data v kleštích regulací - sas institute€¦ · interakce se subjekty osobních dat •...
Post on 07-Jul-2020
4 Views
Preview:
TRANSCRIPT
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Data v kleštích regulacíCo přináší nová regulace do našeho života
20.3.2017
Snídáme
Copyright © SAS Inst itute Inc. A l l r ights reserved.
GDPR – základní fakta
Pracovních dnů Hodin Minut Sekund
301: 07 45: 38373635343332313029282726252423222120191817161514131211100908070605
• General Data Protection Regulation• Evropská směrnice pro ochranu osobních dat• Zavádí nové přísnější požadavky
• Nadnárodní platnost• Platí bez ohledu na národní normy• I mimo EU – všechny subjeky spravující data evropských občanů
• Sankce: • Až 20 000 000 EUR nebo• 4% celosvětového obratu (“vyšší bere“)
• Platnost: od 25.5.2018
Copyright © SAS Inst itute Inc. A l l r ights reserved.
EU is watching you
GDPR – základní fakta
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Co to je a „o čem to je“Hlavní oblasti GDPR
•Aplikace evropských a lokálních norem
•Prokázání právního základu pro nakládání s osobními daty
•Účel a rozsah zpracování osobních dat
1
•Osobní data – uchovávání a zpracování v minimálním nutném rozsahu.
•Všechny nově navrhované a zaváděné systémy musí splňovat podmínky GDPR pro ochranu dat.
2
•Schopnost prokázat existenci a využívání procesů pro ochranu osobních dat,
•Schopnost dokumentovat a monitorovat využívaná osobní data a jejcich stav
3
Právní rámec
Ochrana by default a by design
•Všechna data vč. dokumentů a nestrukturovaných dat
•Zacházení v souladu s GDPR
•Registrace, evidence, ochrana
4
•Nutný explicitní platný souhlas pro sbírání dat a účely jejich použití.
•Různé druhy souhlasů, různá pravidla jejich ošetření pro různá data.
•Všechny datové operace musí souhlas kontrolovat.
5
•Právo být zapomenut
•Právo blokace: vyhodnocování automatisovanými procesy,
•Právo na portabilitu dat
6
•Povinnost hlásit dohledové instituci veškeré průniky do osobních dat.
•Incidenty je nutno hlásit bez zbytečného odkladu
7
•Povinnost zřídit roli Pověřence pro ochranu dat (Data Protection Officer) a odpovídající organisační struktury a postupy
8
•20 000 000 EUR nebo 4% z celosvětového obratu (platí vyšší hodnota)!
Zodpovědnost a odpovědnost
Nakládání s osobními daty
Souhlasy
Nová práva subjektů dat
Hlášení narušení bezpečnosti
Organisace
Sankce
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Hlavní oblasti: Co zavedení GDPR zahrnuje
Právní problematika
Interní procesy a policies, organisace, role, zodpovědnosti
Externí procesy, výstupy, zodpovědnosti vůči regulačním
autoritám
Správa a ochrana personálních dat, infrastruktura
Interakce se subjekty osobních dat
• Povinnosti a zodpovědnosti• Aplikace právních norem (GDPR, zákon
101/2000, …), běžný právní výklad a interpretace
• Zhodnocení dopadu na business• Zhodnocení a výběr variant vzhledem k
regulatorním a compliance rizikům• Definice změn v produktech, procesech a IT
• Povinnosti vůči regulatorním autoritám• Připravenost dokládat, reportovat, hlásit,
dokumentovat stav ochrany dat a dalších požadavků GDPR
• Procesní a technická infrastruktura• Registrace a evidence výskytů osobních dat• Šifrování, anonymisace, pseudonymisace• Kontrola a audit přístupů k datům
• Udělování a odebírání souhlasů• Právo být vymazán a zapomenut• Informace o uchovávaných osobních datech• Právo na portabilitu osobních dat
• Rozhraní a výstupy pro poskytování informací
• Správa a kontrola souhlasů• Monitorování dat• Identifikace a analysa průniků• Kontrola transferů dat
• Rozdílová analýza a analýza rizik• Průběžný monitoring vývoje požadavků na
lokální úrovni• Diskuse s regulátorem
• Dokumentace s požadavky na změny• Business architektura• Interní normy a standardy• Workflow procesů
• Možnost dočasně omezit přístup k datům (blokování)
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Hlavní fáze: Zavedení GDPR
Příprava Operace
Analysa• Zhodnocení připravenosti• Gap analysa• Analysa procesů, policies, organisace, rolí,
odpovědností• Analysa datových toků a dat• Vyhodnocení a prioritisace
Návrh• Detailní analysa a BRD• Roadmapa implementace• Hrubý procesní design• Hrubý technický design• …
Implementace• Detailní procesní design• Detailní technický design• Vývoj/dodávka technických komponent• Technická integrace• Procesní integrace• Prováděcí dokumentace• Testování• …
Rutinní provoz
• Infrastruktura• Uvedení do provozu• Funkce: registrace, evidence, ochrana, souhlasy,
monitorování, audit, interakce se subjekty...• Změny a údržba• …
25
.5.2
01
8
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Co je k tomu potřeba
Znalosti, kompetence, zkušenosti, kapacity:• Právní rámec • Procesní a organisační rámec• Metodika pro ochranu osobních údajů• Assessment, analysa, návrh• Koncepce, architektura
• Koordinace, integrace
Technologie, nástroje, infrastruktura, know-how:• Technologická podpora analytických činností• Nástroje pro registraci a správu osobních dat• Technologie zabezpečení dat• Nástroje pro správu a sdílení informací• Řešení pro spávu a kontrolu souhlasů• Připravenost pro česká data (znalostní báze)• Analytická a BI řešení „GDPR ready“
EY + SAS společně: Zkušenosti ze spolupráce na projektech GDPR v EU
General Data Protection Regulation
Přístup a řešení EY
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Řešení pro podporu GDPRPředstavení nástrojů SAS
Copyright © SAS Inst itute Inc. A l l r ights reserved.
