Data v kleštích regulací - Sas Institute€¦ · Interakce se subjekty osobních dat • Povinnosti a zodpovědnosti • Aplikace právních norem (GDPR, ... infrastruktura, datová

Copyright © SAS Inst itute Inc. A l l r ights reserved.

Data v kleštích regulacíCo přináší nová regulace do našeho života

20.3.2017

Snídáme


GDPR – základní fakta

Pracovních dnů Hodin Minut Sekund

301: 07 45: 38373635343332313029282726252423222120191817161514131211100908070605

• General Data Protection Regulation• Evropská směrnice pro ochranu osobních dat• Zavádí nové přísnější požadavky

• Nadnárodní platnost• Platí bez ohledu na národní normy• I mimo EU – všechny subjeky spravující data evropských občanů

• Sankce: • Až 20 000 000 EUR nebo• 4% celosvětového obratu (“vyšší bere“)

• Platnost: od 25.5.2018


EU is watching you

GDPR – základní fakta


Co to je a „o čem to je“Hlavní oblasti GDPR

•Aplikace evropských a lokálních norem

•Prokázání právního základu pro nakládání s osobními daty

•Účel a rozsah zpracování osobních dat

1

•Osobní data – uchovávání a zpracování v minimálním nutném rozsahu.

•Všechny nově navrhované a zaváděné systémy musí splňovat podmínky GDPR pro ochranu dat.

2

•Schopnost prokázat existenci a využívání procesů pro ochranu osobních dat,

•Schopnost dokumentovat a monitorovat využívaná osobní data a jejcich stav

3

Právní rámec

Ochrana by default a by design

•Všechna data vč. dokumentů a nestrukturovaných dat

•Zacházení v souladu s GDPR

•Registrace, evidence, ochrana

4

•Nutný explicitní platný souhlas pro sbírání dat a účely jejich použití.

•Různé druhy souhlasů, různá pravidla jejich ošetření pro různá data.

•Všechny datové operace musí souhlas kontrolovat.

5

•Právo být zapomenut

•Právo blokace: vyhodnocování automatisovanými procesy,

•Právo na portabilitu dat

6

•Povinnost hlásit dohledové instituci veškeré průniky do osobních dat.

•Incidenty je nutno hlásit bez zbytečného odkladu

7

•Povinnost zřídit roli Pověřence pro ochranu dat (Data Protection Officer) a odpovídající organisační struktury a postupy

8

•20 000 000 EUR nebo 4% z celosvětového obratu (platí vyšší hodnota)!

Zodpovědnost a odpovědnost

Nakládání s osobními daty

Souhlasy

Nová práva subjektů dat

Hlášení narušení bezpečnosti

Organisace

Sankce


Hlavní oblasti: Co zavedení GDPR zahrnuje

Právní problematika

Interní procesy a policies, organisace, role, zodpovědnosti

Externí procesy, výstupy, zodpovědnosti vůči regulačním

autoritám

Správa a ochrana personálních dat, infrastruktura

Interakce se subjekty osobních dat

• Povinnosti a zodpovědnosti• Aplikace právních norem (GDPR, zákon

101/2000, …), běžný právní výklad a interpretace

• Zhodnocení dopadu na business• Zhodnocení a výběr variant vzhledem k

regulatorním a compliance rizikům• Definice změn v produktech, procesech a IT

• Povinnosti vůči regulatorním autoritám• Připravenost dokládat, reportovat, hlásit,

dokumentovat stav ochrany dat a dalších požadavků GDPR

• Procesní a technická infrastruktura• Registrace a evidence výskytů osobních dat• Šifrování, anonymisace, pseudonymisace• Kontrola a audit přístupů k datům

• Udělování a odebírání souhlasů• Právo být vymazán a zapomenut• Informace o uchovávaných osobních datech• Právo na portabilitu osobních dat

• Rozhraní a výstupy pro poskytování informací

• Správa a kontrola souhlasů• Monitorování dat• Identifikace a analysa průniků• Kontrola transferů dat

• Rozdílová analýza a analýza rizik• Průběžný monitoring vývoje požadavků na

lokální úrovni• Diskuse s regulátorem

• Dokumentace s požadavky na změny• Business architektura• Interní normy a standardy• Workflow procesů

• Možnost dočasně omezit přístup k datům (blokování)


Hlavní fáze: Zavedení GDPR

Příprava Operace

Analysa• Zhodnocení připravenosti• Gap analysa• Analysa procesů, policies, organisace, rolí,

odpovědností• Analysa datových toků a dat• Vyhodnocení a prioritisace

Návrh• Detailní analysa a BRD• Roadmapa implementace• Hrubý procesní design• Hrubý technický design• …

