Nařízení o ochraně osobních údajů - GDPR

Prezentace na téma: "Nařízení o ochraně osobních údajů - GDPR"— Transkript prezentace:

1 Nařízení o ochraně osobních údajů - GDPR
Mgr. Matej Zachar Project & Security Manager 1

2 SAFETICA TECHNOLOGIES
česká společnost, vznik 2008 65 zaměstnanců ESET Technology Alliance Partner Bezpečnost dat Ochrana osobních údajů 2

3 GDPR 3

4 GDPR Schváleno 14.4.2016 po 4 letech vyjednávání
Platnost od , účinnost od Nahrazuje 95/46/ES a 101/2000 Sb. Harmonizace legislativy na úrovni EU a EFTA (1 regulace místo 31) Směrnice Národní implementace dle „šablony“ Regulace - nařízení Změny národní legislativy pro shodu 4

5 GDPR Article 29 Working Party – dosud 4 pokyny
Novela zákona o ochraně osobních údajů Pravděpodobně do konce roku Úprava pouze parametrů typu věk nezletilých pro souhlas rodičů Není proč čekat Sankce až 10/20 mil. €, 2/4% ročního obratu Povinné hlášení porušení ochrany dat - 72 hodin od zjištění 5

6 Koho se týká gdpr? Každé organizace Zaměstnanci Zákazníci Marketing
Občané Pacienti 6

7 Osobní údaje Jakýkoliv údaj, týkající se identifikované nebo identifikovatelné osoby. Je osobní údaj Je citlivý údaj Není osobní údaj Jméno, adresa Osobní údaje detí Anonymní údaj Tel. číslo, Členství v odborech Údaj o zesnulém Číslo OP Zdravotní karta Data o právnické osobě IP adresa, log Trestní minulost Datum narození Sexuální orientace Občanství Biometrie 7

8 Rozsah GDPR Podniky v EU Nabídka zboží a služeb pro rezidenty EU
Monitorování chování rezidentů EU GDPR – přímá odpovědnost zpracovatelů dat Fyzické nebo právnické osoby, které zpracovávají osobní data jménem správce 8

9 GDPR - povinnosti 9

10 Souhlas Pouze v případě, že neexistuje právní základ zpracování osobních dat Povinnost zpracovávat osobní údaje o zaměstnanci Nutnost adresy doručení pro objednávku v eshopu Musí být jednoznačný, daný svobodně a nepodmíněný sankcí (pokud nejste schopni službu poskytnout i bez něj) I když souhlas nepotřebujete, vztahuje se na vás řada dalších povinností GDPR, vč. bezpečnosti dat 10

11 Data Protection Officer
Osoba, jmenovaná zpracovatelem i správcem Může být outsourcována Povinná pro veřejné orgány, rozsáhlé monitorování, v případě rozsáhlého zpracování citlivých dat Poradný orgán, dohlíží nad zpracováním osobních dat, řídí činnosti ochrany dat – odpovědnost nese však organizace sama Viz Guideline wp243 11

12 Posouzení dopadu Data Protection Impact Assesment
Alternativa oznámení o zpracování osobních údajů Před začátkem zpracování Nutné například v případě zpracování citlivých údajů, systematického monitorování veřejně přístupných míst, profilování V případě, že zhodnotí zpracování za velice rizikové a tyto rizika nelze zmírnit, je organizace povinna konzultovat s ÚOOÚ Viz Guideline wp248 12

13 Vedení záznamů O zpracování osobních dat Jméno a kontakty správce
Účely zpracování, rozsah dat Příjemci vč. přenosu do třetích zemích Lhůta uchování Přijatá opatření k zaručení bezpečnosti dat Výjimky pro malé podniky, ale ne pro takové, které provádějí rizikové zpracování dat 13

14 Práva jednotlivce 14

15 Práva subjektu údajů Právo na informace Právo na opravu, výmaz
Právo být zapomenut Právo na přenositelnost Právo vznést námitku 15

