AlgotechTelefon: +420 225 006 555Fax: +420 225 006 194E-mail: [email protected]: www.algotech.czAdresa: FUTURAMA Business Park
Sokolovská 668/136 D186 00 Praha 8, Česká republika
Dopady GDPR a jejich vazby
Algotech & Michal Medvecký 22. 7. 2017
GDPR
O mě
Petr LoužeckýPetr je ředitelem úseku AlgoCloud společnosti Algotech, a.s. . V posledních 20 letech působí na různých pozicích v IT sektoru od menších firem až po mezinárodní banky.
Má zkušenosti s řízením mnoha projektů a s nasazením systémů zejména jak z oblasti telekomunikačních systému, tak i podnikových ERP systémů. Je odborníkem v oblastech datových center a infrastruktury. Během své praxe nasbíral zkušenosti v bankovním sektoru a v provozování kritické infrastruktury. Petr působil mnoho let v oblasti bezpečných IT systémů a má zkušenosti s normami a metodikami, Prince2, PCI DSS, ISO, ITIL atd.
Aktuálně se zabývá problematikou kybernetického zákona a nařízení GDPR v rámci denní praxe při provozu Cloudových služeb.
Harmonogram
• Algotech & Partneři• Legislativa a její dopad• Informační a kybernetická bezpečnost• GDPR – definice• GDPR – zásady zpracování• DPO• Reálné dopady• Příklad• Porušení, sankce a pokuty• Možnosti řešení
Algotech v datech
• Vznik v České republice v roce 1997• Počet zaměstnanců: 85 • Počet poboček v zahraničí: 6
Ø Slovensko Ø Polsko Ø Maďarsko Ø Srbsko Ø Rumunsko Ø Slovinsko
Algocloud
• Vlastní datové centrum Algotechu• Jedno z nejmodernějších datových center v
CEE• Provoz 24 x 7• Dostupnost až 99,99%• Striktní bezpečnostní politika• Redundance všech systémů / georedundance
Algocloud
• ISO 2700x• GDPR – audit kybernetickým úřadem do
začátku platnosti normy
• GDPR Ready certifikace zatím neexistuje!!!
Co děláme?
ERP CloudTelco
Proč Algotech?
• Partnerství• Dlouhodobá spolupráce s klienty, rozvoj a servis
• Profesionalita• Zkušenosti a reference v oblasti ICT
• Zkušenost• Znalost technologického prostředí call center a jeho potřeb
• Připravenost• Vlastní technologické zázemí (AlgoCloud)• ServiceDesk a monitoring 24/7/365• Zkušenost s poptávanými činnostmi
• Standardizace• Realizace servisních činností dle ITIL, expertní tým• Certifikace a autorizace
REFERENCE ERP
REFERENCE TELCO
REFERENCE CLOUD
GDPR
Nové výzvy
Nové výzvy
GDPR (General Data Protection Regulation) je
nařízení Evropské unie,
které vstoupí v účinnost 25. 5. 2018. Jeho cílem je
zvýšit úroveň ochrany
osobních údajů a posílit práva občanů Evropské
unie v této oblasti.
Komplexní pohled na legislativu
• ZOOÚ – Zákon č 101/200 Sb. O ochraně osobních údaj• GDPR – Nařízení Parlamentu a Rady EU č. 016/679• ZKB – Zákon číslo 181/2014 SB o kybernetické bezpečnosti• ZKŘ - Zákon č 240/2000 Sb. o krizovém řízení a o změně
některých zákonů• eIDAS – Nařízení Evropského Parlamentu a Rady EU č. 90/2014
o elektronické identifikaci a službách vytvářejících důvěru….• ZEK – Zákon č. 127/2015 Sb., o elektronických komunikacích a
o změně některých souvisejících zákonů• NOZ – Zákon číslo 89/2012 Sb., občanský zákoník, ve znění
pozdějších předpisů• TZ – Zákon číslo 40/2009 Sb., trestní zákoník• ZTOPO – Zákon č. 418/2011 Sb. o trestní odpovědnosti
právnických osob a řízení proti nim (ve znění novely č. 183/2016 SB)
Komplexní pohled na legislativu
Nařízení je platné pro všechny společnosti v EU, které manipulují
s osobními údaji subjektů IT. Za ochranu dle směrnice je zodpovědný celý dodavatelský
řetězec (od výrobce k dodavateli a zákazníkovi). Zavádí pozici Data Protection Officer („DPO“).
