Presented @ admini:reboot 2

1. GDPR DESATORO
...alebo všetko horí a vybuchuje!

2. „When the deadline comes too close“
Source @nijfranck

3. What‘s this all about?
„10 prikázaní,
ktoré
nasledovať
budeš!“ GDPR
preložené z
právnického
jazyka do
jazyka nášho.
Snaha o
vtesnanie do 15
minút
Ako sa týka nás,
adminov?
Bonus na záver:
GDPR na 1 slide
GDPR vs.
Blockchain
Hlavne
podporiť
výmenu našich
skúseností
medzi sebou!

4. /whoami && GDPR
■ Absolvent až prílišného množstva eventov ohľadom GDPR
■ Sklamaný absolvent až prílišného množstva eventov
ohľadom GDPR
(povie mi konečne niekto ako to mám robiť?V jednoduchosti?)
■ Verím, že sa to dá aj jednoduchšie.
■ Nie som právnik - Som „ítečkár“.
■ Aktuálne pôsobím ako „systemák“ pre medzinárodný 5*
hotel, kde sa spolupodieľam na implementácií GDPR
■ Jeden z nás.

5. PREČO JE OKOLO GDPR
TAKÝ BOOM?

6. Pokuty.

7. Fakt veľké pokuty.

8. Pre porovnanie:
Maximálna pokuta za porušenie ochrany OÚ v 122/2013 (starý zákon)
(do 200 000€)

9. Pre porovnanie:
Maximálna pokuta za porušenie ochrany OÚ v 122/2013 (starý zákon)
(do 200 000€)
Maximálna pokuta za porušenie ochrany OÚ v GDPR (nový zákon)

10. Pre porovnanie:
Maximálna pokuta za porušenie ochrany OÚ v 122/2013 (starý zákon)
(do 200 000€)
Maximálna pokuta za porušenie ochrany OÚ v GDPR (nový zákon)
(do 20 000 000€ alebo 4% z celoročného obratu)

11. 2

12. 3. (yep, still won‘t fit)

13. 4.

14. 5.
(This huge!)

15. TAK ČO JETEDATO
GE-DE-PÉ-ER?

16. ■ Framework
(privacy by design and by default)
■ Guideline
■ Harmonizácia

17. (fun)FACTS
■ 25. 5 nenastane koniec sveta
■ GDPR nahrádza zákon o ochrane OÚ
■ Plné znenie ZoOÚ (18/2018) je rozsiahlejšie ako Hamlet
■ Odhadovaný čas na prečítanie plného znenia GDPR sú 3 hodiny
■ Vágne definované požiadavky, ale presne definované pokuty!
■ GDPR bolo „inšpirovane“ práve naším zákonom na ochranu osobných
údajov

18. #(notthatfun)FACTS
It‘s almost here.

19. #(notthatfun)FACTS

20. #(notthatfun)FACTS
3 týždne.

21. #(notthatfun)FACTS
508 hodín.
(priblížne od tejto chvíle)

22. #(notthatfun)FACTS
3 týždne.

23. „Keep calm, we‘re špička anyway.“
Zdroj: Noviny o 17:00,TV JOJ, 03-april-2018

24. Or maybe...
Zdroj: Noviny o 17:00,TV JOJ, 03-april-2018

25. PREDJEDLO

26. GDPR vs. Zákon o Ochrane OÚ.
Skromne.
■ Bezpečnostný projekt?Ten sa ruší -> Posúdenie vplyvu na ochranu
OÚ (DPIA)
■ Už netreba zasielať oznámenia o IS ktoré spracovávajú OÚ
■ Stále potrebujeme súhlasy na spracovávanie OÚ

27. POĎME NATO!

28. 1.Vedieť čo je osobný údaj budeš!

29. 1.Vedieť čo je osobný údaj budeš!

30. 1.Vedieť čo je osobný údaj budeš!
A taktiež treba vedieť čo je to spracovanie OÚ
(Áno, aj dátový prenos paketov)

31. 2. Poznať svoje dáta budeš!

32. 2. Poznať svoje dáta budeš!
■ Kto má ISO (ideálne z rady 27000), má výhodnejšiu
štartovaciu pozíciu (pozná svoje procesy)
■ Máš vypracovaný bezp. projekt? – Už to skoro máš!
■ Procesný pohľad nad data-flowom obsahujúcim OÚ.
■ Kde sú uložené?
■ Kto ma k ním prístup?

33. 3. Nerozhodneš vopred za užívateľa
svojho!

34. 3. Nerozhodneš vopred za užívateľa
svojho!
Pokračovaním v telefonáte súhlasíte,
že budete nahrávaný...

35. 3. Nerozhodneš vopred za užívateľa
svojho!
■ Súhlas musí byť slobodne daný, konkrétny,
informovaný, jednoznačný a
preukázateľný!

