Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Praha, 03. október 2017
prevádzkovateľ správce
sprostredkovateľ spracovatel
zodpovedná osoba pověřenec
dotknutá osoba subjekt dat
Nariadenie Európskeho parlamentu a rady (EÚ) 2016/679
z 27. apríla 2016
o ochrane fyzických osôb pri spracúvaní osobných údajov
a o voľnom pohybe takýchto údajov,
ktorým sa zrušuje smernica 95/46/ES
(všeobecné nariadenie o ochrane údajov)
uplatňuje sa od 25. mája 2018
mechanizmy
zodpovedná osoba, vedenie záznamov,
kontrola nad sprostredkovateľom
dodatočné záruky (pseudonymizácia, šifrovanie)
štandardne a špecificky navrhnutá ochrana, bezpečnosť, posúdenie vplyvu, predbežná konzultácia
kódex správania, certifikácia
povinnosti
zákonnosť a transparentnosť
obmedzenie účelu
správnosť
minimalizácia
minimalizácia uchovávania
integrita a dôvernosť
zodpovednosť prevádzkovateľa
dodržiavanie zásad
súlad so zásadami
preukazovanie súladu
prijať vhodné technické a organizačné opatrenia (povaha, rozsah, kontext,
účel, riziká pre práva a slobody FO)
zabezpečiť a preukázať súlad – DOKUMENTOVAŤ
živé - podľa potreby preskúmať a aktualizovať
zavedenie politík ochrany údajov
preukázanie splnenia povinností – napr. dodržiavanie schválených kódexov,
certifikačných mechanizmov
Identifikácia
Agendy
Lehoty
Sprostredkovatelia
Úložiská
Oprávnené osoby
Funkcie
pri k
torý
ch s
a s
pra
cúvajú
OU
Aplikácie, systémy, ktoré spracúvajú OU
Čo mám
Kde mám
Kto má
pre
dm
et p
od
nik
ania
aké OU
právny základ
nevyhnutný rozsah
arch
itek
túra
toky
sprostredkovatelia
bezpečnosť op
rávn
ené
oso
by
poverenia
zmluvy
sprostredkovateľ - pravidlá
PROJEKTOVÝ PLÁN
Mapovacia fáza (dáta – procesy)
Analýzy
Vyhodnotenia
Nové procesy a zabezpečenia
Preverenie vzťahov
Implementácia bezpečnostných opatrení
Kódex správania
• združenie, subjekt (zastupujúci kategóriu prevádzkovateľov alebo
sprostredkovateľov)
• riadenie rizík, prijatie najlepších postupov na zmiernenie rizika, posúdenie rizika
• deklaruje, že predmet kódexu a s tým súvisiace spracovateľské operácie sú
vykonávané členmi kódexu v súlade so zákonom/Nariadením
• navonok – preukazovanie súladu
• do vnútra – nastavenie vnútorných procesov v súlade so zákonom/Nariadením
Monitorujúci subjekt
• monitorovanie schválených K správania vykonáva subjekt, ktorý spĺňa
kritériá a podmienky na udelenie akreditácie a ktorému bola udelená
akreditácia
• kódexy správania pre orgány verejnej moci a verejnoprávne inštitúcie
nepodliehajú činnosti monitorovacieho subjektu
• právnická osoba alebo FO – podnikateľ
• musí mať vytvorené technické, organizačné podmienky, podmienky na
vykonávanie monitorovania K
Certifikát
• vydanie, obnovu, odňatie certifikátu vykonáva subjekt, ktorému bola
udelená akreditácia alebo úrad
• certifikát – preukazovanie súladu so zákonom/Nariadením, jedno z
bezpečnostných opatrení, existencia primeraných záruk
• vydá/obnoví na obdobie 3 rokov
• súlad sa posudzuje na základe certifikačných kritérií
Certifikačný subjekt
• vydanie, obnovu, odňatie certifikátu vykonáva subjekt, ktorému bola
udelená akreditácia alebo úrad
• právnická osoba, FO – podnikateľ
• primeraná úroveň odborných znalostí, technické, organizačné
podmienky
• podmienky na certifikačný postup
CS
• zodpovedá za riadne posúdenie súladu spracúvania OU a existencie
primeraných záruk
• udelí, obnoví, odníme certifikát
Pseudonymizácia
• stále sú to OU – identifikovateľná osoba
• oddelené uchovávanie OU bez možnosti priradiť k DO, bez
dodatočnej informácie
!!!• jej zavedenie nevylučuje aplikáciu ďalších opatrení
• jeden z mechanizmov, nie však jediný
• nezaručuje automaticky bezpečné spracúvanie
• vždy spolu s ďalšími zavedenými a aplikovanými mechanizmami
• nemám istotu = posúdenie vplyvu = nepokryté vysoké riziko =
predbežná konzultácia
• návrh na možné lepšie riešenie a ošetrenie rizika, príp. akceptácia
• nemusí byť vždy riešením
Bezpečnostný incident
oznámenie úradu do 72 hodín
• ide o porušenie ochrany OU a zároveň
• musí viesť k riziku pre práva a slobody FO
• a prevádzkovateľ sa o ňom dozvedel
• prevádzkovateľ musí mať prijaté mechanizmy na zhodnotenie každého
bezpečnostného incidentu tak, aby bol schopný identifikovať, či ide o porušenie
ochrany OU a či to viedlo alebo môže viesť k riziku pre FO
• lehota na nahlásenie začína plynúť momentom, kedy prevádzkovateľ zhodnotil
Ďakujem za pozornosť
Tatiana Valentová[email protected]