Základní východiska GDPR Základní filosofie Výčet základních zásad Principy Vztah správce a Zpracovatele Vztah správce - zpracovatel TITUL k držbě a zpracování dat Kdy je možné zpracovat data bez souhlasu? •jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, •mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. •lze předpokládat, že souhlas není svobodný, není-li možné vyjádřit samostatný souhlas s jednotlivými operacemi zpracování osobních údajů, i když je to v daném případě vhodné, nebo je-li plnění smlouvy, včetně poskytnutí služby učiněno závislým na souhlasu, i když to není pro toto plnění nezbytné. •Správce musí být schopen doložit, že subjekt údajů udělil souhlas •Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, a je srozumitelný a snadno přístupný. •Odvolat souhlas musí být stejně snadné jako jej poskytnout. •Plnění smlouvy nesmí být podmíněno souhlasem se zpracováním. Pravidla transparentnosti Právo na výmaz a omezení zpracování Automatizované zpracování (profilování) •Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. • Výsledek obrázku pro přijímací řízení scio Výřez obrazovky Performativí pravidla a Kodexy chování •Kodexy chování • Sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů mohou vypracovávat kodexy chování nebo tyto kodexy upravovat či rozšiřovat, a to s cílem upřesnit uplatňování ustanovení tohoto nařízení •Monitory •Certifikáty •Binding corporate rules – nadnárodní korporace Doposud to nezní tak hrozně? •Nejobávanější část Nejobávanější část •Záměrná a standardní ochrana osobních údajů (DP by design) •Povinnost vést záznamy o činnostech zpracování •Zabezpečení zpracování •Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu •Posouzení vlivu na ochranu osobních údajů •Pověřenec pro ochranu osobních údajů •Sankce • Oblastí implementace GDPR Převzato ze seminář Cesnet-GDPR Autor M. BartoŠek 20.6.2017 -- Diskuse a příprava CRP18+ 18 1.Interní legislativa 2.Registr zpracování OÚ 3.Metodiky 4.Posouzení dopadu 5.Úpravy systémů a procesů 6.Dokumentace 7.Vytvoření podpůrných systémů 8.Smluvní ujednání 9.Souhlasy SÚ 10.Pověřenec pro ochranu OÚ 11.Školení, informovanost Převzato Seminář Cesnet-GDPR 20.6.2017 -- Diskuse a příprava CRP18+ 19 1. Interní legislativa •Institucionální směrnice – základ celé GDPR „stavby“ •Základní pravidla •Struktury •Zodpovědnosti • •Spíš stručná, jen základní věci •Musí vyhovět i velmi heterogennímu prostředí •Detaily budou rozpracovány v metodikách Převzato Seminář Cesnet-GDPR 20.6.2017 -- Diskuse a příprava CRP18+ 20 2. Registr zpracování OÚ •Přehled o všech zpracováních OÚ v organizaci •Povinná část dle GDPR •Problém: granularita/identifikace jednotl. zpracování a jejich počet •Průběžná aktualizace •Implementace •Struktura záznamu, datový model •SW implementace – varianty •Modul integrovaný v interním univerzitním systému •Samostatný systém – opravený open-source •Společná služba pro více zájemců • Převzato Seminář Cesnet-GDPR 20.6.2017 -- Diskuse a příprava CRP18+ 21 3. Metodiky •Návody a postupy v různých oblastech pro •Správce/administrátory systémů •Koncové uživatele •Oblasti •Weby •Elektronická komunikace (e-mail, …) •Úložiště dokumentů (vlastní x externí – MS-O365,…) •Tvorba a provoz inf-systémů •Vybrané typy zpracování OÚ (dohledové systémy, …) •Mobilní zařízení (notebooky, …) •Vypořádání práv/požadavků SÚ, postupy při úniku OÚ, … • Převzato