GDPR
Snadno a srozumitelně
S čím vám můžeme pomoci?

Jste na GDPR připraveni?

GDPR je od 25.5.2018 již spuštěno

Proč GDPR
Žijeme v digitální době a je nutné zvýšit zabezpečení osobních údajů fyzických osob. Cílem Nařízení GDPR je chránit jejich soukromí. Dodržování je závazné v celé EU, jinak hrozí sankce.
Vaše podnikání a GDPR
Pokud zpracováváte osobní údaje (zákazníků, zaměstnanců, …) pak se vás GDPR více či méně týká.
Dopad GDPR
Dochází ke zpřísňování ochrany osobních údajů. Lidé získají řadu práv a firmy musí nastavit a dodržovat řadu pravidel a procesů.

Co je největším strašákem v GDPR

Analýza údajů a procesů Je nutné provést v souladu s Nařízením GDPR analýzy sběru, toků a zpracování osobních údajů ve firmě, stanovit účely jejich zpracování, zanalyzovat formu a procesy související s jejich zabezpečením. Nově také řada firem, které provádějí rozsáhlé a systematické vyhodnocování osobních údajů, bude muset provést DPIA neboli posouzení vlivu na ochranu osobních údajů.
Vytvoření pravidel a zásad Je nutné připravit vnitřní koncepce, vytvořit pravidla a zásady, které dodržují zejména zásady záměrné a standardní ochrany osobních údajů tak, jak požaduje Nařízení GDPR.
Implementace bezpečnostních opatření Vhodná bezpečnostní opatření technického a organizačního typu je nutné implementovat do prostředí firmy tak, aby byla zajištěna ochrana osobních údajů v souladu s Nařízením GDPR.
Prokazování vůči dozorovému orgánu Dozorovým orgánem je v České republice Úřad pro ochranu osobních údajů. Nařízení GDPR vyžaduje jednoznačné doložení důkazů v případě, že bude firma ze strany úřadu vyšetřována pro narušení nebo nedodržení podmínek plynoucích z Nařízení GDPR.

V čem vám můžeme pomoci?

Nevíte se rady s nastavením a implementací Nařízení GDPR ve vaší společnosti? Nebo vám stačí poradit pouze s některou jeho částí? Potřebujete šablony nebo jen proškolit zaměstnance? Vyberte si podle vašich potřeb.

Klasifikace dat a interní směrnice (čl. 6 GDPR)

Nařízení GDPR stanovuje povinnost klasifikace vámi zpracovávaných dat a informací obsahujících osobní údaje (v dokumentech nebo aplikacích). K provedení správné klasifikace je vyžadováno zpracování směrnice, podle které budou ti, kteří pracují s osobními údaji, data klasifikovat.

V čem vám můžeme pomoci?

Obdržíte od nás směrnici pro klasifikaci dat a doporučení nástrojů, které vám pomůžou s aktivní ochranou bezpečnosti

Práva fyzických osob ve vaší organizaci a jejich zajištění (čl. 15, popř. 21 GDPR)

Jedním z nejzásadnějších požadavků nařízení GDPR je zajištění práv jednotlivců, a navíc v poměrně krátkém časovém úseku od zadání požadavku.

V čem vám můžeme pomoci?

Vytvoříme pokyny na míru, které následně aplikujete do vaší společnosti. Provedeme také řádné otestování, že vaši lidé vědí, co a jak mají dělat.

Posouzení účelů zpracování osobních údajů (DPIA) včetně přijatých opatření pro snížení rizik (čl. 5, 9,25 GDPR)

Posouzení vlivu na práva subjektů údajů (DPIA) bude vyžadováno ve značném množství případů, a proto je nutné mít k dispozici metodické postupy a nástroje, jak toto posouzení provést správně. V rámci posouzení vlivu je nutné se orientovat na kontext zpracování, ale také na skutečná hrozící rizika, dopady na práva subjektů a opatření, která je nutné přijmout ke zmírnění těchto rizik.

V čem vám můžeme pomoci?

Připravíme požadované metodické postupy a nástroje.

Zpracování dokumentu o nakládání s osobními údaji (čl. 12-14 GDPR)

Jeden ze základních dokumentů průkaznosti souladu s GDPR je ten, který popisuje způsoby nakládání s osobními údaji. Je to veřejně přístupný dokument,ve kterém každý jednotlivec najde, jak je s jeho osobními údaji nakládáno. Nesmí být psán v právnickém stylu, ale musí splňovat určité náležitosti.

