3. What‘s this all about?
„10 prikázaní,
ktoré
nasledovať
budeš!“ GDPR
preložené z
právnického
jazyka do
jazyka nášho.
Snaha o
vtesnanie do 15
minút
Ako sa týka nás,
adminov?
Bonus na záver:
GDPR na 1 slide
GDPR vs.
Blockchain
Hlavne
podporiť
výmenu našich
skúseností
medzi sebou!
4. /whoami && GDPR
■ Absolvent až prílišného množstva eventov ohľadom GDPR
■ Sklamaný absolvent až prílišného množstva eventov
ohľadom GDPR
(povie mi konečne niekto ako to mám robiť?V jednoduchosti?)
■ Verím, že sa to dá aj jednoduchšie.
■ Nie som právnik - Som „ítečkár“.
■ Aktuálne pôsobím ako „systemák“ pre medzinárodný 5*
hotel, kde sa spolupodieľam na implementácií GDPR
■ Jeden z nás.
9. Pre porovnanie:
Maximálna pokuta za porušenie ochrany OÚ v 122/2013 (starý zákon)
(do 200 000€)
Maximálna pokuta za porušenie ochrany OÚ v GDPR (nový zákon)
10. Pre porovnanie:
Maximálna pokuta za porušenie ochrany OÚ v 122/2013 (starý zákon)
(do 200 000€)
Maximálna pokuta za porušenie ochrany OÚ v GDPR (nový zákon)
(do 20 000 000€ alebo 4% z celoročného obratu)
17. (fun)FACTS
■ 25. 5 nenastane koniec sveta
■ GDPR nahrádza zákon o ochrane OÚ
■ Plné znenie ZoOÚ (18/2018) je rozsiahlejšie ako Hamlet
■ Odhadovaný čas na prečítanie plného znenia GDPR sú 3 hodiny
■ Vágne definované požiadavky, ale presne definované pokuty!
■ GDPR bolo „inšpirovane“ práve naším zákonom na ochranu osobných
údajov
26. GDPR vs. Zákon o Ochrane OÚ.
Skromne.
■ Bezpečnostný projekt?Ten sa ruší -> Posúdenie vplyvu na ochranu
OÚ (DPIA)
■ Už netreba zasielať oznámenia o IS ktoré spracovávajú OÚ
■ Stále potrebujeme súhlasy na spracovávanie OÚ
32. 2. Poznať svoje dáta budeš!
■ Kto má ISO (ideálne z rady 27000), má výhodnejšiu
štartovaciu pozíciu (pozná svoje procesy)
■ Máš vypracovaný bezp. projekt? – Už to skoro máš!
■ Procesný pohľad nad data-flowom obsahujúcim OÚ.
■ Kde sú uložené?
■ Kto ma k ním prístup?
34. 3. Nerozhodneš vopred za užívateľa
svojho!
Pokračovaním v telefonáte súhlasíte,
že budete nahrávaný...
35. 3. Nerozhodneš vopred za užívateľa
svojho!
■ Súhlas musí byť slobodne daný, konkrétny,
informovaný, jednoznačný a
preukázateľný!
36. 4. Ja som pán, vlastník svojich
osobných údajov. Nebudeš
rozhodovať o nich bezo mňa.
(dotknutá osoba)
37. 4. Ja som pán, vlastník svojich osobných údajov.
Nebudeš rozhodovať o nich bezo mňa.
(dotknutá osoba)
• Poskytnutie informácii na
žiadosť dotknutého
• Poskytnutie kópie
spracúvanýchOÚ
Právo na
prístup
• Údaje by mali byť aktuálne
• Dotknutý by mal mať právo na ich
aktualizáciu
Právo na
modifikáciu
38. 4. Ja som pán, vlastník svojich osobných údajov.
Nebudeš rozhodovať o nich bezo mňa.
(dotknutá osoba)
• Právo namietať proti spracúvaniu
na právnom základe
• Poskytnutie kópie spracúvaných OÚ
Právo
namietať
• Povinnosť vymazať osobné údaje na
žiadosť dotknutého
Právo na
zabudnutie...
