Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Aktivity AMSP ČR v souvislosti s GDPR

Podobné prezentace


Prezentace na téma: "Aktivity AMSP ČR v souvislosti s GDPR"— Transkript prezentace:

1 Aktivity AMSP ČR v souvislosti s GDPR
Právo a podnikání v digitálním věku Aktivity AMSP ČR v souvislosti s GDPR Příprava podnikatelů na GDPR Průzkum AMSP ČR bezplatný portál s informacemi a poradnou pro MSP

2 Jak jsou podnikatelé připraveni na GDPR?
Průzkum, jak malé a střední firmy přistupují ke změně v ochraně osobních dat a jak se vyrovnávají s kybernetickými útoky. Srpen 2017

3 Aktualizace interních směrnic 42 %
Hlavní zjištění ANALÝZU FIRMY PLÁNUJÍ S NOVÝM NAŘÍZENÍM 24 % Provedlo Školení zaměstnanců Aktualizace interních směrnic 42 % FIRMY ZPRACOVÁVAJÍ DATA Plánuje provést Zaměstnanců 93 % Klientů/zákazníků Obchodních partnerů 67 % 61 % KYBERNETICKÉ ÚTOKY 41 % Má zkušenost 88 % využívá interní datové sklady, 15 % externí řešení 82 % Má nastavené procesy minimalizující rizika 13 % využívá cloudy

4 S JAKÝMI DATY FIRMY PRACUJÍ?
NEJVÍCE FIRMY POCHOPITELNĚ PRACUJÍ S DATY SVÝCH ZAMĚSTNANCŮ. DVĚ TŘETINY ALE ZPRACOVÁVAJÍ I DATA KLIENTŮ A OBCHODNÍCH PARTNERŮ. S JAKÝMI DATY FIRMY PRACUJÍ? n=450 Q1. S jakými osobními údaji ve firmě pracujete? Komentář AMSP ČR: To, že prakticky 2/3 malých a středních firem pracuje s cizími daty, je klíčové sdělení, ze kterého vyplývá, že ochrana dat se bude týkat mimořádného množství podnikatelů. Zaměstnanců Klientů/ zákazníků Obchodních partnerů Uživatelů webových stránek Jiné Nevím Ipsos pro AMSP_Ochrana osobních dat

5 TO, JAKÁ DATA FIRMY ZPRACOVÁVAJÍ, SOUVISÍ VELMI ÚZCE I S ÚČELEM JEJICH ZPRACOVÁVÁNÍ.
ZA JAKÝM ÚČELEM JSOU DATA ZPRACOVÁVÁNA? n=450 Q2. Za jakým účelem osobní údaje zpracováváte? Komentář AMSP ČR: Je zřejmé, že práce se zákaznickými nebo partnerskými daty je pro malé a střední firmy dnes běžným marketingovým nástrojem. Povinnosti zaměstnavatele vůči zaměstnancům Obchodní nabídky Vyhodnocení spolupráce s obchodními partnery Zlepšování nabídky produktů/služeb na webových stránkách Jiné Nevím Povinnosti vůči úřadům a jiným institucím Ipsos pro AMSP_Ochrana osobních dat