16 Právo na informace Sepsané jasně a zrozumitelně pro subjekty údajů
Můžeme očekávat doporučení z EU (piktogramy) V průběhu a po skončení zpracování Na žádost subjektu údajů V případě incidentu – automaticky (Články 12, 13, 14, 15) 16

17 Právo na informace Sepsané jasně a zrozumitelně pro subjekty údajů
Na začátku zpracování Identifikace správce, DPO Účely, právní základ pro zpracování Komu budou údaje zpřístupněny, vč. přenosu mimo EU Rozsah a doba zpracování Poučení o právech Informace o automatizovaném zpracování Poučení o ne/dobrovolnosti poskytnutí údajů 17

18 Právo na opravu, výmaz Osobní údaje musí být zpracovávány v co nejpřesnější podobě Subjekt osobních údajů má právo požádat o doplnění nebo úpravu informací, když se zpracovávají nepřesná data Organizace musí zareagovat včasně a omezit zpracování do doby vyřešení 18

19 Právo být zapomenut V případě, že platí některá z nasledovných podmínek, osobní údaje nesmí být zpracovány: Osobní údaje již nejsou potřeba Subjekt údajů odvolal souhlas Byly vzneseny námitky a nebyl dokázán spravedlivý důvod Zpracování bylo protiprávní Online data dětí Následně je správce povinný informovat všechny entity, kterým údaje předal 19

20 Právo na přenositelnost
V případě automatizovaného zpracování na základě souhlasu Subjekt údajů má právo vyžádat si informace ve strojově čitelném, standardizovaném formátu Následně je přenést k jinému správci Např. v případě přenosu k jinému mobilnímu operátorovi 20

21 Právo vznést námitku Pro veřejnou správu
V případě zpracování k ochraně veřejného zájmu, při výkonu veřejné moci Subjekt údajů může vznést námitku, správce musí dokázat oprávněnost zpracování, jinak zpracování ukončit Pro přímý marketing Subjekt údajů může kdykoliv odmítnout přímý marketing 21

22 Bezpečnost dat dle GDPR
22

23 Osobní údaje – bezpečnost
„S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně: (…) “ 23

24 Osobní údaje „ a) pseudonymizace a šifrování osobních údajů;
b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů; d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.“ 24

25 Osobní údaje „ Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.“ 25

26 Bezpečnost – požadavky
analýza a řízení rizik implementace opatření důvěrnost integrita dostupnost minimalizace dat pseudonymizace šifrování (?) 26

27 Směrnice jasně definují očekávané chování co je citlivé a co ne
čemu sa vyhýbat co naopak použít bezpečnostní / AUP 27

28 Školení na směrnice a pravidla jak se chovat na počítači
cílem školení: ovlivnit chování prevence před chybou 28

29 Audit Odhalí problémy v bezpečnosti dat Najde rizika a ohodnotí je
Pomůže určit priority Zjistí procesní nedostatky Uložení, přenos a práce s daty 29

30 Audit V 95 % případů – problém: občanské průkazy na uložto
smlouvy na osobním cloudu výrobní plány na flash disku 30

31 Audit, audit... 31

32 Šifrování disky – pevné i externí: TPM BitLocker komunikační kanály
samotná důležitá data 32

33 řešení pro perimetr omezení rizikových cest toku dat 33

34 Bezpečná výměna dAt šifrované e-maily šifrované zprávy
šifrovaná úložiště privátní cloud FTP 34

35 Data Loss Prevention 35

36 Fyzická bezpečnost Uchování osobních dat Životopisy Osobní složky
Trezory, zámky Zabezpečení areálu 36

37 síťová bezpečnost Penetrační testy / Vulnerability assesment
Antivir, firewall, IDS/IPS Ochrana perimetru koncových bodů 37

38 Dostupnost Disaster recovery Redundance Zálohování Data Přístupy 38

39 Další opatření Řízení bezpečnosti / ISMS Organizační opatření
Zaměstnanci Procesy 39

40 GDPR v kostce Datový audit GAP analýza Implementace Právní základy
Procesy Technologie 40

41 Diskuze 41

42 Děkujeme za váš čas Mgr. Matej Zachar
Project & Security Manager / 42