Регламент 2016/679 стратегия на успеха business consulting business...
TRANSCRIPT
Регламент 2016/679 стратегия на успеха
Идеи за днес и за бъдеще
"Личните данни са валутата на днешния цифров пазар. И както всяка друга валута, тя се нуждае от стабилност и доверие "
Вивиан Рединг
Защо ни трябва промяна
• Застаряващо законодателство – Директива 95/46, прилагана по различен начин във всяка една страна членка;
• 74% вярват че разкриването на лични данни е част от бизнеса и 72% приемат че се обработват прекалено много данни;
• Противоречие на растежа – познание в интерес на бизнеса - но хората искат да управляват познанието;
• Имиджът на компанията като стратегическо предимство.
Какво искахме да постигнем
• обвързаност на националните регулатори:
• Регламент не Директива;
• надзорът на страната е валиден за целия съюз ("едно гише");
• компаниите извън ЕС трябва да спазват правилата на ЕС;
• единство на законодателството за публичния и частния сектор
• система за защита, изградена на оценка на рисковете;
• ясни условия за работа със съгласие;
• повече права на гражданите и контрол на собствените данни.
Пътят който извървяхме
• 25 януари 2012 Вивиан Рединг анонсира началото на промяната;
• Датско и Кипърско председателство - регламент или директива; твърде много делегирани актове; гъвкавост за публичния сектор (немското виждане); административната тежест
• Ирландия - служител за защита на данните по избор; нов подход, основан на нивото на рисковете и трудната дискусия за "съгласието"
• Литва – обслужване на едно гише, правото да бъдеш забравен, административните санкции.
• Гърция – обслужване на едно гише, обхват за всички , опериращи на Европейския пазар;
• Люксембург – начало на тристранните преговори;
• Холандия – финализира Регламента
Катализатори на успеха
• Едуард Сноудън – данни събирани от НАС;
• Правото да бъдеш забравен и делото срещу Google;
• Скандалът PRISM – обхващане на 9-те най големи доставчици на интернет услуги;
• Люксембургският съд срещу трансатлантическия механизъм за трансфер.
Какво ново в Регламента • Регламент променящ правилата на „играта“
Единен набор от правила за защита на данните, валидни в целия ЕС; Единни правила за всички компании, опериращи на европейския пазар; Единни правила частния и държавния сектор. Нова директива за защита на данните при полицейско и съдебното сътрудничество.
• Законодателство със „зъби“ Завишени санкции при констатирани нарушения; Премахване на излишни административни изисквания; Нотификация на органите и засегнатите лица при нарушения в сигурността на
данните; Лесна комуникация между надзорни органи и администратори на лични данни; Укрепване на независимите национални органи за защита на данните;
• Изграждането на системи, стратегии и продукти, базирани на оценка на риска Въвеждане на изискване за оценка на въздействието; Изискване за консултация с надзорния орган, при индикиран висок риск; Управление на риска от индивида при онлайн услугите - "Правото да бъдеш забравен" ;
• Отговорност към клиенти и партньори на организациите Въвеждане на принципа за отчетност Прецизирани правила за вътрешни и за трансгранични трансфери на данни; Осигурен лесен достъп до собствените си данни и информираност при събиране Право за прехвърляне на данни от един доставчик на услуги на друг (право на
преносимост). • Неприкосновеността и защитата на личните данни е процес
Демонстрация на съответствие с Регулацията Завишени права на гражданите за контрол над собствените им данни; “Съгласие за обработка” - дава се изрично, не се предполага и може да се оттегля; Прецизиране на определението за лични данни – IP, локация, биометрика;
Каква е ситуацията в края на 2016
2
54
32
4
4
2
31
43
20
4
0 10 20 30 40 50 60
Какво е GDPR
Ние имаме план за внедряване
Възнамеряваме да започнем
Внедряваме плана
Ние сме готови за GDPR
EU USA
10
46
22
3
4
2
13
0 10 20 30 40 50
Не ни засяга
Ние вече имаме DPO
Нямаме но но ще съвместим тази роля
Ще назначим нов служител
Ще аутсорсваме тази роля
Ще споделим с някой който има
Не знаем
Назначаване на DPO
0 2 4 6 8 10 12 14
Aerospace and Defense
Banking
Biotechnology
Business Consulting
Business Supplies
Capital Goods
Chemicals
Multiple sectors
Construction
Consumer Durable
Diversifed Financials
Education
Food Drink
Food Markets
Government
Healthcare
Hotel restourants
Houshold
Insurance
legal service
materials
Media
Noprofit
Oil gas
Pharmacetical
Retalling
Semiconductors
Software
hardware
Telecomunikation
trading
INDUSTRY
Магистралите на успеха • Законосъобразност на обработката
• Оценка на въздействието
• Определяне необходимостта от оценка;
• Определяне на потоците от танни – описани на базата на бизнес анализ;
• Идентифициране на рисковете – трябва да са част от корпоративните рискове;
• Намиране на решение за съответния риск;
• Записване на резултатите;
• Интегриране на решенията в корпоративния план за управление на риска.