V čem vám můžeme pomoci?

Obdržíte vzorový dokument (Privacy Notice), který můžete snadno doplnit o informace získané během analýzy a aplikovat rovnou do života.

Evidence a vyřízení žádostí subjektů - právo na přístup, výmaz, omezení, námitku, přenositelnost, automatické rozhodování, včetně profilování (15-21 GDPR)

Společnosti musí evidovat požadavky od subjektů, a to způsobem, kterým nedojde ke střetu zájmů nebo náhodnému zpracování v rámci jiného účelu. Proto je vhodné tento systém oddělit od systémů, které jsou využívány k jiným účelům zpracování.

V čem vám můžeme pomoci?

Obdržíte systém, ve kterém můžete vést tuto agendu. Systém je postaven na platformě Sharepoint Online, která je pro dodání této služby nutná, nasazení lze však provést do vašeho, již existujícího prostředí, nebo lze doručit i aplikaci Sharepoint Online v prostředí, které je nastavené ve výchozím stavu.

Provedení analýzy rizik, tj. jaké osobní údaje, proč, jak a s jakým dopadem zpracovávám (čl. 24 GDPR)

Pro každé zpracování osobních údajů musí být provedena kriteriální dopadová analýza aby bylo jednoznačně prokázáno, zda se jedná o rizikové zpracování osobních údajů.

V čem vám můžeme pomoci?

Získáte nástroj, který je připraven na základě stanovisek úřadu a dle doporučení pracovní skupiny WP29.

Evidence souhlasů a jejich odvolání

Pokud je prováděnoe zpracování osobních údajů, která vyžadují souhlas se zpracováním osobních údajů, musí být tyto souhlasy evidovány.

V čem vám můžeme pomoci?

Získáte nástroj a postup, jak souhlasy evidovat vůči jednotlivým subjektům a jak umožnit jejich snadné odvolání, a tudíž zneplatnění účelů, které tyto souhlasy vyžadovaly.

Technická opatření na zmírnění rizik (15-19 oblastí technických) (čl. 24)

Každý systém musí projít posouzením, zda opatření, která jsou již přijatá, jsou dostatečná s ohledem na dopad na práva jednotlivců (fyzických osob).

V čem vám můžeme pomoci?

Dáme vám metodiku,která vás provede kategoriemi, které je nutné s ohledem na systém kontrolovat a díky, které lze snadno posoudit i oblasti, které vám v bezpečnosti ještě chybí.

Zajistění nezávislého auditu (čl. 24 GDPR)

Po provedení implementace požadavků daných směrnicí GDPR je nutné provést nezávislý audit, díky kterému se splní povinnost o informování zúčastněných stran, že jsou přijatá opatření opravdu účinná.

V čem vám můžeme pomoci?

Náš interní auditor provede relevantní posouzení a kontrolu, čímž eliminujete možnost, že dostanete pokutu.

Proškolení zaměstnanců, jak pracovat s osobními údaji (čl. 24)

Směrnice GDPR nařizuje řádné proškolení pracovníků, kteří pracují s osobními údaji.

V čem vám můžeme pomoci?

Zajistíme pro vás proškolení pracovníků, kteří přichází do styku s osobními údaji (i podle jejich pracovního zaměření).

šablony dokumentů

  • Nástroj pro řízenou dokumentaci
  • Balanční test
  • Zpracovatelská smlouva
  • Souhlas se zpracováním osobních údajů
  • Dodatek ke zpracovatelské smlouvě
  • Registr činností zpracování
  • Záznam o zpracování k předložení subjektu
  • Globální přehled zákonných retenčních dob
  • Matice a metodika rizik
  • Asistovaná implementace
  • Technické opatření - dokument s postupem pro zajištění práv subjektů
  • Kontrola Veřejného oznámení o ochraně osobních údajů
  • Vzor e-mailu pro splnění informační povinnosti
  • Seznam povinných dokumentů a aktivit
  • Úvodní assessment (Microsoft Detailed Assessment) v CZ, včetně vykreslení GDPR maturity model v PowerBI for Desktop
  • Kontrolní checklist přijatelného posouzení vlivu na práva subjektů údajů

Zeptejte se a rádi poradíme

  • +420 778 411 744
  • Kubánské nám. 1391/11
    100 00 Praha 10, Vršovice

Napište nám

Proč do toho s námi jít?

