Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
1
Nařízení o ochraně osobních údajů - GDPR
Mgr. Matej Zachar Project & Security Manager 1
2
SAFETICA TECHNOLOGIES
česká společnost, vznik 2008 65 zaměstnanců ESET Technology Alliance Partner Bezpečnost dat Ochrana osobních údajů 2
3
GDPR 3
4
GDPR Schváleno 14.4.2016 po 4 letech vyjednávání
Platnost od , účinnost od Nahrazuje 95/46/ES a 101/2000 Sb. Harmonizace legislativy na úrovni EU a EFTA (1 regulace místo 31) Směrnice Národní implementace dle „šablony“ Regulace - nařízení Změny národní legislativy pro shodu 4
5
GDPR Article 29 Working Party – dosud 4 pokyny
Novela zákona o ochraně osobních údajů Pravděpodobně do konce roku Úprava pouze parametrů typu věk nezletilých pro souhlas rodičů Není proč čekat Sankce až 10/20 mil. €, 2/4% ročního obratu Povinné hlášení porušení ochrany dat - 72 hodin od zjištění 5
6
Koho se týká gdpr? Každé organizace Zaměstnanci Zákazníci Marketing
Občané Pacienti 6
7
Osobní údaje Jakýkoliv údaj, týkající se identifikované nebo identifikovatelné osoby. Je osobní údaj Je citlivý údaj Není osobní údaj Jméno, adresa Osobní údaje detí Anonymní údaj Tel. číslo, Členství v odborech Údaj o zesnulém Číslo OP Zdravotní karta Data o právnické osobě IP adresa, log Trestní minulost Datum narození Sexuální orientace Občanství Biometrie 7
8
Rozsah GDPR Podniky v EU Nabídka zboží a služeb pro rezidenty EU
Monitorování chování rezidentů EU GDPR – přímá odpovědnost zpracovatelů dat Fyzické nebo právnické osoby, které zpracovávají osobní data jménem správce 8
9
GDPR - povinnosti 9
10
Souhlas Pouze v případě, že neexistuje právní základ zpracování osobních dat Povinnost zpracovávat osobní údaje o zaměstnanci Nutnost adresy doručení pro objednávku v eshopu Musí být jednoznačný, daný svobodně a nepodmíněný sankcí (pokud nejste schopni službu poskytnout i bez něj) I když souhlas nepotřebujete, vztahuje se na vás řada dalších povinností GDPR, vč. bezpečnosti dat 10
11
Data Protection Officer
Osoba, jmenovaná zpracovatelem i správcem Může být outsourcována Povinná pro veřejné orgány, rozsáhlé monitorování, v případě rozsáhlého zpracování citlivých dat Poradný orgán, dohlíží nad zpracováním osobních dat, řídí činnosti ochrany dat – odpovědnost nese však organizace sama Viz Guideline wp243 11
12
Posouzení dopadu Data Protection Impact Assesment
Alternativa oznámení o zpracování osobních údajů Před začátkem zpracování Nutné například v případě zpracování citlivých údajů, systematického monitorování veřejně přístupných míst, profilování V případě, že zhodnotí zpracování za velice rizikové a tyto rizika nelze zmírnit, je organizace povinna konzultovat s ÚOOÚ Viz Guideline wp248 12
13
Vedení záznamů O zpracování osobních dat Jméno a kontakty správce
Účely zpracování, rozsah dat Příjemci vč. přenosu do třetích zemích Lhůta uchování Přijatá opatření k zaručení bezpečnosti dat Výjimky pro malé podniky, ale ne pro takové, které provádějí rizikové zpracování dat 13
14
Práva jednotlivce 14
15
Práva subjektu údajů Právo na informace Právo na opravu, výmaz
Právo být zapomenut Právo na přenositelnost Právo vznést námitku 15
16
Právo na informace Sepsané jasně a zrozumitelně pro subjekty údajů
Můžeme očekávat doporučení z EU (piktogramy) V průběhu a po skončení zpracování Na žádost subjektu údajů V případě incidentu – automaticky (Články 12, 13, 14, 15) 16
17
Právo na informace Sepsané jasně a zrozumitelně pro subjekty údajů