6 (VLASTNÍ DATOVÉ SKLADY) (ÚLOŽIŠTĚ PROFESIONÁLNÍCH FIREM)
9 Z 10 FIREM ŘEŠÍ UKLÁDÁNÍ DAT INTERNĚ. EXTERNÍ ŘEŠENÍ VOLÍ 15 %, CLOUDY VYUŽÍVÁ 13 %. FIRMY ČASTO ROZLIŠUJÍ DATA PRO DLOUHODOBÉ UCHOVÁNÍ A TA, KTERÁ PO ČASE MAŽOU. 1/4 DATA NEMAŽE. KDE MAJÍ FIRMY DATA ULOŽENA? n=450 Q3. Kde máte vaše firemní data uložená? Q4. Po jakou dobu osobní údaje uchováváte? Na dobu určitou, poté je mažeme 18 % 4 % Nevím 88 % 15 % 13 % 5 % INTERNÍ ŘEŠENÍ (VLASTNÍ DATOVÉ SKLADY) EXTERNÍ ŘEŠENÍ (ÚLOŽIŠTĚ PROFESIONÁLNÍCH FIREM) CLOUDOVÁ ÚLOŽIŠTĚ NEVÍM Část po nějaké době mažeme a část uchováváme dlouhodobě Neomezeně, data nemažeme 26 % 52 % Komentář AMSP ČR: Menší a střední firmy jsou konzervativnější a stále spíše sází na interní správu dat. Částečně z historických důvodů, částečně z obavy ze zneužití dat, částečně proto, že nemají čas na změnu překlopení dat na externí platformu. Ipsos pro AMSP_Ochrana osobních dat

7 FIRMY S PŘÍCHODEM NOVÉHO NAŘÍZENÍ ŘEŠÍ PŘEDEVŠÍM ŠKOLENÍ ZAMĚSTNANCŮ A AKTUALIZACE INTERNÍCH SMĚRNIC A DOKUMENTACE. CO FIRMY PLÁNUJÍ MĚNIT S OHLEDEM NA NOVÉ NAŘÍZENÍ? n=450, v % Q9. Nové nařízení o ochraně osobních údajů má definovanou působnost. Je třeba podle vás danou oblast ve vaší společnosti v souvislosti s nařízením řešit: Firmy s obratem nad 500 mil. Kč častěji řeší všechny uvedené body. Ipsos pro AMSP_Ochrana osobních dat

8 V JAKÉM STÁDIU IMPLEMETACE FIRMY JSOU?
ANALÝZU OHLEDNĚ NOVÉ LEGISLATIVY JIŽ PROVEDLO 24 % FIREM. VŮBEC JI NEPLÁNUJE 27 %. V JAKÉM STÁDIU IMPLEMETACE FIRMY JSOU? n=450, v % Q10. V jakém jste nyní stádiu implementace nové legislativy v oblasti ochrany osobních dat? Komentář AMSP ČR: Názor odpovídá tomu, že malé firmy obecně přistupují k novým opatřením spíše intuitivněji, zatímco střední a větší firmy pro svá rozhodnutí využívají analýzy.

9 V 64 % FIREM DOJDE KE ZMĚNÁM
V 64 % FIREM DOJDE KE ZMĚNÁM. ZAMĚŘOVAT SE BUDOU NEJČASTĚJI NA VYŠŠÍ KVALITU ZABEZPEČENÍ DAT. PLÁNUJÍ FIRMY ZMĚNY S NOVOU LEGISLATIVOU? JAKÉ? Q11. Plánujete změny ve fungování Vaší společnosti s účinností nové legislativy? Q11b. O jaké změny se konkrétně jedná? Plánované změny: 47 % 28 % 17 % 8 % 19 % Nevím, v tuto chvíli nedokáži říci VYŠŠÍ KVALITA ZABEZPEČENÍ DAT 12 % EVIDENCE A DOPLŇOVÁNÍ OSOBNÍCH ÚDAJŮ Ano, na změnách již pracujeme Ano, ke změnám dojde 9 % OCHRANA DAT 9 % NOVÉ SMĚRNICE Ne n=57 (ti, co zavádí nebo plánují změny s novou legislativou) „Už teď se řídíme příslušnou legislativou.“ Komentář AMSP ČR: Pokud se naplní výsledky průzkumu a GDPR se skutečně dotkne téměř dvou třetin podniků, pak se bude jednat o jedno z nejnáročnějších nařízení, které alespoň částečně ovlivní skoro milion podnikatelských subjektů. n=76 (ti, co provedli analýzu a nová legislativa jejich společnost zasáhne) Ipsos pro AMSP_Ochrana osobních dat