  • Máme dostatek zkušeností s GDPR implementacemi
  • Máme dostatek expertů se znalostí GDPR
  • Jsme oficiální partnerem GDPR.cz
  • GDPR je i o technologiích, které nás baví
  • Budete nám rozumět
  • oficiální partner

GDPR se stalo bezesporu jedním z nejfrekventovanějších slov poslední doby. Není divu, termín, kdy začne platit směrnice EU je takřka za dveřmi. Je zajímavé, kolik můžete prakticky všude nalézt teoretických rad. Ale s těmi praktickými už to není tak žhavé…

Takže – o GDPR skutečně ryze prakticky

Rád bych se s vámi podělil o některé mé zkušenosti z implementací GDPR, které společně s kolegy z KPCS CZ realizujeme. Jsem člověk, který se pohybuje už více než 10 let okolo IT služeb a bezpečnosti, takže je mi GDPR poměrně blízké. Zejména myšlenka tohoto nařízení je pro zásadní, protože se točí okolo mé každodenní činnosti (tj. právě bezpečnosti), která byla vždy spíše oblastí podceňovanou a chápanou jako nutné zlo.

 Společnosti mají pocit, že to, co by měly chránit, jsou hlavně jejich obchodní tajemství a peníze. Pokud se ale dneska podíváte na „black market“ na síti onion (Tor Network), tak zjistíte, že se neobchoduje s duševním vlastnictvím společností, ale obchoduje se právě s osobními údaji. V tomto ohledu by spousta z vás mohla říci, že tím nejcennějším artiklem osob je číslo kreditní karty nebo její pin, ale většinou tomu tak není. Mnohem cennější informace, pokud jich je hodně na jednom místě, jsou například e-mailové adresy, přístupy do e-mailů a přístupy do sociálních sítí. Ptáte se proč?

Kdo má osobní údaje, získává moc

Spousta z nás si ani neuvědomuje, že využití důvěryhodnosti osoby v elektronickém světě znamená získat naprostou kontrolu nad čímkoliv, co si budete přát. V mém okolí je spousta lidí, kteří nalítli na fingovanou zprávu, kterou jim údajně poslal jejich kamarád na sociální síti - aby mu například půjčili peníze nebo aby si zakoupili nějaké zboží, které je třeba ve hře Counter Strike. Bohužel jsem měl možnost prožít velmi obdobnou situaci i v mém blízkém okolí, kdy jedna z mých blízkých osob zakoupila zboží za 3000,-Kč, které nikdy nedostala. Nyní si představte situaci, kdy má daný útočník tisíce přístupů do facebookových účtů. Další poměrně odstrašující příklad, u kterého jsme s kolegy prováděli vyšetřování, je situace, kdy společnost díky důvěryhodnosti osoby na druhé straně e-mailu zaplatila cca 200 000$ jako investici, ale účet byl v Hong Kongu a útočník komunikoval z Houstonu, ale pocházel z Lagosu (Afrika) a z tamních IP adres i komunikoval.

 

Na výše uvedeném obrázku se můžete podívat, jak vypadala vertikála útoku, při které došlo k odcizení již zmíněných 200 000$. Nejhorší na tom je fakt, že nebyly použity sofistikované techniky útoku, ale byla zneužita důvěryhodnost osoby na druhé straně internetu, v tomto případě e-mailu.

Pokud bychom tedy chtěli někoho zničit, co je jednodušší cesta? Snažit se probourat jeho firewally ve firmě, smazat servery, možná smazat i zálohy, ukrást kreditní kartu? Já si myslím, že ne, protože toto všechno se dá s trochou štěstí vybudovat znova, protože jsou to jen hmotné věci. Ale představte si, že útočník získal důvěryhodnost na sociální síti a začal šíři pomluvy ve smyslu, že jste zloději, okradli jste ho, použil fotomontáž. Lidé na druhé straně dané osobě naprosto důvěřují a vezmou tuto fámu (HOAX) za svou a dále ji šíří. Nebylo zrovna málo situací, kdy někdo (zejména mladiství) díky šíření fámy, posměšných fotek z dětství atd. spáchali sebevraždu. Takovou situaci už nikdy nenapravíte, danou osobu naprosto zničíte nebo utýráte tak, že se z toho nikdy neprobere.

