Embed Size (px)
Citation preview
Page 1
Štěpán Nadrchal, senior konzultant GDPR
Ondřej Diviš, senior konzultant
S požadavky GDPR musí pomoci
informační technologie
Page 2
MDS Advanced Program Tech
MDSap je zkratka MDS Advanced Program Tech • MDSap je součástí MiDiS Holding se sídlem v Dubai
• Jsme SAP partnerem pro oblast Database&Technology, Business Intelligence a pokročilé analýzy v regionech Střední Evropa, Střední východ a Turecko
• „Gold“ partner SAPu – jsme mezi 10 SAP partnery EMEA (6,7 mil EUR)
MDSap v České republice zajišťuje: • Prodej Sybase a SAP produktů z uvedených oblastí;
• Technickou podporu v českém jazyce;
• SAP autorizovaná školení;
• Konzultace související s produkty SAP a Sybase;
• BI projekty, analytické projekty, prediktivní modely,
návrhy datových modelů, EA, datovou integraci,
Podpora zavádění GDPR a implementace Data Governance a Data Quality
MDSap Reference • Komerční banka, Česká spořitelna, ČSOB Pojišťovna, Česká Pojišťovna, Raiffeisenbank,
Home Credit, Commerzbank, GE Money Bank, Česká pošta, Letiště Praha, DHL Information Services, O2, Vodafone, KUPEG, etc.
Central &
Eastern
Europe
Middle
East
Africa
Page 3
Příprava na GDPR
prakticky
GDPR nezačne platit příští rok
… už rok platí!
Deadline: 25. května 2018
Někdo jsi a něco znáš,
k tomu i dost vyděláš,
ve slovníku najít zkus
význam slova „GDPR".
na motivy písně
M. Rejchrta
Page 4
Jak nejlépe využít „čas přípravy“
Srovnat realitu s teorií • Činnosti se dělají jinak, než je v procesních mapách
• Každý má „svůj“ postup, který je tolerován
• Výjimek je tolik, že vytvářejí alternativní opakované postupy
Doplnit prázdná místa na mapě enterprise
architektury • Procesy, které nejsou oficiálně stanoveny
• Přístupy k datům, které nikdo nehlídá
• Smlouvy o outsourcingu, které osobní údaje neřeší
Uklidit staré „smetí“ • Skartace je často neznámým pojmem
• Data o zaměstnancích obsahují všechno možné mnoho let
dozadu
• Informační systémy už léta neznají příkaz DELETE FROM….
Kdyby se vážně bral už
současný zákon 101 /
2000 moc práce by firmy
neměly
§13:
Správce a zpracovatel
jsou povinni …, aby
nemohlo
dojít k … nahodilému
přístupu k osobním
údajům …
Page 5
Jak si popsat organizaci pro
potřeby analýzy o.ú.
Procesní model
• Činnosti
• Role
• Přiřazení rolí pozicím
Informační model
• [nejen] osobní údaje
• Umístění (včetně duplicit)
• Informační toky
• Životní cyklus
• Potřebnost
Aplikační model
• Přístupová práva
• Zabezpečení dat
• Rozhraní a jejich
používání
Technologický model
• Ochrana dat na úrovni
administrace
• Zálohování a archivace
Procesy a používané osobní údaje
Úložiště informací
Zájemce navštíví
salon značky
Zájemce si vyžádá
informace emailem
Kontakt na zájmce
poskytne importér
Představení nabídky
Vytvoření cenové kalkulace
Poskytnutí předváděcí jízdy Zapůjčení předváděcího /
náhradního vozu
Uzavření smlouvy o prodeji
Prodej pojištění k vozidlu Poskytnutí leasingu k
prodávaném vozu
Uzavření smlouvy a vstupu
do Klokočka klubu
Evidence půjčení
předváděcího /
náhradního vozu
Písemná smlouva o
pojištění
Písemné dokumenty k
prodeji vozu
Smlouva a členství v
klubu
Adresná nabídka vozu
Písemná smlouva o
finančním leasingu
Kopie osobních dokladů
se souhlasem klienta
Smlouva o financování Smlouva o pojištění
Údaje značky o
vlastníkovi vozidla
Poptávka zájemce o
nabídku / předváděcí
jízdu u značky
Záznam klienta o
souhlasu s využíváním
osobních údajů
Záznam o výpůjčce
vozu
Účetní doklad/záznam
Kontakt osoby
Vůz zákazníkovi
prodán
IS CARISPoskytovatel
financování
Poskytovatel pojištěníZnačka
Záznam o členství v
klubu
Sdílený filesystem
Page 6
Průběh analýzy
životní cyklus
životní cyklus
Krok 1: Poznat proces
Krok 1a: Poznat i všechny jeho
varianty
Krok 2: Identifikovat data obsahující
osobní údaje
Krok 3: Určit jejich životní cyklus
Krok 4: Definovat právní
zdůvodnění údajů i
životního cyklu
Prodej ojetého vozu
Prodej vozu
Specifikacepoptávky
klienta
Nabídka vozu zaktuální nabídky
ojetých vozů
Odstraněnípoptávky
klienta
Poskytnutípředváděcí
jízdyZákazníkpoptáváojetý vůz
Nabídka vozuna základěpoptávky
Obchodník sojetými vozy
Zájmce ruší
pptávku
Poptávka klientana ojetý vůz
Přehledpředváděcích
jízd ojetých vozů
čas
Prodej vozu
?