Seminář Cesnet-GDPR 20.6.2017 -- Diskuse a příprava CRP18+ 22 4. Posouzení dopadu •2úrovňové posouzení všech případů zpracování OÚ •Zjednodušené – u zpracování s nízkým rizikem •Plnohodnotné DPIA – u vysokého rizika •Závěry a doporučení pro implementaci •Metodiky a vzorová DPIA •projekt FR CESNET, Microsoft, … •K ujasnění •Kdo bude jednotlivá posouzení provádět (správci inf-systémů?) •Kdo jim bude dávat „razítko“ že jsou OK (pověřenec?) Převzato Seminář Cesnet-GDPR 20.6.2017 -- Diskuse a příprava CRP18+ 23 5. Úpravy systémů a procesů •Implementace doporučení z posouzení dopadu •Organizační x technická •Pro každý systém mohou být jiná (šitá na míru) •Nová věc: vypořádání s (novými) právy SÚ •Právo být zapomenut •Právo na informace •Právo na omezené zpracování •Právo na přenositelnost OÚ •… • Převzato Seminář Cesnet-GDPR 20.6.2017 -- Diskuse a příprava CRP18+ 24 6. Dokumentace, dokumentace •Dokumentace jako základ pro prokázání compliance •Přehled všech zpracování (viz registr) •Záznamy posouzení všech zpracování •Případy porušení ochrany OU •Souhlasy SÚ •Závazky mlčenlivosti (správci, admini) •Provedená školení •… • Převzato Seminář Cesnet-GDPR 20.6.2017 -- Diskuse a příprava CRP18+ 25 7. Podpůrné systémy •Registr zpracování •Evidence souhlasů •Dokumentační systém •… •Podpůrné externí systémy •Vazba na systémy kybernetické ochrany • Převzato Seminář Cesnet-GDPR 20.6.2017 -- Diskuse a příprava CRP18+ 26 8. Souhlasy SÚ •Zmapování současného stavu na univerzitě •Velmi různorodá praxe (případ od případu) •Metodika dle GDPR – kdy, jak •Vazba na účely zpracování •Vzorové souhlasy •Podpora, evidence •Centrální x lokální (ne vše půjde centralizovat) •Papírová x elektronická (ne vše je/bude on-line) • Převzato Seminář Cesnet-GDPR 20.6.2017 -- Diskuse a příprava CRP18+ 27 9. Pověřenec pro ochranu OÚ •Pro MU (a další velké VŠ) nezbytný! •Sdílený pověřenec pro malé VVŠ? •Požadavky na odbornost - vágní •Začlenění v rámci organizace – nezávislost •Pověřenec není manažer, ale „malý úřad“ •Spolupráce pověřenců v rámci vysokých škol (?) • S Převzato eminář Cesnet-GDPR 20.6.2017 -- Diskuse a příprava CRP18+ 28 10. Smluvní ujednání •Podchycení a revize smluv v působnosti GDPR •Se zpracovateli dat pro univerzitu •Poskytovatelé cloudových služeb (MS-O365) •ISIC/ITIC (GTS), … •Se správci dat, pro něž je univerzita zpracovatelem •Vymezení zpracovatele (viz Registr studentů VŠ, aj.) •Doporučení, best-practices Převzato Seminář Cesnet-GDPR 20.6.2017 -- Diskuse a příprava CRP18+ 29 11. Školení, informovanost •Na různých úrovních •Vedení univerzity a jednotlivých součástí •Správci a administrátoři systémů •Koncoví uživatelé •Noví zaměstnanci •Různou formou •Fyzická školení, prezentace •E-learning •Varianta samoproškolení zaměstnanců s e-potvrzením • Převzato Seminář Cesnet-GDPR 20.6.2017 -- Diskuse a příprava CRP18+ 30 Data protection by design - Záměrná a standardní ochrana osobních údajů - Starý koncept, nové definice, nové papíry Odpovědnost za osobní údaje vzniká dříve než získáte první osobní údaje Anonymizace, pseudonymizace a profilování https://steveblank.files.wordpress.com/2011/02/bessemercloudscape.jpg Ochrana dat •Bezpečnost dat •Před ztrátou •Před zveřejněním či únikem •Ochrana osobních údajů uživatele •Poskytovatel cloudové „síťové“ služby je často správcem i zpracovatelem • Definujte zápatí - název prezentace / pracoviště 35