GDPR a pokročilé zpracování dat
Statistika, souvislosti, vztahy, modely…
Bonitaklienta
Segmentace
Optimalisacenabídky
Oslovovánía kampaně
Retence
Risika
Detekcepodvodů
Lifetime valuemanagement
Optimalisacekomunikace
Regulace § § §Omezení
Komplikace
Lepší výsledekVětší efektivita
Možnosti, tendence vývoj:• Větší záběr: více informací, více dat více souvislostí• Adresnost: přesnější, konkrétnější … osobnější
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Co se od nás chce?
Mít pod kontrolou: ovládnout a řídit, sledovat, orchestrovat…
Vědět: identifikovat, vyhledat, dokumentovat, doložit…
Fungovat: chránit, kontrolovat, poskytovat…
1
2
3
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Máme přehled o všech
datových zdrojích?
Jaká je úroveň risika pro
jednotlivé datové zdroje?
Můžeme reportovat kde
všude jsou osobní data
umístěna?
Můžeme doložit, jaké
procesy máme nastaveny?
Máme vše
zdokumentováno a
auditováno?
Interní výzvyCo musíme sami vyřešit
Externí výzvyCo musíme být připraveni
splnit vůči autoritám
Co všechno jsou osobní
data?
Jak identifikujeme
osobní data?
Dokážeme řídit a
kontrolovat přístup
datům?
Dokážeme logovat veškerou
aktivitu uživatelů pro každé
datové úložiště?
Jak obtížné je v důsledku
duplicit a nízké kvality dat
„být smazán a zapomenut”?
Dokážeme evidovat, spravovat
a kontrolovat souhlasy v
potřebné struktuře a detailu?
Kde vidíme výzvy
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Jak na to: Data Governance
Lidské zdrojeRole, organisace, odpovědnosti,
pravomoce, motivace…
TechnologieData, metadata, datové toky, infrastruktura, datová kvalita,monitorování, podpora řízení,
assesment…
Procesy a policiesPravidla, standardy, procesy
policies, …
Copyright © SAS Inst itute Inc. A l l r ights reserved.Copyright © 2016, SAS Institute Inc. All rights reserved.
Jak na to: Use cases
Business Glossary• Top-down Analysa – CO• Definice policies – JAK• Souvislosti, vazby, vztahy - Lineage
Define Discover
Data Quality• Bottom-up analysa• Identifikace osobních dat
Secure
Federalisace dat• Šifrování:
Ano/Pseudonymisace• Granularita přístupu
Monitor
Data Governance• Mapování metadat• Monitorování přístupů• Monitorování citlivých dat• Monitorování retence dat• Alerty remediace
Master
Souhlasy• Master consent• Agregace a konsolidace dat
souhlas• Správa souhlasů• Unikátní individuální náhled
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Podpora nástrojů SAS pro úlohy GDPR
Business Assessment OperationsData Assesment
• Právní aspekty• Business procesy, business architektura• Policies, pravidla, předpisy…• Organisace, role, zodpovědnosti• Povinnosti vůči dohledovým autoritám• Dokumentace, vykazování, dokazování…
• Datové zdroje• Identifikace a dohledání osobních dat• Kvalita osobních dat, duplicity• Datové toky• Sdílení dat• Analysa risik
• Evidence a správa výskytů osobních dat• Správa s kontrola souhlasů• Vymazání všech údajů o osobě• Kvalita osobních dat• Maskování, ano/pseudonymisace, • Monitorování, audit, kontrola přístupu
Personal Data Sniffer
Consent Management & Check
Business Glossary
Data Lineage
Maskování dat, ano/pseudonymizace
SAS DQ
SAS DG
SAS Fed Srv
Řešení SAS jsou „GDPR-ready“ (i.e. podporují „Data protection by design“)
Policy Management
Incident Management
Risk Assessment SAS EGRC
Data access control, logování, audit
Copyright © SAS Inst itute Inc. A l l r ights reserved.