10 KYBERNETICKÁ BEZPEČNOST

11 4 Z 10 FIREM ZAŽILY KYBERNETICKÝ ÚTOK
4 Z 10 FIREM ZAŽILY KYBERNETICKÝ ÚTOK. ČÍM VYŠŠÍ OBRAT, TÍM SPÍŠE SE FIRMA S ÚTOKEM SETKÁ. NEJČASTĚJŠÍ JSOU PODVODNÉ Y A ŽÁDOSTI O PODVODNÉ PLATBY. MAJÍ FIRMY ZKUŠENOST S KYBERNETICKÝMI ÚTOKY? Q15. Ochrana osobních údajů a dat úzce souvisí s kybernetickými útoky. Setkali jste se ve své firmě s některým typem kybernetického útoku? Ano, v posledním roce V posledním roce mají častěji zkušenost s kybernetickými útoky společnosti s vyšším obratem. Firmy s obratem 1 mld. Kč a více mají tuto čerstvou zkušenost v 56 % případů. Zkušenost firem s: 58 % 9 % 32 % 1 % 84 % Komentář AMSP ČR: Potvrzuje se, že kybernetické obtěžování se stává běžnou praxí, překvapivé je i to, že nemalá část firem má zkušenosti přímo s hackerským útokem. Podvodné y (zavirované přílohy u, vylákání informací o platební kartě) Nevím 62 % Ne Žádost o podvodnou platbu (mailové oslovení k provedení naléhavé a velmi důvěrné platby) 29 % Podvržená přihlašovací stránka do internetového bankovnictví (pokus o vylákání přihlašovacích údajů) Ano, je to déle než rok 27 % Napadení vašeho u hackerem n=450 n=185 (ti, co mají zkušenost s kybernetickým útokem) Ipsos pro AMSP_Ochrana osobních dat

12 8 Z 10 FIREM MÁ NASTAVENÉ PROCESY MINIMALIZUJÍCÍ RIZIKA
8 Z 10 FIREM MÁ NASTAVENÉ PROCESY MINIMALIZUJÍCÍ RIZIKA. JEDNÁ SE PŘEDEVŠÍM O NASTAVENOU POLITIKU HESEL A DEFINOVANÉ PROCESY PRO REALIZACI PLATEB. JAK FIRMY RIZIKŮM PŘEDCHÁZEJÍ? Q16. Máte ve firmě nastavené procesy minimalizující možná rizika? Q16a. Jaké konkrétní procesy pro minimalizaci rizik využíváte? 90 % ANO 82 % Využíváme osvědčené postupy – politika hesel NE 15 % 82 % 86 % Účet dodavatele kontrolujeme a případné změny čísla účtu ověřujeme přímo s dodavatelem Máme definované jasné procesy pro realizaci plateb – oddělené role pro zadávání a schvalování plateb 60 % Využíváme kontrolu 4 očí N=369 Komentář AMSP ČR: Je patrné, že firmy si uvědomují kybernetická rizika a nejčastější hrozby již dokáží eliminovat stávajícími podnikovými mechanismy. N=450, Nevím – 3 % Ipsos pro AMSP_Ochrana osobních dat

13 OBOR ČINNOSTI n=450 Ipsos pro AMSP_Ochrana osobních dat

14 ROČNÍ OBRAT POČET ZAMĚSTNANCŮ Ipsos pro AMSP_Ochrana osobních dat

15 Web s bezplatným poradenstvím pro podnikatele Spuštěn 30. 8. 2017
GDPRBEZOBAV.CZ Web s bezplatným poradenstvím pro podnikatele Spuštěn

16 HOMEPAGE

17 Statistiky shlédnutí „častých otázek“

18 WEB GDPRbezobav.cz Prověřené informace Aktuální novinky
Dotazy směřující k základním problémům firem a živnostníků – bezplatné odpovědi do 48 hod. Odpovědi zajišťuje kolektivní člen AMSP ČR - Česká asociace ochrany osobních údajů a spolupracující advokátní kanceláře Automatické zasílání informací Výklady – ÚOOÚ a WP29

