Embed Size (px)
Citation preview
www.comp.com.pl
Pion Rozwiązań Systemowych
Innowacyjne rozwiązania odpowiedzą na RODO
R o z w i ą z a n i a G D P R / R O D O
2 LISTOPAD 2017
Dane osobowe - obecny stan prawny
Ustawa z dnia 29.8.1997r. o ochronie danych osobowych
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004. w sprawie
dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych
jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych.
R o z w i ą z a n i a G D P R / R O D O
3 LISTOPAD 2017
GDPR (RODO) cele
Podwyższenie poziomu ochrony prywatności obywateli, w tym poprzez przyznanie im nowych nieznanych dzisiaj i skutecznych mechanizmów ochrony przed naruszeniami przy jednoczesnym poszanowaniu interesów przedsiębiorców.
Uregulowanie zasad i umożliwienie swobodnego przepływu danych osobowychw UE taki sposób, by ochrona praw jednostki nie stała temu na przeszkodzie.
R o z w i ą z a n i a G D P R / R O D O
4 LISTOPAD 2017
GDPR (RODO) komunikacja między stronami
• ADO przetwarzający dane osobowe
• Osoba fizyczna, której dane są przetwarzane
GDPR (RODO) zgoda
Jedna z wielu równoprawnych przesłanek umożliwiających legalne przetwarzanie danych osobowych
R o z w i ą z a n i a G D P R / R O D O
5 LISTOPAD 2017
GDPR (RODO) przesłanki legalizujące przetwarzanie danych osobowych
Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
R o z w i ą z a n i a G D P R / R O D O
6 LISTOPAD 2017
GDPR (RODO) niepewność
Ryzyka wynikające ze zmian ustawowych
• Zagrożenia
• Szanse
R o z w i ą z a n i a G D P R / R O D O
7 LISTOPAD 2017
Proces realizujący cele RODO
I Analiza prawna II Analiza ITIII Wdrożenie
narzędzi
R o z w i ą z a n i a G D P R / R O D O
8 LISTOPAD 2017
Proces realizujący cele RODO
Cele audytu
• inwentaryzacja posiadanych przez organizację zasobów informacyjnych oraz sposobów ich przetwarzania i ochrony,
• analiza rozbieżności między stanem istniejącym a stanem, jaki powinien istnieć po rozpoczęciu stosowania przepisów RODO
• określenie czy organizacja podlega zwolnieniom i jakim,
• określenie dla których procesów potrzebna jest ocena skutków przetwarzania (DPI).
R o z w i ą z a n i a G D P R / R O D O
9 LISTOPAD 2017
Proces realizujący cele RODO – podejście oparte na ryzyku (ISO 27005)
ETAP GRUPA ZADAŃ
1. INWENTARYZACJA – Ustalenie kontekstu, identyfikacja obszarów i celów biznesowych podlegających audytowi
1.1. Określenie informacji i uwarunkowań związanych z działaniem organizacji
1.2.Szczegółowy opis przetwarzanych danych osobowych i ich klasyfikacja
2. Weryfikacja zgodności z RODO (GDPR) – Mechanizmy kontrolne
2.1. Weryfikacja w zakresie procesów przetwarzania danych oraz przepływu danych.
2.2. Weryfikacja wymagań dotyczących zastosowania środków kontroli i bezpieczeństwa oraz stopień ich wypełnienia
3. Szacowanie Ryzyka
3.1. Identyfikacja źródeł ryzyk
3.2. Identyfikacja wystąpień podatności
3.3. Analiza i ocena następstw zmaterializowania się zagrożeń
3.4. Szacowanie poziomu ryzyka
3.5. Określenie listy zidentyfikowanych ryzyk
4. Postępowanie z ryzykiem 4.1. Przypisanie do ryzyka kategorii reakcji
5. Ogólna ocena ryzyka a ocena skutków dla ochrony danych
5.1. Ustalenie, czy przeprowadzenie oceny skutków jest wymagane
5.2. Zasięgnięcie opinii ekspertów i osób których dane dotyczą lub ich przedstawicieli. 5.3. Uwzględnienie szczególnych elementów oceny skutków dla ochrony danych
R o z w i ą z a n i a G D P R / R O D O
10 LISTOPAD 2017
Kiedy przeprowadzamy ocenę skutków dla ochrony danych
Wymaga się wyłącznie w przypadku gdy dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 ust1.)