Implementace• Detailní procesní design• Detailní technický design• Vývoj/dodávka technických komponent• Technická integrace• Procesní integrace• Prováděcí dokumentace• Testování• …

Rutinní provoz

• Infrastruktura• Uvedení do provozu• Funkce: registrace, evidence, ochrana, souhlasy,

monitorování, audit, interakce se subjekty...• Změny a údržba• …

25

.5.2

01

8


Co je k tomu potřeba

Znalosti, kompetence, zkušenosti, kapacity:• Právní rámec • Procesní a organisační rámec• Metodika pro ochranu osobních údajů• Assessment, analysa, návrh• Koncepce, architektura

• Koordinace, integrace

Technologie, nástroje, infrastruktura, know-how:• Technologická podpora analytických činností• Nástroje pro registraci a správu osobních dat• Technologie zabezpečení dat• Nástroje pro správu a sdílení informací• Řešení pro spávu a kontrolu souhlasů• Připravenost pro česká data (znalostní báze)• Analytická a BI řešení „GDPR ready“

EY + SAS společně: Zkušenosti ze spolupráce na projektech GDPR v EU

General Data Protection Regulation

Přístup a řešení EY


Řešení pro podporu GDPRPředstavení nástrojů SAS


GDPR a pokročilé zpracování dat

Statistika, souvislosti, vztahy, modely…

Bonitaklienta

Segmentace

Optimalisacenabídky

Oslovovánía kampaně

Retence

Risika

Detekcepodvodů

Lifetime valuemanagement

Optimalisacekomunikace

Regulace § § §Omezení

Komplikace

Lepší výsledekVětší efektivita

Možnosti, tendence vývoj:• Větší záběr: více informací, více dat více souvislostí• Adresnost: přesnější, konkrétnější … osobnější


Co se od nás chce?

Mít pod kontrolou: ovládnout a řídit, sledovat, orchestrovat…

Vědět: identifikovat, vyhledat, dokumentovat, doložit…

Fungovat: chránit, kontrolovat, poskytovat…

1

2

3


Máme přehled o všech

datových zdrojích?

Jaká je úroveň risika pro

jednotlivé datové zdroje?

Můžeme reportovat kde

všude jsou osobní data

umístěna?

Můžeme doložit, jaké

procesy máme nastaveny?

Máme vše

zdokumentováno a

auditováno?

Interní výzvyCo musíme sami vyřešit

Externí výzvyCo musíme být připraveni

splnit vůči autoritám

Co všechno jsou osobní

data?

Jak identifikujeme

osobní data?

Dokážeme řídit a

kontrolovat přístup

datům?

Dokážeme logovat veškerou

aktivitu uživatelů pro každé

datové úložiště?

Jak obtížné je v důsledku

duplicit a nízké kvality dat

„být smazán a zapomenut”?

Dokážeme evidovat, spravovat

a kontrolovat souhlasy v

potřebné struktuře a detailu?

Kde vidíme výzvy


Jak na to: Data Governance

Lidské zdrojeRole, organisace, odpovědnosti,

pravomoce, motivace…

TechnologieData, metadata, datové toky, infrastruktura, datová kvalita,monitorování, podpora řízení,

assesment…

Procesy a policiesPravidla, standardy, procesy

policies, …

Copyright © SAS Inst itute Inc. A l l r ights reserved.Copyright © 2016, SAS Institute Inc. All rights reserved.

Jak na to: Use cases

Business Glossary• Top-down Analysa – CO• Definice policies – JAK• Souvislosti, vazby, vztahy - Lineage

Define Discover

Data Quality• Bottom-up analysa• Identifikace osobních dat

Secure

Federalisace dat• Šifrování:

Ano/Pseudonymisace• Granularita přístupu

Monitor

Data Governance• Mapování metadat• Monitorování přístupů• Monitorování citlivých dat• Monitorování retence dat• Alerty remediace

Master

Souhlasy• Master consent• Agregace a konsolidace dat

souhlas• Správa souhlasů• Unikátní individuální náhled


Podpora nástrojů SAS pro úlohy GDPR

Business Assessment OperationsData Assesment

• Právní aspekty• Business procesy, business architektura• Policies, pravidla, předpisy…• Organisace, role, zodpovědnosti• Povinnosti vůči dohledovým autoritám• Dokumentace, vykazování, dokazování…

• Datové zdroje• Identifikace a dohledání osobních dat• Kvalita osobních dat, duplicity• Datové toky• Sdílení dat• Analysa risik