Page 7
Průběh analýzy
životní cyklus
životní cyklus
Krok 1: Poznat proces
Krok 1a: Poznat i všechny jeho
varianty
Krok 2: Identifikovat data obsahující
osobní údaje
Krok 3: Určit jejich životní cyklus
Krok 4: Definovat právní
zdůvodnění údajů i
životního cyklu
Prodej ojetého vozu
Prodej vozu
Specifikacepoptávky
klienta
Nabídka vozu zaktuální nabídky
ojetých vozů
Odstraněnípoptávky
klienta
Poskytnutípředváděcí
jízdyZákazníkpoptáváojetý vůz
Nabídka vozuna základěpoptávky
Obchodník sojetými vozy
Zájmce ruší
pptávku
Poptávka klientana ojetý vůz
Přehledpředváděcích
jízd ojetých vozů
čas
Prodej vozu
?
Page 8
Výstup analýzy
Procesy a používané osobní údaje
Úložiště informací
Zájemce navštíví
salon značky
Zájemce si vyžádá
informace emailem
Kontakt na zájmce
poskytne importér
Představení nabídky
Vytvoření cenové kalkulace
Poskytnutí předváděcí jízdy Zapůjčení předváděcího /
náhradního vozu
Uzavření smlouvy o prodeji
Prodej pojištění k vozidlu Poskytnutí leasingu k
prodávaném vozu
Uzavření smlouvy a vstupu
do Klokočka klubu
Evidence půjčení
předváděcího /
náhradního vozu
Písemná smlouva o
pojištění
Písemné dokumenty k
prodeji vozu
Smlouva a členství v
klubu
Adresná nabídka vozu
Písemná smlouva o
finančním leasingu
Kopie osobních dokladů
se souhlasem klienta
Smlouva o financování Smlouva o pojištění
Údaje značky o
vlastníkovi vozidla
Poptávka zájemce o
nabídku / předváděcí
jízdu u značky
Záznam klienta o
souhlasu s využíváním
osobních údajů
Záznam o výpůjčce
vozu
Účetní doklad/záznam
Kontakt osoby
Vůz zákazníkovi
prodán
IS CARISPoskytovatel
financování
Poskytovatel pojištěníZnačka
Záznam o členství v
klubu
Sdílený filesystem
Page 9
Problémy s IT systémy
Koupený systém
Dodavatel GDPR neřeší
Použití podle návodu je
nereálné
Dodavatel není k mání
Vlastní systém / implementace
Chybí kapacity
Chybí know-how
Nejsou priority
Page 10
Požadavky na IT systémy
Zabezpečení
Pseudonymizace
Znepřístupnění
• Uživatelům
• Administrátorům
Podmínky outsourcingu
Kontrola datových toků
Řízení životního cyklu
Redukce údajů
Odstraňování
Správa produktů a smluv
Řízení obchodní sítě
Monitoring a hodnocení
obchodu
Obchodní síť - FE pro
poskytovatele SÚSlužby pro
komunikaci s
obchodní sítí
Produktový katalog Správa smluv Řízení smluvních
dokumentů
FE pro poradenská místa
FE pro klentské
pracoviště
CRM
Komunikace s
klientem
Produktová historie
Správa produktů a smluv
Řízení obchodní sítě
Monitoring a hodnocení
obchodu
Obchodní síť - FE pro
poskytovatele SÚSlužby pro
komunikaci s
obchodní sítí
Produktový katalog Správa smluv Řízení smluvních
dokumentů
FE pro poradenská místa
FE pro klentské
pracoviště
CRM
Komunikace s
klientem
Produktová historie
Page 11
Ochrana informací je věcí kultury
organizace
Nejvíce datových úniků je přes pracovníky
• Vágní přístup k procesům – informace se nechrání
• Ochrana není na celý proces
• Neřešená administrace systémů
• Podceněný outsourcing
„Povalující“ se data, která vůbec neměla existovat
• nedodržování procesů
• Univerzální reporty
• Centrální databáze „osoba“ se všemi podrobnostmi
Pracovníci pro práci nemusí vidět „všechno“, jak byli dosud zvyklí
• Systémy vyvíjené obrazovkově, nikoli procesně
• Manažer má všechna práva podřízených
Page 12
Cílová rovinka - diskuse
Děkuji za pozornost,
Štěpán P. Nadrchal
Page 13
PowerDesigner pro GDPR?
CASE nástroj
• Procesy
• Data
• Aplikace
• Enterprise architektura
• Požadavky, XML,…
Propojení různorodých oblastí
Dokumentace a vývoj, Dopadové analýzy
Snadná rozšiřitelnost pro specifické požadavky
Page 14
GDPR – osobní data
Přímá
• Jméno, příjmení, pohlaví, věk, datum narození, email, tel.číslo, další
identifikátory přiřazené státem (rodné číslo,…)
Nepřímá
• Jakákoliv data přiřaditelná k osobě skrze referenční integritu
• IP adresa, záznamy o prodejích, historie prohlížení, GPS sledování,…
Citlivá osobní data
• Rasa, etnický původ, politické názory, náboženství, členství v odborech,
zdravodní a duševní stav, sexuální orientace, trestní záznamy, genetické
informace, biometrické informace,…
Page 15
Ukázka
Propojení procesních a datových modelů
Kontext procesu (systémy, role, služby,…)
Identifikace a označení osobních údajů
Informace o formátu a úložišti dat
Konfigurace a využití dopadové analýzy
Page 16
Na závěr
Propojení různých oblastí/modelů v PD
Bohaté možnosti customizace
Schopnost výrazně pomoci s GDPR
Page 17
