Ochrana osobních dat

(VLASTNÍ DATOVÉ SKLADY) (ÚLOŽIŠTĚ PROFESIONÁLNÍCH FIREM) 9 Z 10 FIREM ŘEŠÍ UKLÁDÁNÍ DAT INTERNĚ. EXTERNÍ ŘEŠENÍ VOLÍ 15 %, CLOUDY VYUŽÍVÁ 13 %. FIRMY ČASTO ROZLIŠUJÍ DATA PRO DLOUHODOBÉ UCHOVÁNÍ A TA, KTERÁ PO ČASE MAŽOU. 1/4 DATA NEMAŽE. KDE MAJÍ FIRMY DATA ULOŽENA? n=450 Q3. Kde máte vaše firemní data uložená? Q4. Po jakou dobu osobní údaje uchováváte? Na dobu určitou, poté je mažeme 18 % 4 % Nevím 88 % 15 % 13 % 5 % INTERNÍ ŘEŠENÍ (VLASTNÍ DATOVÉ SKLADY) EXTERNÍ ŘEŠENÍ (ÚLOŽIŠTĚ PROFESIONÁLNÍCH FIREM) CLOUDOVÁ ÚLOŽIŠTĚ NEVÍM Část po nějaké době mažeme a část uchováváme dlouhodobě Neomezeně, data nemažeme 26 % 52 % Komentář AMSP ČR: Menší a střední firmy jsou konzervativnější a stále spíše sází na interní správu dat. Částečně z historických důvodů, částečně z obavy ze zneužití dat, částečně proto, že nemají čas na změnu překlopení dat na externí platformu. Ipsos pro AMSP_Ochrana osobních dat

FIRMY S PŘÍCHODEM NOVÉHO NAŘÍZENÍ ŘEŠÍ PŘEDEVŠÍM ŠKOLENÍ ZAMĚSTNANCŮ A AKTUALIZACE INTERNÍCH SMĚRNIC A DOKUMENTACE. CO FIRMY PLÁNUJÍ MĚNIT S OHLEDEM NA NOVÉ NAŘÍZENÍ? n=450, v % Q9. Nové nařízení o ochraně osobních údajů má definovanou působnost. Je třeba podle vás danou oblast ve vaší společnosti v souvislosti s nařízením řešit: Firmy s obratem nad 500 mil. Kč častěji řeší všechny uvedené body. Ipsos pro AMSP_Ochrana osobních dat

V JAKÉM STÁDIU IMPLEMETACE FIRMY JSOU? ANALÝZU OHLEDNĚ NOVÉ LEGISLATIVY JIŽ PROVEDLO 24 % FIREM. VŮBEC JI NEPLÁNUJE 27 %. V JAKÉM STÁDIU IMPLEMETACE FIRMY JSOU? n=450, v % Q10. V jakém jste nyní stádiu implementace nové legislativy v oblasti ochrany osobních dat? Komentář AMSP ČR: Názor odpovídá tomu, že malé firmy obecně přistupují k novým opatřením spíše intuitivněji, zatímco střední a větší firmy pro svá rozhodnutí využívají analýzy.

V 64 % FIREM DOJDE KE ZMĚNÁM V 64 % FIREM DOJDE KE ZMĚNÁM. ZAMĚŘOVAT SE BUDOU NEJČASTĚJI NA VYŠŠÍ KVALITU ZABEZPEČENÍ DAT. PLÁNUJÍ FIRMY ZMĚNY S NOVOU LEGISLATIVOU? JAKÉ? Q11. Plánujete změny ve fungování Vaší společnosti s účinností nové legislativy? Q11b. O jaké změny se konkrétně jedná? Plánované změny: 47 % 28 % 17 % 8 % 19 % Nevím, v tuto chvíli nedokáži říci VYŠŠÍ KVALITA ZABEZPEČENÍ DAT 12 % EVIDENCE A DOPLŇOVÁNÍ OSOBNÍCH ÚDAJŮ Ano, na změnách již pracujeme Ano, ke změnám dojde 9 % OCHRANA DAT 9 % NOVÉ SMĚRNICE Ne n=57 (ti, co zavádí nebo plánují změny s novou legislativou) „Už teď se řídíme příslušnou legislativou.“ Komentář AMSP ČR: Pokud se naplní výsledky průzkumu a GDPR se skutečně dotkne téměř dvou třetin podniků, pak se bude jednat o jedno z nejnáročnějších nařízení, které alespoň částečně ovlivní skoro milion podnikatelských subjektů. n=76 (ti, co provedli analýzu a nová legislativa jejich společnost zasáhne) Ipsos pro AMSP_Ochrana osobních dat