Ochrana osobních údajů je nezbytná

Přesně z tohoto důvodu je potřeba chránit osobní údaje, které vám lidé (my všichni) svěřují, a proto bychom se k nim měli chovat dle svého nejlepšího svědomí a vědomí. S autem kamaráda, které si půjčíte, asi také nebudete záměrně bourat do stromu (zničení) nebo si ho necháte ukrást (ztráta), případně mu také nenecháte vyměnit motor za nějaký jiný (neoprávněná změna).

Z obrázku je zřejmé, že osobními údaji nejsou jen jednoznačné identifikátory osob, ale zejména informace, které mluví o charakteru těchto osob, nákupních preferencích, profesních a soukromých kvalitách, přezdívkách nebo také o komunikačních návycích ze sociálních sítí.

A to je přesně důvod, proč bych se s vámi chtěl podívat, bez ohledu na účely, činnosti zpracování nebo kategorie dat, na možnosti, které máte v tomto moderním světě k zabezpečení vašeho prostředí.  A pokud je vám vše, co jsem výše napsal lhostejné, pak se můžete bát například pokut udělených ve správním řízení nebo ztráty reputace, která je dle mého názoru mnohem horší -  peníze se dají vždy vydělat, ale když ztratíte důvěru lidí, pak už ji získáte zpět jen velmi těžko.

A jaká jsou ona technická opatření?

Co byste tedy měli udělat dle nařízení GDPR a vodítek, které uvolnil náš dozorový úřad (podle mne mimochodem čerpal z vodítek pracovní skupiny WP29)? Podíváme se na oblasti, které byste měli zabezpečit bez ohledu na míru rizik, která mají vliv na práva a svobody fyzických osob.

Abyste měli správné odůvodnění pro vynaložené investice, pak se můžete odvolat na opatření, která plynou z nařízení, a to zejména z článků 24, 25 a 32. Obdobné věci byste našli i v zákoně o kybernetické bezpečnosti. Rozeberme si jednotlivé oblasti bezpečnosti, proti kterým například my - v KPCS CZ - provádíme audit jednotlivých systémů.

Jedno z mých doporučení je provádět posouzení vždy proti třem základním částem, které se účastní daného zpracování osobních údajů, a to:

  • Počítače a mobilní telefony
  • Vnitřní i vnější síť
  • Servery a úložiště osobních údajů

Záměrně jsem nezmínil zálohovací servery, apod., protože to je vlastně také jen server. Obsluha, která kontroluje zálohy, to dělá z počítače, instrukce posílá přes síť, a tím pádem je to samostatný účel zpracování (zálohování).

Pokud byste to chtěli dotáhnout ještě mnohem dál, a mimochodem, při formální analýze rizik se tomu stejně nevyhnete, tak můžete dělat kompletní rozpady na aktiva primární a podpůrná a pak hodnotit jejich rizikovost a vzájemné závislosti. (Pozn. Za aktivum je považováno cokoliv, co má pro společnost nebo subjekty údajů hmotnou,  anebo nehmotnou hodnotu.)

Při auditu se kontroluje nad každou komponentou 19 oblastí a stejně tak to bude i u auditu, pokud budete chtít získat certifikaci GDPR. V tomto článku nebudu zmiňovat všechny. Pokud se však rozhodnete, že by vás ty další oblasti zajímaly a chcete vědět, jak zlepšit svou bezpečnost prostředí, pak není nic jednoduššího, než nás kontaktovat a objednat GDPR Technical Assessment.

A kde bych měl tedy začít?

První z oblastí, která by se rozhodně neměla podceňovat, je oblast řízení logického přístupu k osobním údajům. Zde bychom měli zhodnotit zejména zda existují v organizaci dvojrole, zda jsou popsány metody a způsoby pro přidělení práv, ale zejména je potřeba identifikovat a kontrolovat, zda to, co je na papíře, je skutečně dodržováno. Určitě znáte frázi „papír snese všechno“ a při implementaci směrnic to je skoro všude stejné. Všichni je čtou, ale nikdo nedodržuje, a to zejména IT lidé ve společnosti, kteří mají neomezená práva, se neřídí interními předpisy, které kolikrát i sami napsali. Co vám v této oblasti může pomoci při kontrole správnosti nastavení?