Na začátku zpracování Identifikace správce, DPO Účely, právní základ pro zpracování Komu budou údaje zpřístupněny, vč. přenosu mimo EU Rozsah a doba zpracování Poučení o právech Informace o automatizovaném zpracování Poučení o ne/dobrovolnosti poskytnutí údajů 17
18
Právo na opravu, výmaz Osobní údaje musí být zpracovávány v co nejpřesnější podobě Subjekt osobních údajů má právo požádat o doplnění nebo úpravu informací, když se zpracovávají nepřesná data Organizace musí zareagovat včasně a omezit zpracování do doby vyřešení 18
19
Právo být zapomenut V případě, že platí některá z nasledovných podmínek, osobní údaje nesmí být zpracovány: Osobní údaje již nejsou potřeba Subjekt údajů odvolal souhlas Byly vzneseny námitky a nebyl dokázán spravedlivý důvod Zpracování bylo protiprávní Online data dětí Následně je správce povinný informovat všechny entity, kterým údaje předal 19
20
Právo na přenositelnost
V případě automatizovaného zpracování na základě souhlasu Subjekt údajů má právo vyžádat si informace ve strojově čitelném, standardizovaném formátu Následně je přenést k jinému správci Např. v případě přenosu k jinému mobilnímu operátorovi 20
21
Právo vznést námitku Pro veřejnou správu
V případě zpracování k ochraně veřejného zájmu, při výkonu veřejné moci Subjekt údajů může vznést námitku, správce musí dokázat oprávněnost zpracování, jinak zpracování ukončit Pro přímý marketing Subjekt údajů může kdykoliv odmítnout přímý marketing 21
22
Bezpečnost dat dle GDPR
22
23
Osobní údaje – bezpečnost
„S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně: (…) “ 23
24
Osobní údaje „ a) pseudonymizace a šifrování osobních údajů;
b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů; d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.“ 24
25
Osobní údaje „ Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.“ 25
26
Bezpečnost – požadavky
analýza a řízení rizik implementace opatření důvěrnost integrita dostupnost minimalizace dat pseudonymizace šifrování (?) 26
27
Směrnice jasně definují očekávané chování co je citlivé a co ne
čemu sa vyhýbat co naopak použít bezpečnostní / AUP 27
28
Školení na směrnice a pravidla jak se chovat na počítači
cílem školení: ovlivnit chování prevence před chybou 28
29
Audit Odhalí problémy v bezpečnosti dat Najde rizika a ohodnotí je
Pomůže určit priority Zjistí procesní nedostatky Uložení, přenos a práce s daty 29
30
Audit V 95 % případů – problém: občanské průkazy na uložto
smlouvy na osobním cloudu výrobní plány na flash disku 30
31
Audit, audit... 31
32
Šifrování disky – pevné i externí: TPM BitLocker komunikační kanály
samotná důležitá data 32
33
řešení pro perimetr omezení rizikových cest toku dat 33
34
Bezpečná výměna dAt šifrované e-maily šifrované zprávy
šifrovaná úložiště privátní cloud FTP 34
35
Data Loss Prevention 35
36
Fyzická bezpečnost Uchování osobních dat Životopisy Osobní složky
Trezory, zámky Zabezpečení areálu 36
37
síťová bezpečnost Penetrační testy / Vulnerability assesment
Antivir, firewall, IDS/IPS Ochrana perimetru koncových bodů 37
38
Dostupnost Disaster recovery Redundance Zálohování Data Přístupy 38
39
Další opatření Řízení bezpečnosti / ISMS Organizační opatření
Zaměstnanci Procesy 39
40
GDPR v kostce Datový audit GAP analýza Implementace Právní základy
Procesy Technologie 40
41
Diskuze 41
42
Děkujeme za váš čas Mgr. Matej Zachar
Project & Security Manager / 42
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.