R o z w i ą z a n i a G D P R / R O D O
11 LISTOPAD 2017
Zbiory operacji przetwarzania wymagających przeprowadzenia oceny skutków dla ochrony danych ze względu na ich nieodłączne wysokie ryzyko.
• Ocena lub punktacja, w tym profilowanie i prognozowanie
• Automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku
• Systematyczne monitorowanie
• Dane wrażliwe lub dane o charakterze wysoce osobistym
• Dane przetwarzane na dużą skalę
• Dopasowanie lub łączenie zbiorów danych
• Dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą
• Innowacyjne wykorzystanie lub stosowanie nowych rozwiązań technologicznych lub
organizacyjnych
• Gdy samo przetwarzanie uniemożliwia osobom, których dane dotyczą wykonywania prawa
lub korzystanie z usług lub umowy
R o z w i ą z a n i a G D P R / R O D O
12 LISTOPAD 2017
PORTAL KONSUMENTA - Obsługa procesu wydawania i anulowania zgód ,
ZGODY - Zarządzanie scentralizowanym rejestrem zgód na przetwarzanie danych osobowych,
UPOWAŻNIENIA - Zarządzanie scentralizowanym procesem udostępniania danych osobowych,
opartym o wydane upoważnienia,
BEZPIECZNE DANE - Zarządzanie indeksowaniem i przeszukiwaniem zbiorów danych ,
BEZPIECZNA KOMUNIKACJA - Zarządzanie bezpieczeństwem mailingu,
AUDYT – Kontrola i raportowanie.
Cyfrowa tożsamość
R o z w i ą z a n i a G D P R / R O D O
13 LISTOPAD 2017
Cyfrowa tożsamość
R o z w i ą z a n i a G D P R / R O D O
14 LISTOPAD 2017
Kluczowe funkcjonalności
Obsługa procesu wydawania i anulowania zgód
profilowanie zgód
prawo do zapomnienia
wnioski o przekazanie danych
Zarządzanie listą swoich zgód
Powiadomienia o incydentach
Oferty
Prezentacja korzyści wynikających z udostepnienia zgody do przetwarzania danych
Zapewnienie opieki prawnej w zakresie ochrony danych osobowych i ew. wsparcie
procesowe poprzez Usługodawców lub Dostawców Zewnętrznych
Dashboard
PORTAL KONSUMENTA - Obsługa procesu
wydawania i anulowania zgód
R o z w i ą z a n i a G D P R / R O D O
15 LISTOPAD 2017
Wybrane zalety rozwiązania
Możliwość personalizacji zgód
Świadome wyrażanie zgód na podstawie wiedzy o procesie przetwarzania danych
i przedstawionych korzyści
Przyjazny interfejs umożliwiający komunikację z organizacją przetwarzającą dane
osobowe
Większe możliwości przetwarzania danych osobowych do celów marketingowych
PORTAL KONSUMENTA - Obsługa procesu
wydawania i anulowania zgód
R o z w i ą z a n i a G D P R / R O D O
16 LISTOPAD 2017
Kluczowe funkcjonalności
Plugin umożliwiający integrację z dowolną aplikacją
Jednolity interfejs dla wszystkich aplikacji
Usystematyzowany proces udzielania zgód na przetwarzanie danych osobowych
Centralny rejestr zgód – jedno repozytorium, w którym gromadzone są dane
o wszelkich zgodach
Możliwość zarejestrowania zgód papierowych
ZGODY - Zarządzanie rejestrem zgód
R o z w i ą z a n i a G D P R / R O D O
17 LISTOPAD 2017
Zalety rozwiązania
Centralne zarządzanie
Jednolity proces udzielania zgód
Jednolity interfejs dla wszystkich aplikacji
ZGODY - Zarządzanie rejestrem zgód
R o z w i ą z a n i a G D P R / R O D O
18 LISTOPAD 2017
Kluczowe funkcjonalności
Obsługa procesu przyznawania i odbierania upoważnień do przetwarzania danych
osobowych (zgodnie z instrukcją kancelaryjną)
Zarządzanie rejestrem upoważnień
