GDPR

Politika GDPR

Obecné informace

Celá problematika řešení GDPR by měla zajistit nejen technické, či technologické prostředky, ale i zajistit procesní a administrativně organizační možnosti, které by uvedenou regulatoriku podpořily.

Abychom mohli dobře navrhnout požadované řešení GDPR, je potřeba se na problematiku regulatoriky GDPR podívat z business pohledu (resp. z pohledu procesního). Celý proces řízení GDPR pak musí zajistit, aby byl systém schopen reagovat na požadavek externího subjektu, a dokázat, že má nastavena pravidla práce dle GDPR a zároveň technické prostředky, které zajistí dodržování těchto pravidel.

Celkové řešení by bylo možno naznačit v highlevel architektuře dle následujícího obrázku:

Základním předpokladem je, že existuje analýza dopadů regulatoriky GDPR na fungování organizace, což v sobě znamená analýzu požadavků na procesní, právní, organizační, IT a další změny v organizaci. Tato analýza definuje pak úkoly, které zavedení procesů GDPR bude vyžadovat, tedy jakési řízení změn (Change management).

Celý systém by měl pracovat tak, aby uměl reagovat na předpokládaný požadavek na informaci. Takže základem musí být definice politik a metodik podporující proces řízení regulatoriky GDPR. První částí procesu bude tedy Definice a nastavení POLITIK GDPR. Vzhledem k tomu, že uvedená metodika bude obsahovat celou řadu omezení a regulací, bude potřeba vytvořit soubor rizik, která z nedodržování těchto politik plynou. Tato rizika bude nutné uvažovat v komplexitě informačního systému, tedy rizika by se měla navazovat na jednotlivá aktiva systému, která mohou nést (např. databáze, komunikační technologie) osobní data, nebo s nimi mohou manipulovat (služby, integrační prostředky). Druhou částí tedy bude zajištění Definice a nastavení ŘÍZENÍ RIZIK pro GDPR. Po úvodních dvou částech procesu, které představují zejména administrativní a organizační opatření GDPR již můžeme přistoupit k částečným technickým řešením. Třetí částí procesu je vlastní Definice a nastavení ŘÍZENÍ DAT GDRP. Tato část procesu zajišťuje vlastní technologický postup nalezení dat v systému a práci s těmito daty (definice osobního údaje, jeho umístění v systému, párování, výmaz, archivaci či další postupy). Součástí procesu řízení dat je Definice datového modelu a Párování dat. V dobře realizovaných systémech můžeme hovořit o master data managementu. Závěrečnou částí celého procesu podpory GDPR může být připojení Bezpečnostního dohledu, který by mohl cílově monitorovat či dokonce ovlivňovat prvky systému, které by mohly ovlivňovat compliance GDPR. Např, by mohlo dojít k přísnějšímu monitoringu části systému, kde se osobní data ukládají a podobně.

Celá struktura systému podpory GDPR pak může být:

• Zavedení metodik a politik pro GDPR. Tyto metodiky popisují kompletní proces podpory GDPR.
• Politiky řízení GDPR
• Politiky risk managementu
• Politiky řízení dat (datagovernance a dataquality)
• Politiky identifikace a realizace pravidel nad osobními daty
• Politiky řízení datového modelu a párování dat
• Bezpečnostní politiky a pravidla pro dohled IS (bezpečnostní dohled)
• Řízení rizik - každý systém, který pracuje v regulatorice GDPR by měl mít nastaven systém řízení rizik nejlépe v rozsahu definovaným systémem ISO 27000, nebo zákona o kybernetické bezpečnosti, rizika se musí řídit v kontextu:
• Řízení aktiv
• Řízení rolí
• Řízení procesů
• Řízení dat - tímto procesem se rozumí vlastní proces řízení GDPR. Tedy zde se jedná o řízení životního cyklu dat chráněných regulatorikou GDPR, zejména pak:
• Identifikace a klasifikace dat
• Práce s daty
• Archivace dat
• Výmaz dat
• Evidence žádostí subjektů - Vzhledem k faktu, že zatím není nikdo schopen identifikovat objemovou potřebu počtu žádostí subjektů, mělo by řešení podporovat administrativu žádostí, tedy:
• Evidence žádostí
• Identifikaci zodpovědných pracovníků za žádost
• Řízení procesu odpovědi na žádost
• Podpora činností DPO v souvislosti se žádostmi
• Bezpečnostní dohled
• Pro podporu a zejména zásahy do možných incidentů v procesech GDPR může být celý proces zakončen správným nastavením systému bezpečnostního dohledu (SIEM). Z pohledu systému je nutné pak realizovat v rámci SIEMu správné nastavení a dekompozici aktiv (assetů) a správné identifikování incidentů z událostí (eventů)

Do celého procesu patří ještě analytické procesy, které sice patří do procesu, ale jsou jakýmisi statickými či podpůrnými procesy, avšak bez těchto dvou procesů nelze reálně o opatřeních GDRP reálně hovořit.

• Definice datového modelu
• Pro potřebu nalezení umístění dat je vytvoření datového modelu nezbytností.
• Definice integrační vrstvy
• Není důležité pouze vědět kde osobní data leží, ale rovněž kam jsou data poskytována. Jestliže existují integrační vazby mezi jednotlivými systémy je nutno vytvořit párovací struktury, které by definovaly, že konkrétní data odpovídají datům v jiné části systému (tento požadavek by významně řešilo zavedení procesů a technologií MasterData managementu.

Pro uvedené obecné řešení máme k dispozici realizační platformu pro nasazení a podporu Organizačních, evidenčních a administrativních opatření GDPR.

Aplikace pro podporu GDPR

Aplikace Řízení GDPR obsahuje a zajišťuje kompletní organizační podporu správce s GDPR v případě, že organizace má k dispozici všechny podklady a chce si GDPR dělat sama.

• Evidence datasetů GDPR

Pro evidenci systémů, které obsahují osobní údaje, jsme připravili aplikaci pro evidenci údajů o GDPR datasetu - viz. obrázek. Tato evidence je postačující pro podporu regulatoriky


• Evidence rizik GDPR

Regulatorika vyžaduje vedení rizik pro dané datasety. Aplikace umožňuje plnohodnotné vedení rizik a v případě potřeby řešit i rizika zákona o kybernetické bezpečnosti, je na obě eventuality připravená.


• Evidence žádostí subjektů GDPR

Regulatorika vyžaduje evidovat a zpracovávat žádosti subjektů. Aplikace je i na tuto eventualitu připravena.