SAS EGRC: Charakteristika
Visualisace interakcí různých elementů
Aparát pro analysu risik
Extensivní information management
Procesy, workflow, role, audit
Použití
Data privacy impact assessment
Monitorování, reporting, analysy
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Privacy „by design“ a „by default“
Zákazníci / partneři
Cloud
Sociálnímédia
Mobilní zařízení / IoT
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Privacy „by design“ a „by default“
Zákazníci / partneři
Cloud
Sociální média
Mobilní zařízení / IoT
Federalisovaná datová vrstva
Monitorovaná a chráněná datová vrstva
Souhrnná dataVeřejná data
Osobní dataSoukromá data
ZákazníciProdukty
AktivityPoskytovatelé
Centrální administrace
Řízení přístupu k datům
Audit dat
Maskování citlivých dat
Regulatory compliance
Logování
Technologické řešení:
• SAS Federation Server
Copyright © SAS Inst itute Inc. A l l r ights reserved.
SAS Federation server: architektura
Copyright © SAS Inst itute Inc. A l l r ights reserved.
SAS Data Quality: Kompletní sada funkcí a nástrojů
Obohacení
Verifikace
Master záznam
MatchingClustering
Validace
Identifikace
StandardisaceNormalisace
Parsing
AnalysaZjištění struktur dat
Zkoumání obsahu dat
Zkoumání vztahů v datech
Analysa stavu dat
Vytvoření profilu dat
Identifikace, kvantifikace, klasifikace a analýza chyb a problémů v datech
Automatické rozpoznání obsahu datových položek
Automatické rozpoznání struktury dat
Základní čištění dat, opravy, překlepy…
Převedení na požadované (standardisované) hodnoty
Převedení na požadovaný formát a strukturu
Doplnění chybějícch položekRozpoznání typu entity (fysická/právnická osoba, pohlaví, typ subjeku…)
Kontrola přípustných hodnot
Kontrola vůči etalonům
Porovnávání (párování záznamů)
Fuzzy matching
Vytváření skupin záznamů
Výběr/vytvoření referenčního, zlatého/master záznamu
Výběr nejlepších atributů záznamu
Ověření existence v referenčncím zdroji (registru)
Adresní registry (UIR-ADR, RUIAN, DDM)
Registr ekonnomických subjektů (RES), Obchodní rejstřík, …
Specialisované registry (klienti, účty, vozidla, nemovitosti …)
Informace z blacklistů, watchlistů…
Doplnění souřadnic
Doplnění ratingu firem …
Monitoring
Znal
ost
ní b
áze
Pro GDPR:• Analysa dat• Kvalita dat• PD Sniffer• Monitorování dat• Master data management• Master consent management+ Rozšíření: Data Governance, Glossary,
Registry, Lineage…
Copyright © SAS Inst itute Inc. A l l r ights reserved.
SAS Personal Data SnifferCo a k čemu to jeto je
• Specialisované řešení pro identifikaci a extrakci osobních dat
• Na platformě SAS data Quality
• Využívá otevřené znalostní báze
• Transparentnost, flexibilita, snadná přizpůsobitelnost a rozšiřitelnost
• Otevřenost: platformy, databáze, soubory, strukturovaná a nestrukturovaná data
• Způsob práce: Automatisované zpracování, batch i online, speciální interaktivní nástroje
• Použití pro celý životní cyklus GDPR:
• Přípravná fáze: Prohledání datových zdrojů – identifikace a lokalisace dat, statistiky, analysa
• Operační fáze: Kontroly na přítomnost osobních dat (V/V kontroly…), Monitorování personálních dat
Copyright © SAS Inst itute Inc. A l l r ights reserved.