• Evidence a správa výskytů osobních dat• Správa s kontrola souhlasů• Vymazání všech údajů o osobě• Kvalita osobních dat• Maskování, ano/pseudonymisace, • Monitorování, audit, kontrola přístupu

Personal Data Sniffer

Consent Management & Check

Business Glossary

Data Lineage

Maskování dat, ano/pseudonymizace

SAS DQ

SAS DG

SAS Fed Srv

Řešení SAS jsou „GDPR-ready“ (i.e. podporují „Data protection by design“)

Policy Management

Incident Management

Risk Assessment SAS EGRC

Data access control, logování, audit


SAS EGRC: Charakteristika

Visualisace interakcí různých elementů

Aparát pro analysu risik

Extensivní information management

Procesy, workflow, role, audit

Použití

Data privacy impact assessment

Monitorování, reporting, analysy


Privacy „by design“ a „by default“

Zákazníci / partneři

Cloud

Sociálnímédia

Mobilní zařízení / IoT


Privacy „by design“ a „by default“

Zákazníci / partneři

Cloud

Sociální média

Mobilní zařízení / IoT

Federalisovaná datová vrstva

Monitorovaná a chráněná datová vrstva

Souhrnná dataVeřejná data

Osobní dataSoukromá data

ZákazníciProdukty

AktivityPoskytovatelé

Centrální administrace

Řízení přístupu k datům

Audit dat

Maskování citlivých dat

Regulatory compliance

Logování

Technologické řešení:

• SAS Federation Server


SAS Federation server: architektura


SAS Data Quality: Kompletní sada funkcí a nástrojů

Obohacení

Verifikace

Master záznam

MatchingClustering

Validace

Identifikace

StandardisaceNormalisace

Parsing

AnalysaZjištění struktur dat

Zkoumání obsahu dat

Zkoumání vztahů v datech

Analysa stavu dat

Vytvoření profilu dat

Identifikace, kvantifikace, klasifikace a analýza chyb a problémů v datech

Automatické rozpoznání obsahu datových položek

Automatické rozpoznání struktury dat

Základní čištění dat, opravy, překlepy…

Převedení na požadované (standardisované) hodnoty

Převedení na požadovaný formát a strukturu

Doplnění chybějícch položekRozpoznání typu entity (fysická/právnická osoba, pohlaví, typ subjeku…)

Kontrola přípustných hodnot

Kontrola vůči etalonům

Porovnávání (párování záznamů)

Fuzzy matching

Vytváření skupin záznamů

Výběr/vytvoření referenčního, zlatého/master záznamu

Výběr nejlepších atributů záznamu

Ověření existence v referenčncím zdroji (registru)

Adresní registry (UIR-ADR, RUIAN, DDM)

Registr ekonnomických subjektů (RES), Obchodní rejstřík, …

Specialisované registry (klienti, účty, vozidla, nemovitosti …)

Informace z blacklistů, watchlistů…

Doplnění souřadnic

Doplnění ratingu firem …

Monitoring

Znal

ost

ní b

áze

Pro GDPR:• Analysa dat• Kvalita dat• PD Sniffer• Monitorování dat• Master data management• Master consent management+ Rozšíření: Data Governance, Glossary,

Registry, Lineage…


SAS Personal Data SnifferCo a k čemu to jeto je

• Specialisované řešení pro identifikaci a extrakci osobních dat

• Na platformě SAS data Quality

• Využívá otevřené znalostní báze

• Transparentnost, flexibilita, snadná přizpůsobitelnost a rozšiřitelnost

• Otevřenost: platformy, databáze, soubory, strukturovaná a nestrukturovaná data

• Způsob práce: Automatisované zpracování, batch i online, speciální interaktivní nástroje

• Použití pro celý životní cyklus GDPR:

• Přípravná fáze: Prohledání datových zdrojů – identifikace a lokalisace dat, statistiky, analysa

• Operační fáze: Kontroly na přítomnost osobních dat (V/V kontroly…), Monitorování personálních dat


SAS Personal Data Sniffer – jak funguje

Identifikační definice

Extrakčni definice

Znalostní báze QKB

1. Vytvoření definic• Pravidla pro rozpoznání

osobních dat• Komplexní logika• Úrovně:

Global – Language - Local

Business pravidlo

Monitor task

Uživatelsky definovaná metrika

Uživatelsky definovaná funkce

2. Použití definic• Busineness rule manager• GUI pro design dataflow• Editor výrazů…

Úloha (Data Job)

Data Profiling

Data Explorer

Federation Server

Jiná aplikace (API)