Legislativa – dopad na firmy
Informační a kybernetická bezpečnost
• Informační bezpečnost• Bezpečnost informací (integrita, dostupnost, důvěrnost)
• Týká se organizace (komunikační bezpečnost + fyzická, organizační)
• Obce/firmy/Nemocnice– rozsáhlý zpracovatel OÚ (dodavatelský řetězec…vazba na GDPR)
• Kybernetická bezpečnost • Legislativní, organizační, technické prostředky k ochraně kyber
prostoru
• V ČR Kybernetický zákon č. 181/2014 Sb. vč. vyhlášek č. 316 a 317(probíhá novelizace vč. směrnice NIS 2016/1148)
GDPR – General Data Protection Regulation
• Přímé a účinné nařízení EU č. 2016/679(účinnost od 25. 5. 2018)
• Úzká vazba na Informační a Kybernetickou bezpečnost
• Zákon č. 101/2000 Sb. o ochraně osobních údajů
Subjekty
GDPR – Zásady zpracování OÚ
• Transparentnost • Informace o opatřeních
• Zákonnost a korektnost• Zpracování v souladu souhlasem pro daný případ, smlouvou nebo právem nutného pro
ochranu života a veřejném zájmu
• V souladu s kodexy
• Účelové omezení
• Minimalizace údajů • Jen nezbytně nutné
• Přesnost • Právo na opravu dat
GDPR – Zásady zpracování OÚ
• Omezení uložení
• Právo být zapomenut• Nový proces (mazání dat z archivů)
• Povinnost informovat druhou stranu o provedeném výmazu
• Integrita a důvěrnost• Bezpečnostní opatření
• Odpovědnost • Správce dat (i zpracovatel) odpovídá za data
• Bezpečnostní opatření
GDPR – Definice (1/3)
GDPR – Definice (2/3)
GDPR – Definice (3/3)
GDPR – Data Protection Officer „DPO“
GDPR – DPO v organizaci
GDPR – DPO – náplň práce
DPO = kolega CISO manažera právní a IT vědomosti a znalosti
GDPR – DPO MUSÍ být jmenován
…nebo více jak 250 zaměstnanců
GDPR – Reálné dopady
Opatření• Zajištění souladu zpracovatele OÚ (právní rozklad)
• Analýza (Asistované zhodnocení) zpracovávaných OÚ vč.
kategorizace OÚ – minimalizace rizik formou opatření
• Získání souhlasů se zpracováním OÚ (právní rovina)
• Zpracování posouzení vlivu na ochranu OÚ dle čl. 35 GDPR
GDPR – Reálné dopady
Opatření• Dokumentační (ISMS) část procesu předávání OÚ uvnitř
organizace – rozšíření povinně bezpečnostní dokumentace
• Zavedení log managementu
• Zavedení procesu evidence a uložení záznamu o zpracování
údajů (po dobu 18-ti měsíců)
• Zavedení pozice DPO a začlenění do org. struktury
GDPR – Reálné dopady
Opatření• Anonymizace dat
• Pseudonymizace dat
• Šifrování dat
• Zavedení procesu kontroly „Dodavatelského řetězce“
• Auditní činnost pro oblast GDPR
GDPR – Reálné dopady
Opatření• Zabezpečení komunikace dat OÚ s vnějším okolím (zabezpečená
výměna dat)
• REALIZACE PŘIJATÝCH OPATŘENÍ (právní, technické,
organizační, procesní…)
• AUDITNÍ ČINNOST
…z praxe definované minimum...
GDPR – Ohlášení porušení OÚ
Povinnosti správce
Souhlas se zpracováním osobních údajů
GDPR – Sankce a pokuty
POZOR
• Za porušení povinností podle GDPR dotčeným hrozí sankce až do výše
20 000 000 EUR
…nebo 4% z celosvětového obratu vaší firmy…
J
S čím umíme pomoci
?
Naše služby
• Audit GDPR• Outsourcing DPO• Dohled a auditing nad IT (GDRP)
• IT systémy (z cloudu)
Co řeší dobrý Cloud
• Dostupnost
• Zálohování a obnovu
• Dohled a auditovatelnost
• Autorizaci
• Bezpečnost
FlexibilitaCloud roste s vámi
Technologický partner
BezpečnostProcesní
ElektronickáFyzická
DostupnostRedundance
ZálohyProfesionalita
PodporaSpráva
Monitoring
Co se nemění
Individuálnípřístup
Produkty
• Bezpečná úložiště a komunikace
• Bezpečnost SOPHOS
• Virtuální servery
• CRM / ERP / BI
• Dohled a zálohy
• Georedundance vašich systém
Diskuze, dotazy…
Děkujeme za pozornost.