• Защита по подразбиране и при проектиране.
Валидно и доказуемо съгласие, дадено за една и повече цели; Обработката е по силата на договор, по който субекта е страна; Наличие на законово основание; Защита на жизнено важни интереси на субекта; Изпълнение на задача в обществен интерес; Защита на легитимни интереси – най често се разглеждат защитата над деца
+
Добросъвестност и прозрачност; Обработка за конкретни, изрично указани и легитимни цели; Сведени до минимум; Точни и поддържани в актуален вид; Съхранявани за определен период; Обработвани при адекватно ниво на сигурност; Отчетност при обработката.
Пътят за постигане на съответствие
• Определяне на обработваните данни и къде ги съхраняваме; • Определяне типа на данните, обработката която извършваме и
законосъобразността и, както и документиране на процеса; • Преглед на съществуващите политики за сигурност вътре и вън
от организацията и потребността на тяхната актуализация; • Преглед на процедурите за събиране и съхранение на съгласие и
въвеждане на процедури за неговото отегляне; • Преглед на изпълнението на всички права на субектите и
въвеждане на нови процедури, съответстващи на регламента • Преглед на всички договори с клиенти и контрагенти за
съответствие
Определяне на несъответствията
Оценка на въздействието
Модел на организация, ориентирана към технология „УПРАВЛЕНИЕ НА ДАННИ“
• Documents & Content Management • Data Warehouse Management • Meta Data Management • Data Architecture Management • Data Quality Management • Business Intelligence Management • Reference & Master Data
Management • Data Development • Database Operations Management • Data Security Management
БИЗНЕС АНАЛИЗ АНАЛИЗ НА НЕСЪОТВЕТСТВИЯТА ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО УСЪВЪРШЕНСТВАНЕ
Модел за определяне на съответствието с GDPR
Какво променя Регламента в модела
• Инфраструктура;
• Архитектура на данните;
• Метаданните – метаданни за неприкосновенност;
• Оперативно управление на данните;
• Защита на данните;
• Роли и отговорности - служител по защита на данните
Постигнахме ли съответствие
1. Управленска структура;
2. Преглед на личните данни;
3. Политики за
неприкосновеност на
данните;
4. Прилагане на защитата при
обработката;
5. Програма за обучение;
6. Управление на риска за
информационната
сигурност;
7. Управление на риска от
трети страни;
8. Уведомления при пробив в
системата;
9. Поддържане процедури за
запитвания и жалби;
10. Мониторинг за нови
оперативни практики;
11. Програма за управление на
нарушенията;
12. Мониторинг на процедурите
за обработване;
13. Следене на външните
критерии
РАМКА НА СЪОТВЕТСТВИЕ
• СИСТЕМИ • УСЛУГИ И
ПРОДУКТИ • ХОРА
СЕРТИФИЦИРАНЕ
МАРКИ И ПЕЧАТИ ЕТИЧНИ КОДЕКСИ
• ПО БРАНШОВЕ • ПО ОБЕРАЦИИ НА
ОБРАБОТКАТА • ХОРА
КЪДЕ ЩЕ ИНВЕСТИРАТ КОМПАНИИТЕ
0
1
2
3
4
5
6
Здравни заведения Банки Търговци
Дефанзивна/Офанзивна
СИГУРНОСТ
ОПЕРАТИВНА ОБРАБОТКА НА ДАННИТЕ
МИТОВЕ ЗА GDPR
• Регулацията не се отнася за нас;
• GDPR е преди всичко защита на данните – „неприкосновеност#сигурност“;
• Въвеждането на Регулацията е отговорност на IT отдела;
• Аз съм регистриран извън ЕС и не се отнася до мен;
• Регулацията няма да започне да действа на 25 май 2018г.;
• Не се отнася до мен защото съм само обработващ на лични данни;
• Няма съвършенна защита – съществува усъвършенстваща се защита;
• Съответствието с GDPR веднаж постигнато е „достатъчно“
БЛАГОДАРЯ за ВНИМАНИЕТО
"Личните данни са валутата на днешния цифров пазар. И както всяка друга валута, тя се нуждае от стабилност и доверие "
Вивиан Рединг