Automatyczne nadawanie uprawnień do zbiorów danych osobowych
Przeglądanie i wyszukiwanie upoważnień przez różne grupy interesariuszy
Zarządzanie zbiorami danych osobowych
Zarządzanie bazą osób upoważnionych
Historia operacji na dokumencie
z uwzględnieniem autora i czasu
UPOWAŻNIENIA - Zarządzanie scentralizowanym procesem udostępniania danych osobowych
R o z w i ą z a n i a G D P R / R O D O
19 LISTOPAD 2017
Zalety rozwiązania
Automatyzacja procesu nadawania uprawnień wynikających z upoważnień
Zwiększenie bezpieczeństwa w obszarze dostępu do danych osobowych
Możliwość wykonywania zadań wynikających z procesu zdalnie
UPOWAŻNIENIA - Zarządzanie scentralizowanym procesem udostępniania danych osobowych
R o z w i ą z a n i a G D P R / R O D O
20 LISTOPAD 2017
Kluczowe funkcjonalności
Wyszukiwanie i indeksowanie danych
Identyfikacja źródeł danych osobowych w bazach danych organizacji Klienta
Identyfikacja źródeł danych osobowych na stacjach roboczych w sieci klienta
Tworzenie powiązań między danymi
Zaawansowane mechanizmy interpretacji danych
Anonimizacja, pseudonimizacja i szyfrowanie
BEZPIECZNE DANE - Zarządzanie indeksowaniem i wyszukiwaniem
R o z w i ą z a n i a G D P R / R O D O
21 LISTOPAD 2017
Zalety rozwiązania
Uporządkowanie danych przez miedzy innymi wyeliminowanie zdublowanych danych
Utworzony indeks powala szybko odnaleźć dane wskazanej osoby
Indeks nie przechowuje danych osobowych – nie podlega wiec zgłoszeniu
Skrócenie czasu reakcji na incydenty wynikające z nieuprawnionego dostępu do
danych
Możliwość pseudonimizacji oraz pełnej anonimizacji danych
Możliwość rozpoznawania kontekstu biznesowego na podstawie przeanalizowanych
powiązań między danymi
BEZPIECZNE DANE - Zarządzanie indeksowaniem i wyszukiwaniem
R o z w i ą z a n i a G D P R / R O D O
22 LISTOPAD 2017
Kluczowe funkcjonalności
Możliwością tworzenia dowolnych procesów i dynamicznych reguł decyzyjnych
Obieg akceptacyjny poczty wychodzącej
Opcjonalnie obieg akceptacyjny w procesach udostępniania danych za pośrednictwem
protokołu HTTP
Możliwość wprowadzenia mechanizmów automatyzujących udostępnianie zasobów
Kontrola udostępnianych danych za pośrednictwem protokołu HTTP…
Możliwość integracji z systemami klasy DLP w zakresie filtrowania treści
BEZPIECZNA KOMUNIKACJA - Zarządzanie bezpieczeństwem mailingu
R o z w i ą z a n i a G D P R / R O D O
23 LISTOPAD 2017
BEZPIECZNA KOMUNIKACJA - Zarządzanie bezpieczeństwem mailingu
Zalety rozwiązania
Kontrola poczty przychodzącej i wychodzącej
Jedna aplikacja (front-end) dla wszystkich czynności – Outlook
Brak ingerencji w istniejącą konfigurację poczty wchodzącej
Funkcjonalności związane z routingiem i zarządzaniem treścią zostają wyniesione poza
firmowy serwer pocztowy
R o z w i ą z a n i a G D P R / R O D O
24 LISTOPAD 2017
Kluczowe funkcjonalności
Rejestr czynności
Rejestr incydentów
Zarządzanie ryzykiem
Interaktywne raporty
Zaawansowane mechanizmy wyszukiwania sortowania i filtrowania
Publikacja raportów w formie dokumentów: Office / PDF
Alerty i powiadomienia
Historia operacji
AUDYT - Kontrola i raportowanie
R o z w i ą z a n i a G D P R / R O D O
25 LISTOPAD 2017
Zalety rozwiązania
Zapobieganie niepożądanym incydentom
Minimalizacja ryzyk wynikających z nieprawidłowego przetwarzania danych