36. 4. Ja som pán, vlastník svojich
osobných údajov. Nebudeš
rozhodovať o nich bezo mňa.
(dotknutá osoba)

37. 4. Ja som pán, vlastník svojich osobných údajov.
Nebudeš rozhodovať o nich bezo mňa.
(dotknutá osoba)
• Poskytnutie informácii na
žiadosť dotknutého
• Poskytnutie kópie
spracúvanýchOÚ
Právo na
prístup
• Údaje by mali byť aktuálne
• Dotknutý by mal mať právo na ich
aktualizáciu
Právo na
modifikáciu

38. 4. Ja som pán, vlastník svojich osobných údajov.
Nebudeš rozhodovať o nich bezo mňa.
(dotknutá osoba)
• Právo namietať proti spracúvaniu
na právnom základe
• Poskytnutie kópie spracúvaných OÚ
Právo
namietať
• Povinnosť vymazať osobné údaje na
žiadosť dotknutého
Právo na
zabudnutie...

39. 4a. Žiadosť o výmaz budeš realizovať
■ Bezodkladne...do 30 dní. (or up to 2 months)
■ Avšak niektoré OÚ musíme mať na základe zákona
(archivácia, učto,...)
■ Ďalšie výnimky: sloboda prejavu, právo na
informácie,...
■ Pseudonymizácia údajov
■ Čo páskové zálohy?

40. 5. Zaškolíš zamestnancov svojich!
■ Čo sú OÚ v tých našich dátach
■ Ako narábať s OÚ aby neunikli
■ Minimalizuj riziko!
■ Zaznamenáš to.
(stačí aj ich podpis,
ale to fakt nechceš)

41. 6. Zodpovednú osobu definuješ
(DPO)
■ Nie všetci ju musia mať
■ Mala by byť mimo organizačnej
štruktúry (nesmie dostávať pokyny)
■ Musí absolvovať skúšku na úrade
(nie je povinná, avšak musí dobre
ovládať právne aspekty)
■ Nie je zodpovedná za nesúlad GDPR
■ Má dohliadať nad plnením GDPR
■ Ak ju nevymenuješ (a musíš) tak
automaticky 10 M € pokutka.

42. 7.Všetko zmluvami ošetríš
■ Poznať a mať jasno v „buzzwords“
prevádzkovateľ - sprostredkovateľ
■ Aby si bol sprostredkovateľ vedomý, že narába s OÚ.
■ Odporúčam naštudovať a pozrieť
dataprotection.gov.sk
■ Why? Pretože sprostredkovatelia budú v niektorých
prípadoch povinní nominovať zodpovednú osobu.
■ V prípade porušenia ochrany musia sprostredkovatelia
informovať prevádzkovateľa.
■ Musí to byť jasne –V akom rozsahu, aké údaje, ako,...
■ Zmluvy (ich čásť) by mala byť verejná.

43. 7.Všetko zmluvami ošetríš

44. 8. Zainvestuješ do bezpečnosti
svojej!

45. 8. Zainvestuješ do bezpečnosti
svojej!
■ GDPR vo všeobecnosti žiada vyvinúť adekvátnu snahu.
■ Adekvátna snaha môže vyžadovať na svoju realizáciu zdroje.
■ Zdroje stoja peniaze.
■ Enkrypcia, prístupy, monitorovanie prístupov k fileom.
■ Sú vôbec IDS GDPR compliant? - Paradox
■ Pozor na aktuálnu nejasnosť u väčsiny -> Príležitosť na obchod na „fully
compliant 100% gdpr solution one-click solver“

46. 9. Ak dáta uniknú, nahlásiš to!
■ Do 72 hodín
■ Oznámenie dotknutým jednotlivcom (treba mať
pripravený interný PR plán)
■ Musí byť zrozumiteľné a jasné
■ Oznámenie verejnosti sa nemusí za každých
okolností vyžadovať
(dostatočne vynaložené technické úsilie na
ochranu dát)

47. 10. Nikdy na vavrínoch nezaspíš
- Zajtra pribudnú údaje/účely, ktoré dnes nevieme zbierať/nepotrebujeme, takže treba
proces neustále revidovať (príklad z histórie: biometria)
- "You need to be complaint as much as possible. There's no
such thing as fully complaint.„
(symantec GDPR webinar)

48. Základné zásady
■ Zákonnosť, spravodlivosť a transparentnosť.
■ Minimalizácia údajov
■ Minimalizácia účelu
■ Správnosť údajov
■ Minimalizácia doby uchovávania
■ Integrita a dôvernosť

49. BONUS NA ZÁVER
GDPR v jednom slide!

50. GDPR on 1 SLIDE
■ 1. Zaškolenie zodpovednej osoby
■ 2. Poučenia oprávnených osôb
■ 3. Oboznámenie so spracovaním + súhlasy
■ 4. Posúdenie vplyvu na ochranu OÚ (DPIA)
■ 5. Zmluvy „Prevádzkovateľ vs. sprostredkovateľ“.

51. Q&A

52. ĎAKUJEM ZA POZORNOSŤ!