SAS Personal Data Sniffer – jak funguje
Identifikační definice
Extrakčni definice
Znalostní báze QKB
1. Vytvoření definic• Pravidla pro rozpoznání
osobních dat• Komplexní logika• Úrovně:
Global – Language - Local
Business pravidlo
Monitor task
Uživatelsky definovaná metrika
Uživatelsky definovaná funkce
2. Použití definic• Busineness rule manager• GUI pro design dataflow• Editor výrazů…
Úloha (Data Job)
Data Profiling
Data Explorer
Federation Server
Jiná aplikace (API)
Podniková data: Databáze, soubory, dokumenty…
Data
Report
Akce
3. Exekuce kontrol• Aplikace na data
4. Výstupy• DBMS tabulky• Datové extrakty• Soubory• Reporty• Profily• Explorace• Monitory• Události• Akce• Zprávy• …
Událost
Zpráva
BI aplikace
Jiné aplikace
Monitor
Glossary& Lineage
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Personal Data Sniffer – použití (příklad)
Příklad použití: Process Job• Řídící logika úlohy (proces flow)• Parametry v konfiguračním souboru• Postupné načítání všech DB objektů• Aplikace identifikační analysy na všechny atributy• Výsledky ukládány do DBMS• Automatické nahrání výsledků do BI platformy
Konfigurační soubor (txt)
Process Job – process flow
Příklady reportů/dashboardů
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Citlivá a osobní data
• Demografická Datao Jménoo Pohlavío Datum narozenío Věko Národnost
• Kanályo Telefonní číslao Poštovní adresa
o Městoo Země
o Emailová addresa
• Identifikátoryo „Národní ID“ (Rodné číslo)o Daňové IDo Číslo pasuo Social Security Numbero Registrační číslo autao Číslo řidičsekého prlkazu
• Organisaceo Názevo Identifikátory (IČO, DIČ)o Právní forma
• Bankovní a finanční účtyo Bank Identifier Code (BIC)o IBANo Číslo pojistky
• Číslo kreditní kartyo American Expresso VISAo MasterCardo Dinners Clubo Discovero JCB
• Digitální identifikátoryo IP adresa (V4, V6)o MAC addressao X/Y Geggrafické souřadnice
• Sociální médiao Twitter účeto URL FaceBooko URL Linkedino URL Pinteresto URL Instagram
• Citlivá datao Stavo Zdraví, orientaceo Politická aktivitao Náboženstvío Členství v odborecho Genetická informaceo Biometrické informaceo Rasao Pohlavío Etnikumo Dětio …
„Osobními daty je jakákoliv informace spojená s identifikovanou nebo identifikovatelnou osobou.“
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Správa souhlasů
Technologické řešení:
• SAS Master Data Management/G
Master consentČasové omezení
Omezení lokací
Omezení operací
Omezení na dílčí data
Granularita souhlasů
Kombinace souhlasů
Konflikty souhlasů
Historické souhlasy vs. historická data…
Dílčí souhlasy
Pravidla, správa, role…
Kontrolasouhlasu
• Dávkové zpracování• On-line zpracování• Přesuny dat• Update/Insert/Delete/Select
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Master Consent ManagementLogické schema
Matice souhlasů
Dim 2
Dim 3
Dim 4Dim n
Dim 5
Dim 1
Blokace
Resolvekonflikt
Přehledsouhlasů
Kontrola
Dleúčelu
Zrušsouhlas
Zezákona
Novýsouhlas
Synchronisace
Master záznam
Instanční záznam
Instanční záznam
Instanční záznam
Instanční záznam
Instanční záznam
Instanční záznam
Párování
Identifikace
Vyhledání
Pohled360°
Přidání
Verifikace
Odebrání
Lokalisace
Služban
Dimense:• Čas• Datová doména• Kanál• Org. Jednotka
• Geografie• Produkt• Operace…
Forma:• Opt-in• Opt-out
• Blokace• Zákonný důvod…
Copyright © SAS Inst itute Inc. A l l r ights reserved.
SAS Data Governance: Business Data network
• Kolaborativní systém pro sdílení informací o datech
• Slovníky pojmů, glossary, datový slovník etc.
• Jednotné rozhraní a „jazyk“ pro technické i business uživatele• Definice business i
technických pojmů• Asociace požadavků a
pravidel• Definice a popisy datových
elementů• Zdrojové systémy• Vlastnictví dat, přístupová
práva• Návaznosti:
• Asociované pojmy• Data management services• Data Workflows• Aplikace …
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Evidence a správa osobních dat z jednoho místa
• Koherentní pohled na osobní data přes všechny platformy• Automatisované glossary osobních dat• Definice, správa a konsolidace business a IT pojmů• Přehled o rolích a zodpovědnostech• Propojení na systémy, datové toky, business vlastníky• Procesní podpora řízení, rolí a zodpovědností
Řízení osobních dat
Technologické řešení:
• SAS Business Data Network
Copyright © SAS Inst itute Inc. A l l r ights reserved.
SAS Data Governance: Business Data Network
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Co z toho?Může být zavedení GDPR také k něčemu dobré?
DataGovernance
Jednotnýpohled
na „party“
DůvěraImage
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Shrnutí
Přežijí silní a připravení
Copyright © SAS Inst itute Inc. A l l r ights reserved.
Data v kleštích regulacíCo přináší nová regulace do našeho života
15.3.2017
SK CI Roadshow
top related