Elastyczne definiowanie raportów
AUDYT - Kontrola i raportowanie
R o z w i ą z a n i a G D P R / R O D O
26 LISTOPAD 2017
KORZYŚCI WYNIKAJĄCE Z WDROŻENIA
Zgodność z regulacjami prawnymi
Możliwość wdrożenia rozwiązania bez większej ingerencji w istniejące w organizacji
systemy
Możliwość monitorowania procesów, w których przetwarzane są dane
Poprawa bezpieczeństwa organizacji przetwarzającej dane osobowe
Podwyższenie poziomu ochrony osób, których dane są przetwarzane
Cyfrowa tożsamość
R o z w i ą z a n i a G D P R / R O D O
27 LISTOPAD 2017
Cyfrowa tożsamość
LICENCJONOWANIE (pakiety sprzedaży)
R o z w i ą z a n i a G D P R / R O D O
28 LISTOPAD 2017
Cyfrowa tożsamość - licencjonowanie
LICENCJONOWANIE
# stacji / serwerów oraz wolumen danych
KOMPONENTY
Bezpieczne dane
Skaner danych niestrukturalnych
Skaner danych strukturalnych
Anonimizacja danych strukturalnych
POWIĄZANE USŁUGI
Wsparcie
Helpdesk i dostęp do bazy wiedzy
Dokumentacja
Dystrybucja nowych wersji
Wskazanie lokalizacji danych osobowych
R o z w i ą z a n i a G D P R / R O D O
29 LISTOPAD 2017
Cyfrowa tożsamość - licencjonowanie
LICENCJONOWANIE
# stacji / serwerów oraz wolumen danych
wersje Open bez limitu użytkowników
wersje na # użytkowników
KOMPONENTY
Komponenty wersji Basic
Audyt
POWIĄZANE USŁUGI
Usługi wdrożeniowe (analiza, kastomizacja
funkcjonalności, raportów, uruchomienie)
Wsparcie
Pakiet godzin wsparcia
Helpdesk i dostęp do bazy wiedzy
Dokumentacja
Dystrybucja nowych wersji
Komponenty Upoważnienia, Zgody i Portal konsumenta i Bezpieczna komunikacja są opcjonalne.W pakiecie „Optimum” są wykorzystywane wybrane rejestry tych komponentów.
Zgodność ze zgodami i upoważnieniami
R o z w i ą z a n i a G D P R / R O D O
30 LISTOPAD 2017
Cyfrowa tożsamość - licencjonowanie
LICENCJONOWANIE
# stacji / serwerów oraz wolumen danych
wersje Open bez limitu użytkowników
wersje na # użytkowników
KOMPONENTY
Komponenty wersji Optimum
System Workflow
POWIĄZANE USŁUGI
Usługi wdrożeniowe (analiza, kastomizacja
funkcjonalności, raportów, uruchomienie)
Wsparcie
Pakiet godzin wsparcia
Helpdesk i dostęp do bazy wiedzy
Dokumentacja
Dystrybucja nowych wersji
Komponenty Upoważnienia, Zgody i Portal konsumenta i Bezpieczna komunikacja są opcjonalne.W pakiecie „Advanced” są wykorzystywane wybrane rejestry tych komponentów.
Centralne zarządzanie procesami
R o z w i ą z a n i a G D P R / R O D O
31 LISTOPAD 2017
Cyfrowa tożsamość – koszty wdrożenia
Dane niezbędne do wyliczenia kosztów usług wdrożenia:
Liczba i złożoność procesów (ilość czynności i użytkowników),
w ramach których realizowane są cele przetwarzania danych
osobowych
Liczba i złożoność narzędzi /systemów (ilość przypadków
użycia) wspierających proces przetwarzania danych osobowych
Liczba i złożoność modeli analitycznych i raportów
budowanych na podstawie wymagań klienta
Liczba systemów zewnętrznych do zintegrowania
R o z w i ą z a n i a G D P R / R O D O
32 LISTOPAD 2017
Dlaczego COMP S.A. ?
Kompleksowe rozwiązanie
Możliwość dopasowania produktu do potrzeb klienta
Konkurencyjna oferta
Cyfrowa tożsamość
S O F T W A R E H O U S E
33 LISTOPAD 2017
ZAPRASZAMY DO KONTAKTU
Comp S.A.
ul. Jutrzenki 116,
02-230 Warszawa
tel.: (+48 22) 570 38 00
e-mail: [email protected]