Podniková data: Databáze, soubory, dokumenty…

Data

Report

Akce

3. Exekuce kontrol• Aplikace na data

4. Výstupy• DBMS tabulky• Datové extrakty• Soubory• Reporty• Profily• Explorace• Monitory• Události• Akce• Zprávy• …

Událost

Zpráva

BI aplikace

Jiné aplikace

Monitor

Glossary& Lineage


Personal Data Sniffer – použití (příklad)

Příklad použití: Process Job• Řídící logika úlohy (proces flow)• Parametry v konfiguračním souboru• Postupné načítání všech DB objektů• Aplikace identifikační analysy na všechny atributy• Výsledky ukládány do DBMS• Automatické nahrání výsledků do BI platformy

Konfigurační soubor (txt)

Process Job – process flow

Příklady reportů/dashboardů


Citlivá a osobní data

• Demografická Datao Jménoo Pohlavío Datum narozenío Věko Národnost

• Kanályo Telefonní číslao Poštovní adresa

o Městoo Země

o Emailová addresa

• Identifikátoryo „Národní ID“ (Rodné číslo)o Daňové IDo Číslo pasuo Social Security Numbero Registrační číslo autao Číslo řidičsekého prlkazu

• Organisaceo Názevo Identifikátory (IČO, DIČ)o Právní forma

• Bankovní a finanční účtyo Bank Identifier Code (BIC)o IBANo Číslo pojistky

• Číslo kreditní kartyo American Expresso VISAo MasterCardo Dinners Clubo Discovero JCB

• Digitální identifikátoryo IP adresa (V4, V6)o MAC addressao X/Y Geggrafické souřadnice

• Sociální médiao Twitter účeto URL FaceBooko URL Linkedino URL Pinteresto URL Instagram

• Citlivá datao Stavo Zdraví, orientaceo Politická aktivitao Náboženstvío Členství v odborecho Genetická informaceo Biometrické informaceo Rasao Pohlavío Etnikumo Dětio …

„Osobními daty je jakákoliv informace spojená s identifikovanou nebo identifikovatelnou osobou.“


Správa souhlasů


• SAS Master Data Management/G

Master consentČasové omezení

Omezení lokací

Omezení operací

Omezení na dílčí data

Granularita souhlasů

Kombinace souhlasů

Konflikty souhlasů

Historické souhlasy vs. historická data…

Dílčí souhlasy

Pravidla, správa, role…

Kontrolasouhlasu

• Dávkové zpracování• On-line zpracování• Přesuny dat• Update/Insert/Delete/Select


Master Consent ManagementLogické schema

Matice souhlasů

Dim 2

Dim 3

Dim 4Dim n

Dim 5

Dim 1

Blokace

Resolvekonflikt

Přehledsouhlasů

Kontrola

Dleúčelu

Zrušsouhlas

Zezákona

Novýsouhlas

Synchronisace

Master záznam

Instanční záznam

Instanční záznam

Instanční záznam

Instanční záznam

Instanční záznam

Instanční záznam

Párování

Identifikace

Vyhledání

Pohled360°

Přidání

Verifikace

Odebrání

Lokalisace

Služban

Dimense:• Čas• Datová doména• Kanál• Org. Jednotka

• Geografie• Produkt• Operace…

Forma:• Opt-in• Opt-out

• Blokace• Zákonný důvod…


SAS Data Governance: Business Data network

• Kolaborativní systém pro sdílení informací o datech

• Slovníky pojmů, glossary, datový slovník etc.

• Jednotné rozhraní a „jazyk“ pro technické i business uživatele• Definice business i

technických pojmů• Asociace požadavků a

pravidel• Definice a popisy datových

elementů• Zdrojové systémy• Vlastnictví dat, přístupová

práva• Návaznosti:

• Asociované pojmy• Data management services• Data Workflows• Aplikace …


Evidence a správa osobních dat z jednoho místa

• Koherentní pohled na osobní data přes všechny platformy• Automatisované glossary osobních dat• Definice, správa a konsolidace business a IT pojmů• Přehled o rolích a zodpovědnostech• Propojení na systémy, datové toky, business vlastníky• Procesní podpora řízení, rolí a zodpovědností

Řízení osobních dat


• SAS Business Data Network


SAS Data Governance: Business Data Network


Co z toho?Může být zavedení GDPR také k něčemu dobré?

DataGovernance

Jednotnýpohled

na „party“

DůvěraImage


Shrnutí

Přežijí silní a připravení


Data v kleštích regulacíCo přináší nová regulace do našeho života

15.3.2017

SK CI Roadshow

Documents

Data v kleštích regulací - Sas Institute€¦ · Interakce se subjekty osobních dat • Povinnosti a zodpovědnosti • Aplikace právních norem (GDPR, ... infrastruktura, datová