19 Bude se GDPR řídit i živnostník, který nemá zaměstnance?
Pokud živnostník shromažďuje nebo zpracovává osobní údaje Klientů Dodavatelů. Osobní údaje musí být chráněny takovým způsobem, aby se k nim nemohl dostat nikdo nepovolaný

20 Bere se jako osobní údaj i evidence o docházce zaměstnance?
Zaměstnanec je fyzická osoba a pokud lze záznam o docházce jednoznačně spojit s identifikátorem zaměstnance, pak se jedná o osobní údaj. Souhlas zaměstnance se zpracováním osobních údajů – např. i zveřejnění fotografie na webu firmy – vždy musí v samostatném dokumentu mimo pracovní smlouvu

21 Co s kontakty získanými před účinností GDPR?
GDPR dopadne i na kontakty, které podnikatelé a další subjekty získali před účinností GDPR Dříve získaný souhlas vyhovuje, pokud způsob jeho udělení v souladu s GDPR Nutno doložit souhlas subjektu: Souhlas udělen svobodně Konkrétní Informovaný Jednoznačný a ničím nepodmíněný.

22 Musím si pořizovat speciální SW nebo HW ?
Technická opatření s přihlédnutím k: Povaze Rozsahu Kontextu Účelu Posouzení pravděpodobnosti a závažnosti rizik Velká část menších podniků nebude muset pořizovat speciální SW a HW, pokud odpovídají běžným standardům zabezpečení. SW od spolehlivého dodavatele - soulad s GDPR

23 Údaje uložené v cloudových službách
Poskytovatelé cloudových služeb musí zajistit, aby jejich služby byly v souladu s GDPR Za dodržování pravidel nařízení GDPR i v tomto případě odpovědný podnikatel GDPR má dopad na celou organizaci firmy, informační systémy

24 Správu GDPR provádí externí firma
Povinnost ochrany osobních údajů se dle GDPR vztahuje jak na správce, tak i zpracovatele - externí organizaci, která data zpracovává Za ochranu dat odpovědné obě entity Správce odpovědný i v případě, že pouze data posbírá a pošle dodavateli. Správce se zpracovatelem uzavře písemnou smlouvu Rozsah a účel zpracování, doba trvání Záruky zpracovatele o technickém a organizačním zabezpečení

25 Co je to „rozsáhlé zpracování“? Je vydefinováno množství dat?
Tyto termíny nejsou v nařízení jasně definovány Výkladová vodítka WP 29 Počet dotčených subjektů údajů, objem dat, doba trvání zpracování, územní rozsah Např.: zpracování osobních údajů vyhledávačem pro potřeby cílené reklamy či zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky.

26 Právo na výmaz – platí i v případě objednávky služeb nebo zboží?
Subjekt má právo, aby údaje o něm byly vymazány, pokud: Údaje už nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány Odvolal souhlas Právo na výmaz není právem absolutním K výmazu nemůže dojít, pokud existuje jiná právní povinnost nebo zákon, který výmazu brání – např. daňové zákony, zák. o archivaci a další

27 Aktuální potřeby firem a pomoc AMSP ČR
Přesnější vymezení povinností správce Chybějící nebo nedokonalé interní dokumenty a směrnice Zajištění souhlasu subjektů údajů Smluvní zajištění vztahů se zpracovateli osobních údajů Smluvní zajištění s příjemci osobních údajů Bezplatné semináře a konference pro kolektivní členy AMSP ČR

28 Děkuji za pozornost JUDr. Věroslav Sobotka sobotka@amsp.cz


Stáhnout ppt "Aktivity AMSP ČR v souvislosti s GDPR"

Podobné prezentace


Reklamy Google