KYBERNETICKÁ BEZPEČNOST

4 Z 10 FIREM ZAŽILY KYBERNETICKÝ ÚTOK 4 Z 10 FIREM ZAŽILY KYBERNETICKÝ ÚTOK. ČÍM VYŠŠÍ OBRAT, TÍM SPÍŠE SE FIRMA S ÚTOKEM SETKÁ. NEJČASTĚJŠÍ JSOU PODVODNÉ E-MAILY A ŽÁDOSTI O PODVODNÉ PLATBY. MAJÍ FIRMY ZKUŠENOST S KYBERNETICKÝMI ÚTOKY? Q15. Ochrana osobních údajů a dat úzce souvisí s kybernetickými útoky. Setkali jste se ve své firmě s některým typem kybernetického útoku? Ano, v posledním roce V posledním roce mají častěji zkušenost s kybernetickými útoky společnosti s vyšším obratem. Firmy s obratem 1 mld. Kč a více mají tuto čerstvou zkušenost v 56 % případů. Zkušenost firem s: 58 % 9 % 32 % 1 % 84 % Komentář AMSP ČR: Potvrzuje se, že kybernetické obtěžování se stává běžnou praxí, překvapivé je i to, že nemalá část firem má zkušenosti přímo s hackerským útokem. Podvodné e-maily (zavirované přílohy e-mailu, vylákání informací o platební kartě) Nevím 62 % Ne Žádost o podvodnou platbu (mailové oslovení k provedení naléhavé a velmi důvěrné platby) 29 % Podvržená přihlašovací stránka do internetového bankovnictví (pokus o vylákání přihlašovacích údajů) Ano, je to déle než rok 27 % Napadení vašeho e-mailu hackerem n=450 n=185 (ti, co mají zkušenost s kybernetickým útokem) Ipsos pro AMSP_Ochrana osobních dat

8 Z 10 FIREM MÁ NASTAVENÉ PROCESY MINIMALIZUJÍCÍ RIZIKA 8 Z 10 FIREM MÁ NASTAVENÉ PROCESY MINIMALIZUJÍCÍ RIZIKA. JEDNÁ SE PŘEDEVŠÍM O NASTAVENOU POLITIKU HESEL A DEFINOVANÉ PROCESY PRO REALIZACI PLATEB. JAK FIRMY RIZIKŮM PŘEDCHÁZEJÍ? Q16. Máte ve firmě nastavené procesy minimalizující možná rizika? Q16a. Jaké konkrétní procesy pro minimalizaci rizik využíváte? 90 % ANO 82 % Využíváme osvědčené postupy – politika hesel NE 15 % 82 % 86 % Účet dodavatele kontrolujeme a případné změny čísla účtu ověřujeme přímo s dodavatelem Máme definované jasné procesy pro realizaci plateb – oddělené role pro zadávání a schvalování plateb 60 % Využíváme kontrolu 4 očí N=369 Komentář AMSP ČR: Je patrné, že firmy si uvědomují kybernetická rizika a nejčastější hrozby již dokáží eliminovat stávajícími podnikovými mechanismy. N=450, Nevím – 3 % Ipsos pro AMSP_Ochrana osobních dat

OBOR ČINNOSTI n=450 Ipsos pro AMSP_Ochrana osobních dat

ROČNÍ OBRAT POČET ZAMĚSTNANCŮ Ipsos pro AMSP_Ochrana osobních dat

Web s bezplatným poradenstvím pro podnikatele Spuštěn 30. 8. 2017 GDPRBEZOBAV.CZ Web s bezplatným poradenstvím pro podnikatele Spuštěn 30. 8. 2017