39. 4a. Žiadosť o výmaz budeš realizovať
■ Bezodkladne...do 30 dní. (or up to 2 months)
■ Avšak niektoré OÚ musíme mať na základe zákona
(archivácia, učto,...)
■ Ďalšie výnimky: sloboda prejavu, právo na
informácie,...
■ Pseudonymizácia údajov
■ Čo páskové zálohy?
40. 5. Zaškolíš zamestnancov svojich!
■ Čo sú OÚ v tých našich dátach
■ Ako narábať s OÚ aby neunikli
■ Minimalizuj riziko!
■ Zaznamenáš to.
(stačí aj ich podpis,
ale to fakt nechceš)
41. 6. Zodpovednú osobu definuješ
(DPO)
■ Nie všetci ju musia mať
■ Mala by byť mimo organizačnej
štruktúry (nesmie dostávať pokyny)
■ Musí absolvovať skúšku na úrade
(nie je povinná, avšak musí dobre
ovládať právne aspekty)
■ Nie je zodpovedná za nesúlad GDPR
■ Má dohliadať nad plnením GDPR
■ Ak ju nevymenuješ (a musíš) tak
automaticky 10 M € pokutka.
42. 7.Všetko zmluvami ošetríš
■ Poznať a mať jasno v „buzzwords“
prevádzkovateľ - sprostredkovateľ
■ Aby si bol sprostredkovateľ vedomý, že narába s OÚ.
■ Odporúčam naštudovať a pozrieť
dataprotection.gov.sk
■ Why? Pretože sprostredkovatelia budú v niektorých
prípadoch povinní nominovať zodpovednú osobu.
■ V prípade porušenia ochrany musia sprostredkovatelia
informovať prevádzkovateľa.
■ Musí to byť jasne –V akom rozsahu, aké údaje, ako,...
■ Zmluvy (ich čásť) by mala byť verejná.
45. 8. Zainvestuješ do bezpečnosti
svojej!
■ GDPR vo všeobecnosti žiada vyvinúť adekvátnu snahu.
■ Adekvátna snaha môže vyžadovať na svoju realizáciu zdroje.
■ Zdroje stoja peniaze.
■ Enkrypcia, prístupy, monitorovanie prístupov k fileom.
■ Sú vôbec IDS GDPR compliant? - Paradox
■ Pozor na aktuálnu nejasnosť u väčsiny -> Príležitosť na obchod na „fully
compliant 100% gdpr solution one-click solver“
46. 9. Ak dáta uniknú, nahlásiš to!
■ Do 72 hodín
■ Oznámenie dotknutým jednotlivcom (treba mať
pripravený interný PR plán)
■ Musí byť zrozumiteľné a jasné
■ Oznámenie verejnosti sa nemusí za každých
okolností vyžadovať
(dostatočne vynaložené technické úsilie na
ochranu dát)
47. 10. Nikdy na vavrínoch nezaspíš
- Zajtra pribudnú údaje/účely, ktoré dnes nevieme zbierať/nepotrebujeme, takže treba
proces neustále revidovať (príklad z histórie: biometria)
- "You need to be complaint as much as possible. There's no
such thing as fully complaint.„
(symantec GDPR webinar)
48. Základné zásady
■ Zákonnosť, spravodlivosť a transparentnosť.
■ Minimalizácia údajov
■ Minimalizácia účelu
■ Správnosť údajov
■ Minimalizácia doby uchovávania
■ Integrita a dôvernosť
50. GDPR on 1 SLIDE
■ 1. Zaškolenie zodpovednej osoby
■ 2. Poučenia oprávnených osôb
■ 3. Oboznámenie so spracovaním + súhlasy
■ 4. Posúdenie vplyvu na ochranu OÚ (DPIA)
■ 5. Zmluvy „Prevádzkovateľ vs. sprostredkovateľ“.