Oblasť GDPR
Ako dlhoročný dodávateľ bezpečnostných riešení poskytujeme poradenstvo a odbornú pomoc v oblasti GDPR.
Oblasť GDPR
Čo je GDPR ?
Nariadenie EÚ 2016/679 o ochrane osobných údajov nahradilo platný zákon č. 122/2013 Z. z. o ochrane osobných údajov. Nariadenie nadobudlo účinnosť 25. mája 2018. Týka sa všetkých subjektov, ktoré spracúvajú osobné údaje svojich zákazníkov, používajú tieto informácie na monitorovanie a vyhodnocovanie ich správania, využívajú získané údaje na marketingové účely alebo prevádzkujú e-shop.
Aký je rozdiel medzi platným zákonom č.122/2013 Z. z. o ochrane osobných údajov a GDPR ?
- Okruh osobných údajov sa rozširuje o údaje technického charakteru (napr. IP adresa, cookies, e-mailové adresy, lokalizačné údaje);
- Sprísňujú sa pravidlá pre udelenie a preukázanie súhlasu so spracovaním osobných údajov;
- Sprísňujú sa pravidlá pre spracúvanie osobných údajov osôb mladších ako 16 rokov;
- Ustanovuje sa povinnosť prijať primerané technické a organizačné opatrenia (pseudoanymizácia, šifrovanie, včasná obnova dostupnosti dát, politiky a smernice atď.);
- Zavádza sa povinnosť ustanoviť zodpovednú osobu (DPO);
- Ustanovuje sa povinnosť viesť záznamy o spracúvaní osobných údajov;
- Zavádza sa povinnosť nahlasovať bezpečnostné incidenty Úradu na ochranu osobných údajov Slovenskej republiky i dotknutým osobám;
- Vzniká povinnosť vykonávať analýzu vplyvov spracovateľských operácií na ochranu osobných údajov pre definované subjekty;
- Zakladá sa právo na vymazanie a právo na prenos osobných údajov.
Ako Vám LYNX vie pomôcť ?
Prvým krokom subjektu, ktorý spracúva osobné údaje, je dôkladná analýza používaných dokumentov (formulárov, zmlúv, obchodných podmienok, podmienok ochrany osobných údajov atď.) a nastavenia vnútorných postupov (napr. konfigurácia kamerového systému, správa dochádzkového systému, evidencia klientov).
1. Analýza a posúdenie existujúceho stavu
Rozsah a pochopenie niektorých ustanovení GDPR je pomerne náročné a komplexné, odporúčame konzultovať uvedenú problematiku s naším odborníkom na ochranu osobných údajov alebo naším právnym poradcom. Najefektívnejšou z možností, ako vyhodnotiť riziká a identifikovať potrebné zmeny, je nechať si vypracovať nezávislú analýzu rizík a posúdenie vplyvu na ochranu osobných údajov. Rozsah analýzy rizík odporúčame realizovať v nasledovných krokoch:
- identifikácia a klasifikácia aktív (prípadne komplexná klasifikácia informácií so všeobecným identifikovaním informačných aktív v informačných systémoch zákazníka),
- identifikácia hrozieb a zraniteľností,
- ohodnotenie rizík,
- identifikácia a ohodnotenie doteraz realizovaných bezpečnostných opatrení,
- porovnanie aktuálneho stavu bezpečnosti s požiadavkami ISO/IEC 27002:2013,
- návrh možných bezpečnostných opatrení pre minimalizáciu identifikovaných rizík,
- hodnotenia použitých opatrení a návrh opatrení na identifikované zraniteľnosti odporúčame vypracovať v súlade s normou ISO/IEC 27002:2013.
2. Metodická pomoc pri riešení problémov s ochranou osobných údajov
Následným krokom po vykonaní analýzy je návrh procesných opatrení na elimináciu dopadov a prevenciu rizík:
- podieľanie sa na mapovaní toku osobných údajov,
- revízia a právne posúdenie dokumentov, prípadne zmlúv,
- vypracovanie nových zmlúv, politík a smerníc podporujúcich ochranu osobných údajov,
- identifikácia informačných systémov a vypracovanie záznamov o spracovateľských činnostiach,
- zabezpečenie podpory pri výkone dohľadu nad ochranou osobných údajov a podpora činnosti zodpovednej osoby (DPO) alebo jej outsourcing,
- pomoc a podpora pri komunikácii s Úradom na ochranu osobných údajov Slovenskej republiky a právne zastupovanie na kontrolách úradu,
- právne posúdenie otázok vyplývajúcich z jednotlivých špecifík spracúvania osobných údajov v konkrétnej spoločnosti (právne otázky vyžadujúce výklad GDPR, zákona, prípadne vyhlášok),
- návrh a vypracovanie plánov obnovy a zabezpečenia kontinuity činností (DRP, BCM).
3. Podpora pri implementácii opatrení na ochranu osobných údajov
Vykonáme dôslednú a kvalitnú implementáciu technologických nástrojov na ochranu dát, ich podporu a/alebo zabezpečíme prevádzku týchto zariadení (systémy na prevenciu úniku dát, ich šifrovania, ochranu zariadení atď.). Služby zahŕňajú:
- návrh spôsobu riešenia technických opatrení, príprava plánu ich realizácie a samotná implementácia technológií vyplývajúcich z plánu realizácie opatrení,
- Data Loss Prevention systémy na prevenciu pred únikom osobných údajov,
- EndPoint Security nástroje na šifrovanie dát a nástrojov na anonymizáciu/pseudonymizáciu osobných údajov,
- nástroje na správu používateľov dát a riadenie prístupov,
- nástroje na zabezpečenie silnej autentifikácie,
- komplexné riešenia pre archiváciu, zálohovanie,
- riešenia pre zabezpečenie vysokej dostupnosti systémov a jej monitoring,
- komplexné riešenia bezpečnosti a ochrany infraštruktúry pred externými i internými hrozbami (IDS/IPS, FW, WAF, DLP atď.),
- riešenia pre proces riadenia bezpečnostných incidentov,
- bezpečnostné audity, vykonávanie penetračných testov a testovanie zraniteľností.
Poskytujeme aj ďalšie činnosti v oblasti GDPR a to podľa požiadaviek zákazníka. V prípade Vášho záujmu nás prosím kontaktujte.
Mám záujem sa dozvedieť viac >>
Viac o téme GDPR...
Prečítajte si tiež:
Aké zmeny v právnej ochrane osobných údajov prinesie GDPR ?
Prečítajte si tiež:
Nový zákon o ochrane osobných údajov