HOMEPAGE

Statistiky shlédnutí „častých otázek“

WEB GDPRbezobav.cz Prověřené informace Aktuální novinky Dotazy směřující k základním problémům firem a živnostníků – bezplatné odpovědi do 48 hod. Odpovědi zajišťuje kolektivní člen AMSP ČR - Česká asociace ochrany osobních údajů a spolupracující advokátní kanceláře Automatické zasílání informací Výklady – ÚOOÚ a WP29

Bude se GDPR řídit i živnostník, který nemá zaměstnance? Pokud živnostník shromažďuje nebo zpracovává osobní údaje Klientů Dodavatelů. Osobní údaje musí být chráněny takovým způsobem, aby se k nim nemohl dostat nikdo nepovolaný

Bere se jako osobní údaj i evidence o docházce zaměstnance? Zaměstnanec je fyzická osoba a pokud lze záznam o docházce jednoznačně spojit s identifikátorem zaměstnance, pak se jedná o osobní údaj. Souhlas zaměstnance se zpracováním osobních údajů – např. i zveřejnění fotografie na webu firmy – vždy musí v samostatném dokumentu mimo pracovní smlouvu

Co s kontakty získanými před účinností GDPR? GDPR dopadne i na kontakty, které podnikatelé a další subjekty získali před účinností GDPR Dříve získaný souhlas vyhovuje, pokud způsob jeho udělení v souladu s GDPR Nutno doložit souhlas subjektu: Souhlas udělen svobodně Konkrétní Informovaný Jednoznačný a ničím nepodmíněný.

Musím si pořizovat speciální SW nebo HW ? Technická opatření s přihlédnutím k: Povaze Rozsahu Kontextu Účelu Posouzení pravděpodobnosti a závažnosti rizik Velká část menších podniků nebude muset pořizovat speciální SW a HW, pokud odpovídají běžným standardům zabezpečení. SW od spolehlivého dodavatele - soulad s GDPR

Údaje uložené v cloudových službách Poskytovatelé cloudových služeb musí zajistit, aby jejich služby byly v souladu s GDPR Za dodržování pravidel nařízení GDPR i v tomto případě odpovědný podnikatel GDPR má dopad na celou organizaci firmy, informační systémy

Správu GDPR provádí externí firma Povinnost ochrany osobních údajů se dle GDPR vztahuje jak na správce, tak i zpracovatele - externí organizaci, která data zpracovává Za ochranu dat odpovědné obě entity Správce odpovědný i v případě, že pouze data posbírá a pošle dodavateli. Správce se zpracovatelem uzavře písemnou smlouvu Rozsah a účel zpracování, doba trvání Záruky zpracovatele o technickém a organizačním zabezpečení

Co je to „rozsáhlé zpracování“? Je vydefinováno množství dat? Tyto termíny nejsou v nařízení jasně definovány Výkladová vodítka WP 29 Počet dotčených subjektů údajů, objem dat, doba trvání zpracování, územní rozsah Např.: zpracování osobních údajů vyhledávačem pro potřeby cílené reklamy či zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky.

Právo na výmaz – platí i v případě objednávky služeb nebo zboží? Subjekt má právo, aby údaje o něm byly vymazány, pokud: Údaje už nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány Odvolal souhlas Právo na výmaz není právem absolutním K výmazu nemůže dojít, pokud existuje jiná právní povinnost nebo zákon, který výmazu brání – např. daňové zákony, zák. o archivaci a další

Aktuální potřeby firem a pomoc AMSP ČR Přesnější vymezení povinností správce Chybějící nebo nedokonalé interní dokumenty a směrnice Zajištění souhlasu subjektů údajů Smluvní zajištění vztahů se zpracovateli osobních údajů Smluvní zajištění s příjemci osobních údajů Bezplatné semináře a konference pro kolektivní členy AMSP ČR

Děkuji za pozornost Mgr. Vojtěch Vrobel vrobel@amsp.cz info@gdprbezobav.cz www.gdprbezobav.cz