Myslíme aj za zákazníka.

Myslíme aj za zákazníka.

Oblasť GDPR

Ako dlhoročný dodávateľ bezpečnostných riešení poskytujeme poradenstvo a odbornú pomoc v oblasti GDPR.

Oblasť GDPR

Čo je GDPR ?

Nariadenie EÚ  2016/679 o ochrane osobných údajov. Nahradí platný zákon č. 122/2013 Z. z. o ochrane osobných údajov. Nariadenie nadobúda účinnosť 25. mája 2018. Týka sa všetkých subjektov, ktoré spracúvajú osobné údaje svojich zákazníkov, používajú tieto informácie na monitorovanie a vyhodnocovanie ich správania, využívajú získané údaje na marketingové účely alebo prevádzkujú e-shop.

 

Aký je rozdiel medzi platným zákonom č.122/2013 Z. z. o ochrane osobných údajov a GDPR ?

  • Okruh osobných údajov sa rozširuje o údaje technického charakteru (napr. IP adresa, cookies, e-mailové adresy, lokalizačné údaje);
  • Sprísňujú sa pravidlá pre udelenie a preukázanie súhlasu so spracovaním osobných údajov;
  • Sprísňujú sa pravidlá pre spracúvanie osobných údajov osôb mladších ako 16 rokov;
  • Ustanovuje sa povinnosť prijať primerané technické a organizačné opatrenia (pseudoanymizácia, šifrovanie, včasná obnova dostupnosti dát, politiky a smernice atď.);
  • Zavádza sa povinnosť ustanoviť zodpovednú osobu (DPO);
  • Ustanovuje sa povinnosť viesť záznamy o spracúvaní osobných údajov;
  • Zavádza sa povinnosť nahlasovať bezpečnostné incidenty Úradu na ochranu osobných údajov Slovenskej republiky i dotknutým osobám;
  • Vzniká povinnosť vykonávať analýzu vplyvov spracovateľských operácií na ochranu osobných údajov pre definované subjekty;
  • Zakladá sa právo na vymazanie a právo na prenos osobných údajov.

Ako Vám LYNX vie pomôcť ?

Prvým krokom subjektu, ktorý spracúva osobné údaje, je dôkladná analýza používaných dokumentov (formulárov, zmlúv, obchodných podmienok, podmienok ochrany osobných údajov atď.) a nastavenia vnútorných postupov (napr. konfigurácia kamerového systému, správa dochádzkového systému, evidencia klientov). 

 

1. Analýza a posúdenie existujúceho stavu

Rozsah a pochopenie niektorých ustanovení GDPR je pomerne náročné a komplexné, odporúčame konzultovať uvedenú problematiku s naším odborníkom na ochranu osobných údajov alebo naším právnym poradcom. Najefektívnejšou z možností, ako vyhodnotiť riziká a identifikovať potrebné zmeny, je nechať si vypracovať nezávislú analýzu rizík a posúdenie vplyvu na ochranu osobných údajov. Rozsah analýzy rizík  odporúčame realizovať v nasledovných krokoch:

  • identifikácia a klasifikácia aktív (prípadne komplexná klasifikácia informácií so všeobecným identifikovaním informačných aktív v informačných systémoch zákazníka),
  • identifikácia hrozieb a zraniteľností,
  • ohodnotenie rizík,        
  • identifikácia a ohodnotenie doteraz realizovaných bezpečnostných opatrení,
  • porovnanie aktuálneho stavu bezpečnosti s požiadavkami ISO/IEC 27002:2013,
  • návrh možných bezpečnostných opatrení pre minimalizáciu identifikovaných rizík,
  • hodnotenia použitých opatrení a návrh opatrení na identifikované zraniteľnosti odporúčame vypracovať v súlade s normou ISO/IEC 27002:2013.

2. Metodická pomoc pri riešení problémov s ochranou osobných údajov

Následným krokom po vykonaní analýzy je návrh procesných opatrení na elimináciu dopadov a prevenciu rizík:

  • podieľanie sa na mapovaní toku osobných údajov,
  • revízia a právne posúdenie dokumentov, prípadne zmlúv,
  • vypracovanie nových zmlúv, politík a smerníc podporujúcich ochranu osobných údajov,
  • identifikácia informačných systémov a vypracovanie záznamov o spracovateľských činnostiach,
  • zabezpečenie podpory pri výkone dohľadu nad ochranou osobných údajov a podpora činnosti zodpovednej osoby (DPO) alebo jej outsourcing,
  • pomoc a podpora pri komunikácii s Úradom na ochranu osobných údajov Slovenskej republiky a právne zastupovanie na kontrolách úradu,
  • právne posúdenie otázok vyplývajúcich z jednotlivých špecifík spracúvania osobných údajov v konkrétnej spoločnosti (právne otázky vyžadujúce výklad GDPR, zákona, prípadne vyhlášok),
  • návrh a vypracovanie plánov obnovy  a zabezpečenia kontinuity činností (DRP, BCM).

3. Podpora pri implementácii opatrení na ochranu osobných údajov

Vykonáme dôslednú a kvalitnú implementáciu technologických nástrojov na ochranu dát, ich podporu a/alebo zabezpečíme prevádzku týchto zariadení (systémy na prevenciu úniku dát, ich šifrovania, ochranu zariadení atď.).  Služby zahŕňajú:

  • návrh spôsobu riešenia technických opatrení, príprava plánu ich realizácie a samotná implementácia technológií vyplývajúcich z plánu realizácie opatrení,
  • Data Loss Prevention systémy na  prevenciu pred únikom osobných údajov, 
  • EndPoint Security nástroje na šifrovanie dát a nástrojov na anonymizáciu/pseudonymizáciu osobných údajov,
  • nástroje na správu používateľov dát a riadenie prístupov,
  • nástroje na zabezpečenie silnej autentifikácie,
  • komplexné riešenia pre archiváciu, zálohovanie,
  • riešenia pre zabezpečenie vysokej dostupnosti systémov a jej monitoring,
  • komplexné riešenia bezpečnosti a ochrany infraštruktúry pred externými i internými hrozbami (IDS/IPS, FW, WAF, DLP atď.),
  • riešenia pre proces riadenia bezpečnostných incidentov,
  • bezpečnostné audity, vykonávanie penetračných testov a testovanie zraniteľností.

 

Poskytujeme aj ďalšie činnosti v oblasti GDPR a to podľa požiadaviek zákazníka.

V prípade záujmu nás prosím kontaktujte >>

 

Viac o téme GDPR...


Prečítajte si tiež:

Aké zmeny v právnej ochrane osobných údajov prinesie GDPR ?