Azure Active Directory

  • Just-In-time
  • Privilege Access Management
  • Role Base Access Control

Advanced Threat & Organization Monitoring

  • Local Users and Group Change
  • Domain Users and Group Change

Další z oblastí je určitě logování v systémech, které bývá často opomíjeno, logy se neustále přepisují a nikdo je vlastně nekontroluje. Sám moc dobře vím, že toto je velmi složitá oblast a zejména korelace těchto logů vyžaduje nemalé úsilí a spousty procesů, aby bylo vše kontrolováno, prověřeno a vyhodnocováno. Malé společnosti na to nemají čas ani finance, jelikož je jejich obchodní směr někde jinde, a rozhodně ne v IT. Co by mohlo pomoci v této oblasti?

  • Lokální logy na serverech, a to zejména Security Log
  • Lokální logy na switchích, firewallech a WIFI
  • Lokální logy na počítačích

Ať jste malá společnost nebo velká organizace, určitě stojí za zmínku podívat se právě na službu ATOM (Advanced Threat & Organization Monitoring), která vám bez nákladů za konfiguraci a za získávání znalostí poskytne komplexní přehledy a sběry logů a informací z vašich zařízení. Často se mne lidé ptají a říkají, že ATOM je jen pro AZURE. Toto však není pravda, protože právě ATOM je cílen spíše na vaše lokální prostředí, která máte ve svém datovém centru nebo u sebe pod stolem.

Jak postupovat dál?

Další z oblastí, která se věnuje zejména rychlosti reakce uživatele, jsou postupy a nástroje pro použití hesel, kde je nutné zajistit, aby měli uživatelé možnost si snadno změnit hesla a vynucené změny hesel a v neposlední řadě určitě vynucení komplexity hesel (použití malých a velkých písmen a čísel nebo znaků). S touto oblastí vám jistě pomůže:

Azure Active Directory

  • Self Service Password Reset
  • Vícefaktorové ověření (MFA)

Lokální Active Directory

  • Group Policy

IPA Server pro Linux

Důležité je také zajistit, aby si uživatelé nepsali hesla do bloků, telefonů nebo na štítky na monitoru. Vhodnou metodou může být například použití smart karet, případně autentizačních aplikací. Když provádíme posouzení u zákazníků, tak se také hodně orientujeme na oblast získání informace, kdy uživatel do systému přistoupil, s čímž vám může opět pomoci Security Log na počítači/serveru. Pokud využíváte Microsoft Office365, pak Activity Log v Azure, a pokud chcete tyto informace mít vždy na jednom místě bez možnosti modifikace a nechat je kontrolovat externím subjektem, pak je to právě služba ATOM (Advanced Threat & Organization Monitoring), která vám dá ucelené přehledy o tom, kdy, kdo a odkud přistupoval do vaší interní sítě nebo se ověřil vůči místním doménovým řadičům.

Co je zejména s ohledem na GDPR nutné zajistit, tak je rychlost reakce a detekce anomálie v rámci log managementu. Nařízení přímo říká, že je nutné nahlásit narušení bezpečnosti do 72 hodin od jeho identifikace, přičemž délka trvání datového narušení je přitěžující okolností v případě vyměřování pokuty. A opět se zmíním o některých nástrojích, které považuji za vhodné pro nasazení do vašeho lokálního prostředí. Jedná se o tyto:

ATOM (Advanced Threat & Organization Monitoring)

  • Advanced Analytics
  • Korelace v rámci Inteligence Packů a zobrazitelné v Next gen portálu Azure
  • Investigation Map

Application Insights

  • Kontrola telemetrických dat z webových serverů
  • Opět plně integrovatelné do ATOMu a lze získat i v rámci ATOMu jako rozšíření

Project Honolulu

  • Nový server manager pro správu prostředí, který provádí i korelace informací ze serverů

Nevíte si rady? Pomůžeme vám

Tím bych toto téma dnes uzavřel, protože oblastí je opravdu mnoho. Pokud si nejste jisti, která z oblastí se týká právě vaší společnosti, je vhodné provést důslednou kontrolu vašich technických opatření podle GDPR. Jsem k dispozici osobně nebo celý GDPR tým v KPCS CZ.  S vaší spoluprací provedeme detailní analýzu celého vašeho prostředí. Výsledkem jsou pak ta správná doporučení, aby žádný auditor nemohl namítat nic.