Čo je GDPR ?

Nariadenie EÚ  2016/679 o ochrane osobných údajov nahradilo platný zákon č. 122/2013 Z. z. o ochrane osobných údajov. Nariadenie nadobudlo účinnosť 25. mája 2018. Týka sa všetkých subjektov, ktoré spracúvajú osobné údaje svojich zákazníkov, používajú tieto informácie na monitorovanie a vyhodnocovanie ich správania, využívajú získané údaje na marketingové účely alebo prevádzkujú e-shop.

 

Aký je rozdiel medzi platným zákonom č.122/2013 Z. z. o ochrane osobných údajov a GDPR ?

• Okruh osobných údajov sa rozširuje o údaje technického charakteru (napr. IP adresa, cookies, e-mailové adresy, lokalizačné údaje);
• Sprísňujú sa pravidlá pre udelenie a preukázanie súhlasu so spracovaním osobných údajov;
• Sprísňujú sa pravidlá pre spracúvanie osobných údajov osôb mladších ako 16 rokov;
• Ustanovuje sa povinnosť prijať primerané technické a organizačné opatrenia (pseudoanymizácia, šifrovanie, včasná obnova dostupnosti dát, politiky a smernice atď.);
• Zavádza sa povinnosť ustanoviť zodpovednú osobu (DPO);
• Ustanovuje sa povinnosť viesť záznamy o spracúvaní osobných údajov;
• Zavádza sa povinnosť nahlasovať bezpečnostné incidenty Úradu na ochranu osobných údajov Slovenskej republiky i dotknutým osobám;
• Vzniká povinnosť vykonávať analýzu vplyvov spracovateľských operácií na ochranu osobných údajov pre definované subjekty;
• Zakladá sa právo na vymazanie a právo na prenos osobných údajov.

Ako Vám LYNX vie pomôcť ?

Prvým krokom subjektu, ktorý spracúva osobné údaje, je dôkladná analýza používaných dokumentov (formulárov, zmlúv, obchodných podmienok, podmienok ochrany osobných údajov atď.) a nastavenia vnútorných postupov (napr. konfigurácia kamerového systému, správa dochádzkového systému, evidencia klientov). 

 

1. Analýza a posúdenie existujúceho stavu

Rozsah a pochopenie niektorých ustanovení GDPR je pomerne náročné a komplexné, odporúčame konzultovať uvedenú problematiku s naším odborníkom na ochranu osobných údajov alebo naším právnym poradcom. Najefektívnejšou z možností, ako vyhodnotiť riziká a identifikovať potrebné zmeny, je nechať si vypracovať nezávislú analýzu rizík a posúdenie vplyvu na ochranu osobných údajov. Rozsah analýzy rizík  odporúčame realizovať v nasledovných krokoch:

• identifikácia a klasifikácia aktív (prípadne komplexná klasifikácia informácií so všeobecným identifikovaním informačných aktív v informačných systémoch zákazníka),
• identifikácia hrozieb a zraniteľností,
• ohodnotenie rizík,        
• identifikácia a ohodnotenie doteraz realizovaných bezpečnostných opatrení,
• porovnanie aktuálneho stavu bezpečnosti s požiadavkami ISO/IEC 27002:2013,
• návrh možných bezpečnostných opatrení pre minimalizáciu identifikovaných rizík,
• hodnotenia použitých opatrení a návrh opatrení na identifikované zraniteľnosti odporúčame vypracovať v súlade s normou ISO/IEC 27002:2013.

2. Metodická pomoc pri riešení problémov s ochranou osobných údajov

Následným krokom po vykonaní analýzy je návrh procesných opatrení na elimináciu dopadov a prevenciu rizík:

• podieľanie sa na mapovaní toku osobných údajov,
• revízia a právne posúdenie dokumentov, prípadne zmlúv,
• vypracovanie nových zmlúv, politík a smerníc podporujúcich ochranu osobných údajov,
• identifikácia informačných systémov a vypracovanie záznamov o spracovateľských činnostiach,
• zabezpečenie podpory pri výkone dohľadu nad ochranou osobných údajov a podpora činnosti zodpovednej osoby (DPO) alebo jej outsourcing,
• pomoc a podpora pri komunikácii s Úradom na ochranu osobných údajov Slovenskej republiky a právne zastupovanie na kontrolách úradu,
• právne posúdenie otázok vyplývajúcich z jednotlivých špecifík spracúvania osobných údajov v konkrétnej spoločnosti (právne otázky vyžadujúce výklad GDPR, zákona, prípadne vyhlášok),
• návrh a vypracovanie plánov obnovy  a zabezpečenia kontinuity činností (DRP, BCM).

3. Podpora pri implementácii opatrení na ochranu osobných údajov

Vykonáme dôslednú a kvalitnú implementáciu technologických nástrojov na ochranu dát, ich podporu a/alebo zabezpečíme prevádzku týchto zariadení (systémy na prevenciu úniku dát, ich šifrovania, ochranu zariadení atď.).  Služby zahŕňajú:

• návrh spôsobu riešenia technických opatrení, príprava plánu ich realizácie a samotná implementácia technológií vyplývajúcich z plánu realizácie opatrení,
• Data Loss Prevention systémy na  prevenciu pred únikom osobných údajov, 
• EndPoint Security nástroje na šifrovanie dát a nástrojov na anonymizáciu/pseudonymizáciu osobných údajov,
• nástroje na správu používateľov dát a riadenie prístupov,
• nástroje na zabezpečenie silnej autentifikácie,
• komplexné riešenia pre archiváciu, zálohovanie,
• riešenia pre zabezpečenie vysokej dostupnosti systémov a jej monitoring,
• komplexné riešenia bezpečnosti a ochrany infraštruktúry pred externými i internými hrozbami (IDS/IPS, FW, WAF, DLP atď.),
• riešenia pre proces riadenia bezpečnostných incidentov,
• bezpečnostné audity, vykonávanie penetračných testov a testovanie zraniteľností.

---

 

Poskytujeme aj ďalšie činnosti v oblasti GDPR a to podľa požiadaviek zákazníka. V prípade Vášho záujmu nás prosím kontaktujte. 

Mám záujem sa dozvedieť viac >>

 

Viac o téme GDPR...

---

Prečítajte si tiež:

Aké zmeny v právnej ochrane osobných údajov prinesie GDPR ?

---

Prečítajte si tiež:

Nový zákon o ochrane osobných údajov

---